Используем SuseFirewall2 как корпоративный фаервол. (Русская оболочка управления через web и прочее.)

[UTiM]

Много есть на свете фаерволов хороших и разных, платных и бесплатных, развесистых и не очень, да только нет в них часто нужного, а вот всяких погремушек - хоть завались. И под себя не поправиш... Однако, как показал опыт, в большинстве случаев возможностей SFW (SuseFirewall2) для скромного корпоратива более чем достаточно, да вот только рулить им в текстовом файле, если правил больше десятка уж больно проблематично. Отсюда возникла мысль облегчения этой задачи, и вот что из этого выросло...
Получился такой вот проектик, с условным названием OSFW, фактически два в одном - базовая среда (этакий webmin), плюс модуль управления фаерволом. Написано все на php и требует только apach и php...
Базовая среда (api) позволяет легко и непринужденно интегрировать в себя самописные модули управления чем угодно, обеспечивая управление, документирование и взаимодействие с конфигурационными файлами системы.
Из прикладных модулей мы как раз и видим - модуль управления SFW
(Да, если вы видите SuseFirewall впервые, можете предварительно почитать здесь, здесь и здесь)
В дальнейшем планируются модули:

• управление роутингом
• управление шейпингом
• просмотр и анализ логов (тут уже без MySQL не обойдется!)
• управление AСL и юзерами (каждый админ должен написать свой.... ну вы знаете)
• интеграция со squid
• ну и как пойдет...

Для установки выполняем из под рута или sudo

Код: Выделить всё

zypper in  osfw_1.0.0_370.noarch.rpm

Соглашаемся на установку зависимых пакетов. После установки стартуем или перезапускаем apache.
Идем в http://127.0.0.1/osfw
Внимание! Если файл настроек фаервола у вас "кастрированный", как тут Локи советовал, то верните целый из /usr/share/doc/packages/SuSEfirewall2/SuSEfirewall2.sysconfig в /etc/sysconfig/SuSEfirewall2, иначе обрезанных правил не увидите. (это относится и к переходу на новую версию Suse)

Далее - пробуем, тестируем, отписываем вопросы, замечания, предложения. Да, языки интерфейса ru и en (а вообще-то все многоязычное). Есть желание видеть другие языки - включайтесь, средства перевода встроено в саму программу (да, скоро выложу инструкцию переводчика). Альтернативный "вольный" перевод на русский параметров фаервола можно посмотреть здесь, я старался переводить как можно ближе к первоисточнику. Да, справка, естественно, хорошая...но маленькая
Кто имеет желание написать собственный модуль - отписывайтесь, рожу для вас описание api.

[Loky]

Хорошее дело. Не останавливайся на достигнутом. Свои рекомендации бросил в ЛС.

[ivan2ksusr]

линк на проектик бы этот, а то по форуму искать этот топик не очень удобно, хотя в закладку добавил страничку

[UTiM]

линк на проектик бы этот, а то по форуму искать этот топик не очень удобно, хотя в закладку добавил страничку

Пока все публикуется здесь да в моем SVN. Будет-ли сделана специальная страничка проекта (и доступ в SVN) - зависит от вашей (пользовательской) активности. Если наберется критическая масса народа, который считает эту разработку полезной и активно ей пользуется - все будет.
В противном случае - буду медленно и неспешно ваять под себя чисто из любви к искусству.

[Loky]

линк на проектик бы этот, а то по форуму искать этот топик не очень удобно, хотя в закладку добавил страничку

Пока все публикуется здесь да в моем SVN. Будет-ли сделана специальная страничка проекта (и доступ в SVN) - зависит от вашей (пользовательской) активности. Если наберется критическая масса народа, который считает эту разработку полезной и активно ей пользуется - все будет.
В противном случае - буду медленно и неспешно ваять под себя чисто из любви к искусству.

Как я уже говорил, существует потребность в инструменте комплексного управления "сетевой безопасностью", те пакетным фильтром и прокси-сервером в масштабах нескольких серверов. Поэтому считаю необходимым чтобы сайт проекта существовал, и не просто существовал, а жил и развивался. Заинтересованные, критики и просто любопытные подтянутся со временем.

[Goodvin]

Как я уже говорил, существует потребность в инструменте комплексного управления "сетевой безопасностью", те пакетным фильтром и прокси-сервером в масштабах нескольких серверов. Поэтому считаю необходимым чтобы сайт проекта существовал, и не просто существовал, а жил и развивался. Заинтересованные, критики и просто любопытные подтянутся со временем.

Имею аналогичное мнение.

[Saks]

Если понадобится, то могу виртуалку предоставить под хорошее дело.

[prostorNET]

столкнулся с тем что не пускает рута, хотя пароль указываю правильный - пишет не правильный логин или пароль.

[UTiM]

столкнулся с тем что не пускает рута, хотя пароль указываю правильный - пишет не правильный логин или пароль.

Попробуйте выполнить в терминале от имени обычного пользователя команду

Код: Выделить всё

echo "пароль рута" | sudo -S -u root id -u

Если ответ: "root's password:0" или просто "0" - авторизация обязана проходить.
Если по другому - возможно у вас не установлен или поломан sudo - пока не почините "кина не будет".

В следущей версии обязательно добавлю sudo в зависимости....

[prostorNET]

Попробуйте выполнить в терминале от имени обычного пользователя команду

Код: Выделить всё

echo "пароль рута" | sudo -S -u root id -u

От обычного пользователя выдает следующее:

Код: Выделить всё

prostornet's password:Sorry, try again.
prostornet's password:sudo: pam_authenticate: Ошибка диалога

Если запустить от рута то ответ 0, но в оболочку не пускает. Хотя на ноуте я все запустил, а разница лишь в Х.

На компе стоит 4 интерфейса, нет иксов, устанавливал через

Код: Выделить всё

# yast -i ./osfw_1.0.0_370.noarch.rpm

sudo стоит, работает, периодически пользуюсь.

[prostorNET]

Нашел ошибку, действительно было дело в SUDO.
В файле sudoers у меня следующие строчки были закоментированы

Код: Выделить всё

# In the default (unconfigured) configuration, sudo asks for the root password.
# This allows use of an ordinary user account for administration of a freshly
# installed system. When configuring sudo, delete the two
# following lines:

Defaults targetpw   # ask for the password of the target user i.e. root
ALL     ALL=(ALL) ALL   # WARNING! Only use this together with 'Defaults targetpw'!

Только стоило снять с них коментарии, все заработало.
Правильно ли это, ведь тогда sudo требует вводить пароль рута, а не пользователя?

[UTiM]

Правильно ли это, ведь тогда sudo требует вводить пароль рута, а не пользователя?

Требует пароль и выполняет от root - по умолчанию - если в команде не указан другой юзер (ключ -u "Имя пользователя")
В "состоянии поставки" - это так. (т.е. строчка не закоментирована)

[UTiM]

Вышло обновление программы 1.1.0_494. Смотрим описание и берем в шапке.

[UTiM]

Поскольку побороть администрацию о размещении моих комментариев непосредственно в первом посте не удалось, сам я свой пост редактировать - не могу, а народ уже качает - пишу здесь. Очень будем надеяться, что это описание потом не "потеряется".

Публикую последнюю (1.1.0_494) предварительную (и почти окончательную) сборку новой версии.
Для пользователя - много маленьких полезных и не очень изменений. (спасибо Loky за конструктивную критику)
Кроме того - багфиксы и много изменений внутреннего движка, которые юзеру не видны...

Из видимого:
1. Добавлена возможность выгружать/загружать/переносить файлы настроек (в собственном формате OSFW), в том числе от разных версий фаервола (апгрейд/довнгрейд до текущего установленного - автоматический), а также - возвращать дефолтную настройку.
2. Добавлена возможность фильтрации параметров фаервола для быстрого поиска.
3. Развесистая контекстная справка (полная - пока только на русском)

Прошу интенсивно пинать на предмет ошибок (в том числе - орфографических, и особенно - когда будет готов английский.)
Можно и нужно высказывать "хотелки". Мелкие могут попасть в релиз, крупные будут взяты "на карандаш".

Действия по установке.
Ставим впервые - через любой менеджер пакетов, аналогично старой.
Если стояла старая версия - удалить старую через менеджер пакетов, и установите новую (настройки не потеряются!!!)
Apache после утановки - рестартануть (это важно!).
Если вдруг поставили поверх старой - просто поставьте еще раз поверх самой-себя и убедитесь в доступности ссылки http://127.0.0.1/osfw/index.php?menuaction...rewall2/LICENCE (документация от разработчиков и эталонный файл фаервола)- этот глючек spec устраню в ближайшее время...

[k0da]

UTiM
Скажите что поменять, я поменяю..

[valday666]

Если вдруг поставили поверх старой - просто поставьте еще раз поверх самой-себя и убедитесь в доступности ссылки http://.../osfw/index.php?menuaction=manual.uimanual.txtwiev&txt_name=SuSEfirewall2/LICENCE (документация от разработчиков и эталонный файл фаервола)- этот глючек spec устраню в ближайшее время...

У меня справочная система открывается, но там пусто. Так и должно быть?

[UTiM]

Если вдруг поставили поверх старой - просто поставьте еще раз поверх самой-себя и убедитесь в доступности ссылки http://.../osfw/index.php?menuaction=manual.uimanual.txtwiev&txt_name=SuSEfirewall2/LICENCE (документация от разработчиков и эталонный файл фаервола)- этот глючек spec устраню в ближайшее время...

У меня справочная система открывается, но там пусто. Так и должно быть?

Только, если вы не авторизованы. Там где "три точки" - адрес сервера или 127.0.0.0.1 В норме должны увидеть файл лицензии. Проверить можно по другому - войти, нажать "книжку", выбрать пункт 5 (Управление фаерволом) и последний пункт " Документация от разработчиков" - между заголовком и "Смотри так-же" должны быть ссылки... Или проверить наличие символической ссылки /usr/share/osfw/doc/SuSEfirewall2 Если нет, даем команду под root в консоли

Код: Выделить всё

 ln -sf /usr/share/doc/packages/SuSEfirewall2  /usr/share/osfw/doc/

или повторяем установку поверх самой себя ... до появления ссылки.

[Denjs]

линк на проектик бы этот, а то по форуму искать этот топик не очень удобно, хотя в закладку добавил страничку

Пока все публикуется здесь да в моем SVN. Будет-ли сделана специальная страничка проекта (и доступ в SVN) - зависит от вашей (пользовательской) активности. Если наберется критическая масса народа, который считает эту разработку полезной и активно ей пользуется - все будет.
В противном случае - буду медленно и неспешно ваять под себя чисто из любви к искусству.

Да опубликуйте же на http://developer.berlios.de/ уже... !

активность если и появится - начнет расти когда будет официальный сайт.
Мне проект интересен, по крайней мере на перспективу. Сейчас мне увы пока применять негде, но я буду помнить.
По крайней мере потому что "сузю йа лублю за yast да за немеЦЦкую стройность и аккуратность" (последних правда в сузе имхо местами все меньше и меньше, но это другой вопрос)

Извольте дать мне возможность сослаться на более стабильное хранилище файлов, чем форум? я бы вот хотел бы ссылку типа http://osfw.berlios.de (доменное имя зарегистрируется автоматически когда заявку на ваш проект одобрят и выделят под него место)

а то вы же понимаете - завтра у вас исчерпается лимит на объем прикрепленных файлов - и вы удалите файлы из первого поста. А нам что тогда потом делать?
нененнее.. пожалуйста - опубликуйте на берлиозе?

спасибо. проект положил в закладочки.

[UTiM]

Скорее всего файлы уедут на openSUSE Build Service + своя маленькая страничка на моем рабочем сервере или у друзей. Исходники - кому интересно - внутри пакета (чистый php и немного js). Общественный репозиторий SVN - пока я один сам-себе программист - не актуален (у меня свой с возможным доступом "с наружи" есть - надо будет-открою другим ). Если будет "нужное общественное движение" - можно потом переехать и на berlios
Вообще, тема теряет смысл....
Мне для своей мелкой домашней "зверушки" нужно было:

• - Размещение описания и прочего словоблудия по поводу...
• - Размещения файлов сборок
• - Аудитория для обсуждения

В связи с Невозможность редактировать старые сообщения/темы. - читай невозможностью редактировать и самому оперативно размещать (тяжкие малорезультативные беседы с администрацией на эту тему и опять-же советы убрать файлы и дать ссылку) - первые два пункта убивают. Аудитория (и так не густая), которой в итоге будет предлагается "сходить по ссылке на непонятный проект, там чего-то почитать и скачать, а потом вернуться и здесь обсудить" - сама побольшей части отпадет (вы часто ходите по таким ссылкам?). Короче, боюсь в итоге "уйду я от вас, ..."

[Xandry]

Аудитория (и так не густая), которой в итоге будет предлагается "сходить по ссылке на непонятный проект, там чего-то почитать и скачать, а потом вернуться и здесь обсудить" - сама побольшей части отпадет (вы часто ходите по таким ссылкам?).

Да, довольно частно. В новостях нечто подобное как раз практикуется.

[UTiM]

Версия osfw-1.1.0-495 с поправленным spec. Правильно ставится "полюбому" (как с нуля, так и поверх старой)

[Sleeping Daemon]

Много есть на свете фаерволов хороших и разных, платных и бесплатных, развесистых и не очень, да только нет в них часто нужного, а вот всяких погремушек - хоть завались. И под себя не поправиш... Однако, как показал опыт, в большинстве случаев возможностей SFW (SuseFirewall2) для скромного корпоратива более чем достаточно, да вот только рулить им в текстовом файле, если правил больше десятка уж больно проблематично. Отсюда возникла мысль облегчения этой задачи, и вот что из этого выросло...
Получился такой вот проектик, с условным названием OSFW, фактически два в одном - базовая среда (этакий webmin), плюс модуль управления фаерволом. Написано все на php и требует только apach и php...
Базовая среда (api) позволяет легко и непринужденно интегрировать в себя самописные модули управления чем угодно, обеспечивая управление, документирование и взаимодействие с конфигурационными файлами системы.
Из прикладных модулей мы как раз и видим - модуль управления SFW
(Да, если вы видите SuseFirewall впервые, можете предварительно почитать здесь, здесь и здесь)
В дальнейшем планируются модули:

• управление роутингом
• управление шейпингом
• просмотр и анализ логов (тут уже без MySQL не обойдется!)
• управление AСL и юзерами (каждый админ должен написать свой.... ну вы знаете)
• интеграция со squid
• ну и как пойдет...

Для установки выполняем из под рута или sudo

Код: Выделить всё

zypper in  osfw_1.0.0_370.noarch.rpm

Соглашаемся на установку зависимых пакетов. После установки стартуем или перезапускаем apache.
Идем в http://127.0.0.1/osfw
Внимание! Если файл настроек фаервола у вас "кастрированный", как тут Локи советовал, то верните целый из /usr/share/doc/packages/SuSEfirewall2/SuSEfirewall2.sysconfig в /etc/sysconfig/SuSEfirewall2, иначе обрезанных правил не увидите. (это относится и к переходу на новую версию Suse)

Далее - пробуем, тестируем, отписываем вопросы, замечания, предложения. Да, языки интерфейса ru и en (а вообще-то все многоязычное). Есть желание видеть другие языки - включайтесь, средства перевода встроено в саму программу (да, скоро выложу инструкцию переводчика). Альтернативный "вольный" перевод на русский параметров фаервола можно посмотреть здесь, я старался переводить как можно ближе к первоисточнику. Да, справка, естественно, хорошая...но маленькая
Кто имеет желание написать собственный модуль - отписывайтесь, рожу для вас описание api.

Хороший будет проект, если не будет требовать апача и пхп. Что бы было понятно, когда будет работать так - как swat и пакета samba.

[UTiM]

Хороший будет проект, если не будет требовать апача и пхп. Что бы было понятно, когда будет работать так - как swat и пакета samba.

Почему сделано именно так, как сейчас.
Дело в том, что идеология проекта "слизана" с другой системы, а именно Egroupware (в их проекте в свое время я малость "наследил"). В чем там привлекательность модели. Разработчик предоставляет всем желающим некую среду, со своим api и базовым функционалом. Данная среда и примененные в ней технологии должны быть максимально открыты и понятны всем желающим как для правки, так и для разработки/встраивания своих модулей (то-есть цель разработчика - привлечение сторонних участников). Другое дело, что в связи с древностью проекта "Egroupware" api у них насколько "могуч", настолько и сложен и отягощен наследием прошлых версий. Поэтому была сделана своеобразная версия "light" (типа, смотрел как у них и.... делал по своему).
В случае "инкапсуляции" проекта и "заточенности" только под одну задачу (как swat и samba) шанс привлечь к участию других разработчиков (тем более в случае "стартапа") резко снижается. Поэтому и было решено не изобретать свой собственный уникальный "велосипед", а применить максимально понятные и известные для большинства пользователей технологии, дабы каждый, кого что-то не устраивает мог свободно залезть в код...

[k0da]

UTiM
а вы не смотрели в webyast?

[UTiM]

UTiM
а вы не смотрели в webyast?

Посмотрел... Ребята честно пытаются реализовать в вебморде весь имеющийся функционал Yast. И если в "настольном" Yast доступные настройки фаервола просто убоги (фактически минимальны - выберите в osfw фильтры "Yast" и "Все" - и сравните), то в webyas супер-убоги - все сводится к вкл./выкл. и добавление/удаление доступных на сервере сервисов. Моя-же цель - продвинутый шлюз в котором доступны все доступные настройки фаервола + роутинг, шейпинг (в будущем) и т.п. Да, и оболочка-api на самом деле никак не завязана на Suse. (завязан только модуль "Управления фаерволом", так как обслуживает SuseFirewall) - т.е будет работать под любым другим Linux - но только с другими модулями.

Кстати:

Хороший будет проект, если не будет требовать апача и пхп. Что бы было понятно, когда будет работать так - как swat и пакета samba.

Поставьте webyas - и посмотрите что он за собой потащит ("И эти люди запрещают мне ковырять в носу!!!"), я уж не говорю про сам процесс инсталляции, настройки, поиска репа и доков. Апачь+php - по сравнению - это невинная "игра в крысу", ставится автоматом + стандартная настройка через yast - указать порт, интерфейс (если стандартные не нравятся) и запустить... (Использовать https, кстати, тоже можно.)