Ik wil het graag hebben met jullie over een firewall, ik zoek al een poos een hele goede firewall voor een grote web applicatie, waar maken jullie gebruik van en waarom?
IPtables is wel de aanrader op Linux. Veel tutorials en examples beschikbaar op internet. Ook hier op phphulp wel een en ander te vinden. Er zijn voor IPtables diverse gui's te vinden. Wat is je doelstelling qua firewall? Heb je veel poorten open en loop je veel risico of is het omdat gewoon erbij hoort?
Ik wil een goede firewall die alle porten nauwlettend in de gaten houd en leert van de kracht van alle aanvragen zodat hij zelf een flood of DDoS kan herkennen.
Gezien we geen files op de snelwegen nog tegen kunnen houden, kunnen we ook geen DDoS tegenhouden.
Je zult dan meer capaciteit nodig hebben (of meer rijbanen), of moeten investeren in dure apparatuur die 'vervuiling' leert te blokkeren, zoals een Riorey.
Een Slowloris-attack op Apache kan je wel blokkeren met wat modules voor Apache, of door het inzetten van een andere frontend zoals Varnish als proxy.
Het ligt er echt aan wat voor attacks je wilt blokkeren. Je kan eventueel ook naar gespecialiseerde datacenters verhuizen zoals Serverius, of Cloudflare of Atom86.net inzetten die redelijk kan helpen.
==>> alle porten nauwlettend in de gaten houden??
Hoeveel poorten? Want alle poorten is te kort door de bocht, in principe heb je alleen 80 en 443 open voor openbaar verkeer. Je ssh kan je begrenzen op enkele IP adressen dus waarom dan een firewall? Verder heb je op de overige poorten doorgaans geen deamons/listener dus in de gaten houden is dan zeer relatief. "In de gaten houden" is ook niet echt aan de orde, met een firewall block je poorten maar 80 en 443 heb je toch open? Wil je 80 en 433 ofwel je hele linux server "in de gaten houden" installeer dan Logwatch en run die dagelijks of vaker op hoogste level en email het resultaat naar jezelf.
Is je grote web applicatie bedrijfsmatig en alleen eigen personeel mag er vanuit diverse (bekende) lokaties (IP adres/reeks) op werken dan is een IP tables configuratie weldegelijk interessant.
