OpenFWTK (http://sourceforge.net/projects/openfwtk) (Open Firewall ToolKit) - это межсетевой экран уровня приложений (application firewall), распространяемый по лицензии BSD.
По сравнению с другими решениями в области межсетевого экранирования OpenFWTK интересен тем, что он является полноценным фильтром уровня приложений, то есть полностью отсутствует «сквозное» взаимодействие через OpenFWTK между клиентским и серверным приложением. "Сквозное" взаимодействие есть в большинстве популярных технологий для межсетевых экранов, включая DPI (Deep Packet Inspection), реализованной в новейшем Cisco ASA и SPF (Stateful Packet Filtering), реализованной во многих межсетевых экранах, включая NetFilter/Iptables, IPFilter, Cisco PIX, CheckPoint Firewall-1.
По сравнению с TIS FWTK, последняя версия 2.1 которого была выпущена в марте 1998 года, OpenFWTK обладает следующими новыми и улучшенными возможностями:
- Поддержка SSO (Single Sign On) - единой точки доступа к защищаемым сервисам через механизм аутентификационных агентов (на настоящий момент реализована консоль "сильной" аутентификации для telnet-клиента), позволяющий использовать единую точку входа для приложений, для которых затруднена поддержка одноразовых паролей.
- Поддержка NAC (Network Admission Control) для протокола HTTP — определение политик ограничений в зависимости от версии браузера;
- Поддержка Content Filtering - фильтрации контента для протоколов http, smtp, ftp, pop3, nntp с использованием большого спектра внешних приложений через milter-интерфейс (включая spamassasin, dspam, большинство антивирусов и.т.д.);
- Устранены проблемы с безопасностью взаимодействия с authsrv;
- Обновлен набор поставляемых прокси серверов;
- Новый, улучшенный API позволяет легче разрабатывать собственные прокси-серверы.
Из недостатков стоит отметить отсутствие хорошей документации (желающие приглашаются для написания автором проекта).
URL: http://sourceforge.net/projects/openfwtk
Новость: http://www.opennet.me/opennews/art.shtml?num=12259
TIS FWTK, как и Gauntlet FW, пользовали впечатления тогда, в конце 90-х были самые приятные. Надеюсь, сейчас все тоже на уровне.
Да, мощная штучка.
Объясните для танкистов - по сути, это как Аутпост в Виндовсе?
> по сути, это как Аутпост в Виндовсе?" "Сквозное" взаимодействие есть в большинстве популярных технологий для межсетевых экранов, включая DPI (Deep Packet Inspection), реализованной в новейшем Cisco ASA и SPF (Stateful Packet Filtering), реализованной во многих межсетевых экранах, включая NetFilter/Iptables, IPFilter, Cisco PIX, CheckPoint Firewall-1. "
Иначе говоря это попытка сделать нето вроде халявного CheckPoint Firewall
а чем примечателен этот CheckPoint Firewall ?сорри, не видел никогда...
а потом скомпилировать и оттюнить это под SPARC или AI64 под OpenSolaris и получится недурной фаэрвольчик за не очень большие деньги
Спарка у меня под рукой сейчас не было, но Sun Studio его собирает нормально, и HP-UX под ia64 тоже.Раньше порт на sparc поддерживался, но у меня сейчас нет Solaris под рукой. Но по идее, там все очень портабельно.
А какая радость или преимущество от того чтобы заточить это под OpenSolaris ? Linux/FreeBSD не сможет делать тоже самое?
>А какая радость или преимущество от того чтобы заточить это под OpenSolaris
>? Linux/FreeBSD не сможет делать тоже самое?Я бы рекомендовал OpenBSD ;-)
> Я бы рекомендовал OpenBSD ;-)А ты порт сделал? :)
Нет :-( Оно вообще само в лет собирается. Но был бы рад если бы кто-нибудь сделал.
>Нет :-( Оно вообще само в лет собирается. Но был бы рад
>если бы кто-нибудь сделал.Ну порт - не значит пропатчить, а чтоб правильно поставилось просто. Я сделаю может, когда руки дойдут, сейчас глянул - блин, это называется, "головная боль майнтейнера" :\
>
>Ну порт - не значит пропатчить, а чтоб правильно поставилось просто. Я
>сделаю может, когда руки дойдут, сейчас глянул - блин, это называется,
>"головная боль майнтейнера" :\Да? А что там не так?
>Да? А что там не так?что-то подобное я уже просил saper'a с сделать с его free-sa :)
Разработчик весьма упростит жизнь майнтейнера, если будет называть архив foobar-X.Y.tar.gz, и распаковываться этот архив будет в foobar-X.Y :)
Ну если не сложно, конечно ;)
Ну если это настолько критично, к следующему релизу постараюсь сделать, а в чем сложность управиться с ним as is?
>Ну если это настолько критично, к следующему релизу постараюсь сделать, а в
>чем сложность управиться с ним as is?Никакой критичности нет, и разные хаки типа WRKDIR или DISTNAME, разумеется, помогут. Просто то, что я писал выше - это, если можно так сказать, стандарт де-факто ;). Да и вообще, безотносительно *BSD-порта, ИМХО, удобно, когда архив распаковывается в одну папку а не три. Ну если говорить про порты - "правильный" архив - это меньший размер порта (за счет отсутствия вышеупомянутых хаков) => меньшее место на диске и меньший трафик... портов-то тысячи ;)
Кроме шуток, просто порт будет удобнее, проще, логичнее и красивее ;)
Ну там два пакета фактически в одном архиве - libci_milter и openfwtk.. Так что и не знаю, кошернее ли так.
>Ну там два пакета фактически в одном архиве - libci_milter и openfwtk..
>Так что и не знаю, кошернее ли так.% tar tzf ~/openfwtk2.0.tar.gz|cut -d / -f 1|uniq
libci_milter
fwtk
fw_watch
INSTALLТри плюс файлик :)
А где документация к этому фаерволу, кто нить нашёл её, киньте ссылкой, если знаете...:)))
Плохо пока с документацией. То есть она существует в виде набора man pages, там все описано, но ничего в стиле howto и step by step guide пока нету :-( То есть надо изучить, как настраивается TIS fwtk, а потом почитать в man pages отличия.Про общий формат конфигурации написано в мане по netperm-table.
а бинарники под венду есть?
что-то на nufw смахивает
>а бинарники под венду есть?Нет. А надо ли?
>что-то на nufw смахивает
Ничего общего на самом деле.
man'ы теперь доступны в виде html в секции documentation на sf.
http://www.toxahost.ru/files/openfwtk.tgz - бета-версия порта под FreeBSD. Будет изменяться! все желающие приглашаются к тестированию, когда порт примет законченный вид, отправлю его в дерево портов.