Различия между версиями 3 и 5 (по 2 версиям)
Версия 3 от 2009-05-13 05:48:11
Размер: 4405
Редактор: eSyr
Комментарий:
Версия 5 от 2009-05-13 09:23:24
Размер: 4406
Редактор: Ximaera
Комментарий:
Удаления помечены так. Добавления помечены так.
Строка 44: Строка 44:
  . ''`pfctl`, `/etc/pfconf`''   . ''`pfctl`, `/etc/pf.conf`''
Строка 49: Строка 49:
  . ''Stateful, antispoof, syn porxy, scrab, passive OS fingerprinting, UPRF, Common address redundancy protocol, authpf, ...''   . ''Stateful, antispoof, syn porxy, scrub, passive OS fingerprinting, UPRF, Common address redundancy protocol, authpf, ...''

Тематический план

  • Назначение и функции межсетевого экрана
  • Терминология: межсетевой экран vs. брандмауер vs. firewall. Цели, задачи и инструменты, связанные с межсетевым экранированием. Таблица задач и уровней межсетевого экранирования. Стратегии работы и архитектуры различных межсетевых экранов: одна цепочка/несколько цепочек/граф, first/last wins. Состав межсетевых экранов и их поддержка со стороны ядра.

  • ipfw

    • Архитектура
    • Стратегия обработки пакетов. Места обработки пакетов межсетевым экраном в сетевом стеке.

    • Синтаксис правил
    • Нумерация правил. Основные правила: allow, drop, reject, fwd, netgraph.

    • Divert-сокеты и их использование
    • Правила divert, tee. Организация NAT.

    • Stateful firewall
    • Механизм работы. Флаги setup, keep-state. Правило checkstate.

    • Shaping
    • Основные понятия и команды: pipe, dummynet, queue. Параметры трубы: delay, bw, plr.

    • Теги
    • Флаги
    • in/out, diverted/bridged/..., fragmented, ...

    • Утилита ipfw

    • Команды: add, del, show.

  • iptables

    • Описание и назначение
    • Фильтрация пакетов в GNU/Linux. Место iptables. Уровни сетевого стека, на которых работает iptables. Задачи, решаемые iptables.

    • Основные понятия
    • Фильтры, цели, модули, цепочки, таблицы.

    • Архитектура
    • Порядок обработки пакета. Конфигурирование посредством sysctl.

    • Синтаксис
    • Фильтры: protocol, source, destination, in/out interface, port/icmp-type, source/destination port, TCP flags, MAC. Цели: ACCEPT, DROP, REJECT, LOG/ULOG, TRACE, RETURN, MIRROR, QUEUE/NFQUEUE

    • States, conntrack
    • Понятие состояния. Возможные состояния: NEW, ESTABLISHED, RELATED, INVALID. Цель NOTRACK. Conntrack helpers.

    • Пометки
    • Цели MARK, CONNMARK

    • Утилиты
    • Утилита iptables. Основные ключи: -A, -D, -t, -m, -J, specific. Утилиты iptables-save, iptables-restore.

    • NAT
    • Цели MASQUERADE, SNAT, DNAT, NETMAP, SAME, REDIRECT

    • l7filter

  • pf

    • Архитектура
    • Цели, поставленные при разработке pf и вытекающие из этого архитектурные особенности. Стратегия обработки пакетов в pf. Места обработки пакетов межсетевым экраном в сетевом стеке. Основные элементы: таблицы, якоря, макросы, списки.

    • Синтаксис
    • Синтаксис правила. Фильтры: направление, интерфейс, версия IP, протокол, исходящий/целевой адрес, TCP-флаги. Действия allow, block. Флаги log, quick.

    • Конфигурирование
    • pfctl, /etc/pf.conf

    • NAT
    • Traffic shaping
    • Планировщик. Виды планировщиков. Преимущества и недостатки различных видов планировщиков.

    • Мелочи
    • Stateful, antispoof, syn porxy, scrub, passive OS fingerprinting, UPRF, Common address redundancy protocol, authpf, ...

  • Firegems
    • Shorewall
    • Идея, архитектура. Алгоритм использования.

    • Конфигураторы межсетевых экранов
    • DMZ

LecturesCMC/UnixFirewalls2009/TopicList (последним исправлял пользователь Ximaera 2009-05-13 09:23:24)