Differences between revisions 1 and 4 (spanning 3 versions)
Revision 1 as of 2009-05-13 02:17:57
Size: 2995
Editor: eSyr
Comment:
Revision 4 as of 2009-05-13 03:00:15
Size: 4405
Editor: eSyr
Comment:
Deletions are marked like this. Additions are marked like this.
Line 5: Line 5:
  * История
Line 7: Line 6:
  . ''Места обработки пакетов межсетевым экраном в сетевом стеке.''   . ''Стратегия обработки пакетов. Места обработки пакетов межсетевым экраном в сетевом стеке.''
Line 39: Line 38:
 * `pf`
  * Архитектура
  . ''Цели, поставленные при разработке `pf` и вытекающие из этого архитектурные особенности. Стратегия обработки пакетов в `pf`. Места обработки пакетов межсетевым экраном в сетевом стеке. Основные элементы: таблицы, якоря, макросы, списки.''
  * Синтаксис
  . ''Синтаксис правила. Фильтры: направление, интерфейс, версия IP, протокол, исходящий/целевой адрес, TCP-флаги. Действия `allow`, `block`. Флаги `log`, `quick`.''
  * Конфигурирование
  . ''`pfctl`, `/etc/pfconf`''
  * NAT
  * Traffic shaping
  . ''Планировщик. Виды планировщиков. Преимущества и недостатки различных видов планировщиков.''
  * Мелочи
  . ''Stateful, antispoof, syn porxy, scrub, passive OS fingerprinting, UPRF, Common address redundancy protocol, authpf, ...''
 * Firegems
  * Shorewall
  . ''Идея, архитектура. Алгоритм использования.''
  * Конфигураторы межсетевых экранов
  * DMZ

Тематический план

  • Назначение и функции межсетевого экрана
  • Терминология: межсетевой экран vs. брандмауер vs. firewall. Цели, задачи и инструменты, связанные с межсетевым экранированием. Таблица задач и уровней межсетевого экранирования. Стратегии работы и архитектуры различных межсетевых экранов: одна цепочка/несколько цепочек/граф, first/last wins. Состав межсетевых экранов и их поддержка со стороны ядра.

  • ipfw

    • Архитектура
    • Стратегия обработки пакетов. Места обработки пакетов межсетевым экраном в сетевом стеке.

    • Синтаксис правил
    • Нумерация правил. Основные правила: allow, drop, reject, fwd, netgraph.

    • Divert-сокеты и их использование
    • Правила divert, tee. Организация NAT.

    • Stateful firewall
    • Механизм работы. Флаги setup, keep-state. Правило checkstate.

    • Shaping
    • Основные понятия и команды: pipe, dummynet, queue. Параметры трубы: delay, bw, plr.

    • Теги
    • Флаги
    • in/out, diverted/bridged/..., fragmented, ...

    • Утилита ipfw

    • Команды: add, del, show.

  • iptables

    • Описание и назначение
    • Фильтрация пакетов в GNU/Linux. Место iptables. Уровни сетевого стека, на которых работает iptables. Задачи, решаемые iptables.

    • Основные понятия
    • Фильтры, цели, модули, цепочки, таблицы.

    • Архитектура
    • Порядок обработки пакета. Конфигурирование посредством sysctl.

    • Синтаксис
    • Фильтры: protocol, source, destination, in/out interface, port/icmp-type, source/destination port, TCP flags, MAC. Цели: ACCEPT, DROP, REJECT, LOG/ULOG, TRACE, RETURN, MIRROR, QUEUE/NFQUEUE

    • States, conntrack
    • Понятие состояния. Возможные состояния: NEW, ESTABLISHED, RELATED, INVALID. Цель NOTRACK. Conntrack helpers.

    • Пометки
    • Цели MARK, CONNMARK

    • Утилиты
    • Утилита iptables. Основные ключи: -A, -D, -t, -m, -J, specific. Утилиты iptables-save, iptables-restore.

    • NAT
    • Цели MASQUERADE, SNAT, DNAT, NETMAP, SAME, REDIRECT

    • l7filter

  • pf

    • Архитектура
    • Цели, поставленные при разработке pf и вытекающие из этого архитектурные особенности. Стратегия обработки пакетов в pf. Места обработки пакетов межсетевым экраном в сетевом стеке. Основные элементы: таблицы, якоря, макросы, списки.

    • Синтаксис
    • Синтаксис правила. Фильтры: направление, интерфейс, версия IP, протокол, исходящий/целевой адрес, TCP-флаги. Действия allow, block. Флаги log, quick.

    • Конфигурирование
    • pfctl, /etc/pfconf

    • NAT
    • Traffic shaping
    • Планировщик. Виды планировщиков. Преимущества и недостатки различных видов планировщиков.

    • Мелочи
    • Stateful, antispoof, syn porxy, scrub, passive OS fingerprinting, UPRF, Common address redundancy protocol, authpf, ...

  • Firegems
    • Shorewall
    • Идея, архитектура. Алгоритм использования.

    • Конфигураторы межсетевых экранов
    • DMZ

LecturesCMC/UnixFirewalls2009/TopicList (last edited 2009-05-13 06:23:24 by Ximaera)