Ohne das System zu kennen sehe ich da keinen Vorteil gegenüber IPcop. Selbst die schlechten Eigenschaften, für jeden Mist der niemals nicht auf eine Firewall gehört, Add-Ons bereitzustellen, wurden übernommen. Wüßte ehrlich gesagt nicht, wer da von der großen Community des IPcops zu diesem neuen Projekt wechseln sollte.
du hast hier einen kernel 2.6 - das ist ein killerfeature, wenn du neuere Hardware nutzen willst. Bisher war mir nur die endian Firewall als Alternative bekannt.
Naja, wofür brauche ich bei einer Firewall neuere Hardware? Eine FW sollte doch eigentlich Jahre halten, ob die Hardware dann jetzt oder erst in einem Jahr nicht mehr auf dem aktuellen Stand ist ist dann doch eigentlich egal.
mein gott musst du alles so kompliziert machen? vllt hat man halt hardware die vom 2.4er kernel nicht unterstützt wird, den pc aber nicht mehr anderswertig verwendet und deswegen ists ein feature. nur weil du keinen sinn in neuer hardware siehst und es trotzdem andere so machen wollen bricht doch keine welt zusammen!
Wenn du eine wirklich dedizierte Firewall willst, nimm m0n0wall, pfsense, oder irgendwas was halt dafür gedacht ist. Ich weiß nicht warum du dir dann überhaupt IPCop oder IPFire anguckst. Ansonsten ist es für den Heimgebrauch imho durchaus o.k. Dienste auf der Firewall laufen zu lassen die da normalerweise nicht hingehören. Würde jeder Privatmensch neben seinem Router noch einen Fileserver, einen Mediaserver, einen Asterisk und was weiß ich noch alles als dedizierte Server betreiben, müsste Angie wirklich noch ein paar Kohlekraftwerke bauen.
Von Maniacikarus am Mo, 1. September 2008 um 09:22 #
... und Du solltest Dich mal genauer mit dem System befassen, denn kein Mensch zwingt Dich Addons zu installieren, aber vielleicht hast Du ja doch interesse an Guardian oder Tripwire ...
Ich verstehe die Aggression in euren Antworten überhaupt nicht. Das argument mit mehr unterstützter Hardware lasse ich durchaus gelten, ist bei einer FW denke ich aber eher sekundär. Bei den Add-Ons sehe ich das schon etwas so, dass man als FW "Hersteller" schon eine gewisse Verantwortung gegenüber den Nutzern hat, grade wenn man die eher Unbedarften als Zielgruppe sieht. Dass immer mehr Add-Ons, immer mehr Dienste und immer mehr offene Ports auch immer mehr Angriffspunkte mit sich bringen sehe ich als Fakt. So etwas grade auf einer Firewall die ja eigentlich der erste Schild in Sachen Sicherheit ist kann man zumindest etwas hinterfragen. Ich vermisse solche Kritik leider in vielen Artikeln über IPcop und ähnliche. Für einen unbedarften user der gerne alles auf einer Hardware haben möchte ist so ein System vielleicht nicht schlecht, aber sollte man ihm trotzdem klarer erklären, was er da eigentlich tut.
Für eine All-in-One Lösung ist IPFire bestimmt nicht schlecht, das wollte ich sicher auch nicht kritisieren aber für eine reine Firewall werden mir da zu viele Fehler gemacht. Ich finde den Begriff Firewall da dann vielleicht etwas unpassend. Ich wollte eure Arbeit sicher nicht kritisieren und gebe euch recht, dass ich wohl nicht Zielgruppe und das System wohl nicht für mich geeignet ist. Allerdings finde ich, dass ich stets sachlich war und offen für Kritik sollte man schon sein.
Von Maniacikarus am Mo, 1. September 2008 um 10:48 #
IPFire ziehlt natürlich, wenn man mal die Palette der Addons nimmt sicherlich eher zu den Produkten für Heimanwender, folglich besteht hier auch ein vollkommen anderer Bedarf an aktueller Hardwareunstertützung.
Ich möchte dennoch immer hervorheben, dass man prinzipiell mal von dem Bild abrücken sollte, dass IPFire per se eine All-in-One Lösung mit 100taustend Einfallstoren ist, denn wer keine Addons installiert und keine weiteren Dienste aktiviert wird auch hier sehr nahe an eine "ordentliche" Firewall heran kommen.
Natürlich gebe ich jedem Recht der sagt "jeder weitere Dienst ist eine potentielle Fehlerquelle" aber in den letzten Jahren sind Funktionalitäten auch immer mehr zusammengewachen bzw. wurden selbst im professionellen auf eine Plattform verschoben. Im Heimbereich ist das denke ich sowieso unbestritten konkuriert man hier ja mit sowas wie einer FritzBox.
Würden wir also auf eine reine FW Lösung abzielen wäre sowieso ein total anderes Konzept notwendig, (allerdings auch ein paar tausend EUR mehr Kleingeld).
Man sollte also nicht nur die FW den Sicherheitsbedürfnissen der User anpassen sondern auch die Kritik die man äussert unter solchen Gesichtspunkten wählen, ansonsten landet man wie üblich in Grundsatzdiskussionen.
IPFire steht unter GPL wer also etwas einbringen möchte ist jederzeit willkommen, das gilt vorallem für sicherheitsrelevante Verbesserungen.
Aggression? "dass ich stets sachlich war"? "Selbst die schlechten Eigenschaften, für jeden Mist der niemals nicht auf eine Firewall gehört, Add-Ons bereitzustellen, wurden übernommen." Besonders sachlich klingt das nicht. Aber back to topic:
Addons bringen nicht zwangsläufig offene Ports (zumindestens von aussen) mit. Sollte irgendein Dienst offene Ports von aussen benötigen, muss man diese auch bei einem dedizierten Server auf der Firewall freischalten. IPFire nennt sich laut der Seite Firewall-Distribution, das verstehe ich mehr als Linuxdistrie mit besonderem Augenmerk auf Firewallfunktionen. Wie willst du unbedarften Usern das klar machen, wenn du da irgendetwas formulierst, wär IPCop/Fire/Prolinux bestimmt nicht abgeneigt das zu veröffentlichen. Aber wenn man die Sache vollkommen nüchtern und realistisch betrachtet, seh ich da kein größeres Sicherheitsrisiko als sonst. Ein Samba-Fileserver z.B. hat auf ner Firewall nix zu suchen, jedem Administrator sträuben sich da die Nackenhaare. Aber wo genau ist der Haken? Ein durchdrehender smbd kann die FW killen, na und drückt man halt reset? Samba hat irgendwelche Lücken, na und? Ist ja nur intern erreichbar.. Das klingt jetzt so als ob mir Sicherheit völlig wurscht ist, das ist es nicht. Ich arbeite im Systemadministrationsbereich, aber man sollte da klare Grenzen zwischen privatem und professionellem Umfeld ziehen. Im Privaten ist halt vieles was ein NoGo bei Firmen wäre völlig egal. Im LAN sitzen keine potentiell bösen Mitarbeiter, und ein single point of failure ist auch ziemlich egal. Nach aussen sollte Sicherheit groß geschrieben werden, und das wird es bestimmt bei IPFire o.ä. Ein nachinstallierter Samba wird mit Sicherheit nicht per default auf dem externen IF lauschen. Und wer trotzdem eine dedizierte FW haben will, dem steht es ja auch frei, jeder das was für seinen Zweck am besten passt. Und nicht bei Porsche anrufen und sich beschweren dass in die Autos kein Kühlschrank passt.. Kritikpunkte an IPFire gibts sicher, aber das Konzept selbst sehe ich persönlich nicht als Kritikpunkt. Dafür stört mich beim kurzen Angucken schonmal dass viele sicherheitsbedenkliche Dienste als root laufen, das muss nun wirklich nicht sein..
Nicht nur die Addons und sonstige Features, auch die ganze LFS Struktur ist wie beim Cop.
> IPFire 2 wurde daher mit Hilfe von Linux from Scratch neu entwickelt. Das ich nicht lache ..... IPCop benutzt LFS seit 2003 (oder so), die ipfire Skriptchen sehen zum verwechseln ähnlich aus, wenn mal ein s/IPCop/IPFire/ und das austauschen der Copyrights, vergisst.
Von Maniacikarus am Mo, 1. September 2008 um 12:13 #
Liegt wohl daran dass beide das LFS benutzen und hier das Layout vieler Skripte schon vorgegeben ist ebenso die benutzbaren Funktionen, dh die Unmterschiede liege im Detail.
Ich denke wir müssen uns nicht darüber streiten, das es gute Gründe für einen Neuaufbau ohne IPCop gibt. Der Grund ist wohl ziemlich eindeutig der 2.6er-Kernel.
Das dann die IPFire-Leute sich an eine bekannte Struktur halten ist ja nicht schlimm. Im Gegenteil: gerade hier muss das Rad nicht neu erfunden werden.
> Ich denke wir müssen uns nicht darüber streiten, das es gute Gründe für einen Neuaufbau ohne IPCop gibt. Dann soll es auch was neues sein. Ein Neuaufbau kann ich erst mit ipfire 3 (Ansatzweise) erkennen.
Der Grund für den Wechsel auf den Kernel 2.6 (und damit dem deutlichen Technologievorsprung gegenüber IPCop) liegt ja nicht allein nur in Hardwarekompatibilität.
Wer sich mit dem Kernel intensiv beschäftigt stellt halt fest, dass in den 2.4er Zweig kaum noch Neuerungen einfließen. Stattdessen fließen nur noch (spärlich IMHO) Bugfixes ein. Und in diesen Jahren, der Entwicklung von 2.6 sind halt mehr als nur neue Treiber in den aktuellen Zweig eingeflossen. Unter anderem sip-connection-tracking, was es beim IPFire, beim IPCop jedoch fehlt und es den SIP-Telefonen deutchlich schwerer macht korrekt mit der Gegenstelle zu komminizieren (RTP usw.). Einige große Firmen haben schon vom IPCop auf IPFire genau aus diesem Grund gewechselt: Der Netzwerk-Stack ist einfach besser, moderner und auf dem neuesten Stand!
Eine nächste wichtige Änderung ist der Scheduler des Systems, der das System deutlich flotter macht als noch der alte 2.4er Kernel es getan hat. In den kommenden Versionen von IPFire ist wieder ein neuer Scheduler enthalten: der CFS. Antwortzeit des Systems ist eine wichtige Komponente in Netzwerken!
@hjb: Danke für den informativen Artikel!
@Kim Barthel: Danke für den Artikel!
Wüßte ehrlich gesagt nicht, wer da von der großen Community des IPcops zu diesem neuen Projekt wechseln sollte.
Bisher war mir nur die endian Firewall als Alternative bekannt.
Ansonsten ist es für den Heimgebrauch imho durchaus o.k. Dienste auf der Firewall laufen zu lassen die da normalerweise nicht hingehören. Würde jeder Privatmensch neben seinem Router noch einen Fileserver, einen Mediaserver, einen Asterisk und was weiß ich noch alles als dedizierte Server betreiben, müsste Angie wirklich noch ein paar Kohlekraftwerke bauen.
Liebe Grüße vom Entwicklerteam
Das argument mit mehr unterstützter Hardware lasse ich durchaus gelten, ist bei einer FW denke ich aber eher sekundär.
Bei den Add-Ons sehe ich das schon etwas so, dass man als FW "Hersteller" schon eine gewisse Verantwortung gegenüber den Nutzern hat, grade wenn man die eher Unbedarften als Zielgruppe sieht. Dass immer mehr Add-Ons, immer mehr Dienste und immer mehr offene Ports auch immer mehr Angriffspunkte mit sich bringen sehe ich als Fakt. So etwas grade auf einer Firewall die ja eigentlich der erste Schild in Sachen Sicherheit ist kann man zumindest etwas hinterfragen. Ich vermisse solche Kritik leider in vielen Artikeln über IPcop und ähnliche. Für einen unbedarften user der gerne alles auf einer Hardware haben möchte ist so ein System vielleicht nicht schlecht, aber sollte man ihm trotzdem klarer erklären, was er da eigentlich tut.
Für eine All-in-One Lösung ist IPFire bestimmt nicht schlecht, das wollte ich sicher auch nicht kritisieren aber für eine reine Firewall werden mir da zu viele Fehler gemacht. Ich finde den Begriff Firewall da dann vielleicht etwas unpassend.
Ich wollte eure Arbeit sicher nicht kritisieren und gebe euch recht, dass ich wohl nicht Zielgruppe und das System wohl nicht für mich geeignet ist.
Allerdings finde ich, dass ich stets sachlich war und offen für Kritik sollte man schon sein.
Grüße
Ich möchte dennoch immer hervorheben, dass man prinzipiell mal von dem Bild abrücken sollte, dass IPFire per se eine All-in-One Lösung mit 100taustend Einfallstoren ist, denn wer keine Addons installiert und keine weiteren Dienste aktiviert wird auch hier sehr nahe an eine "ordentliche" Firewall heran kommen.
Natürlich gebe ich jedem Recht der sagt "jeder weitere Dienst ist eine potentielle Fehlerquelle" aber in den letzten Jahren sind Funktionalitäten auch immer mehr zusammengewachen bzw. wurden selbst im professionellen auf eine Plattform verschoben. Im Heimbereich ist das denke ich sowieso unbestritten konkuriert man hier ja mit sowas wie einer FritzBox.
Würden wir also auf eine reine FW Lösung abzielen wäre sowieso ein total anderes Konzept notwendig, (allerdings auch ein paar tausend EUR mehr Kleingeld).
Man sollte also nicht nur die FW den Sicherheitsbedürfnissen der User anpassen sondern auch die Kritik die man äussert unter solchen Gesichtspunkten wählen, ansonsten landet man wie üblich in Grundsatzdiskussionen.
IPFire steht unter GPL wer also etwas einbringen möchte ist jederzeit willkommen, das gilt vorallem für sicherheitsrelevante Verbesserungen.
Liebe Grüße
"Selbst die schlechten Eigenschaften, für jeden Mist der niemals nicht auf eine Firewall gehört, Add-Ons bereitzustellen, wurden übernommen."
Besonders sachlich klingt das nicht. Aber back to topic:
Addons bringen nicht zwangsläufig offene Ports (zumindestens von aussen) mit. Sollte irgendein Dienst offene Ports von aussen benötigen, muss man diese auch bei einem dedizierten Server auf der Firewall freischalten. IPFire nennt sich laut der Seite Firewall-Distribution, das verstehe ich mehr als Linuxdistrie mit besonderem Augenmerk auf Firewallfunktionen.
Wie willst du unbedarften Usern das klar machen, wenn du da irgendetwas formulierst, wär IPCop/Fire/Prolinux bestimmt nicht abgeneigt das zu veröffentlichen. Aber wenn man die Sache vollkommen nüchtern und realistisch betrachtet, seh ich da kein größeres Sicherheitsrisiko als sonst. Ein Samba-Fileserver z.B. hat auf ner Firewall nix zu suchen, jedem Administrator sträuben sich da die Nackenhaare. Aber wo genau ist der Haken? Ein durchdrehender smbd kann die FW killen, na und drückt man halt reset? Samba hat irgendwelche Lücken, na und? Ist ja nur intern erreichbar..
Das klingt jetzt so als ob mir Sicherheit völlig wurscht ist, das ist es nicht. Ich arbeite im Systemadministrationsbereich, aber man sollte da klare Grenzen zwischen privatem und professionellem Umfeld ziehen. Im Privaten ist halt vieles was ein NoGo bei Firmen wäre völlig egal. Im LAN sitzen keine potentiell bösen Mitarbeiter, und ein single point of failure ist auch ziemlich egal.
Nach aussen sollte Sicherheit groß geschrieben werden, und das wird es bestimmt bei IPFire o.ä. Ein nachinstallierter Samba wird mit Sicherheit nicht per default auf dem externen IF lauschen.
Und wer trotzdem eine dedizierte FW haben will, dem steht es ja auch frei, jeder das was für seinen Zweck am besten passt. Und nicht bei Porsche anrufen und sich beschweren dass in die Autos kein Kühlschrank passt..
Kritikpunkte an IPFire gibts sicher, aber das Konzept selbst sehe ich persönlich nicht als Kritikpunkt. Dafür stört mich beim kurzen Angucken schonmal dass viele sicherheitsbedenkliche Dienste als root laufen, das muss nun wirklich nicht sein..
> IPFire 2 wurde daher mit Hilfe von Linux from Scratch neu entwickelt.
Das ich nicht lache .....
IPCop benutzt LFS seit 2003 (oder so), die ipfire Skriptchen sehen zum verwechseln ähnlich aus, wenn mal ein s/IPCop/IPFire/ und das austauschen der Copyrights, vergisst.
Hast Du Dich schonmal mit LFS befasst?
> Hast Du Dich schonmal mit LFS befasst?
Ja.
Das dann die IPFire-Leute sich an eine bekannte Struktur halten ist ja nicht schlimm. Im Gegenteil: gerade hier muss das Rad nicht neu erfunden werden.
Dann soll es auch was neues sein. Ein Neuaufbau kann ich erst mit ipfire 3 (Ansatzweise) erkennen.
Wer sich mit dem Kernel intensiv beschäftigt stellt halt fest, dass in den 2.4er Zweig kaum noch Neuerungen einfließen. Stattdessen fließen nur noch (spärlich IMHO) Bugfixes ein. Und in diesen Jahren, der Entwicklung von 2.6 sind halt mehr als nur neue Treiber in den aktuellen Zweig eingeflossen. Unter anderem sip-connection-tracking, was es beim IPFire, beim IPCop jedoch fehlt und es den SIP-Telefonen deutchlich schwerer macht korrekt mit der Gegenstelle zu komminizieren (RTP usw.). Einige große Firmen haben schon vom IPCop auf IPFire genau aus diesem Grund gewechselt: Der Netzwerk-Stack ist einfach besser, moderner und auf dem neuesten Stand!
Eine nächste wichtige Änderung ist der Scheduler des Systems, der das System deutlich flotter macht als noch der alte 2.4er Kernel es getan hat. In den kommenden Versionen von IPFire ist wieder ein neuer Scheduler enthalten: der CFS. Antwortzeit des Systems ist eine wichtige Komponente in Netzwerken!
Freundlichen Gruß.
Mitch
Also kein Grund zur Aufregung.