Корень / Программы для администратора / Маршрутизация / Firewall'ы, пакетные фильтры

IPFilter - TCP/IP packet filter. (Версия: 3.4.29 от 2002-09-15) [+] [обсудить]   IP фильтр, работающий под множество систем. Поставляется в составе FreeBSD, OpenBSD и NetBSD. Имеет столько достоинств, что для их перечисления понадобится создавать дополнительную страничку.   Снятие флага DF на linux маршрутизаторе [+] [есть мнение]   Модуль для Linux ядер 2.4/2.5 и патч для iptables, позволяющие снимать флаг DF в ip заголовке на всех транзитных пакетах, идущих через linux раутер.   Firewall Scripts (Версия: 0.79 от 2003-09-13) [+] [обсудить]   Набор скриптов для создания firewall правил под ipchains и iptables любой степени сложности. Скрипты написаны с использованием m4, на котором написан sendmail.cf.   openWAF - open source distributed web application firewall [+] [обсудить]   Распределенная система для защиты web-приложений (dWAF), выполненная в виде модуля для http-сервера Apache и являющаяся открытым вариантом коммерческого продукта Hyperguard. Система имеет клиент-серверную модель, в которой Apache-модуль выступает в роли фильтрующего клиента, перенаправляющего все запросы на специальный серверы принятия решений (decider). Серверов принятия решений может быть несколько, при этом они имеют общую конфигурацию и управляются централизованно. Управление производится через web-интерфейс. Код включает в себя фильтрующий модуль для http-сервера Apache 2, сервер принятия решений о блокировании, обработчик дополнений для системы принятия решений, набор административных клиент-серверных компонентов и управляющий web-интерфейс. Все компоненты, кроме Apache-модуля, написаны на языке Python.   IronBee - universal web application security sensor [+] [обсудить]   Универсальная WAF-система (Web Application Firewall) для отслеживания и предотвращения атак на web-приложения, разработанная ключевыми разработчиками системы ModSecurity. Как и ModSecurity, IronBee позволяет нейтрализовать широкий спектр атак на web-приложения, таких как межсайтовый скриптинг, подстановка SQL-запросов, CSRF, подстановка JavaScript-блоков на страницы и DoS/DDoS-атаки. Код проекта открыт под лицензией Apache. В комплекте с IronBee поставляется библиотека LibHTP, предназначенная для парсинга транзитного HTTP-трафика и выявления в нем аномалий. Ключевым отличием от ModSecurity является возможность разделения модуля, осуществляющего анализ и фильтрацию трафика на стороне HTTP-сервера, и компонента, выявляющего угрожающие безопасности запросы на основе доступного набора правил. Иными словами, на сервере может быть оставлен только интерфейсный модуль, а вся логика анализа потоков информации организована в виде универсального cloud-сервиса, который может обслуживать сразу несколько web-серверов предприятия. Подобный подход позволяет перенести значительную нагрузку, возникающую при выполнении анализа трафика, на внешний хост, высвободив дополнительные ресурсы для web-приложений. Серверный процесс инспектирования может быть внедрен несколькими способами, например, загружен как модуль для http-сервера, встроен в приложение, запущен в режиме пассивного анализа трафика (как сниффер) или внедрен в виде прокси-акселератора (reverse proxy). Проект имеет модульную архитектуру, позволяя легко создавать и подключать расширяющие функциональность дополнения, без детального изучения внутренней архитектуры IronBee. Планируется создание инфраструктуры для совместного накопления и обмена правилами по блокированию различных видов атак на различные web-приложения. Кроме того, будет создана централизованная БД с набором правил для конкретных web-приложений и известных уязвимостей.   pfstat - tool to dump / restore pf state table [+] [обсудить]   Утилита и набор патчей для PF для организации сохранения и последующего восстановления таблиц состояний соединений пакетного фильтра PF. С практической точки зрения утилита может оказаться полезной при необходимости проведения перезагрузки без потери накопленной статистики из таблиц состояния соединений PF, сформированных в результате работы NAT и "keep state" правил.   authgateway - Linux Authentification Gateway [+] [обсудить]   Программа, позволяющая строить динамические правила iptables, основываясь на учетных записях пользователей, хранящихся в произвольном хранилище (на данный момент реализованы модули для работы с RADIUS и модуль-образец для написания интерфейса для работы с любым механизмом аутентификации). Состоит из серверной и клиентской части, последняя не требует установки.   flex-fw - flexible front-end for iptables (Версия: 0.1.7 от 2009-10-30) [+] [обсудить]   Небольшая и быстрая надстройка (front-end) для Linux утилиты iptables с простым синтаксисом команд, напоминающем ipfw из FreeBSD или pf из OpenBSD. Возможности: Сервис-ориентированная конфигурация, позволяет стартовать или останавливать доступ к каждому сервису раздельно и независимо, без остановки всей системы flex-fw целиком; Поддержка сетевых профилей /etc/net. Можно работать с различным сетевым окружением без какой либо перенастройки flex-fw; Поддержка макросов. Макрос - это переменная, определяемая пользователем, которая может хранить IP-адрес, номер порта, имя интерфейса и т.п. Простая миграция - достаточно переопределить макросы для переноса на другой хост, в другое сетевое окружение; Тиражирование. Описывая сервисы с использованием макросов можно легко перенести сервисы на все обслуживаемые хосты без каких либо изменений; Простая отладка. Поддержка вывода через syslog исполняемых команд iptables, ошибок, или информации об отброшенных пакетах; Интерактивный режим работы (интерфейс командной строки) для ручного конфигурирования пакетного фильтра "на лету"; Командный режим работы (batch mode) для запуска из скриптов shell; Библиотечный режим работы для использования напрямую команд flex-fw, как функций для shell-скриптов.   ipt-netflow - Netflow exporting module for Linux kerne (Версия: 1.6 от 2009-05-26) [+] [обсудить]   Очень быстрый и эффективный модуль экспорта netflow для iptables.   conntrack-tools - interact with the Linux Connection Tracking System (Версия: 1.0.1 от 2012-01-06) [+] [обсудить]   Набор утилит для манипулирования данными в таблицах трекинга сетевых соединений (conntrack), позволяющих просматривать и манипулировать состоянием текущих TCP соединений и сессий организованных некоторыми высокоуровневыми протоколами, работающими поверх TCP, UDP, ICMP и SCTP, например FTP (пассивный), IRC, h323, SIP, PPTP, TFTP и т.д. Например, используя возможность вмешиваться в работу системы трекинга, можно принудительно завершить определенное соединение или изменить параметры существующего iptables правила. В комплект также входит специализированный демон для накопления статистики. libnetfilter_conntrack - библиотека, предоставляющая программный интерфейс (API) к коду трекинга TCP сессий в Linux ядре.   OpenFWTK - Application proxy toolkit (Версия: 2.0 от 2007-10-08) [+] [обсудить]   OpenFWTK (Open Firewall ToolKit) - это межсетевой экран уровня приложений (application firewall), распространяемый по лицензии BSD. По сравнению с другими решениями в области межсетевого экранирования OpenFWTK интересен тем, что он является полноценным фильтром уровня приложений, то есть полностью отсутствует «сквозное» взаимодействие через OpenFWTK между клиентским и серверным приложением. "Сквозное" взаимодействие есть в большинстве популярных технологий для межсетевых экранов, включая DPI (Deep Packet Inspection), реализованной в новейшем Cisco ASA и SPF (Stateful Packet Filtering), реализованной во многих межсетевых экранах, включая NetFilter/Iptables, IPFilter, Cisco PIX, CheckPoint Firewall-1. По сравнению с TIS FWTK, последняя версия 2.1 которого была выпущена в марте 1998 года, OpenFWTK обладает следующими новыми и улучшенными возможностями: Поддержка SSO (Single Sign On) - единой точки доступа к защищаемым сервисам через механизм аутентификационных агентов (на настоящий момент реализована консоль "сильной" аутентификации для telnet-клиента), позволяющий использовать единую точку входа для приложений, для которых затруднена поддержка одноразовых паролей. Поддержка NAC (Network Admission Control) для протокола HTTP — определение политик ограничений в зависимости от версии браузера; Поддержка Content Filtering - фильтрации контента для протоколов http, smtp, ftp, pop3, nntp с использованием большого спектра внешних приложений через milter-интерфейс (включая spamassasin, dspam, большинство антивирусов и.т.д.); Устранены проблемы с безопасностью взаимодействия с authsrv; Обновлен набор поставляемых прокси серверов; Новый, улучшенный API позволяет легче разрабатывать собственные прокси-серверы.   netlink- A flexible packet handler [+] [обсудить]   Программа nfqueue, работает на пользовательском уровне и использует NetFilter библиотеку netlink-queue и позволяет значительно повысить эффективность блокирования десятков тысяч IP, не требуя при этом накладывания дополнительных патчей, как происходив в случае ipset. При тестировании, загрузка 70000 обычных правил заняла около часа, в то время как nfqueue почти мгновенно подгружает большие наборы правил, оформленные в p2p, dat, csv форматах или преобразованные в специальный сжатый бинарный вид.   NuFW - An authenticating firewall (Версия: 2.4.3 от 2010-08-14) [+] [обсудить]   Система аутентификации пользователей с динамическими IP в сети (сопоставление пользователя и IP через который он работает в данный момент). В отличии от систем подобных authpf, аутентификация клиента производится не один раз при первом обращении к шлюзу, а для каждого устанавливаемого соединения (каждой TCP сессии). Серверная часть работает только под Linux и использует возможности фильтрации трафика в NetFilter (имеется возможность задания индивидуальных ограничений по доступности сервисов и скорости). Клиентские части выпускаются для всех популярных платформ, включая Mac OS X и Windows. Информация о работе пользователей может сохраняться в MySQL/PostgreSQL базе или отображаться через syslog.   Cutter - abort TCP/IP connections routed over the firewall (Версия: 1.2.0 от 2012-01-03) [+] [обсудить]   Небольшая утилита для принудительного завершения транзитных TCP сессий под Linux, используя FIN-ACK-RST технику.   ipset - store multiple IP addresses against the collection by iptables at one swoop. [+] [обсудить]   Позволяет использовать большие таблицы IP и MAC адресов, подсетей номеров портов совместно с iptables (подключение через одно правило, в таблице используется хэширование). Возможно быстрое обновление списка целиком. Например: ipset -N servers ipmap --network 192.168.0.0/16 ipset -A servers 192.168.0.1 iptables -A FORWARD -m set --set servers dst,dst -j ACCEPT   nf-HiPAC - full featured packet filter for Linux (доп. ссылка 1) [+] [обсудить]   Построенный с использованием системы HiPAC пакетный фильтр, более оптимально проверяющий условия на каждый пакет (производительность практически не зависит от числа правил). Оптимален при огромном количестве правил или при большом сетевом трафике. nf-HiPAC фильтр с 25 тысячами правил по производительности приближается к iptables c 50 правилами. Имеются средства для быстрого динамического обновления набора правил. Другой высокопроизводительный вариант задания больших наборов правил - ipset + iptables.   wipfw - ipfw for Windows [+] [есть мнение]   Проект wipfw представляет собой, похожий по синтаксису с FreeBSD ipfw, интерфейс для управления пакетным фильтром Windows 2000/XP/2003. Из функциональности отсутствует возможность ограничения трафика, форвадинга и некоторые другие специфичные функции появившиеся в последнее время. Порт OpenBSD PF под Windows; PktFilter - фаервол под Windows на основе IP Filter;   ipt_recent - IPTables module which track seen IP addresses [+] [обсудить]   Iptables модуль позволяющий в комплексе прослеживать и маркировать предыдущие запросы удовлетворяющие определенному критерию (т.е. возвращаться к ранее сработавшей проверке). Например, позволяет легко реализовать схему, разрешающую обращение к порту A, в течении N секунд с момента обращения к пору B.   ROPE - "match module" for Linux IpTables [+] [обсудить]   Дополнение к iptables, продолжившие развитие модуля "string", обеспечивающего блокировку по совпадению строковой маски в содержимом пакета. Главное отличие ROPE от "-m string" в описании правил строковых совпадений на специальном псевдоязыке ("-m rope --script script_file" ).   QNET, QoS and Netfilter patchset for Linux kernel 2.6.x [+] [обсудить]   Несколько интересных дополнений к пакетному фильтру Linux ядра 2.6.x, оформленные в виде одного большого сводного патча. В комплекте: patch-o-matic-ng; Layer-7 Packet Classifier - определяет тип протокола (HTTP, FTP, IRC, SMTP и т.д.) для данного соединения вне зависимости от номера порта; IMQ (Intermediate Queueing Device) - средство для ограничения входящего трафика; ESFQ (Enhanced Stochastic Fairness Queueing); WRR (fair bandwidth distributions, равномерное распределение пропускной способности на группу машин); IPP2P - патч для netfilter для выделения трафика P2P (peer-to-peer) сетей. iptables-p2p - другой вариант фильтрования трафика P2P сетей;   P2PWall - IPTables firewalling of P2P traffic [+] [обсудить]   Проект адаптации iptables для фильтрации трафика от приложений пиринговых сетей ("peer-to-peer" сети для обмена файлами, например, Kazaa).   pf4freebsd - OpenBSD pf ported to FreeBSD 5.0 [+] [есть мнение]   Версия пакетного фильтра pf для использования в FreeBSD 5.   SEPPL - Simple Encryption Packet Protocol Layer (Версия: 0.4 от 2004-01-23) [+] [обсудить]   Дополнение к Linux netfilter/iptables для организации шифрованного трафика внутри сети. В iptables вводятся два новых пункта: CRYPT и DECRYPT, соответственно через написание правил фаервола организуется шифрование и дешифрация входящего или исходящего трафика.   Isba - graphical IP-Filter rulesets editor [+] [обсудить]   Графическая среда для составления и редактирования правил фильтрации пакетов для IP-Filter. Программа написана с использованием Perl/Tk, поддерживает закачку и синхронизацию правил с удаленным сервером (через SSH).   bridge-utils and kernel patches for Layer 2 ethernet bridging with Linux [+] [обсудить]   Переписанная подсистема ethernet бриджинга (bridging) и набор утилит для управлением бриджем для Linux ядер 2.2.x и 2.4.x. Включает в себя набор патчей позволяющих фильтровать не IP трафик проходящий через бридж посредством ipchains или iptables.   Ethernet Firewall like ipfw for FreeBSD [+] [обсудить]   Похожий на IPFW пакетный фильтр (похож как по синтаксису, так и по производимым операциям), разница лишь в том, что объектом фильтрации являются не TCP/IP, а Ethernet пакеты.   fwbuilder - Firewall Builder GUI for Gnome (Версия: 2.0.3 от 2004-10-02) [+] [обсудить]   Gnome интерфейс для построения правил пакетной фильтрации с поддержкой iptables, ipfilter, OpenBSD PF и Cisco PIX.   iptables - The Netfilter Project Packet Mangling for Linux 2.3+ (Версия: 1.4.12.2 от 2012-01-06) [+] [есть мнение]   Новый продвинутый пакетный фильтр, приходящий на смену ipchains. Используется по умолчанию в новой ветке стабильных linux ядер 2.4.   ipfwadm2ipchain [+] [обсудить]   Преобразователь правил для ipfwadm'а в правила для ipchains.   SINUS Firewall - TCP/IP packet filter for the Linux operating system. (Версия: 1.0.0 от 2003-06-08) [+] [обсудить]   Свободно-распространяемый пакетный фильтр (IP, TCP,UDP, ICMP, IGMP), присутствует удобная среда управления, динамические правила, богатые возможности в ведении логов и т.д.   Linux IP NETWORK ADDRESS TRANSLATION (NAT) [+] [обсудить]   Система трансляции IP адресов.   ipfwadm - Linux IP Firewalling and Accouting. [+] [обсудить]   Страница разработчиков системы управления пакетной фильтрацией в Linux'е.   IPChains - kernel firewall replacement. [+] [обсудить]   IP фильтр. Содержит в себе много интересных новшеств, например, ICMP masquerading.   [www.tis.com] Trusted Information Systems. (TIS Firewall Toolkit) [+] [обсудить]   Свободнораспростаняемый firewall, славится своей надежностью и богатыми возможностями. Доступен перевод документации на русский язык. Стоит посмотреть SOCKSv5.