Lang beloofd toch gemaakt... (of was dat gezegde anders? ;-) In ieder geval is dit een review van de onlangs door Edo-Martijn Jansen gelanceerde versie 0.9 van FloppyT Single Floppy Firewall ( de toevoeging is door mij verzonnen.. ). EMJ en Sander hebben perfect werk geleverd met versie 0.9. In het artikel hieronder mijn bevindingen en een stukje over een uitstekende firewall geschreven door Tom Siebeling en Henk de Jong.

FLOPPYT 0.9 IS KLEINER

Het eerste wat opvalt is dat FloppyT 0.9 veel minder ruimte op de flop in beslag neemt. Dit houdt in dat er dus meer ruimte is voor toevoegingen als SSH en andere extra packages. Wat ook opvalt is de inlog prompt. Iets wat bij de oudere versies ontbrak. Maar het is een vereiste voor iets waar we al heel lang op hebben zitten wachten. SSH! Daarnaast is de veranderde directory structuur een in het oog springend verschil. En niet onbelangrijk aangezien een groot aantal wijzigingen in zowel firewall als config configuratiebestanden een groot aantal hobbyisten weer terugstuurt naar de tekentafel. Voor hen die dat niet willen is het beter om niet over te stappen.

Ook voor diegenen die zelf een aantal packages hebben gemaakt of die packages gebruiken van FloppyFW is er slecht nieuws. FloppyT 0.9 ondersteunt deze packages niet meer. Om ze te kunnen gebruiken dienen ze tegen uClibc gecompileert te worden en dat is geen sinecure. Dit vereist zelfs redelijke kennis van Linux en het compileren van software onder dit besturingssysteem. Maar dit alles is geen reden om niet over te stappen. Natuurlijk is het beter om de laatste versie te gebruiken aangezien dit mogelijkheden biedt die andere versies niet kunnen bieden. In dit geval is dat het gebruik van VPN IPSec en ondersteuning voor SSH (ook al is er nog geen SSH package).

NIEUWE MOGELIJKHEDEN

Behalve de hierboven beschreven mogelijkheden zijn er ook nog wat extra's die voor een aantal mensen een reden kunnen zijn voor het starten met FloppyT. Seriele poort ondersteuning (voor hen die absoluut weigeren om ssh of telnet te gebruiken) en paralelle poort ondersteuning (voor het gebruiken van FloppyT als printserver).

FIREWALL

Wat is een firewall zonder firewall regels? De standaard firewall regels die bij FloppyT zitten zijn minimaal en bieden dan ook minimale bescherming. Genoeg natuurlijk om de meeste ellende van scriptkiddies tegen te houden maar een echte cracker komt er zo doorheen. Trouwens, een vastberaden cracker komt overal doorheen. Open Source zou geen Open Source zijn als anderen hier niet wat aan zouden veranderen. Tom Siebeling en Henk de Jong hebben een firewall ontworpen die het een eventuele cracker zeker moeilijker zal maken om via je, met FloppyT beschermde, open verbinding jouw systemen te benaderen.

Deze firewall (en bijbehorende config.ini) maken het ook mogelijk om op een gemakkelijke manier je firewall aan te passen naar eigen wensen. Wel of geen webserver draaien? Misschien een FTP server? Wat dacht je van een mailserver? Deze en andere opties zijn met een simpele aanpassing in de config.ini te activeren. Uiteraard heb je voor die opties natuurlijk wel een server nodig die deze zaken afhandeld (voor het geval ik e-mailtjes krijg waarom die opties dan niet werken..).

KRITIEK

Goed. Volop lofuitingen, aanprijzingen en wat dies meer zij. Maar is er ook een punt van kritiek? Ja. Sorry EMJ maar die kritiek is er wel en in mijn ogen terecht. Het betreft de packages. Natuurlijk is het de bedoeling dat de community die er rondom FloppyT is ontstaan zelf aan de slag gaat. Kijk maar naar de firewall van Tom en Henk.En een aantal packages die gemaakt zijn door Kenneth. Maar een aantal standaard packages hadden toch wel door de ontwikkelaars gemaakt kunnen worden. Desnoods had er gewacht kunnen worden met de release van FloppyT 0.9. Maar ik klaag niet hoor.. ;-). Wat in dit geval wel handig was geweest was een document wat beschrijft wat je moet doen om aan de slag te kunnen gaan met uClibc. Uiteraard wordt er wel wat zelfredzaamheid verwacht van diegenen die de packages gaan maken. Maar een aantal pointers in de juiste richting en een voorbeeld van een opzet (desnoods een tutorial met een bogus pakketje) zou hier wel op zijn plaats zijn. Voor het geval iemand al bezig is met een dergelijk document, beschouw dit dan als niet geschreven. Ik hoop hiermee natuurlijk niet dat de makers zichzelf geschoffeerd voelen. Zie het als positieve kritiek. Ik ben mij er terdege van bewust dat de ontwikkelaars van FloppyT dit alles in hun spaarse vrije tijd moeten doen en geloof me, ze leveren geweldig werk!

CONCLUSIE

FloppyT 0.9 is een subliem stukje werk. Het voorziet in een behoefte die met de opkomst van *DSL steeds groter wordt. Ik weet dat vele kabel internetters ook een dergelijk product zoeken en wellicht is er iemand in de community die FloppyT kan en wil aanpassen voor de kabelaars. Maar heelaas is het voor deze groep mensen nog een zoektocht naar een geschikt product. Wellicht dat FreeSCO voor hen een optie is. Het is wel lastiger in gebruik en vereist wat meer trial and error sessies maar totdat FloppyT aangepast is dit zeker een uitkomst.

FloppyT is ook een work in progress. We zijn nog lang niet aan versie 1.0 aanbeland. Veel van de tekortkomingen uit vorige versies zijn echter al overwonnen en versie 0.9 is een volwaardig firewall product te noemen. Iedere firewall moet namelijk ingesteld worden naar de wensen van de klant en FloppyT is daar geen uitzondering op. Voordeel van FloppyT echter is dat de firewall rulesets simpel uit te wisselen zijn waardoor de kracht van Open Source weer eens wordt bewezen. Natuurlijk. Je kunt de rulesets van bijvoorbeeld de Cisco Pix firewall ook wel exporteren en aan anderen uitdelen. Maar dat wordt over het algemeen niet gedaan. Wellicht omdat de mensen die een dergelijke firewall aanschaffen ook niets zien in het concept Open Source (en natuurlijk wordt ik nu gemaild door mensen die dit juist wel doen, oftewel de bekende uitzondering die de regel bevestigd ofzo..).

Heelaas is er ook een punt van kritiek. Packages die gemaakt zijn voor de vorige versies werken niet onder versie 0.9 en configuratiebestanden moeten aangepast worden. Op zich niets mis mee. Alleen totaal onverwacht. Ik hoop dan ook daadwerkelijk dat er een HOWTO gemaakt wordt hoe je met uClibc een pakketje maakt wat werkt met FloppyT 0.9.