# [OT] - Shorewall is dead

## xchris

con mio sommo dispiacere vi posto il link...

Shorewall e' morto.

E' una grande perdita...  

http://lists.shorewall.net/pipermail/shorewall-users/2005-May/018444.html

----------

## .:deadhead:.

Mapporca  :Shocked:  ! Speriamo che come accaduto per GRSecurity, ci sia una mobilitazione e le cose si sistemino. Certo x GRsec eran "solo" soldi, per Shorewall si tratta di devel  :Rolling Eyes:  cmq, di gente in gamba ce n'è speriamo qualche d'uno prenda in mano il progetto...

----------

## gutter

Mi dispiace veramente è un ottimo progetto, speriamo che qualcuno decida di continuarne lo sviluppo.

----------

## X-Drum

NOOOOOOOOOOOOOOOOOOOO

ma ma come????? e io adesso cosa faccio????

no ragazzi non ci credo non è possibile....

Per me è una perdita tremenda

----------

## codadilupo

tutto ciò é davvero spiacevole. Che é peggio, piuttosto anziché no. :Confused: 

Coda

----------

## X-Drum

raga io non la mando giu non ci riesco...e non voglio,

possiamo cercare di fare qualcosa????

dopo aver letto il messaggio di Tom Eastep sono venuto a conoscenza

di fatti che ignoravo tipo:

 *Tom Eastep wrote:*   

> And I just cannot deal with the support and documentation frustration any
> 
> more -- support, the documentation and the web site consume an order of
> 
> magnitude more of my time than does Shorewall development. Apparently, I am
> ...

 

Insomma cosa possiamo fare per evitare che il progetto muoia del tutto???

il progetto è validissimo imho e da quando lo uso mi ha notevolmente semplificato

la vita specie quando si parla di applicazioni != dal un firewall casalingo e quindi

piu' complesse....

Io a questo punto vorrei/potrei nel mio piccolo dare una mano in qualche modo tipo che so: 

documentazione, esempi.... ma per lo sviluppo?

perche' non proviamo a fare "baccano" all'interno della nostra community per iniziare

una sorta di reclutamento?

----------

## randomaze

 *X-Drum wrote:*   

> Io a questo punto vorrei/potrei nel mio piccolo dare una mano in qualche modo tipo che so: 
> 
> documentazione, esempi.... ma per lo sviluppo?
> 
> perche' non proviamo a fare "baccano" all'interno della nostra community per iniziare
> ...

 

Beh lo state già facendo  :Razz: 

Aprite il vostro client di posta e inviate una mail chiedendo se potete aiutare, cosa c'é da fare e simili. Scandagliate gli archivi della (eventuale) ML per vedere se il discorso é già stato toccato, in modo da poter quantificare il tempo da dedicare al progetto.

Alle volte vengono lanciate queste provocazioni proprio per spingere i "timidi" a farsi avanti  :Wink: 

----------

## xchris

X-Drum... non me lo dire va... 

per me e' un perdita incredibile!

servirebbe qualche maco di bash scripting...(per mantenere alto il livello del progetto)

Cmq e' bene aspettare l'uscita della 2.4... l'ultima  :Sad: 

A quel punto partiranno i fork.

Non credo che rimarra' morto... non ci credo... non ci voglio credere.

Cosa serve per portare avanti il progetto?

- web designers

- netfilter experts

- developers

- doc writers

- testers

- altro?

----------

## X-Drum

 *xchris wrote:*   

> X-Drum... non me lo dire va... 
> 
> per me e' un perdita incredibile!
> 
> 

 

io ho basato parte del mio lavoro su quello  :Neutral: 

 *xchris wrote:*   

> 
> 
> Cosa serve per portare avanti il progetto?
> 
> - web designers
> ...

 

addetti al content management del sito, per il mantenimento della doc, news,errata 

un pool di "webmasters" insomma, altra pecca per cosi dire su cui abbiamo visto

la gente non esitava a cazziare Tom...

----------

## randomaze

 *X-Drum wrote:*   

> addetti al content management del sito, per il mantenimento della doc, news,errata 
> 
> un pool di "webmasters" insomma, altra pecca per cosi dire su cui abbiamo visto
> 
> la gente non esitava a cazziare Tom...

 

Non per smontarvi ma se prima Tom faceva tutto da solo, due persone che si occupino del sito e delle news (che conosci seguendo la ML) già gli alleggerirebbero parecchio il lavoro (più che altro eliminerebbero le cose "noiose").

Se poi si aggiunge qualcuno che mastica bene inglese anche per la doc generale dovrebbe andar bene.

Certo un team di 20 persone sarebbe (forse) meglio, ma già recuperare quelle 3/4 ore la settimana potrebbe bastare  :Wink: 

----------

## Ciccio Bueo

no.... proprio adesso che mi stavo studiando la guida di xchris....  :Sad: 

----------

## RexRocker

ehm scusate se mi intrometto in questa cosa ma non è che magari possiamo noi craere un fork italiano si shorewall? Se servono webmaster o dev io ci sono.

Nel caso iniziamo a fare una sorta di cernita di chi potrebbe venire  :Smile: 

Magari spostiamo tutto nel sito dei gechi no?

ciao

Rex

----------

## X-Drum

 *RexRocker wrote:*   

> ehm scusate se mi intrometto in questa cosa ma non è che magari possiamo noi craere un fork italiano si shorewall? Se servono webmaster o dev io ci sono.
> 
> Nel caso iniziamo a fare una sorta di cernita di chi potrebbe venire 
> 
> Magari spostiamo tutto nel sito dei gechi no?
> ...

 

:O non dico altro

----------

## RexRocker

 *X-Drum wrote:*   

> 
> 
> :O non dico altro

 

 :Question:  cioè?

----------

## Guglie

 *RexRocker wrote:*   

> ehm scusate se mi intrometto in questa cosa ma non è che magari possiamo noi craere un fork italiano si shorewall? Se servono webmaster o dev io ci sono.

 

un fork italiano?  :Question: 

non è che intendi un portale italiano o qualcosa del genere?

----------

## RexRocker

beh forse fork non è proprio la parola esatta, intendo che se c'è bisogno di sostenere lo sviluppo di questo soft perchè non farlo organizzando un gruppo di lavoro tra noi gechi, tutto qui  :Smile: 

Ovvio che se vi sembra una idea assurda no prob  :Smile: 

----------

## X-Drum

 *RexRocker wrote:*   

>  *X-Drum wrote:*   
> 
> :O non dico altro 
> 
>  cioè?

 

per svariate ragioni:

a) /me preferirebbe vedere risorgere il progetto, il fork è una della ultime risorse

b) hai idea della complessità del progetto? chi sarebbe il developer?

c) perchè forkare? non ne vedo la necessita (ora)

EDIT: *Quote:*   

> beh forse fork non è proprio la parola esatta, intendo che se c'è bisogno di sostenere lo sviluppo di questo soft perchè non farlo organizzando un gruppo di lavoro tra noi gechi, tutto qui 

 

ah ecco, allora fork non è il termine esatto

----------

## RexRocker

 *X-Drum wrote:*   

> 
> 
> ah ecco, allora fork non è il termine esatto

 

chiedo scusa  :Razz: 

----------

## tuxer

:O

Che brutta notizia...

Beh sì spero che il progetto riparta veramente, però credo che prima di mandare mail al dev (che poveraccio non ce la fa proprio più ma lo ringrazio per il fantastico lavoro) sia meglio cercare bene nella mailing list, perché credo che lui non ne voglia più far nulla...

La cosa migliore in questi casi sarebbe che assegnasse lui il progetto nelle mani di qualcun altro, però a questo punto pare difficile visto che non c'è un core team... mmm brutta storia...

----------

## tuxer

Ho dato un occhiata al codice,  :Shocked:   :Shocked:  miliardi di linee di pochi file di script bash, complessa la faccenda se non sei tu il creatore, forse è anche per quello che non si è fatto un bel gruppo...

----------

## federico

```

Since I began developing Shorewall:

a) I have gained over 60 pounds in weight.

b) My lawn and landscaping have become an embarrassment in the neighborhood.

c) I have begun exhibiting addictive behavior toward Linux and Shorewall.

d) I have developed sleep disorders (I use a breathing aid at night)

e) I dislike my life.

It's time to get myself cleaned up and re-enter the life of the living.
```

Mi pare che abbia deciso di interrompere lo sviluppo perche' gli assorbe troppo tempo, probabilmente non c'e' bisogno di qualcuno che aiuti (coordinare questi progetti e' altettanto difficile) ma di piu' di qualcuno che si prenda carico di TUTTO lo sbattimento.

Federico

----------

## xchris

 *tuxer wrote:*   

> Ho dato un occhiata al codice,   miliardi di linee di pochi file di script bash, complessa la faccenda se non sei tu il creatore, forse è anche per quello che non si è fatto un bel gruppo...

 

a dire il vero lo script e' uno solo...

tutti i file sono di configurazione...

e il file eseguibile e' corto e ben strutturato...

```

[/codroot@lyra bin # etcat -f shorewall | grep -v "/usr/share/doc" 

/etc

/etc/init.d

/etc/init.d/shorewall

/etc/shorewall

/etc/shorewall/accounting

/etc/shorewall/actions

/etc/shorewall/blacklist

/etc/shorewall/ecn

/etc/shorewall/hosts

/etc/shorewall/init

/etc/shorewall/initdone

/etc/shorewall/interfaces

/etc/shorewall/maclist

/etc/shorewall/masq

/etc/shorewall/modules

/etc/shorewall/nat

/etc/shorewall/netmap

/etc/shorewall/params

/etc/shorewall/policy

/etc/shorewall/proxyarp

/etc/shorewall/routestopped

/etc/shorewall/rules

/etc/shorewall/shorewall.conf

/etc/shorewall/start

/etc/shorewall/stop

/etc/shorewall/stopped

/etc/shorewall/tcrules

/etc/shorewall/tos

/etc/shorewall/tunnels

/etc/shorewall/zones

/sbin

/sbin/shorewall --------------------------------------------------------------------------

/usr

/usr/share

/usr/share/shorewall

/usr/share/shorewall/action.AllowAuth

/usr/share/shorewall/action.AllowDNS

/usr/share/shorewall/action.AllowFTP

/usr/share/shorewall/action.AllowIMAP

/usr/share/shorewall/action.AllowNNTP

/usr/share/shorewall/action.AllowNTP

/usr/share/shorewall/action.AllowPCA

/usr/share/shorewall/action.AllowPing

/usr/share/shorewall/action.AllowPOP3

/usr/share/shorewall/action.AllowRdate

/usr/share/shorewall/action.AllowSMB

/usr/share/shorewall/action.AllowSMTP

/usr/share/shorewall/action.AllowSNMP

/usr/share/shorewall/action.AllowSSH

/usr/share/shorewall/action.AllowTelnet

/usr/share/shorewall/action.AllowTrcrt

/usr/share/shorewall/action.AllowVNC

/usr/share/shorewall/action.AllowVNCL

/usr/share/shorewall/action.AllowWeb

/usr/share/shorewall/action.Drop

/usr/share/shorewall/action.DropDNSrep

/usr/share/shorewall/action.DropPing

/usr/share/shorewall/action.DropSMB

/usr/share/shorewall/action.DropUPnP

/usr/share/shorewall/action.Reject

/usr/share/shorewall/action.RejectAuth

/usr/share/shorewall/action.RejectSMB

/usr/share/shorewall/actions.std

/usr/share/shorewall/action.template

/usr/share/shorewall/bogons

/usr/share/shorewall/configpath

/usr/share/shorewall/firewall

/usr/share/shorewall/functions

/usr/share/shorewall/help

/usr/share/shorewall/rfc1918

/usr/share/shorewall/version

/var

/var/lib

/var/lib/shorewall

/var/lib/shorewall/.keep

```

ciao

----------

## tuxer

mmm no mi pare che i due file eseguibili siano questi

```
-r-xr--r--  1 root root 25K 24 gen 20:14 /sbin/shorewall

barton root # ls /usr/share/shorewall/firewall 

-r-xr--r--  1 root root 148K 24 gen 20:14 /usr/share/shorewall/firewall
```

----------

## xchris

si ..hai ragione...

me ne ero perso uno  :Smile: 

cmq e' ben strutturato.... decisamente leggibile  :Wink: 

ciao

----------

## lotti

pover uomo..... sembra distrutto.... chissa' cosa gli e' accaduto....

me dispiace anche per il programma ma piu' per lui.....

----------

## xchris

 *Tom wrote:*   

> 
> 
> From: "Tom Eastep" <teastep@shorewall.net>
> 
> To: "Shorewall Announcements" <shorewall-announce@lists.shorewall.net>; 
> ...

 

bene...

----------

## X-Drum

si ma a me dispiace lo stesso che si sia chiamato fuori

definitivamente il padre del progetto, a cui va tutta la 

mia gratitudine ed il mio rispetto per i sacrifici compiuti

fino ad oggi....

grazie ancora tom

----------

## xchris

si certo...

diciamo che e' meglio che niente..

poi non si sa mai come va a finire..magari rimane nel team.

ciao

----------

## X-Drum

 *lotti wrote:*   

> pover uomo..... sembra distrutto.... chissa' cosa gli e' accaduto....
> 
> me dispiace anche per il programma ma piu' per lui.....

 

capire cosa gli è successo non è difficile, basta leggere il suo messaggio:

in pratica tutto il progetto ruotava e dipendeva interamente da lui,

fatta eccezione per il contributo (non voglio offendere nessuno)

"occasionale" di qualche simpatizzante/utente di tale progetto.

Questo unitamente alla ferma volontà di rendere shorewall sempre

piu' funzionale, prestante, sicuro, ha contribuito lentamentente ma 

inesorabilmente, a mutare i suoi ritmi di vita... in poche parole

nottate e giornate intermante dedicato a quello......

prima o poi ti ammali o inizi a farti sul serio del male,

per di piu' il tutto va sommato alla frustazione di non poter

spesso, rispondere velocemente alle segnalazioni degli utenti

e rilasciare patch di conseguenza o fixare doc release e altro

questo è cio che è accaduto in soldoni

----------

## .:chrome:.

io non vorrei passare per il sovversivo di turno... però a volte non posso fare a meno di pensare che tutto questo proliferare di tool che fanno più o meno la stessa cosa sia negativo, perché si disperdono gli sforzi di sviluppo e si offrono troppe opzioni agli utenti che devono imparare.

in questo caso specifico si tratta di un tool che, cerca di rendere semplice la gestione di un firewall, ma se ben si riflette un firewall non è mai una cosa semplice, per povere che siano le sue regole. io ho visto tanti utenti di shorewall andare a sbattere sonoramente la faccia quando si sono trovati a non poter usare shorewall o dover usare necessariamente iptables.

già era indispensabile usare iptables qualora fosse necessario fare qualcosa di un po' più raffinato che il semplice filtraggio di pacchetti e mascheramento, quindi si trattava già di un tool incompleto...

non consideriamo poi il numero spropositato di chain che venivano generate. alla fine il filtraggio risultava inutilmente complesso e contorto.

io credo che questo fatto potrebbe tradursi in un miglioramento di iptables, se tutti gli utenti shorewall iniziano a richiedere le funzioni che prima avevano, e si arriverebbe così ad un tool veramente completo ed esteso.

----------

## marchetto

Serve urgentemente un firewall giocattolo come su Windows, è una delle poche cose che manca.

A qualcuno l'idea era venuta.... http://freshmeat.net/projects/fieryfilter/

----------

## .:chrome:.

 *marchetto wrote:*   

> Serve urgentemente un firewall giocattolo come su Windows, è una delle poche cose che manca.
> 
> A qualcuno l'idea era venuta.... http://freshmeat.net/projects/fieryfilter/

 

secondo me quella del firewall giocattolo è ua stupidaggne. se deve essere giocattolo, non serve, ed il firewall è solo uno strumento inutilmente installato su una macchina che non ne avrebbe bisogno, se invece c'è realmente bisogno del firewall, allora non può essere giocattolo.

o almeno... così la penso io

----------

## marchetto

 *k.gothmog wrote:*   

>  *marchetto wrote:*   Serve urgentemente un firewall giocattolo come su Windows, è una delle poche cose che manca.
> 
> A qualcuno l'idea era venuta.... http://freshmeat.net/projects/fieryfilter/ 
> 
> secondo me quella del firewall giocattolo è ua stupidaggne. se deve essere giocattolo, non serve, ed il firewall è solo uno strumento inutilmente installato su una macchina che non ne avrebbe bisogno, se invece c'è realmente bisogno del firewall, allora non può essere giocattolo.
> ...

 

Allora bisogna smetterla di spingere Gnu/Linux per utilizzo Desktop.

----------

## .:chrome:.

 *marchetto wrote:*   

> Allora bisogna smetterla di spingere Gnu/Linux per utilizzo Desktop.

 perché? cosa c'entra questo?

proprio sui desktop i firewall non servono. sono solo idee sbagliate che si fa la gente dopo aver visto matrix

----------

## ogeidix

k.gothmog !!! 6 un mito !  :Very Happy: 

La penso esattamente come te, e quando provo a dire in

giro che se i programmatori facessero bene il loro

lavoro non servirebbero firewall se non per cose serie TUTTI

mi guardano come se fossi lo scemo di turno che pensa di 

rivoluzionare il mondo.

NON SIAMO SU WINDOWS DOVE I PROG FANNO CIO' CHE VOGLIONO,

se non volete che un programma offra servizi all'esterno, allora configuratelo

appropriatamente ! o si ha paura di fare troppo lavoro ?

----------

## .:chrome:.

è quello che ho sempre predicato, ma sembra dura fare accettare questa cosa.

eppure non capisco cosa le persone si aspettino che un firewall faccia? chiude porte già chiuse? apre porte già aperte? 3/4 dei firewall che ho visto in giro erano del tutto inutili.

per questo non ho mai apprezzato shorewall... è uno degli strumenti che contribuiscono a diffondere questa idea sbagliata.

per nn parlare poi del macello che chain che venivano generate.

mi spiace davvero ma proprio non riesco ad essere triste per quello che è successo

----------

## X-Drum

 *k.gothmog wrote:*   

> per questo non ho mai apprezzato shorewall... è uno degli strumenti che contribuiscono a diffondere questa idea sbagliata.
> 
> per nn parlare poi del macello che chain che venivano generate.
> 
> mi spiace davvero ma proprio non riesco ad essere triste per quello che è successo

 

a me non dispiace, sei libero di pensare cio' che vuoi,

mi auguro solo che prima di sparare sentenze tu abbia

usato shorewall e magari in un contesto diverso

da quello di una workstation casalinga  :Very Happy: 

----------

## .:chrome:.

 *X-Drum wrote:*   

> a me non dispiace, sei libero di pensare cio' che vuoi,  mi auguro solo che prima di sparare sentenze tu abbia usato shorewall e magari in un contesto diverso da quello di una workstation casalinga 

 

uff... si che l'ho provato, e il mio non voleva essere uno "sparare sentenze" ma portare la mia esperienza.

l'ho installato su una macchina connessa alla rete del GARR (non ad Alice ADSL) che faceva da router per due reti private e che ospitava diversi server.

date le politiche di sicurezza richieste dall'ambiente (politiche giustissime) shorewall è stato scaricato nel cesso per disperazione.

sembra assurdo, ma è la prova di quanto quel software fosse sbagliato in partenza. si proponeva di fare una cosa che aveva poco senso, perché come ho già detto il firewall è una questione troppo complessa perché la si possa semplificare così "alla buona".

inoltre ti chiedo una cosa: hai mai guardato quanto sia complessa la struttura di chains creata da shorewall? una struttura così complessa è difficilissima da gestire e manutenere, e quella volta che non avrai accesso al tool di configurazione di shorewall, ma dovrai fare tutto da riga di comando con iptables, proverai sulla pelle e maledirai shorewall come molti prima di te

----------

## xchris

IMHO non l'hai testato a fondo...

Creare firewall a 3,5,7,9,11 ecc ecc zone e' la cosa + comoda che abbia mai visto!

Mi spiace ma nessun script puo' essere cosi' mantenibile...

Shorewall usa una sintassi standard e per chi lo usa e' e sara' sempre leggibile... al contrario di uno script qualunque.

Per di + ,le chain che crea sono leggibilissime e se proprio qualche cosa non e' facilmente implementabile con shorewall e' un attimo ritoccare una chain (ma serve raramente).

Di thread su questo dibatitto ce ne sono fin gia' troppi.

Non mi sembra il caso di andare avanti con questo.

Non vuoi un firewall sul dekstop... ben per te. (ben? mah)

Non ti piace shorewall? (i gusti sono gusti... ma poche sentenze per favore)

Shorewall e' uno di quei pochi tool utilizzati sia da principianti che da esperti e sentir dire che questo tool e' inutile...

mi fa solo pensare che non e' stato provato a fondo!

ahh never ending story...

----------

## lavish

Mi spiace molto che succedano queste cose... è come se l'entusiasmo per un progetto - che è sicuramente positivo - ti portasse progressivamente ad annullarti... e questo non è il primo caso: noi di gentoo lo sappiamo bene, vero?  :Sad: 

TOrnando alle cose "pratiche", penso che sia arrivato il momento di provare questo tool seguendo la guida di xchris!  :Wink: 

Piena solidarietà al devel, spero che tutto si risolva al meglio per lui e che questa esperienza gli serva per il futuro!

----------

## .:chrome:.

 *xchris wrote:*   

> IMHO non l'hai testato a fondo...

 

sono d'accordo con te nel dire che se ne è già parlato fin troppo e che sarebbe inutile farlo anche in questo thread, ma devo smentirti sul fatto che non l'ho provato.

considera che è molto una questione di gusti e di come imposti il tuo modo di lavorare, e secondo i miei punti di vista shorewall non è mai stato un aiuto, casomai una grossa noia.

è sempre una questione di punti di vista.

se la ragione l'avessi tutta io, shorewall sarebbe morto ancora prima di cominciare; se la ragione l'avessi tutta tu, shorewall avrebbe soppiantato iptables.

----------

## tuxer

 *Quote:*   

> se la ragione l'avessi tutta io, shorewall sarebbe morto ancora prima di cominciare; se la ragione l'avessi tutta tu, shorewall avrebbe soppiantato iptables.

 

Questa affermazione dimostra che non sai nemmeno cos'è shorewall  :Shocked:   :Sad: 

----------

## gutter

Mi sembra che ci fosse un altro thread in cui si parlava di shorewall e in cui avevate già scatenato una discussione accesa sulla presunta utilità di questo.

Dal momento che questo thread è nato con lo scopo di fornire eventuale supporto al progetto o comunque come momento di riflessione sul futuro di shorewall, sono dell'opinione che molti degli ultimi post siano OT.

Proprio per il motivo precedente se si continua su questa linea mi vedo costretto a chiudere questo o comunque a fare uno split.

----------

## xchris

 *k.gothmog wrote:*   

> ..shorewall avrebbe soppiantato iptables.

 

???? 

lasciamo perdere che gutter si arrabbia  :Smile: 

----------

## X-Drum

 *k.gothmog wrote:*   

> 
> 
> uff... si che l'ho provato, e il mio non voleva essere uno "sparare sentenze" ma portare la mia esperienza.
> 
> l'ho installato su una macchina connessa alla rete del GARR (non ad Alice ADSL) che faceva da router per due reti private e che ospitava diversi server.
> ...

 

Si sembra assurdo.. allora fammi pensare un attimo,

quante macchine ho su con shorewall connesse alla rete del GARR....

uhm uhm ah ecco! 

ho ben 4 macchine connesse alla rete del GARR sulle quali gira shorewall.

Ad ogni modo, sia ben chiaro che rispetto le scelte altrui..

Shorewall imho e anche secondo altri è piu' che altro uno strumento che aiuta

in contesti un attimo piu' complessi ad amministrare un firewall.

velocemente ed agevolmente.

Altra cosa ovvia, catene complesse? si hai ragione ma se lasci fare tutto a lui

devi decidere cosa includere e/o escludere dal firewall (esempio chains per il filtraggio di pacchetti icmp,ecc)

cmq alla fine mi sa che conviene chiudere la discussione qui, dato che come al solito

il tutto sfocierebbe in un inevitabile guerra santa (puristi vs innovatori - utenti pro vs nabbi - o che ne so  :Very Happy:  hahah)

a ognuno il suo e amen, solo non offendete altri progetti

EDIT:OOOPS ho letto solo adesso il richiamo del moderatore sry -_-"

----------

## .:chrome:.

 *tuxer wrote:*   

> Questa affermazione dimostra che non sai nemmeno cos'è shorewall

 

perché? mi sfugge il senso della tua affermazione

 *X-Drum wrote:*   

> Si sembra assurdo.. allora fammi pensare un attimo,
> 
> quante macchine ho su con shorewall connesse alla rete del GARR....
> 
> uhm uhm ah ecco! 
> ...

 

è una gara? io ne ho 3. hai vinto tu

ho solo detto che nel contesto in cui mi sono trovato, shorewall è stata una palla al piede. non volevo di certo urtare la sensibilità di nessuno.

se vuoi posso anche giustificare la mia affermazione: il motivo sta appunto nella mancanza di semplicità delle sue chain. mi sono trovato con firewall molto difficili da gestire perché articolati per loro stessa natura. se poi questa cosa la metti nel contesto di shorewall, è chiaro il motivo per cui shorewall non solo non ha fatto al caso mio, ma è proprio andato contro di me.

lo stesso risultato l'ho ottenuto con metà della fatica, e scrivendomi le regole a mano.

ad ogni modo, come ho già detto, è questione di gusti. non ho scritto per offendere nessuno.

----------

## X-Drum

 *k.gothmog wrote:*   

> 
> 
> è una gara? io ne ho 3. hai vinto tu
> 
> 

 

gara? ho anche io delle macchine dietro il GARR

e shorewall IMHO va bene tutto li

 *k.gothmog wrote:*   

> 
> 
> lo stesso risultato l'ho ottenuto con metà della fatica, e scrivendomi le regole a mano.
> 
> 

 

GG

 *k.gothmog wrote:*   

> 
> 
> ad ogni modo, come ho già detto, è questione di gusti. non ho scritto per offendere nessuno.

 

Non credo che qualcuno si sia sentito anche implicitamente offeso, o che sia intenzione di qualcuno qui offenderti.

detto cio' STOP

----------

## TwoMinds

...no... scusate per me è una tragedia... simpatizzo con il padre di Shorewall... un ottimo tool che mi ha permesso e permette di controllare i firewall che gestisco in maniera più che immediata e intuitiva adattandosi bene alle mie esigenze...

----------

## marchetto

Un pc con GNU/Linux senza firewall e con qualche servizio attivo e più facilmente bucabile di un pc con windows e un fairuoll giocattolo.

Ecco il motivo per avere un fairuoll anche su Linux.

E poi, non è detto che tutti quelli che vogliono usare GNU/linux si devono mettere a studiare le catene, passi la struttura delle directory, passino i molteplici standard di pacchettizazzione, passi la difficoltà di installazione, ma le catene no dai, non si può proprio pretenderlo, la maggior parte delle persone non ha tempo di mettersi a studiare quella roba.

Lo vogliamo far installare sto cavolo di SO sui desktop o no?

----------

## .:chrome:.

 *marchetto wrote:*   

> Un pc con GNU/Linux senza firewall e con qualche servizio attivo e più facilmente bucabile di un pc con windows e un fairuoll giocattolo.

 

scusa... come puoi dire questo?

dimmi solo cosa farebbe qui la trinity di turno:

```
yoda root # netstat -lntp

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name   

tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      9403/couriertcpd    

tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN      18585/couriertcpd   

tcp        0      0 127.0.0.1:389           0.0.0.0:*               LISTEN      14022/slapd         

tcp        0      0 127.0.0.1:10024         0.0.0.0:*               LISTEN      1770/amavisd (maste 

tcp        0      0 127.0.0.1:10025         0.0.0.0:*               LISTEN      24098/master        

tcp        0      0 127.0.0.1:143           0.0.0.0:*               LISTEN      5397/couriertcpd    

tcp        0      0 127.0.0.1:783           0.0.0.0:*               LISTEN      13853/spamd.pid -m  

tcp        0      0 127.0.0.1:111           0.0.0.0:*               LISTEN      12644/portmap       

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      30439/apache2       

tcp        0      0 0.0.0.0:465             0.0.0.0:*               LISTEN      24098/master        

tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      10202/sshd          

tcp        0      0 127.0.0.1:5432          0.0.0.0:*               LISTEN      32458/postmaster    

tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      24098/master        

tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      30439/apache2       

tcp        0      0 0.0.0.0:3551            0.0.0.0:*               LISTEN      22634/apcupsd       

tcp        0      0 127.0.0.1:959           0.0.0.0:*               LISTEN      12655/famd          

yoda root #
```

esporta solo il server web e quello di posta.

ovviamente la macchina non ha firewall

non ci sono vulnerabilità aperte: ci sono due sistemisti che la tengono d'occhio e la mantengono aggiornata e le vulnerabilità vengono testate almeno una volta al giorno. se mi dici come sfondarla, magari ci faccio pure bella figura io  :Smile: 

----------

## marchetto

Io sto parlando di Desktop, tu mi rispondi con i server.

Io che non so nulla di firewall e sicurezza l'altro giorno ho condiviso una directory dal mio pc Linux per permettere ad un mio collega di passarmi delle cose, naturalmente io sono un utonto desktop ma mi piace GNU/Linux, non conoscendo Samba ho usato l'apposita utility di kde, che devo dirti sicuramente avrò sbagliato io, dovevo studiarmi samba prima di fare una roba del genere, fattostà che se lascio quella condivisione attiva mi ci ritrovo i virus dentro, sono virus per windows quindi non possono nuocere ma comunque qualcuno ce li mette, quindi se entrano in quella penso che con un po' più di tempo possano fare quello che vogliono.

Pensa che avevo messo in cron un comando che ogni 30 minuti prendeva un file di Access importantissimo da un altro pc e lo copiava in quella directory, ma non è che voglio dire che i sistemi GNU/Linux sono meno sicuri, o che Samba è bacato, dico semplicemente che ci vuole qualcosa di facile da utilizzare anche sul Desktop, un cavolo di firewall interattivo.

Purtroppo le mie scarse conoscenze della materia non mi permettono di fare un discorso più completo, magari in un sistema Linux una roba tipo Zone Alarm non è nemmeno ipotizzabile, ma è proprio quello che più mi manca rispetto al mondo Windows.

----------

## tuxer

 *Quote:*   

> Un pc con GNU/Linux senza firewall e con qualche servizio attivo e più facilmente bucabile di un pc con windows e un fairuoll giocattolo. 

 

Diciamo che c'è un fondo di verità, anche se non lo confronterei con windows ma con i *bsd, che sono intrinsicamente più sicuri...

----------

## .:chrome:.

 *marchetto wrote:*   

> Io sto parlando di Desktop, tu mi rispondi con i server.

 

la tua risposta dimostra che non conosci quello di cui stai parlando. cosa cambia da un desktop ad un server? (tralasciando il fatto che hai usato questi termini in modo assolutamente sbagliato) non cambia niente. se avessi installato anche samba (magari per gestire il materiale del web attraverso i pc windows) sarei nella tua stessa identica situazione.

io io ti ho chiesto dati certi, tu mi rispondi con dicerie approssimative.

hai detto tu stesso quale è il problema: non conosci samba. una configurazione errata ti espone ad attacchi. fine del discorso.

che tu abbia firewall o meno questo non cambia niente.

----------

## gutter

Mi sembra che stiamo andando un poco [OT]. Il thread come detto è nato con lo scopo di reclutare nuove "braccia" per questo progetto.

Non mi pare che il problema di dir condivise e virus centri molto non vi pare?

randomaze: ho splittato in questo thread un pezzo di discussione degenerata....

----------

## tuxer

Stiamo a cavallo pare, il successore c'è già...

http://www.shorewall.net/

----------

## xchris

mi sfugge qc-..

non e' la solita pagina?

o mi sono perso una info?

ciao

----------

## tuxer

Basta leggere il primo link in alto  :Wink: 

 *Quote:*   

> [Shorewall-users] The future of Shorewall
> 
> Tom Eastep teastep at shorewall.net 
> 
> Fri May 27 21:05:45 PDT 2005
> ...

 

----------

## codadilupo

si', ho sentito che forse se ne occuperà un certo martignoni (mi pare), milanese, e packagista di shorewall per debian  :Wink: 

Coda

----------

## xchris

@tuxer:

guarda qualche post in su  :Smile: 

----------

## randomaze

 *codadilupo wrote:*   

> se ne occuperà un certo martignoni (mi pare), milanese

 

Quindi xchris non ha scuse e dovrà offrirgli (almeno) una birra  :Mr. Green: 

----------

## xchris

questo e' certo  :Smile: 

----------

