 |
IPFilter - TCP/IP packet filter. |
(Версия: 3.4.29 от 2002-09-15) [+]
[обсудить] |
| | IP фильтр, работающий под множество систем. Поставляется в составе FreeBSD, OpenBSD и NetBSD. Имеет столько достоинств, что для их перечисления понадобится создавать дополнительную страничку. |
| |
 |
|
|
|
 |
Firewall Scripts |
(Версия: 0.79 от 2003-09-13) [+]
[обсудить] |
| | Набор скриптов для создания firewall правил под ipchains и iptables любой степени сложности. Скрипты написаны с использованием m4, на котором написан sendmail.cf. |
| |
|
|
 |
openWAF - open source distributed web application firewall |
[+]
[обсудить] |
| | Распределенная система для защиты web-приложений (dWAF), выполненная в виде модуля для http-сервера Apache и являющаяся открытым вариантом коммерческого продукта Hyperguard. Система имеет клиент-серверную модель, в которой Apache-модуль выступает в роли фильтрующего клиента, перенаправляющего все запросы на специальный серверы принятия решений (decider). Серверов принятия решений может быть несколько, при этом они имеют общую конфигурацию и управляются централизованно. Управление производится через web-интерфейс.
Код включает в себя фильтрующий модуль для http-сервера Apache 2, сервер принятия решений о блокировании, обработчик дополнений для системы принятия решений, набор административных клиент-серверных компонентов и управляющий web-интерфейс. Все компоненты, кроме Apache-модуля, написаны на языке Python. |
| |
|
|
|
IronBee - universal web application security sensor |
[+]
[обсудить] |
| | Универсальная WAF-система (Web
Application Firewall) для отслеживания и предотвращения атак на web-приложения, разработанная ключевыми разработчиками системы ModSecurity. Как и ModSecurity, IronBee позволяет нейтрализовать широкий спектр атак на web-приложения, таких как межсайтовый скриптинг, подстановка SQL-запросов, CSRF, подстановка JavaScript-блоков на страницы и DoS/DDoS-атаки. Код проекта открыт под лицензией Apache.
В комплекте с IronBee поставляется библиотека LibHTP, предназначенная для парсинга транзитного HTTP-трафика и выявления в нем аномалий. Ключевым отличием от ModSecurity является возможность разделения модуля, осуществляющего анализ и фильтрацию трафика на стороне HTTP-сервера, и компонента, выявляющего угрожающие безопасности запросы на основе доступного набора правил. Иными словами, на сервере может быть оставлен только интерфейсный модуль, а вся логика анализа потоков информации организована в виде универсального cloud-сервиса, который может обслуживать сразу несколько web-серверов предприятия. Подобный подход позволяет перенести значительную нагрузку, возникающую при выполнении анализа трафика, на внешний хост, высвободив дополнительные ресурсы для web-приложений.
Серверный процесс инспектирования может быть внедрен несколькими способами, например, загружен как модуль для http-сервера, встроен в приложение, запущен в режиме пассивного анализа трафика (как сниффер) или внедрен в виде прокси-акселератора (reverse proxy). Проект имеет модульную архитектуру, позволяя легко создавать и подключать расширяющие функциональность дополнения, без детального изучения внутренней архитектуры IronBee. Планируется создание инфраструктуры для совместного накопления и обмена правилами по блокированию различных видов атак на различные web-приложения. Кроме того, будет создана централизованная БД с набором правил для конкретных web-приложений и известных уязвимостей.
|
| |
|
|
|
pfstat - tool to dump / restore pf state table |
[+]
[обсудить] |
| | Утилита и набор патчей для PF для организации сохранения и последующего восстановления таблиц состояний соединений пакетного фильтра PF. С практической точки зрения утилита может оказаться полезной при необходимости проведения перезагрузки без потери накопленной статистики из таблиц состояния соединений PF, сформированных в результате работы NAT и "keep state" правил. |
| |
|
|
|
authgateway - Linux Authentification Gateway |
[+]
[обсудить] |
| | Программа, позволяющая строить динамические правила iptables, основываясь на учетных записях пользователей, хранящихся в произвольном хранилище (на данный момент реализованы модули для работы с RADIUS и модуль-образец для написания интерфейса для работы с любым механизмом аутентификации). Состоит из серверной и клиентской части, последняя не требует установки. |
| |
|
|
|
flex-fw - flexible front-end for iptables |
(Версия: 0.2.0 от 2014-03-16) [+]
[обсудить] |
| | Небольшая и быстрая надстройка (front-end) для Linux утилиты iptables с простым синтаксисом команд, напоминающем ipfw из FreeBSD или pf из OpenBSD.
Возможности:
- Сервис-ориентированная конфигурация, позволяет стартовать или останавливать доступ к каждому сервису раздельно и независимо, без остановки всей системы flex-fw целиком;
- Поддержка сетевых профилей /etc/net. Можно работать с различным сетевым окружением без какой либо перенастройки flex-fw;
- Поддержка макросов. Макрос - это переменная, определяемая пользователем, которая может хранить IP-адрес, номер порта, имя интерфейса и т.п.
- Простая миграция - достаточно переопределить макросы для переноса на другой хост, в другое сетевое окружение;
- Тиражирование. Описывая сервисы с использованием макросов можно легко перенести сервисы на все обслуживаемые хосты без каких либо изменений;
- Простая отладка. Поддержка вывода через syslog исполняемых команд iptables, ошибок, или информации об отброшенных пакетах;
- Интерактивный режим работы (интерфейс командной строки) для ручного конфигурирования пакетного фильтра "на лету";
- Командный режим работы (batch mode) для запуска из скриптов shell;
- Библиотечный режим работы для использования напрямую команд flex-fw, как функций для shell-скриптов.
|
| |
|
|
|
|
|
conntrack-tools - interact with the Linux Connection Tracking System |
(Версия: 1.4.1 от 2013-03-06) [+]
[обсудить] |
| | Набор утилит для манипулирования данными в таблицах трекинга сетевых соединений (conntrack), позволяющих просматривать и манипулировать состоянием текущих TCP соединений и сессий организованных некоторыми высокоуровневыми протоколами, работающими поверх TCP, UDP, ICMP и SCTP, например FTP (пассивный), IRC, h323, SIP, PPTP, TFTP и т.д. Например, используя возможность вмешиваться в работу системы трекинга, можно принудительно завершить определенное соединение или изменить параметры существующего iptables правила. В комплект также входит специализированный демон для накопления статистики.
libnetfilter_conntrack - библиотека, предоставляющая программный интерфейс (API) к коду трекинга TCP сессий в Linux ядре.
|
| |
|
|
|
OpenFWTK - Application proxy toolkit |
(Версия: 2.0 от 2007-10-08) [+]
[обсудить] |
| | OpenFWTK (Open Firewall ToolKit) - это межсетевой экран уровня приложений (application firewall), распространяемый по лицензии BSD. По сравнению с другими решениями в области межсетевого экранирования OpenFWTK интересен тем, что он является полноценным фильтром уровня приложений, то есть полностью отсутствует «сквозное» взаимодействие через OpenFWTK между клиентским и серверным приложением. "Сквозное" взаимодействие есть в большинстве популярных технологий для межсетевых экранов, включая DPI (Deep Packet Inspection), реализованной в новейшем Cisco ASA и SPF (Stateful Packet Filtering), реализованной во многих межсетевых экранах, включая NetFilter/Iptables, IPFilter, Cisco PIX, CheckPoint Firewall-1.
По сравнению с TIS FWTK, последняя версия 2.1 которого была выпущена в марте 1998 года, OpenFWTK обладает следующими новыми и улучшенными возможностями:
- Поддержка SSO (Single Sign On) - единой точки доступа к защищаемым сервисам через механизм аутентификационных агентов (на настоящий момент реализована консоль "сильной" аутентификации для telnet-клиента), позволяющий использовать единую точку входа для приложений, для которых затруднена поддержка одноразовых паролей.
- Поддержка NAC (Network Admission Control) для протокола HTTP — определение политик ограничений в зависимости от версии браузера;
- Поддержка Content Filtering - фильтрации контента для протоколов http, smtp, ftp, pop3, nntp с использованием большого спектра внешних приложений через milter-интерфейс (включая spamassasin, dspam, большинство антивирусов и.т.д.);
- Устранены проблемы с безопасностью взаимодействия с authsrv;
- Обновлен набор поставляемых прокси серверов;
- Новый, улучшенный API позволяет легче разрабатывать собственные прокси-серверы.
|
| |
|
|
|
netlink- A flexible packet handler |
[+]
[обсудить] |
| | Программа nfqueue, работает на пользовательском уровне и использует NetFilter библиотеку netlink-queue и позволяет значительно повысить эффективность блокирования десятков тысяч IP, не требуя при этом накладывания дополнительных патчей, как происходив в случае ipset.
При тестировании, загрузка 70000 обычных правил заняла около часа, в то время как nfqueue почти мгновенно подгружает большие наборы правил, оформленные в p2p, dat, csv форматах или преобразованные в специальный сжатый бинарный вид. |
| |
|
|
|
NuFW - An authenticating firewall |
(Версия: 2.4.3 от 2010-08-14) [+]
[обсудить] |
| | Система аутентификации пользователей с динамическими IP в сети (сопоставление пользователя и IP через который он работает в данный момент).
В отличии от систем подобных authpf, аутентификация клиента производится не один раз при первом обращении к шлюзу, а для каждого устанавливаемого соединения (каждой TCP сессии).
Серверная часть работает только под Linux и использует возможности фильтрации трафика в NetFilter (имеется возможность задания индивидуальных ограничений по доступности сервисов и скорости). Клиентские части выпускаются для всех популярных платформ, включая Mac OS X и Windows. Информация о работе пользователей может сохраняться в MySQL/PostgreSQL базе или отображаться через syslog. |
| |
|
|
|
|
|
ipset - store multiple IP addresses against the collection by iptables at one swoop. |
(Версия: 6.19 от 2013-05-12) [+]
[обсудить] |
| | Позволяет использовать большие таблицы IP и MAC адресов, подсетей номеров портов совместно с iptables (подключение через одно правило, в таблице используется хэширование). Возможно быстрое обновление списка целиком.
Например:
ipset -N servers ipmap --network 192.168.0.0/16
ipset -A servers 192.168.0.1
iptables -A FORWARD -m set --set servers dst,dst -j ACCEPT
|
| |
|
|
|
nf-HiPAC - full featured packet filter for Linux (доп. ссылка 1) |
[+]
[обсудить] |
| | Построенный с использованием системы HiPAC пакетный фильтр, более оптимально проверяющий условия на каждый пакет (производительность практически не зависит от числа правил). Оптимален при огромном количестве правил или при большом сетевом трафике.
nf-HiPAC фильтр с 25 тысячами правил по производительности приближается к iptables c 50 правилами. Имеются средства для быстрого динамического обновления набора правил.
Другой высокопроизводительный вариант задания больших наборов правил - ipset + iptables. |
| |
|
|
|
wipfw - ipfw for Windows |
[+]
[есть мнение] |
| | Проект wipfw представляет собой, похожий по синтаксису с FreeBSD ipfw, интерфейс для управления пакетным фильтром Windows 2000/XP/2003. Из функциональности отсутствует возможность ограничения трафика, форвадинга и некоторые другие специфичные функции появившиеся в последнее время.
Порт OpenBSD PF под Windows;
PktFilter - фаервол под Windows на основе IP Filter; |
| |
|
|
|
ipt_recent - IPTables module which track seen IP addresses |
[+]
[обсудить] |
| | Iptables модуль позволяющий в комплексе прослеживать и маркировать предыдущие запросы удовлетворяющие определенному критерию (т.е. возвращаться к ранее сработавшей проверке). Например, позволяет легко реализовать схему, разрешающую обращение к порту A, в течении N секунд с момента обращения к пору B. |
| |
|
|
|
ROPE - "match module" for Linux IpTables |
[+]
[обсудить] |
| | Дополнение к iptables, продолжившие развитие модуля "string", обеспечивающего блокировку по совпадению строковой маски в содержимом пакета.
Главное отличие ROPE от "-m string" в описании правил строковых совпадений на специальном псевдоязыке ("-m rope --script script_file" ). |
| |
|
|
|
QNET, QoS and Netfilter patchset for Linux kernel 2.6.x |
[+]
[обсудить] |
| | Несколько интересных дополнений к пакетному фильтру Linux ядра 2.6.x, оформленные в виде одного большого сводного патча. В комплекте:
patch-o-matic-ng;
Layer-7 Packet Classifier - определяет тип протокола (HTTP, FTP, IRC, SMTP и т.д.) для данного соединения вне зависимости от номера порта;
IMQ (Intermediate Queueing Device) - средство для ограничения входящего трафика;
ESFQ (Enhanced Stochastic Fairness Queueing);
WRR (fair bandwidth distributions, равномерное распределение пропускной способности на группу машин);
IPP2P - патч для netfilter для выделения трафика P2P (peer-to-peer) сетей.
iptables-p2p - другой вариант фильтрования трафика P2P сетей; |
| |
|
|
|
|
|
|
|
SEPPL - Simple Encryption Packet Protocol Layer |
(Версия: 0.4 от 2004-01-23) [+]
[обсудить] |
| | Дополнение к Linux netfilter/iptables для организации шифрованного трафика внутри сети. В iptables вводятся два новых пункта: CRYPT и DECRYPT, соответственно через написание правил фаервола организуется шифрование и дешифрация входящего или исходящего трафика. |
| |
|
|
|
Isba - graphical IP-Filter rulesets editor |
[+]
[обсудить] |
| | Графическая среда для составления и редактирования правил фильтрации пакетов для IP-Filter. Программа написана с использованием Perl/Tk, поддерживает закачку и синхронизацию правил с удаленным сервером (через SSH). |
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
