ciao, ieri io e profe stavamo discutendo sulla scelta di usare zeroshell sulla macchina che fara' da firewall.
il dubbio grosso e' che su quella macchina c'e' un sacco di roba che non ci servira' mai.
poi ci sono altri dubbi meno importanti: a cosa serve la directory DB? e la directory Database? come si fa ad aggiornare quella macchina? servono proprio tutti i servizi di kerberos e ldap? 300 e passa mega forse sono un po' tanti per una macchina del genere. sul sito dicono 100mb, ma l'installazione li' ne occupa piu' di 300: c'e' qualche pacchetto aggiuntivo installato forse?
non sto dicendo che non mi va bene la zeroshell, sto solo chiedendo un po' piu' di informazioni sulle motivazioni della scelta.
ciaooo
On Fri, Jan 12, 2007 at 11:22:47AM +0100, marco ghidinelli wrote:
ciao, ieri io e profe stavamo discutendo sulla scelta di usare zeroshell sulla macchina che fara' da firewall.
tu e profe che vi coalizzate e vi mettete dalla stessa parte sulle discussioni di un fw? e' solo una strategia a breve termine che precede la guerra. e' ovvio che abbiamo capito, sappiatelo.
Alle 11:22, venerdì 12 gennaio 2007, marco ghidinelli ha scritto:
ciao, ieri io e profe stavamo discutendo sulla scelta di usare zeroshell sulla macchina che fara' da firewall.
il dubbio grosso e' che su quella macchina c'e' un sacco di roba che non ci servira' mai.
poi ci sono altri dubbi meno importanti: a cosa serve la directory DB? e la directory Database? come si fa ad aggiornare quella macchina? servono proprio tutti i servizi di kerberos e ldap? 300 e passa mega forse sono un po' tanti per una macchina del genere. sul sito dicono 100mb, ma l'installazione li' ne occupa piu' di 300: c'e' qualche pacchetto aggiuntivo installato forse?
non sto dicendo che non mi va bene la zeroshell, sto solo chiedendo un po' piu' di informazioni sulle motivazioni della scelta.
ciaooo
Ma leggere quelle 4 righe di documentazione che c'e' sul sito no, eh??
Ciao Rick
On Fri, Jan 12, 2007 at 11:47:17AM +0100, Riccardo Bini wrote:
Ma leggere quelle 4 righe di documentazione che c'e' sul sito no, eh??
le allego per completezza.
Zeroshell è una piccola (soli 103MB) distribuzione Linux per server e dispositivi embedded il cui scopo è fornire i principali servizi di rete di cui una LAN necessita.
a noi serve una distribuzione minimale per router, non un coso che fornisca servizi di rete. quelli son forniti da laundry.
È disponibile nel formato di Live CD o di immagine per Compact Flash ed è configurabile ed amministrabile via web tramite un browser.
l'interfaccia web di configurazione di un firewall di rete mi fa rabbrividire.
Di seguito sono elencate le principali caratteristiche di questa distribuzione Linux:
* Autenticazione Kerberos 5 mediante un KDC integrato e cross * autenticazione tra domini;
non ci serve
* Autorizzazione LDAP, NIS e RADIUS;
non ci serve.
* Autorità di certificazione X.509 per l'emissione e la gestione di * certificati elettronici;
wow. nemmeno questa ci serve.
* Integrazione tra sistemi Unix e domini Windows Active Directory in * un unico sistema di autenticazione e autorizzazione mediante LDAP * e Kerberos 5 cross realm authentication;
fichissimo. ma non ci serve.
* Router con route statiche e dinamiche (RIPv2 con autenticazione * MD5 o plain text e algoritmi Split Horizon e Poisoned Reverse);
fico. ma non ci serve nemmeno questo.
* Bridge 802.1d con protocollo Spanning Tree per evitare loop anche * in presenza di percorsi ridondati;
fichissimo. al circolab conviviamo da una vita con i loop di rete, magari questa volta riusciamo a evitarli. no, non ci serve nemmeno questo.
* Firewall Packet Filter e Stateful Packet Inspection (SPI) con * filtri applicabili sia in routing sia in bridging su tutti i tipi * di interfaccia di rete comprese le VPN e le VLAN; * NAT per utilizzare sulla LAN indirizzi di classi private * mascherandoli sulla WAN con indirizzi pubblici; * TCP/UDP port forwarding (PAT) per creare Virtual Server, ovvero * cluster di server reali visti con un unico indirizzo IP * (l'indirizzo del Virtual Server). Le richieste sul server virtuale * saranno smistate sui server reali in Round-Robin (ciclicamente) * preservando le connessioni e le sessioni già esistenti. Si può * così ottenere il load balancing su web farm, cluster SQL e farm di * calcolo;
questo ci serve. ma e' standard nel kernel di linux, quindi ce l'hanno (quasi) tutte le distro.
* Server DNS multizona e con gestione automatica della Reverse * Resolution in-addr.arpa;
non ci serve.
* Server DHCP multi subnet con possibilità di assegnare l'indirizzo * IP in base al MAC Address del richiedente;
questo lo fa gia' il dhcpserver, mi sembra una cosa che non deve fare il firewall.
mmm...
hai ragione, rick. dovevo semplicemente leggere la homepage.
buttiamo via quel software inutile, e banniamo l'accesso al sito di zeroshell da tutte le scuole del regno. :)
On Fri, Jan 12, 2007 at 12:20:09PM +0100, Riccardo Bini wrote:
Mi sono rotto il cazzo.. Fate quello che volete.
esagerato! :)
comunque nno mi sembra molto tagliata per il ruolo che volevamo dare a quella macchina. se poi hai delle cose da dire che non c'erano sul sito parla, no?
Alle 12:41, venerdì 12 gennaio 2007, marco ghidinelli ha scritto:
On Fri, Jan 12, 2007 at 12:20:09PM +0100, Riccardo Bini wrote:
Mi sono rotto il cazzo.. Fate quello che volete.
esagerato!
:)
comunque nno mi sembra molto tagliata per il ruolo che volevamo dare a quella macchina. se poi hai delle cose da dire che non c'erano sul sito parla, no?
e che devo dire? che zeroshell fa tutto quello che fa una normale distro? che se girano servizi "inutili" succede qualche cosa?? tipo consuma piu' corrente e quindi dobbiamo spendere soldi?? oppure che zeroshell ha un dhcp server e quindi potrebbe essere lui il dhcp server della rete?? a dimenticavo, nel tuo prontuario della sicurezza, dopo il punto "connettiti pure in ssh da un internet point in Brasile perche' cmq il protocollo e' sicuro" c'e' scritto: "un firewall e' un firewall quindi puo' solo bloccare le porte. Guai se ci fossero altri servizi diversi da questo. E' sottointeso che tutto l'hardware non necessario deve essere rimosso (RAM, HD, MB) l'unica cosa che serve e' un set di schede di rete."
Io ho proposto una cosa che si installa in 1 minuto, si configura in 3 minuti. Dopo 4 minuti funziona tutto. Non va bene per motivi che io non riesco a comprendere? Allora fate voi e io mi permetto di rompermi il cazzo. (Senza nulla di personale, ovviamente)
Ciao Rick
On Fri, Jan 12, 2007 at 12:58:07PM +0100, Riccardo Bini wrote:
Alle 12:41, venerdì 12 gennaio 2007, marco ghidinelli ha scritto:
On Fri, Jan 12, 2007 at 12:20:09PM +0100, Riccardo Bini wrote:
Mi sono rotto il cazzo.. Fate quello che volete.
esagerato!
:)
comunque nno mi sembra molto tagliata per il ruolo che volevamo dare a quella macchina. se poi hai delle cose da dire che non c'erano sul sito parla, no?
e che devo dire? che zeroshell fa tutto quello che fa una normale distro?
e quindi perche' non mettiamo una normale distro? che cosa da' di piu' questa zeroshell?
che se girano servizi "inutili" succede qualche cosa??
bisogna stargli dietro con gli aggiornamenti, oppure togliere i servizi in questione.
oppure che zeroshell ha un dhcp server e quindi potrebbe essere lui il dhcp server della rete??
quella del dhcp sul firewall effettivamente si potrebbe fare. e forse anche da dhcp interno?
a dimenticavo, nel tuo prontuario della sicurezza, dopo il punto "connettiti pure in ssh da un internet point in Brasile perche' cmq il protocollo e' sicuro" c'e' scritto: "un firewall e' un firewall quindi puo' solo bloccare le porte. Guai se ci fossero altri servizi diversi da questo.
sul mio prontuario non ci sono scritti i vantaggi di questa distribuzione, li ho cercati sul sito e non gli ho trovati.
E' sottointeso che tutto l'hardware non necessario deve essere rimosso (RAM, HD, MB) l'unica cosa che serve e' un set di schede di rete."
mi pare che stai un po' esagerando.
Io ho proposto una cosa che si installa in 1 minuto, si configura in 3 minuti. Dopo 4 minuti funziona tutto.
sei troppo produttivo. :)
Non va bene per motivi che io non riesco a comprendere? Allora fate voi e io mi permetto di rompermi il cazzo. (Senza nulla di personale, ovviamente)
pero' l'approccio: "io propongo una cosa e se qualcuno ne dubita dico che mi sto rompendo il cazzo" non e' molto costruttivo.
ciao
Non va bene per motivi che io non riesco a comprendere? Allora fate voi e io mi permetto di rompermi il cazzo. (Senza nulla di personale, ovviamente)
pero' l'approccio: "io propongo una cosa e se qualcuno ne dubita dico che mi sto rompendo il cazzo" non e' molto costruttivo.
Infatti ho detto che non c'era nulla di personale, solo che non ho voglia di discutere sul fatto che c'e' ldap o sul fatto che zeroshell fa vpn perche' e' presente nel kernel e quindi in qualsiasi distro.
Ciao Rick
marco ghidinelli ha scritto:
On Fri, Jan 12, 2007 at 12:58:07PM +0100, Riccardo Bini wrote:
Alle 12:41, venerdì 12 gennaio 2007, marco ghidinelli ha scritto:
On Fri, Jan 12, 2007 at 12:20:09PM +0100, Riccardo Bini wrote:
Mi sono rotto il cazzo.. Fate quello che volete.
esagerato!
:)
comunque nno mi sembra molto tagliata per il ruolo che volevamo dare a quella macchina. se poi hai delle cose da dire che non c'erano sul sito parla, no?
e che devo dire? che zeroshell fa tutto quello che fa una normale distro?
e quindi perche' non mettiamo una normale distro? che cosa da' di piu' questa zeroshell?
che se girano servizi "inutili" succede qualche cosa??
bisogna stargli dietro con gli aggiornamenti, oppure togliere i servizi in questione.
oppure che zeroshell ha un dhcp server e quindi potrebbe essere lui il dhcp server della rete??
quella del dhcp sul firewall effettivamente si potrebbe fare. e forse anche da dhcp interno?
a dimenticavo, nel tuo prontuario della sicurezza, dopo il punto "connettiti pure in ssh da un internet point in Brasile perche' cmq il protocollo e' sicuro" c'e' scritto: "un firewall e' un firewall quindi puo' solo bloccare le porte. Guai se ci fossero altri servizi diversi da questo.
sul mio prontuario non ci sono scritti i vantaggi di questa distribuzione, li ho cercati sul sito e non gli ho trovati.
E' sottointeso che tutto l'hardware non necessario deve essere rimosso (RAM, HD, MB) l'unica cosa che serve e' un set di schede di rete."
mi pare che stai un po' esagerando.
Io ho proposto una cosa che si installa in 1 minuto, si configura in 3 minuti. Dopo 4 minuti funziona tutto.
sei troppo produttivo. :)
Non va bene per motivi che io non riesco a comprendere? Allora fate voi e io mi permetto di rompermi il cazzo. (Senza nulla di personale, ovviamente)
pero' l'approccio: "io propongo una cosa e se qualcuno ne dubita dico che mi sto rompendo il cazzo" non e' molto costruttivo.
ciao _______________________________________________ Cialtroni mailing list
E' un vero spasso leggerVi :-D Dico la mia, che non sposterà di un mm le Vostre idee in merito
di zeroshell e similia ce ne sono tente e per tutti i gusti (i miei ricadono su m0n0waal e pfsense che parlano FBSD ovviamente ;) ...come dice rick si installano e configurano in 4/5 minuti ...e in genere gli aggiornamenti sono (semi)automatici e poi ...sui pc del circolab non sta scritta la formula della coca-cola!
io preferisco la via di rick xchè una interfaccia web al fw da la possibilità a chi non conosce iptables(?) ma ha un minimo di idee sul tcp di metterci le mani, attivare/disattivere servizi, leggersi i log, cambiare i colori .... x tutti i servizi che non utilizziamo, staranno spenti e quando/se ce ne sarà il bisogno sappiamo che sono li pronti per essere usati. ...meglio di così! ;-)
la soluzione ideale è come dice gh, un coso dedicato con il minimo indispensabile installato ma di certo non bastano 4/5 minuti per la soluzione ideale... quindi.....
fate vobis
marco ghidinelli wrote:
grazie, grazie di esistere dopo questa discussione, gh mi ha convinto: installero' qualche zeroshell anch'io, a casa, anche se non ho linea cat zeroshell.img > /dev/debian evvai devo pero' prima installare una debian. il che e' una bella rottura di maroni, ma vuoi mettere poi la soddisfazione ?
ciao cartolina
On Tue, Jan 16, 2007 at 08:45:23AM +0100, cartolina wrote:
marco ghidinelli wrote:
grazie, grazie di esistere dopo questa discussione, gh mi ha convinto: installero' qualche zeroshell anch'io, a casa, anche se non ho linea cat zeroshell.img > /dev/debian
mal comune mezzo gaudio?
evvai devo pero' prima installare una debian.
c'era un software (disponibile in .tgz e .rpm) per sovrascrivere una distribuzione e metterci una debian.
oppure usa debootstrap, cosi' poi hai il gusto di cancellarla. :)
il che e' una bella rottura di maroni, ma vuoi mettere poi la soddisfazione ?
davvero.
tornando alla ZS:
c'e' qualcuno che e' riuscito a trovare la lista dei pacchetti installati sulla zeroshell? o forse non funziona a pacchetti?
io poi non ho ancora ben capito che cos'e' il DB, e il Database.
ciao
p.s.: c'e' la directory sysconfig con un po' di configurazioni stile redhat, che vengono pescate dagli script di init S45IPTranslation per configurare un po' di roba.
On Tue, Jan 16, 2007 at 11:21:23AM +0100, marco ghidinelli wrote:
c'e' qualcuno che e' riuscito a trovare la lista dei pacchetti installati sulla zeroshell? o forse non funziona a pacchetti?
dal sito www.zeroshell.net
Zeroshell non e` basata su di una distribuzione gia` esistente cosi` come per esempio Knoppix e` basata su Debian. L'autore ha ricompilato tutto il software di cui e` composta la distribuzione partendo dai sorgenti ottenuti in formato tar.gz o tar.bz2. Anche il compilatore gcc e le glibc della GNU sono stati compilati partendo dai sorgenti ed hanno poi subito la cosiddetta fase di bootstrap in cui hanno ricompilato se stessi piu` volte. Cio` e` stato necessario per ottimizzare il compilatore ed eliminare ogni dipendenza dalle glibc del sistema da cui si e` effettuata la prima compilazione. Si dice infatti che nessun compilatore puo` essere compilato meglio che da se stesso. Alcuni degli script di inizializzazione, come anche le linee guida seguite dall'autore, sono quelli di Linux From Scratch
software installato : http://www.zeroshell.net/license/
Alcune cosa che _imho_ mancano a zeroshell : 1) QoS 2) syslog-ng ( bleah syslog :P )
-
cartolina -
fabio -
marco ghidinelli -
os.necro@gmail.com -
pivi@pivistrello.it -
Riccardo Bini