Coreit! :: Форум

Доброе время суток!

Если Вы скачали Fantomas и успели с ним ознакомиться, то мне будет очень интересно узнать Ваше мнение о программе.
Какое осталось впечатление?
Что не понравилось, или наоборот, понравилось?
Чего не хватает?

Мне далеко не все равно - в конечном счете, для того чтобы продолжать развивать и улучшать Fantomas, мне нужно знать Ваше мнение о программе и вообще насколько интересен и нужен этот софт?

Поэтому, очень прошу не молчать и высказывать свои мнения - буду весьма признателен.

Здравствуйте, автор программы. Скажите, а есть ли в фантомасе резалка скорости для клиентов? А то в описании я этого не нашел.
Думаю шейпер многим бы сгодился.

Да, резалки скорости соединений нет, как то такой задачи не вставало...
В принципе, в iptables есть для этого весь нужный функционал, так что технически это возможно, надо будет внести это в план разработки.

Добрый день уважаемый автор... у меня есть к Вам пара вопросов, был бы очень признателен вашей помощи:
У меня есть сервак, который раздает интернет при помощи связки SQUID+SAMS, и естественно есть начальство которое отказываетя работать через прокси, им нет раздается через iptables, так же есть пользователи которые юзают почтовые клиенты, для них тоже открыты определнные порты, также есть соединение VPN для которого тоже открыты порты. Все это на Ubuntu 9.04-server
Хотел бы спросить, на каких дистрибутивах работает Ваша программа?
Не помешает ли она связке SQUID+SAMS, потому что они пользуют также PHP и MySQL?
Если Вам было бы удобно, хотел бы пообщаться с Вами он-лайн, в аське например.... 439071106.
Заранее благодарю.

Программа будет работать на любом дистрибутиве Linux, т.к. иделология операционной системы, в общем-то везде одна и та же. Для работы программы не используется ничего экстраординарного - только обычный набор системных команд, общих для всех linux-дистрибутивов, PHP, MySQL и штатные возможности Netfilter.
По параллельной работе со Squid и SAMS: Squid всегда успешно уживался с Iptables и не будет никаких проблем если Вы используете Fantomas параллельно - squid и iptables работают совсем по разным технологиям... Squid это прокси, которым Вы рулите с помощью SAMS, а Iptables это совсем другая история, это уже пакетный файлвол, который, как я полагаю, Вы настраиваете стандартно командами консоли или редактированием файла iptables... Если установите Fantomas, то получите более удобное средство для управления правилами iptables, плюс еще возможность считать трафик, проходящий через iptables и т.д. и т.п..
А что касается параллельного использования PHP и MySQL - никаких проблем не возникнет, единственное что Fantomas делает для своего удобства - это создает линк /bin/php, ссылающийся на оригинальный PHP. В MySQL создается БД под именем "fantomas", это никак не может мешать SAMS'у. Мы же не пытаемся создавать таблицы в чужих базах

Уважаемый автор программы, ну а когда же будет шейпер?

Не могу назвать конкретных сроков, но могу обрисовать картину текущей ситуации, из которой надеюсь Вам станет понятно - по большому счету передо мной сейчас стоят несколько задач по программе, которым нужно раздать преоритеты и решать в соответствующем порядке:
1. в веб-интерфейсе жизненно необходим конструтор политик, т.к. писать их руками если честно надоело);
2. хоть шифрование авторизации и было реализовано, но я думаю было бы неплохо сделать полную поддержку SSL;
3. мультиязычный интерфейс с переключнием языков, перевод программы на английский;
4. есть мысль сделать возможность привязки ip-шника клиента к mac-адресу и использовать это как один из методов авторизации клиента в правилах управления доступом;
5. ну и, соответственно, шейпер.. скорее всего прийдется делать на основе htb..

Вот.. в принципе, если хотите можем обсудить порядок решения вопросов.

Полезная программа. Давно искал нечто подобное: чтоб просто и сердито.
Но вот беда... Машина, которая шлюз, по совместительству ещё и веб-сервер (о выделении отдельной железки под него можно тока мечтать, да и нагрузка маловата для таких затрат). Сайт на Drupal-e с несколькими дополнительными модулями и темами. Всё это хозяйство естессно на пхп.
Возможно ли сделать так, чтобы не давать апачу права на sudo?

Через sudo выполняются обращения к командам iptables, к сожалению, эти команды должны выполняться только из под root. По крайней мере, мне неизвестен способ выполнять команды iptables из под простого юзера без sudo.

У меня давно уже зрела в голове мысль сделать альтернативный доступ к iptables, например, Fantomas мог бы открывать ssh-сессию и дальше, используя su или sudo, выполнять команды iptables уже в сессии ssh. Причем, в этом случае sshd может вообще находиться на другом сервере на другом конце интернета, а Fantomas мог бы иметь что-то вроде списка управляемых роутеров, между которыми можно было бы переключаться. Из дополнительных плюсов этой мысли - демон sshd может использовать встроенную защиту сессий и парольных данных с помощью openssl.
Но это пока что только в виде идеи, на реализацию которой может уйти не один и не два дня.
Как Вам? Если идея понравится, могу включить в todo на следующую версию Fantomas.

А если конкретно по Вашей ситуации, то используя текущую версию, Вы не можете отключить использование sudo, иначе Fantomas не сможет обращаться к iptables. Вы можете разве что подальше "запрятать" Fantomas, например:
1. установить вторую копию apache, повесить ее на другой порт, отличный от 80;
2. выполнять вторую копию apache из под другого пользователя чем первую;
3. Fantomas установить на второй apache;
4. Можете также прикрутить ко второму apache openssl ради полного шифрования сессии, это может помочь если боитесь разнообразных снифферов;
5. обращения ко второму apache можно фильтровать по ip или даже по mac в цепочке -t mangle -A INPUT.

Спасибо за советы. Нужно подумать, стоит ли такая камасутра с двумя апачами защищаемых данных.

ssh - хорошая идея. Красиво и без велосипедов. В todo ей самое место.

Скоро, надеюсь, попробую свой iptables.sh реализовать через фантомаса. Как закончу, отпишусь.