firewalls_hu
Cikknek szant kezdemeny a BSD (Unix) tuzfalmegoldasokrol 2008-bol...
Bevezetes
A mai *BSD-kben 2001-ig a Darren Reed altal irt IPFilter dominalt, mikor is a szerzo a licencet ugy modositotta, hogy azzal a kod atirasat engedelyhez kototte. Mivel ez szoges ellentetben all a BSD licenc altal nyujtott szabadsaggal, az OpenBSD (Theo de Raadt) azonnal eltavolitotta az IPFiltert az OpenBSD terjesztesbol. Reed nemsokara ismet atirta a licencet ugy, hogy az a FreeBSD es a NetBSD projekt szamara lehetove tette a szabad modositast, de az OpenBSD-nek nem. Az OpenBSD csapat nem tetlenkedett, hanem megirta a pf kodjat, ami mara mar tulzas nelkul a legkedveltebb tuzfal-megoldasnak szamit az osszes jelenlegi BSD-varianson, mert azon...
pf
SZERZO/PLATFORM
- Daniel Hartmeier => OpenBSD Team
- BSD licenc
- OpenBSD; portable: Net/Free/Dfly/...
JELLEMZOK
- nagyreszt az IPFilter szintaxisara epul
- kernel filter +userland utils
- /dev/pf pseudo-device
- feldolgozas soran mindig az utolso szabaly dont (kiveve: quick)
- naplozas: pflog0 device (BPF; kozvetlen elemzest tesz lehetove)
- beepitett NAT es QoS
- opcionalis redundancia es failover CARP-pal
PROGRAMOK, KONFIGURACIOS FAJLOK
pfctl
pfctl [ -d | -e ]
pfctl [-n] -f /path/to/file
pfctl -f /etc/pf.conf
pfctl -sa # show all
pfctl.conf
- makrok, listak (felhasznaloi definiciok, valtozok, tombok)
- tablak (IP cimek, tartomanyok listai) - lehet konstans; ha egy cim tobb feltetelnek is megfelel, a legszukebb szerint tortenik a kivalasztasa
- opciok
- scrub
- queueing
- cimforditas (NAT)
- szuresi szabalyok
TARTOZEKOK
- ALTQ (queue-k, prioritas- es savszelesseg-kezeles)
- authpf (session-hitelesites)
- ftp-proxy
- pflogd
- pfsync (redundans tuzfalak szinkronizalasa)
- CARP (IP-cim redundancia)
ipfw (ipfirewall)
SZERZO/PLATFORM
- ipfw Team
- Free/DragonflyBSD only (modositott verzioja letezik Mac OS X-re is)
JELLEMZOK
- csomagszuro (kernel)
- userland utility
- FreeBSD 5.x ota lenyegesen fel lett frissitve ("ipfw2")
- lista alapu megkozelites
- feldolgozaskor az elso szabaly ervenyesul, ami a csomagra illik
- naplozas: syslog
- NAT kulso alkalmazassal (natd)
PROGRAMOK, KONFIGURACIOS FAJLOK
- ipfw
- /etc/rc.firewall
X
dummynet - savszelesseg, queue-k
ipf/ipfilter
SZERZO/PLATFORM
- Darren Reed
- egyedi licenc (csak a szerzo hozzajarulasaval modosithato)
- OpenBSD-bol a fenti ok miatt lett eltavolitva
- multiplatform (FreeBSD, OpenBSD, NetBSD, (Open)Solaris es nehany egyeb Unix)
JELLEMZOK
(todo)
PROGRAMOK, KONFIGURACIOS FAJLOK
ipf: szabalyok manipulalasa
ipmon: naplozas
ipnat: NAT kezelese
ipfstat: statisztika
/etc/ipf.rules
/usr/share/ipf/examples/
Termekek, segedeszkozok, front-endek
m0n0wall - beagyazott/LiveCD-rol futo FreeBSD-alapu tuzfal webes GUI-val
pfSense - FreeBSD/pf alapu tuzfal
pfw - web frontend for pf, Johan Allard, sqlite, PHP5 (BSD licenc), alapvetoen OpenBSD-hez, de FreeBSD-n is sikerrel hasznaljak
fwbuilder-pf - policy compiler for OpenBSD pf
Hivatkozasok
http://cipitunk.blog.friendster.com/2007/07/ipfw-vs-pf/ # IPFW vs PF
http://www.openbsd.org/cgi-bin/man.cgi?query=pfctl&sektion=8&manpath=OpenBSD+4.3 # man pfctl
http://www.freebsd.org/doc/en/books/handbook/firewalls-ipfw.html # IPFW
http://www.freebsd.org/doc/en/books/handbook/firewalls-ipf.html # The IPFILTER (IPF) Firewall
http://coombs.anu.edu.au/~avalon/ # IP Filter
http://books.google.com/books?id=MWg3kjhKPsUC&printsec=frontcover # Building Firewalls with OpenBSD and PF By Jacek Artymiak (Google Books)