The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Firewall'ы, пакетные фильтры

   Корень / Программы для администратора / Маршрутизация / Firewall'ы, пакетные фильтры

!!!-* IPFilter - TCP/IP packet filter. (Версия: 3.4.29 от 2002-09-15) [+]
[обсудить]
 IP фильтр, работающий под множество систем. Поставляется в составе FreeBSD, OpenBSD и NetBSD. Имеет столько достоинств, что для их перечисления понадобится создавать дополнительную страничку.
 
rus-* Снятие флага DF на linux маршрутизаторе [+]
[есть мнение]
 Модуль для Linux ядер 2.4/2.5 и патч для iptables, позволяющие снимать флаг DF в ip заголовке на всех транзитных пакетах, идущих через linux раутер.
 
rus-* Firewall Scripts (Версия: 0.79 от 2003-09-13) [+]
[обсудить]
 Набор скриптов для создания firewall правил под ipchains и iptables любой степени сложности. Скрипты написаны с использованием m4, на котором написан sendmail.cf.
 
----* openWAF - open source distributed web application firewall [+]
[обсудить]
 Распределенная система для защиты web-приложений (dWAF), выполненная в виде модуля для http-сервера Apache и являющаяся открытым вариантом коммерческого продукта Hyperguard. Система имеет клиент-серверную модель, в которой Apache-модуль выступает в роли фильтрующего клиента, перенаправляющего все запросы на специальный серверы принятия решений (decider). Серверов принятия решений может быть несколько, при этом они имеют общую конфигурацию и управляются централизованно. Управление производится через web-интерфейс.

Код включает в себя фильтрующий модуль для http-сервера Apache 2, сервер принятия решений о блокировании, обработчик дополнений для системы принятия решений, набор административных клиент-серверных компонентов и управляющий web-интерфейс. Все компоненты, кроме Apache-модуля, написаны на языке Python.

 
----* IronBee - universal web application security sensor [+]
[обсудить]
 Универсальная WAF-система (Web Application Firewall) для отслеживания и предотвращения атак на web-приложения, разработанная ключевыми разработчиками системы ModSecurity. Как и ModSecurity, IronBee позволяет нейтрализовать широкий спектр атак на web-приложения, таких как межсайтовый скриптинг, подстановка SQL-запросов, CSRF, подстановка JavaScript-блоков на страницы и DoS/DDoS-атаки. Код проекта открыт под лицензией Apache.

В комплекте с IronBee поставляется библиотека LibHTP, предназначенная для парсинга транзитного HTTP-трафика и выявления в нем аномалий. Ключевым отличием от ModSecurity является возможность разделения модуля, осуществляющего анализ и фильтрацию трафика на стороне HTTP-сервера, и компонента, выявляющего угрожающие безопасности запросы на основе доступного набора правил. Иными словами, на сервере может быть оставлен только интерфейсный модуль, а вся логика анализа потоков информации организована в виде универсального cloud-сервиса, который может обслуживать сразу несколько web-серверов предприятия. Подобный подход позволяет перенести значительную нагрузку, возникающую при выполнении анализа трафика, на внешний хост, высвободив дополнительные ресурсы для web-приложений.

Серверный процесс инспектирования может быть внедрен несколькими способами, например, загружен как модуль для http-сервера, встроен в приложение, запущен в режиме пассивного анализа трафика (как сниффер) или внедрен в виде прокси-акселератора (reverse proxy). Проект имеет модульную архитектуру, позволяя легко создавать и подключать расширяющие функциональность дополнения, без детального изучения внутренней архитектуры IronBee. Планируется создание инфраструктуры для совместного накопления и обмена правилами по блокированию различных видов атак на различные web-приложения. Кроме того, будет создана централизованная БД с набором правил для конкретных web-приложений и известных уязвимостей.

 
----* pfstat - tool to dump / restore pf state table [+]
[обсудить]
 Утилита и набор патчей для PF для организации сохранения и последующего восстановления таблиц состояний соединений пакетного фильтра PF. С практической точки зрения утилита может оказаться полезной при необходимости проведения перезагрузки без потери накопленной статистики из таблиц состояния соединений PF, сформированных в результате работы NAT и "keep state" правил.
 
----* authgateway - Linux Authentification Gateway [+]
[обсудить]
 Программа, позволяющая строить динамические правила iptables, основываясь на учетных записях пользователей, хранящихся в произвольном хранилище (на данный момент реализованы модули для работы с RADIUS и модуль-образец для написания интерфейса для работы с любым механизмом аутентификации). Состоит из серверной и клиентской части, последняя не требует установки.
 
----* flex-fw - flexible front-end for iptables (Версия: 0.2.0 от 2014-03-16) [+]
[обсудить]
 Небольшая и быстрая надстройка (front-end) для Linux утилиты iptables с простым синтаксисом команд, напоминающем ipfw из FreeBSD или pf из OpenBSD.

Возможности:

  • Сервис-ориентированная конфигурация, позволяет стартовать или останавливать доступ к каждому сервису раздельно и независимо, без остановки всей системы flex-fw целиком;
  • Поддержка сетевых профилей /etc/net. Можно работать с различным сетевым окружением без какой либо перенастройки flex-fw;
  • Поддержка макросов. Макрос - это переменная, определяемая пользователем, которая может хранить IP-адрес, номер порта, имя интерфейса и т.п.
  • Простая миграция - достаточно переопределить макросы для переноса на другой хост, в другое сетевое окружение;
  • Тиражирование. Описывая сервисы с использованием макросов можно легко перенести сервисы на все обслуживаемые хосты без каких либо изменений;
  • Простая отладка. Поддержка вывода через syslog исполняемых команд iptables, ошибок, или информации об отброшенных пакетах;
  • Интерактивный режим работы (интерфейс командной строки) для ручного конфигурирования пакетного фильтра "на лету";
  • Командный режим работы (batch mode) для запуска из скриптов shell;
  • Библиотечный режим работы для использования напрямую команд flex-fw, как функций для shell-скриптов.
 
----* ipt-netflow - Netflow exporting module for Linux kerne (Версия: 1.8 от 2012-07-04) [+]
[есть мнение]
 Очень быстрый и эффективный модуль экспорта netflow для iptables.
 
----* conntrack-tools - interact with the Linux Connection Tracking System (Версия: 1.4.1 от 2013-03-06) [+]
[обсудить]
 Набор утилит для манипулирования данными в таблицах трекинга сетевых соединений (conntrack), позволяющих просматривать и манипулировать состоянием текущих TCP соединений и сессий организованных некоторыми высокоуровневыми протоколами, работающими поверх TCP, UDP, ICMP и SCTP, например FTP (пассивный), IRC, h323, SIP, PPTP, TFTP и т.д. Например, используя возможность вмешиваться в работу системы трекинга, можно принудительно завершить определенное соединение или изменить параметры существующего iptables правила. В комплект также входит специализированный демон для накопления статистики.
  • libnetfilter_conntrack - библиотека, предоставляющая программный интерфейс (API) к коду трекинга TCP сессий в Linux ядре.
  •  
    ----* OpenFWTK - Application proxy toolkit (Версия: 2.0 от 2007-10-08) [+]
    [обсудить]
     OpenFWTK (Open Firewall ToolKit) - это межсетевой экран уровня приложений (application firewall), распространяемый по лицензии BSD. По сравнению с другими решениями в области межсетевого экранирования OpenFWTK интересен тем, что он является полноценным фильтром уровня приложений, то есть полностью отсутствует «сквозное» взаимодействие через OpenFWTK между клиентским и серверным приложением. "Сквозное" взаимодействие есть в большинстве популярных технологий для межсетевых экранов, включая DPI (Deep Packet Inspection), реализованной в новейшем Cisco ASA и SPF (Stateful Packet Filtering), реализованной во многих межсетевых экранах, включая NetFilter/Iptables, IPFilter, Cisco PIX, CheckPoint Firewall-1.

    По сравнению с TIS FWTK, последняя версия 2.1 которого была выпущена в марте 1998 года, OpenFWTK обладает следующими новыми и улучшенными возможностями:

    • Поддержка SSO (Single Sign On) - единой точки доступа к защищаемым сервисам через механизм аутентификационных агентов (на настоящий момент реализована консоль "сильной" аутентификации для telnet-клиента), позволяющий использовать единую точку входа для приложений, для которых затруднена поддержка одноразовых паролей.
    • Поддержка NAC (Network Admission Control) для протокола HTTP — определение политик ограничений в зависимости от версии браузера;
    • Поддержка Content Filtering - фильтрации контента для протоколов http, smtp, ftp, pop3, nntp с использованием большого спектра внешних приложений через milter-интерфейс (включая spamassasin, dspam, большинство антивирусов и.т.д.);
    • Устранены проблемы с безопасностью взаимодействия с authsrv;
    • Обновлен набор поставляемых прокси серверов;
    • Новый, улучшенный API позволяет легче разрабатывать собственные прокси-серверы.
     
    ----* netlink- A flexible packet handler [+]
    [обсудить]
     Программа nfqueue, работает на пользовательском уровне и использует NetFilter библиотеку netlink-queue и позволяет значительно повысить эффективность блокирования десятков тысяч IP, не требуя при этом накладывания дополнительных патчей, как происходив в случае ipset. При тестировании, загрузка 70000 обычных правил заняла около часа, в то время как nfqueue почти мгновенно подгружает большие наборы правил, оформленные в p2p, dat, csv форматах или преобразованные в специальный сжатый бинарный вид.
     
    ----* NuFW - An authenticating firewall (Версия: 2.4.3 от 2010-08-14) [+]
    [обсудить]
     Система аутентификации пользователей с динамическими IP в сети (сопоставление пользователя и IP через который он работает в данный момент). В отличии от систем подобных authpf, аутентификация клиента производится не один раз при первом обращении к шлюзу, а для каждого устанавливаемого соединения (каждой TCP сессии).

    Серверная часть работает только под Linux и использует возможности фильтрации трафика в NetFilter (имеется возможность задания индивидуальных ограничений по доступности сервисов и скорости). Клиентские части выпускаются для всех популярных платформ, включая Mac OS X и Windows. Информация о работе пользователей может сохраняться в MySQL/PostgreSQL базе или отображаться через syslog.

     
    ----* Cutter - abort TCP/IP connections routed over the firewall (Версия: 1.2.3 от 2014-02-12) [+]
    [обсудить]
     Небольшая утилита для принудительного завершения транзитных TCP сессий под Linux, используя FIN-ACK-RST технику.
     
    ----* ipset - store multiple IP addresses against the collection by iptables at one swoop. (Версия: 6.19 от 2013-05-12) [+]
    [обсудить]
     Позволяет использовать большие таблицы IP и MAC адресов, подсетей номеров портов совместно с iptables (подключение через одно правило, в таблице используется хэширование). Возможно быстрое обновление списка целиком. Например:
    ipset -N servers ipmap --network 192.168.0.0/16
    ipset -A servers 192.168.0.1
    iptables -A FORWARD -m set --set servers dst,dst -j ACCEPT
     
    ----* nf-HiPAC - full featured packet filter for Linux (доп. ссылка 1) [+]
    [обсудить]
     Построенный с использованием системы HiPAC пакетный фильтр, более оптимально проверяющий условия на каждый пакет (производительность практически не зависит от числа правил). Оптимален при огромном количестве правил или при большом сетевом трафике. nf-HiPAC фильтр с 25 тысячами правил по производительности приближается к iptables c 50 правилами. Имеются средства для быстрого динамического обновления набора правил.
  • Другой высокопроизводительный вариант задания больших наборов правил - ipset + iptables.
  •  
    ----* wipfw - ipfw for Windows [+]
    [есть мнение]
     Проект wipfw представляет собой, похожий по синтаксису с FreeBSD ipfw, интерфейс для управления пакетным фильтром Windows 2000/XP/2003. Из функциональности отсутствует возможность ограничения трафика, форвадинга и некоторые другие специфичные функции появившиеся в последнее время.
  • Порт OpenBSD PF под Windows;
  • PktFilter - фаервол под Windows на основе IP Filter;
  •  
    ----* ipt_recent - IPTables module which track seen IP addresses [+]
    [обсудить]
     Iptables модуль позволяющий в комплексе прослеживать и маркировать предыдущие запросы удовлетворяющие определенному критерию (т.е. возвращаться к ранее сработавшей проверке). Например, позволяет легко реализовать схему, разрешающую обращение к порту A, в течении N секунд с момента обращения к пору B.
     
    ----* ROPE - "match module" for Linux IpTables [+]
    [обсудить]
     Дополнение к iptables, продолжившие развитие модуля "string", обеспечивающего блокировку по совпадению строковой маски в содержимом пакета.
    Главное отличие ROPE от "-m string" в описании правил строковых совпадений на специальном псевдоязыке ("-m rope --script script_file" ).
     
    ----* QNET, QoS and Netfilter patchset for Linux kernel 2.6.x [+]
    [обсудить]
     Несколько интересных дополнений к пакетному фильтру Linux ядра 2.6.x, оформленные в виде одного большого сводного патча. В комплекте:
  • patch-o-matic-ng;
  • Layer-7 Packet Classifier - определяет тип протокола (HTTP, FTP, IRC, SMTP и т.д.) для данного соединения вне зависимости от номера порта;
  • IMQ (Intermediate Queueing Device) - средство для ограничения входящего трафика;
  • ESFQ (Enhanced Stochastic Fairness Queueing);
  • WRR (fair bandwidth distributions, равномерное распределение пропускной способности на группу машин);
  • IPP2P - патч для netfilter для выделения трафика P2P (peer-to-peer) сетей.
  • iptables-p2p - другой вариант фильтрования трафика P2P сетей;
  •  
    ----* P2PWall - IPTables firewalling of P2P traffic [+]
    [обсудить]
     Проект адаптации iptables для фильтрации трафика от приложений пиринговых сетей ("peer-to-peer" сети для обмена файлами, например, Kazaa).
     
    ----* pf4freebsd - OpenBSD pf ported to FreeBSD 5.0 [+]
    [есть мнение]
     Версия пакетного фильтра pf для использования в FreeBSD 5.
     
    ----* SEPPL - Simple Encryption Packet Protocol Layer (Версия: 0.4 от 2004-01-23) [+]
    [обсудить]
     Дополнение к Linux netfilter/iptables для организации шифрованного трафика внутри сети. В iptables вводятся два новых пункта: CRYPT и DECRYPT, соответственно через написание правил фаервола организуется шифрование и дешифрация входящего или исходящего трафика.
     
    ----* Isba - graphical IP-Filter rulesets editor [+]
    [обсудить]
     Графическая среда для составления и редактирования правил фильтрации пакетов для IP-Filter. Программа написана с использованием Perl/Tk, поддерживает закачку и синхронизацию правил с удаленным сервером (через SSH).
     
    ----* bridge-utils and kernel patches for Layer 2 ethernet bridging with Linux [+]
    [обсудить]
     Переписанная подсистема ethernet бриджинга (bridging) и набор утилит для управлением бриджем для Linux ядер 2.2.x и 2.4.x. Включает в себя набор патчей позволяющих фильтровать не IP трафик проходящий через бридж посредством ipchains или iptables.
     
    ----* Ethernet Firewall like ipfw for FreeBSD [+]
    [обсудить]
     Похожий на IPFW пакетный фильтр (похож как по синтаксису, так и по производимым операциям), разница лишь в том, что объектом фильтрации являются не TCP/IP, а Ethernet пакеты.
     
    ----* fwbuilder - Firewall Builder GUI for Gnome (Версия: 2.0.3 от 2004-10-02) [+]
    [обсудить]
     Gnome интерфейс для построения правил пакетной фильтрации с поддержкой iptables, ipfilter, OpenBSD PF и Cisco PIX.
     
    ----* iptables - The Netfilter Project Packet Mangling for Linux 2.3+ (Версия: 1.4.17 от 2013-01-27) [+]
    [есть мнение]
     Новый продвинутый пакетный фильтр, приходящий на смену ipchains. Используется по умолчанию в новой ветке стабильных linux ядер 2.4.
     
    ----* ipfwadm2ipchain [+]
    [обсудить]
     Преобразователь правил для ipfwadm'а в правила для ipchains.
     
    ----* SINUS Firewall - TCP/IP packet filter for the Linux operating system. (Версия: 1.0.0 от 2003-06-08) [+]
    [обсудить]
     Свободно-распространяемый пакетный фильтр (IP, TCP,UDP, ICMP, IGMP), присутствует удобная среда управления, динамические правила, богатые возможности в ведении логов и т.д.
     
    ----* Linux IP NETWORK ADDRESS TRANSLATION (NAT) [+]
    [обсудить]
     Система трансляции IP адресов.
     
    ----* ipfwadm - Linux IP Firewalling and Accouting. [+]
    [обсудить]
     Страница разработчиков системы управления пакетной фильтрацией в Linux'е.
     
    ----* IPChains - kernel firewall replacement. [+]
    [обсудить]
     IP фильтр. Содержит в себе много интересных новшеств, например, ICMP masquerading.
     
    ----* [www.tis.com] Trusted Information Systems. (TIS Firewall Toolkit) [+]
    [обсудить]
     Свободнораспростаняемый firewall, славится своей надежностью и богатыми возможностями. Доступен перевод документации на русский язык. Стоит посмотреть SOCKSv5.
     



    Близкие по значению ключи
    netfilter  ulog  divert  dummynet  ipf  ipchains  ipfilter  ipfw  iptables  ipfwadm  mac  wep  wpa  radio  wpa2 
    Близкие по совпадению ключи
    linux  freebsd  bandwidth  route  traffic  nat  cbq  netfilter  tcp  module  mac  iproute2  limit  htb  shaper 
    Похожие разделы ключей
  • Firewall, Фильтрация пакетов
  • Сетевые технологии
  • arp

  • Раздел новостей
     [17.04.2017] Релиз серверного мини-дистрибутива Devil-Linux 1.8
     [01.08.2016] Выпуск дистрибутива Endian Firewall Community 3.2
     [19.12.2015] Релиз iptables 1.6.0
     [17.03.2015] В DragonFly BSD принята реализация пакетного фильтра ipfw3
     [17.12.2014] Выпуск пакетного фильтра nftables 0.4, идущего на смену iptables
     [12.12.2014] Для DragonFly BSD представлен новый пакетный фильтр ipfw2
     [28.04.2014] Открыт код Douane, динамического межсетевого экрана для Linux
     [18.04.2014] Второй выпуск пакетного фильтра nftables
    Следующая страница >>

    Советы и заметки
     Активное противодействие сканированию портов
     Установка IPFW2 на FreeBSD
     Пример структурирования правил ipfw
     Прозрачный межсетевой экран с маршрутизатором
     FreeBSD 5.3 ipfw правило по умолчанию
     Как вести лог блокировок в iptables и ipfw
     Использование таблиц для блокирования большого числа IP в pf или ipfw
     Принудительное проксирование в FreeBSD
    Следующая страница >>

    Тематический каталог
     Настройка роутера с файерволом на базе FreeBSD
     NAT в FreeBSD и Linux
     Борьба с Kazaa и прочими "качальщиками"
     Схема прохождения пакета через ядро и ipfw во FreeBSD
     Advanced Routing и QoS в linux (пакеты iproute2, cbq.init и htb.init)
     [q] iptables in kernel 2.4
     [Linux] Расчет трафика через Iptables.
     Как работает firewall в Linux
    Следующая страница >>

    Каталог программ
     flex-fw - flexible front-end for iptables
     QNET, QoS and Netfilter patchset for Linux kernel 2.6.x
     ipfwadm - Linux IP Firewalling and Accouting.
     ROPE - "match module" for Linux IpTables
     Firewall Scripts
     fwbuilder - Firewall Builder GUI for Gnome
     Devil-Linux - Linux distribution, which is used for Firewalls / Routers
     pptpproxy - forward a PPTP VPN connection through a Linux firewall
    Следующая страница >>

    Каталог ссылок
     IPTables - руководства по использованию NetFilter в linux kernel 2.4.x.
     The SuSE Firewall And Masquerading Setup
     Firewall Forensics FAQ
     Брандмауэры в Internet: часто задаваемые вопросы (FAQ)
     OpenBSD and Linux Firewall Resources
     Building Internet Firewalls - книга издательства O'Reilly
     Переводы HOWTO документации на русский язык, которые выполнил Maxim Dzumanenko
     Keeping Your Site Comfortably Secure: An Introduction to Internet Firewalls
    Следующая страница >>

    Архив документации
     Advanced Routing и QoS в Linux через iproute2, cbq.init и htb.init
     Руководство по Iptables 1.1.19
     Перевод части документации по пакетному фильтру FreeBSD - ipfw
     Ipfw и управление трафиком в FreeBSD
     Сравнение 3 Пакетных фильтров FreeBSD 5.3 (IPFW,PF,IPFILTER)
     Построение межсетевого экрана на коммутируемом канале связи при помощиFreeBSD
     Примеры использования IPF
     Безопасность в Linux. Фильтрация пакетов
    Следующая страница >>


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor