Re: Dokumentation af firewall regler

From: Peter N. M. Hansteen (peter@bgnett.no)
Date: Thu 19 Jan 2006 - 11:34:53 CET

Next message: Flemming Froekjaer: "Re: Dokumentation af firewall regler"
Previous message: Phil Regnauld: "Re: Dokumentation af firewall regler"
In reply to: Flemming Froekjaer: "Dokumentation af firewall regler"
Next in thread: Flemming Froekjaer: "Re: Dokumentation af firewall regler"
Reply: Flemming Froekjaer: "Re: Dokumentation af firewall regler"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

To: bsd-dk@bsd-dk.dk
Subject: Re: Dokumentation af firewall regler
From: peter@bgnett.no (Peter N. M. Hansteen)
Date: Thu, 19 Jan 2006 11:34:53 +0100

Flemming Froekjaer <none@flemmingf--gmail.com.lh.bsd-dk.dk> writes:

> Hvordan dokumenterer i jeres firewall regler.

jammen, pf.conf er da totalt menneskeleselig? ( ;))

Mer seriøst, selv om fornuftig bruk av makroer og slikt gjør det mulig å
lage en svært menneskeleselig pf.conf, vil du antakelig for din egen og
kollegers del ha nytte av kommentarer i filen, tett på de reglene som
måtte trenge forklaring.

> Jeg har 8 forskellige firewalls. Nogle med lignende og relativt simple
> regelset og andre med 6 interfaces og tilhørende komplekse regelset.
> Jeg har forsøgt at dokumentere dem med diagrammer og tekst dokumenter,
> men jeg syntes stadig det er meget lidt overskueligt.

Noen nettverk blir strevsomt komplekse, av de forskjelligste grunner.

Jeg ser for meg at det ville være mulig å skrive noe i det
programmeringsspråket som er ens hjerte nærmest som kaster seg ut i å
parse nettverkskonfig-filer og generere fargerike diagrammer.

Samtidig er jeg en smule skeptisk til å overlate for mye til
automatikken. Det mest nyttige og vedlikeholdsvennlige ville nok være å
ta et skritt tilbake og gå gjennom konfigurasjonene med tanke på hva som
var hensikten med de enkelte reglene. Legg så gjerne inn kommentarer i
config-filene underveis, men sørg også for å dokumentere separat noe i
retning av "dette var kravet eller ønsket, som vi løste slik:
[forklaring, sitert regelsett]".

Ulempen med denne fremgangsmåten er at man må få The Powers That Be til
å godkjenne at du bruker den tiden som er nødvendig for å etablere en
god dokumentasjonsbasis. Fordelen er at når arbeidet er gjort for
tilstanden per i dag og rutinen for oppdatering av dokumentasjon
parallelt med config er innført, vil det være betydelig enklere å
orientere seg på nytt igjen når du kommer tilbake om et halvt eller
halvannet år med helt andre aktiviteter og skal gjøre endringer.

> Jeg savner et værktøj til at samle dokumentationen så det på en gang
> er nemt at få overblik over hele netværket og zome ind på en bestemt
> firewall og se hvilken trafik den tilader hvorfra og til.

Til slikt bruker jeg selv Docbook, som til all annen strukturert
dokumentasjon (vel å merke når jeg selv får velge verktøy). Muligens
ikke svaret du ønsket deg ;)

-- 
Peter N. M. Hansteen, member of the first RFC 1149 implementation team
http://www.blug.linux.no/rfc1149/ http://www.datadok.no/ http://www.nuug.no/
"First, we kill all the spammers" The Usenet Bard, "Twice-forwarded tales"

Next message: Flemming Froekjaer: "Re: Dokumentation af firewall regler"
Previous message: Phil Regnauld: "Re: Dokumentation af firewall regler"
In reply to: Flemming Froekjaer: "Dokumentation af firewall regler"
Next in thread: Flemming Froekjaer: "Re: Dokumentation af firewall regler"
Reply: Flemming Froekjaer: "Re: Dokumentation af firewall regler"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:56 CET