The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Пакетный фильтр OpenBSD PF портирован под Windows

22.12.2005 09:05

Компания Core Security Technologies выпустила бесплатный межсетевой экран для Windows 2000/XP построенный на базе портированного из OpenBSD пакетного фильтра PF.

  1. Главная ссылка к новости (http://force.coresecurity.com/...)
  2. OpenNews: ipfw для Windows
  3. wipfw - порт FreeBSD ipfw под Windows 2000/XP
  4. PktFilter - фаервол под Windows на основе IP Filter
Автор новости: BB
Тип: К сведению
Короткая ссылка: https://opennet.ru/6682-pf
Ключевые слова: pf, windows, firewall
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (48) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Legiar (??), 10:56, 22/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хм. Качаю, и буду пробовать...
    Пока что лучше чем IPFW ничего не надыбал....
     
     
  • 2.2, Аноним (-), 11:09, 22/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Pf очень хорош, и главное очень легко читается, в отличае к примеру от iptables.
    Жаль под линукса нет :(
     
     
  • 3.4, dimus (??), 11:17, 22/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Зря вы так про iptables. Очень понятный синтаксис, все легко читается и легко правится. А вот в отношении PF я то же сказать не могу (хотя возможно тут причина в том, что я с ним толком не разбирался,может если разобраться он тоже покажется простым.)
     
     
  • 4.29, buzi (??), 21:01, 23/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    наверное существует 2 типа людей - которые понимают синтаксис iptables и которые не понимают его.. я наверное ко второму отношусь..

    а вот в синтаксис pf помню "въехал" практически сразу

     
  • 3.9, Andrew (??), 12:14, 22/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Попробуйте IPFilter. Очень похож на PF (PF, на самом деле, "вырос" из IPFilter'а). Последние версии уже поддерживают Linux, правда не на всех дистро сборка проходит гладко.
     

  • 1.3, Аноним (-), 11:14, 22/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    окромя iptables
    вот бы его портанули...
     
  • 1.5, CrazyF (?), 11:29, 22/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну и зря!
    Под offtop переносить вещи, и тем самым губить *BSD
     
     
  • 2.7, Аноним (-), 11:35, 22/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Ну почему же сразу губить?
    Вы ставите ОпенБЗДю только ради ПФ?
    Что, офтоп избавтся от всех проблем, связанных с размазонностью
    кода вообще (и кода ядра в частности) с устанокой ПФ-а?
    Я вот на брандмауэр винду поставлю только в случае крайней необходимости
    или под угрозой расстрела :)
    А вот нормальный пакетный фильтр на винде - это гуд.
    Сколько можно со стандартным убожеством встроенным мучится?
     
     
  • 3.19, Parker (?), 15:43, 22/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    А мучаться как раз и не надо, ставьте OpenBSD и не мучайтесь.
     

  • 1.8, v0 (?), 11:36, 22/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Исходники закрыты, и на то что это порт PF - это только успокоение души :). Командной строки нету, тока гуй... С тем же успехом можно пользоваться агнитумом или аутпостом. Работает это пока нестабильно тем более.
     
     
  • 2.21, Аноним (-), 19:28, 22/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Agnitum - это фирма, которая выпустила Outpost. Учите матчасть перед тем, как постить.
     
  • 2.35, Осторожный (?), 12:39, 26/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Исходники закрыты, и на то что это порт PF - это только
    >успокоение души :). Командной строки нету, тока гуй... С тем же
    >успехом можно пользоваться агнитумом или аутпостом. Работает это пока нестабильно тем
    >более.

    Это где Outpost работает нестабильно ?
    Версия 2.6 - очень хорошо
    Версия 3.0 - тоже хорошо
    Вот 2.7 не стоит брать - это точно

     

  • 1.10, zedi (??), 12:17, 22/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пробую скачать данную штуку качает 800-1000байт в секунду с сервера огранизации котороя занимается безопастностью (притом с разных мест пробовал),
    Интерестно PF у них также будет работать ???
     
     
  • 2.11, BB (??), 13:01, 22/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    У меня скачалось на ~32kbps :)
     
     
  • 3.12, pavlinux (?), 13:43, 22/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня скачалось на ~32kbps :)
    Выложи куда нить, поближе exСССР
     
     
  • 4.13, BB (??), 13:45, 22/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    URL тафай, выложу :)
     
     
  • 5.14, pavlinux (?), 14:25, 22/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    http://www.webfile.ru/upload
     
     
  • 6.16, _Ale_ (??), 14:30, 22/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    ну дык ссылка рабочая появится тут или нет?
     

  • 1.15, pavlinux (?), 14:27, 22/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Звиняй, просто http://www.webfile.ru/
     
     
  • 2.17, BB (??), 14:34, 22/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Можно скачивать http://webfile.ru/707305
     
     
  • 3.25, Pike (?), 10:19, 23/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Уже убиди :( скачать нельзя :(
     

  • 1.18, pavlinux (?), 15:26, 22/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Скачал, поставил, не хрена непонял причём
    тут OpenBSD. Наверно только идея осталась. :)
    Кстати относительно портов UINX на Windows,
    и конкретно Iptables, есть наша прекрасная
    штуковина LAN2NET называется http://www.lan2net.ru)
    Так и пишут, что содрали с iptables.
     
     
  • 2.20, guest (??), 16:38, 22/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    GPL violation?
     
     
  • 3.48, doner (?), 12:44, 12/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >GPL violation?

    Lan2Net - БОТВА violation, это особая лицензия

     

  • 1.22, KBAKEP (ok), 20:47, 22/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    BSD?
     
  • 1.23, yaiboo (?), 21:04, 22/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    where's src?
     
     
  • 2.24, pavlinux (?), 22:18, 22/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    А он же не GPL, он под Apache License
     

  • 1.26, zurmansur (?), 13:05, 23/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно как он себя поведет на leak тестах. Будет ли определять dll инъекции и др.
     
  • 1.27, Andrey (??), 15:09, 23/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Попробовал. "4+". На "5" надо фильтровать IPX пакеты, а оно не могет.  
     
  • 1.28, adsf34532fdf (?), 15:57, 23/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а оригинальный pf разве может IPX фильтровать? :-)
     
  • 1.30, playnet (?), 21:05, 23/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все-таки, что лучше для *BSD?
    Все хвалят PF, но юзают IPFW...
     
     
  • 2.31, citrin (ok), 21:21, 23/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Все-таки, что лучше для *BSD?
    >Все хвалят PF, но юзают IPFW...

    PF наверно получше будет, но я использую по привычке ipfw - переучиваться некогда.

     

  • 1.32, Uhz (?), 04:17, 24/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    За PF явное  будущее,  за  IPFW не говоря  уже  о IPF     будущего судя по всему нет, пока  система сильно не усложнилась лутше начинать  изучать ее  уже сейчас.
     
     
  • 2.33, Kaspian (??), 05:07, 24/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    А кому-то удалось VPN настроить ?
    У меня сложилось впечатление что он сыроват, так, слегка. Например только попытки с 10 соединить VPN он вообще заметил что я это пытаюсь сделать и спросил усновить ли правило для исходящих - установил, хорошо в сторону провайдера вроде пустило, а вот с обратной стороны ни в какую, вроде и сам правило создавал и через его лог разрешал - ноль эмоций, соединение зависает на этапе проверки логина\пароля.
     
     
  • 3.42, maksim (??), 21:23, 12/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Аналогично. Так и не смог его заставить работать с PPTP, c PPPoE вначале было все ок, потом тоже начались проблемы.
    Пока фтопку.
     

  • 1.34, Santa_Claus (ok), 10:21, 26/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так в винде (w2k, xp, w3k) уже есть свой встроенный пакетный фильтр.
    В local security policy находится.
     
     
  • 2.36, Осторожный (?), 12:41, 26/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Так в винде (w2k, xp, w3k) уже есть свой встроенный пакетный фильтр.
    >
    >В local security policy находится.

    А конкретнее - где именно - в каком разделе ?

     
     
  • 3.37, Santa_Claus (ok), 13:36, 26/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>Так в винде (w2k, xp, w3k) уже есть свой встроенный пакетный фильтр.
    >>
    >>В local security policy находится.
    >
    >А конкретнее - где именно - в каком разделе ?

    Немного переврал. Давно туда не смотрел ;)
    Local Computer Policy -> Computer Configuration -> Windows Settings -> Security Settings -> IP Security Policies

    (это на PDC, AD. А на обычном ПК должно быть где-то поближе)

    Он конечно не stateful и его настройка не совсем понятна с 1-го раза, но лучше чем ничего. Юзаем (PDC, AD), пока нормально.

    Также в настройках сетевого интерфейса можно настроить TCP/IP filtering. Ну, и в xp, w3k есть свой, корявый FW.

     
     
  • 4.38, alish (?), 16:32, 26/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    сдаецца мне мне, что "-> IP Security Policies" - это настройка IPSec

     
     
  • 5.39, Santa_Claus (ok), 16:54, 26/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >сдаецца мне мне, что "-> IP Security Policies" - это настройка IPSec
    >


    В общем - да, но не только.
    Читать "Проблемы создания персонального файрвола в Windows 2000 с помощью IPSec" здесь
    http://timhome.hut.ru/security/security.htm
    (ближе к концу), там есть ссылка
    http://www.3dnews.ru/communication/firewall2000xp/
    на это дело.

     
  • 2.40, Celcion (?), 22:21, 06/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Так в винде (w2k, xp, w3k) уже есть свой встроенный пакетный фильтр.
    >
    >В local security policy находится.


    Не только там.
    Win+R -> cmd
    netsh
    help
    netsh firewall
    help

    Дя большинства стандартных задач его, в общем-то, хватает. Для маршрутизаторов и веб-серверов, имхо, не слишком адекватное решение, но для пользовательских машин - вполне достаточно.

    Что касательно pf под винду - от pf там тольо движок остался, скорее всего. Вся сетевая подсистема и прочие вещи - уже не юниксовые, а виндовые, что вполне определенным образом сказывается. Нативный (для винды написаный) фаервол, имхо, куда лучше этой поделки будет. Вот если бы они вместе с фаерволом еще и всю сетевую подсистему OpenBSD портировали под винду - тогда да, круто было бы. А так - ровным счетом ничего интересного. Чистый маркетинг (это ж, блин, с йууууникса, с опенбсд! это ж крутизна и l33t!) и ничего более. Тем более, что неизвестно что за рожки да ножки там реально от pf остались, ведь исходники-то эти благодеятели зажали.

     
     
  • 3.41, Santa_Claus (ok), 09:23, 09/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>Так в винде (w2k, xp, w3k) уже есть свой встроенный пакетный фильтр.
    >>>>В local security policy находится.
    >Не только там.
    >netsh

    Это тоже самое только вид сбоку.
    netsh ipsec static add policy ...
    netsh ipsec static add filterlist ...
    и т.д.

    >netsh firewall
    В w2k такого нет.


    >Дя большинства стандартных задач его, в общем-то, хватает. Для маршрутизаторов и веб-серверов,
    >имхо, не слишком адекватное решение, но для пользовательских машин - вполне достаточно.
    >

    Конкретно для внутренних файловых серверов тоже достаточно.

     
  • 3.43, Laurentis (?), 18:05, 18/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Что касательно pf под винду - от pf там тольо движок остался,
    >скорее всего. Вся сетевая подсистема и прочие вещи - уже не
    >юниксовые, а виндовые, что вполне определенным образом сказывается. Нативный (для винды
    >написаный) фаервол, имхо, куда лучше этой поделки будет. Вот если бы
    >они вместе с фаерволом еще и всю сетевую подсистему OpenBSD портировали
    >под винду - тогда да, круто было бы. А так -
    >ровным счетом ничего интересного. Чистый маркетинг (это ж, блин, с йууууникса,
    >с опенбсд! это ж крутизна и l33t!) и ничего более. Тем
    >более, что неизвестно что за рожки да ножки там реально от
    >pf остались, ведь исходники-то эти благодеятели зажали.


    Мама моя, чуши-то сколько!  Уважаемый!  Первое: а что Вы назваете "нативный"?  Разве этот PF исполняется в какой-то из subsystems?  Он posix? os/2? или может даже win16? :)  Запишите себе: PF - нативнее некуда. Второе: для Вас, видимо, большим секретом является то, что общеизвестно - Microsoft давно уже осознала, что нет смысла городить свой tcp/ip protocols stack, если весь мир (кроме пингвинятников, разумеется) считает BSD'шный эталоном.  И именно на нём и базируется нынешняя "сетевая подсистема" (в части tcp/ip) Windows.  И неплохо базируется, надо отметить.  Третье: а исходники любого (ipfw/IPFilter/PF) Вам недоступны?  Или квалификации не хватает, чтобы там хоть что-нибудь понять?  Громкое слово "движок" (engine) слабо сюда походит, тут Вам не игрушки, а FSM для пакетного фильтра - штука примитивная, далеко не главная, и на "движок" слабо тянет.  Так что "маркетингом" (а точнее - самоPRом "смотрите, как я много знаю") пропитано не сообщение о порте PF2Win, а Ваше послание.

     
     
  • 4.44, Celcion (?), 04:29, 20/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    На основе PF не так давно разрабатывалось небольшое расширение, в чем я принимал... большой текст свёрнут, показать
     

  • 1.45, Imago (?), 22:27, 21/01/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    скоро придется портировать ядро OBSD, на Window$,
    для полной картины :)
     
     
  • 2.46, c00ker (??), 11:01, 22/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Это, скорей рекламный ход - анонсировать "порт PF". Компания использовала наработки PF (и то, возможно -- иногда легче переписать, чем портировать).
    Исходников нет, и какую часть исходников они взяли, неизвестно. Скорей всего, после какого то признания со стороны пользователей, сей продукт будет платным.
    Даже управления из коммандной строки нету, какой же это нахрен порт ? :)
    Так же все производители файрволов могут кричать что они там в аутпосте или зоналарм портировали что то. Код закрыт, но там вот внутрях PF или IPTABLES, крута :)
     

  • 1.47, systematec (?), 14:26, 03/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По поводу IPSec-Политики бубнового: изначально он предназначен для создания безопасных шифруемых соединений, но если указать что пускать весь тарфик нешифрованным получается неплохой пакетный фильтр, проверено, держится, конфижится..
    По поводу портирования: только за, в конце концов бубноводам пора с чего-то начинать и переходить на взрослые системы для реализации надежных решений.
    Сам люблю фрю.. хотя я еще не гуру в ней, но думаю что при желании и усилиях стану им скоро.
     
  • 1.49, doner (?), 12:57, 12/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    лично я хотел бы видеть в этих фаерах такие функции, как rdr, nat, dNAT, sNAT итд. Без этого под винду много хороших продуктов, более удобных и функциональных.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру