firewalls_hu

Cikknek szant kezdemeny a BSD (Unix) tuzfalmegoldasokrol 2008-bol...

Bevezetes

A mai *BSD-kben 2001-ig a Darren Reed altal irt IPFilter dominalt, mikor is a szerzo a licencet ugy modositotta, hogy azzal a kod atirasat engedelyhez kototte. Mivel ez szoges ellentetben all a BSD licenc altal nyujtott szabadsaggal, az OpenBSD (Theo de Raadt) azonnal eltavolitotta az IPFiltert az OpenBSD terjesztesbol. Reed nemsokara ismet atirta a licencet ugy, hogy az a FreeBSD es a NetBSD projekt szamara lehetove tette a szabad modositast, de az OpenBSD-nek nem. Az OpenBSD csapat nem tetlenkedett, hanem megirta a pf kodjat, ami mara mar tulzas nelkul a legkedveltebb tuzfal-megoldasnak szamit az osszes jelenlegi BSD-varianson, mert azon...

pf

SZERZO/PLATFORM

• Daniel Hartmeier => OpenBSD Team
• BSD licenc
• OpenBSD; portable: Net/Free/Dfly/...

JELLEMZOK

• nagyreszt az IPFilter szintaxisara epul
• kernel filter +userland utils
• /dev/pf pseudo-device
• feldolgozas soran mindig az utolso szabaly dont (kiveve: quick)
• naplozas: pflog0 device (BPF; kozvetlen elemzest tesz lehetove)
• beepitett NAT es QoS
• opcionalis redundancia es failover CARP-pal

PROGRAMOK, KONFIGURACIOS FAJLOK

pfctl

pfctl [ -d | -e ]

pfctl [-n] -f /path/to/file

pfctl -f /etc/pf.conf

pfctl -sa # show all

pfctl.conf

- makrok, listak (felhasznaloi definiciok, valtozok, tombok)

- tablak (IP cimek, tartomanyok listai) - lehet konstans; ha egy cim tobb feltetelnek is megfelel, a legszukebb szerint tortenik a kivalasztasa

- opciok

- scrub

- queueing

- cimforditas (NAT)

- szuresi szabalyok

TARTOZEKOK

• ALTQ (queue-k, prioritas- es savszelesseg-kezeles)
• authpf (session-hitelesites)
• ftp-proxy
• pflogd
• pfsync (redundans tuzfalak szinkronizalasa)
• CARP (IP-cim redundancia)

ipfw (ipfirewall)

SZERZO/PLATFORM

• ipfw Team
• Free/DragonflyBSD only (modositott verzioja letezik Mac OS X-re is)

JELLEMZOK

• csomagszuro (kernel)
• userland utility
• FreeBSD 5.x ota lenyegesen fel lett frissitve ("ipfw2")
• lista alapu megkozelites
• feldolgozaskor az elso szabaly ervenyesul, ami a csomagra illik
• naplozas: syslog
• NAT kulso alkalmazassal (natd)

PROGRAMOK, KONFIGURACIOS FAJLOK

- ipfw

- /etc/rc.firewall

X

dummynet - savszelesseg, queue-k

ipf/ipfilter

SZERZO/PLATFORM

• Darren Reed
• egyedi licenc (csak a szerzo hozzajarulasaval modosithato)
• OpenBSD-bol a fenti ok miatt lett eltavolitva
• multiplatform (FreeBSD, OpenBSD, NetBSD, (Open)Solaris es nehany egyeb Unix)

JELLEMZOK

(todo)

PROGRAMOK, KONFIGURACIOS FAJLOK

ipf: szabalyok manipulalasa

ipmon: naplozas

ipnat: NAT kezelese

ipfstat: statisztika

/etc/ipf.rules

/usr/share/ipf/examples/

Termekek, segedeszkozok, front-endek

m0n0wall - beagyazott/LiveCD-rol futo FreeBSD-alapu tuzfal webes GUI-val

pfSense - FreeBSD/pf alapu tuzfal

pfw - web frontend for pf, Johan Allard, sqlite, PHP5 (BSD licenc), alapvetoen OpenBSD-hez, de FreeBSD-n is sikerrel hasznaljak

fwbuilder-pf - policy compiler for OpenBSD pf

Hivatkozasok

http://cipitunk.blog.friendster.com/2007/07/ipfw-vs-pf/ # IPFW vs PF

http://www.openbsd.org/cgi-bin/man.cgi?query=pfctl&sektion=8&manpath=OpenBSD+4.3 # man pfctl

http://www.freebsd.org/doc/en/books/handbook/firewalls-ipfw.html # IPFW

http://www.freebsd.org/doc/en/books/handbook/firewalls-ipf.html # The IPFILTER (IPF) Firewall

http://coombs.anu.edu.au/~avalon/ # IP Filter

http://books.google.com/books?id=MWg3kjhKPsUC&printsec=frontcover # Building Firewalls with OpenBSD and PF By Jacek Artymiak (Google Books)

http://www.allard.nu/pfw/ # PFW