The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

07.10.2013 10:26  Новый выпуск Sphirewall, платформы для построения межсетевых экранов

Представлен стабильный выпуск Sphirewall 0.9.9.7, специализированной системы для организации работы маршрутизаторов и межсетевых экранов, предоставляющей гибкие средства для анализа характера трафика и обеспечения контроля за работой пользователей. В рамках проекта развивается набор модулей и сопутствующий web-интерфейс для удобной настройки и мониторинга, который отличается большой гибкостью и универсальностью, что даёт возможность адаптировать его для различных пакетных фильтров и компонентов системы. Для загрузки доступен как iso-образ с готовой для развёртывания системой, так и набор пакетов для установки в Debian GNU/Linux. Наработки проекта распространяются под лицензией GPLv3.

Поддерживается аутентификация пользователей, организация выхода в сеть, управление качеством сервиса, выставление ограничений на пропускную способность и размер трафика. Средства аналитики дают возможность наглядно проконтролировать, что происходит в сети. Среди поддерживаемых компонентов: Nat/Pat, DHCP-сервер, сервер и клиент OpenVPN, клиент PPPoE, аутентификация через локальные списки или LDAP, фильтрация на основе пользователей/групп, фильтрация с привязкой к GeoIP, фильтрация на уровне web-трафика, интеграция с системами обнаружения атак (Snort), фильтрация HTTPS. Из отчётов отмечается статистика по хостам, пользователям, устройствам, сайтам и протоколам.

Отличия выпуска 0.9.9.7:

  • Поддержка Debian 7.1 и ядра Linux 3.2;
  • Существенное расширение системы для организации фильтрации web-трафика (HTTP/HTTPS);
  • Проведение работы по увеличению производительности и стабильности;
  • Улучшение интерфейса пользователя;
  • Поддержка сетевых мостов и прозрачной фильтрации транзитного трафика, проходящего через bridge;
  • Выпуск аппаратного устройства S3 Network Firewall Appliance.


  1. Главная ссылка к новости (http://blog.sphirewall.net/?p=...)
Лицензия: CC-BY
Тип: Программы
Ключевые слова: sphirewall, firewall
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, vit (??), 13:28, 07/10/2013 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    в сравнении с pfSense как оно? кто сравнивал?
     
  • 1.3, Michael Findalter (?), 13:48, 07/10/2013 [ответить] [показать ветку] [···]    [к модератору]
  • +8 +/
    Hi,

    Sorry I don't speak Russian. I am one of the project maintainers for the Sphirewall open source firewall.

    I do notice you have confused our S3 device with Amazon S3. The S3 is a hardware network appliance device, nothing to do with Amazon! :)

    I would like to answer any questions you have. Please feel free to ask in Russian (all I can use is Google translate) or English.

    Best Regards,

    Michael

     
     
  • 2.4, Аноним (-), 14:02, 07/10/2013 [^] [ответить]     [к модератору]
  • +1 +/
    Hi What about correct debian repo in official format, with signature and what... весь текст скрыт [показать]
     
  • 2.5, Michael Shigorin (ok), 14:04, 07/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Thanks, I've submitted the fix for the article (should pop up when acked).

    Good to see another project actually paying attention to the announce dissemination, you might also be interested in this article: http://freecode.com/articles/lessons-in-packaging-linux-applications

     
     
  • 3.6, asavah (ok), 14:19, 07/10/2013 [^] [ответить]     [к модератору]  
  • –3 +/
    бггг только бедный разработчик отметился его сразу отправили в школу сборки паке... весь текст скрыт [показать]
     
     
  • 4.8, Аноним (-), 14:28, 07/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Бедный разработчик, который будет переводить ЭТО через google translate... Ну, авось главная мысль про amd64 дойдёт)
     
  • 4.10, Michael Shigorin (ok), 14:45, 07/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    > бггг только бедный разработчик отметился его сразу отправили в школу сборки пакетов.

    Не, там по взаимодействию апстрима с дистрибутивами.  В расползании новостей процесс местами очень похож :)

     
  • 2.18, Аноним (-), 20:57, 07/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Hi, Michael It would be nice to do webdemo on your site for review To assess t... весь текст скрыт [показать]
     
  • 1.7, MSlinux (?), 14:25, 07/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    а как и чем на линуксе можно регулировать пропускную способность, трафик-шейпинг?? я вот понимаю как на FReeBSD в ipfw через altQ dummynet
     
     
  • 2.9, Аноним (9), 14:45, 07/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    man tc
     
     
  • 3.11, MSlinux (?), 15:53, 07/10/2013 [^] [ответить]    [к модератору]  
  • –4 +/
    по сравнению с dummynet этот tc какой то костыль на колесах, в подметки не годится dummynet
     
     
  • 4.12, Аноним (9), 16:38, 07/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Ваше мнение очень ценно для нас.
     
  • 4.13, evilanonymous (?), 16:41, 07/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Так и скажи, что не осилил.
     
     
  • 5.14, Andrew Kolchoogin (ok), 17:21, 07/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    По сравнению с Dummynet TC -- действительно костыль на колёсах, но в части Traffic Policing их возможности совпадают.

    FreeBSD Dummynet -- подсистема эмуляции поведения физического уровня сети (в частности, именно Dummynet отвечает за такие возможности IPFW, как drop ... prob 10%), и её использование для шейпинга, по мнению автора, -- абьюз. :)

     
     
  • 6.19, MSlinux (?), 21:09, 07/10/2013 [^] [ответить]    [к модератору]  
  • +/
    это очень странно, что в линуксе нет нормального траффик-шейпера...
     
     
  • 7.20, anonymous (??), 22:27, 07/10/2013 [^] [ответить]    [к модератору]  
  • +4 +/
    HTB
     
  • 7.21, Andrew Kolchoogin (ok), 04:45, 08/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Да есть, есть. Вон, HTB же, написали.
     
  • 7.23, AlexAT (ok), 07:21, 08/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > это очень странно, что в линуксе нет нормального траффик-шейпера...

    Их там куда более одного. Плюс там не только сами классовые шейперы есть, но еще и дисциплины конечных очередей подменяются и конфигурируются. Единственное что - всё это сделано более-менее грамотно, но при конфигурации достаточно сложно для обывателя. Обычно трафик маркируется в фильтрах netfilter (iptables), а дальше сэмплируется с помощью шейперов и очередей TC.

     
  • 6.26, Аноним (-), 17:31, 08/10/2013 [^] [ответить]     [к модератору]  
  • +/
    А чего не через netgraph сразу Чем богаты, тем и рады Пофиг ... весь текст скрыт [показать]
     
  • 4.22, AlexAT (ok), 07:19, 08/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Вот только производительность в сложных задачах (50K+ шейперов) у него раз в эннадцать повыше будет. С документацией полнейшие грабли, к сожалению.

    tc не только шейпер, кстати говоря. Это еще и часть инфраструктуры по управлению трафиком. К сожалению, достаточно сложная, что порой требует построения промежуточных трансляторов правил и опций.

     
     
  • 5.25, Аноним (-), 17:28, 08/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Довольно кривой инфраструктуры, заметим С одной стороны, есть неплохо продуманн... весь текст скрыт [показать]
     
     
  • 6.27, AlexAT (ok), 21:37, 08/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Речь не об iproute2, речь конкретно о net/sched. Какой бы кривой в управлении сия инфраструктура ни была - она при этом весьма производительна и поддерживает кучу разных фич. Такую сборную солянку собрать воедино общей инфраструктурой - еще надо постараться. Есть свои недостатки, но их достаточно оперативно вылизывают.

    Сложно сказать, почему не займутся наведением красоты и порядка - может быть, никому оно не сдалось - оно работает, и ладно. Складывается именно такое впечатление.

    Отдельно замечу: оно одинаково нормально работает хоть на эзернетах, хоть на PPP, хоть на разномастных не-PPP туннелях и псевдоинтерфейсах, хоть на лысом чёрте. Более того - работает не только с IP, фильтрацию можно осуществлять по произвольным критериям даже без маркировки. Для любителей странного есть немейнстримовый (или я проспал?) плагин для использования BPF-псевдокода к Netfilter.

    Маркировочный подход, кстати, приколен при правильном использовании. Для классификации используется хеш-таблица, т.е. выборка класса по маркеру очень шустрая. По сути pf+altq - то же самое, вид сбоку, только несколько более куцее по функциям самих очередей.

     
  • 1.17, Аноним (-), 20:08, 07/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    умеет failover?
     
  • 1.24, Аноним (-), 08:32, 08/10/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Ну что за геморощики, скачал образ поставил, при установке пароль не спрасили, а... весь текст скрыт [показать]
     
  • 1.28, Michael Findalter (?), 03:36, 09/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Hi there,

    Sorry for the belated reply. Our team has been working on the Debian repository.

    As it stands, the new repository containing debian packages is live but is not signed yet.

    This can be accessed at:

    deb http://repo.sphirewall.net/ wheezy main

    There is also a 64 bit ISO available for download.

    Best Regards,

    Michael

     
     
  • 2.29, someone (??), 06:24, 16/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Very good, thanks. Users will be glad to see adm64.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor