Csak néhány gondolat a cikkhez:
* A 'saját tűzfal készítés élményén' kívül sajnos ennek manapság nem sok értelme van... miért:
- Mert már sok professzionális, kész, működő megoldás létezik, amiket nagyon könnyű telepíteni, és üzemeltetni. A tűzfal lényege pedig nem a barkácsolás.
- Sajnos azt kell mondjam, hogy otthoni környezetben manapság már ez a fajta tűzfalazás (csomagszűrő + proxy) elavult, és nagyjából semmire nem jó. Ez manapság arra való, hogy a klienseket elszeparáljuk a szerverektől, nyomtatóktól, egyéb hálózatoktól... erre pedig leginkább céges környezetben van szükség.
Miért?
Mert a https, és http forglamat kiengeded, hiszen a júzerek netezni szeretnének...
Ezen a kettőn pedig BÁRMILYEN forgalom képes működni. És a bármilyent szó szerint kell érteni. Mamapság bártmit be lehet csomagolni http (vagy annakk látszó) protokollba, amit a proxy simán átenged...
a https kiengedése pedig maga a paradicsom (a 'gonosz' forgalmak szempontjából), mert azzal még a proxy sem tud/akar semmit kezdeni, 'csak átengedi' így pedig már http-be sem kell csomagolni, bármit lehet forgalmazni kifelé...
És ha ez a bármi pl egy VPN, ssh, vagy hasonló, akkor tulajdonképpen akarva vagy akaratlanul beengedtél idegeneket a hálózatodba, amibe a tűzfalad nem fog (mert nem is tud) beleszólni!
* A cikkben vázolt tűzfalszabályok nagy rész teljesen felesleges, pl: loc-loc irányú forgalmak.
Ezek ugyanis el sem fognak jutni a tűzfalig, mert ugyan abban a natworkben vannak, így direktben egymással kommunikálnak. Ilyen szempontból erősen félrevezető is a cikk ezen része, hiszen a kevésbé hozzáértők azt hihetik, hogy egy tűzfal képes megakadályozni/korlátozni azonos hálózatban lévő gépek közötti forgalmat. De valójában ez nem igaz!
Manapság nem attól kell parázni (értsd védeni a hálózatodat) hogy valaki direktben eléri a desktop gépedet. Ezellen ugyanis egy 'szappantartó' is véd, ha minden forgalamt maszkol kifelé (MASQUERADE)
Otthoni felhasználás esetén a valós probléma az, ami a felhasználók gépére kerül, és onnan KIFELÉ kommunikál. (és így gyorsan részese is lehet egy botnetnek pl)
Márpedig oda az esetek 99.98%-ban úgy kerül valami hogy a júzer le - (vagy épp fel) tölti. Akarva, vagy akaratlanul az mindegy. Ezellen pedig egy ilyen jellegű tűzfal sajnos NEM VÉD.
* Hálózattervezés szempontjából pedig egy kliensekből állló hálózatot védettnek nyilvánítani elég nagy tévedés. Pont ez a hálózat az, AMITŐL a többit védeni KELL!
(ezzel az utóbbi ténnyel sajnos sok magát nagyra tartó cég sincs tisztában)
PS:
Remélem ezzel senkinek nem törtem le a lelkesedését...
zrubi.hu
