Приблизительное время чтения: 4 минут

Даже сегодня мы говорим о безопасности в системах Linux.. Некоторое время назад я написал статью о лучший NAS по версии Amazon, и статья о том, как собрать NAS “сделай сам”. Собрать брандмауэр - это не одно и то же, но это тоже не так уж и отличается. Брандмауэром может быть старый компьютер с двумя или более сетевыми картами.. Один для исходящего трафика, один для подключения к локальной сети, другие для подключения любых подсетей (Wi-Fi, гостевая сеть, и т.д.). Все мы знаем, как важно иметь безопасный сервер. Брандмауэр - это один из тех фундаментальных компонентов в системе или сети, которые вы объявляете “безопасный”. Короче говоря, брандмауэр - это компьютер, который стоит между локальной сетью и внешней сетью., мониторинг, анализ и управление входящим и исходящим сетевым трафиком. Сетевой администратор настраивает брандмауэр с помощью ряда правил, разрешающих одни подключения и блокирующих другие, чтобы оптимизировать сеть и сделать ее более безопасной..

В этом смысле существуют десятки решений с открытым исходным кодом.. В этой статье я суммирую десять самых популярных межсетевых экранов на базе Linux..

---

IPtables

IPtables / Netfilter - это самое популярное и, возможно, наиболее полное решение командной строки для администрирования брандмауэра.. Многие сетевые администраторы используют это программное обеспечение для своих серверов.. Фильтрация пакетов в стеке TCP / IP непосредственно внутри ядра. Вот обзор основных функций.

Особенности IPtables

• перечисляет содержимое набора правил фильтрации пакетов,
• он легкий, потому что проверяет только заголовок пакета,
• администратор может добавить / удалять / изменить правила, в зависимости от потребности, в наборе правил пакета,
• поддерживает резервное копирование / восстановить с помощью файла.

Сайт iptables

---

IPCop

IPCop - это дистрибутив Linux с открытым исходным кодом.. Команда IPCop постоянно работает над развертыванием стабильного межсетевого экрана., безопасный, удобный и легко настраиваемый. IPCop управляется через веб-интерфейс., это очень полезно, особенно в среде SOHO, но его также можно использовать в более сложных ситуациях.

Особенности IPCop

• цветной веб-интерфейс позволяет легко читать графики производительности процессора, память, диск и конечно сетевой трафик,
• позволяет инспектировать журнал,
• обеспечивает безопасные дополнительные обновления и исправления, стабильный и легко настраиваемый.

Сайт IPCop

---

Shorewall

“Shorewall” О “Брандмауэр Shorewall” еще один очень популярный брандмауэр с открытым исходным кодом, специализирован для GNU / Linux. Программа построена на базе Netfilter., который имеет прямой доступ к ядру, а также поддерживает IPv6.

Особенности Shorewall

• использует средства мониторинга соединений Netfilter для фильтрации пакетов,
• поддерживает широкий спектр приложений маршрутизатора / брандмауэр / шлюз,
• он управляется через графический интерфейс с панелью управления Webmin,
• поддержка нескольких интернет-провайдеров,
• опоры “маскировка” е “Перенаправление порта”,
• поддерживает VPN-соединения.

Сайт Shorewall

---

UFW – Несложный FireWall

UFW - это приложение для администрирования брандмауэра по умолчанию на сервере Ubuntu.. Е’ разработан, чтобы быть как можно менее сложным и охватить более широкую аудиторию пользователей. Графический интерфейс (GUFW) доступен для загрузки на Debian / Ubuntu и позволяет полное администрирование.

Особенности UFW

• поддерживает IPv6,
• расширенные возможности записи включены / ВЫКЛЮЧЕННЫЙ,
• монитор состояния,
• может быть интегрирован с другими приложениями,
• правила добавления / удаление / изменение в зависимости от предпочтений пользователя.

Сайт UFW

Сайт GUFW

---

Межсетевой экран

Vuurmuur - еще один менеджер брандмауэра для Linux (приложение, не раздача) для администрирования правил IPtables. В то же время, использовать это программное обеспечение, не обязательно знать синтаксис iptables.

Особенности Вуурмуура

• поддерживает IPv6,
• мониторинг в реальном времени и использование диапазона,
• легко настраивается с помощью NAT,
• активные функции защиты от спуфинга.

Сито ди Вуурмуур

Демонстрация брандмауэра

---

pfSense

pfSense - еще один брандмауэр с открытым исходным кодом, доступно для сервера FreeBSD. Он предлагает длинный список функций, обычно встречается только в коммерческих межсетевых экранах.

Особенности pfSense

• веб-интерфейс позволяет настраивать и обновлять,
• может использоваться как брандмауэр, маршрутизатор o сервер DHCP / DNS,
• его можно настроить как точку доступа Wi-Fi или конечную точку VPN,
• информация о дорожном движении в реальном времени,
• балансировка нагрузки IN / ИЗ.

Сайт PfSense

---

IPFire

IPFire - это программное обеспечение с открытым исходным кодом для Linux, предназначенное для домашних пользователей или SOHO.. Е’ модульное и гибкое программное обеспечение. сообщество IPFire выпускает исправления безопасности. IPFire разработан как межсетевой экран “Инспектор пакетов Statefull” (SPI).

Особенности IPFire

• может использоваться как брандмауэр, прокси или шлюз VPN,
• интегрированная система обнаружения вторжений,
• поддержка через Wiki, форум и чат,
• поддерживает гипервизоры, такие как KVM, VmWare и Xen для виртуализированных сред.

Сайт IPFire

---

Smoothwall и Smoothwall Express

Smoothwall - это настраиваемый брандмауэр с открытым исходным кодом для Linux через веб-интерфейс, известный как WAM.. Smoothwall Express является свободно распространяемой версией Smoothwall..

Особенности Smoothwall

• поддерживает LAN, DMZ и беспроводные расширения,
• фильтрация содержимого в реальном времени,
• HTTPS фильтрация,
• поддержка я прокси,
• позволяет просматривать журналы и отслеживать активность межсетевых экранов,
• управление трафиком на основе единого IP,
• простое резервное копирование и восстановление.

Гладкостенный сайт

---

Порядок байтов

Endian - это еще один брандмауэр, основанный на “Проверка пакетов с сохранением состояния”, который можно использовать как брандмауэр, маршрутизатор, полномочие, шлюз или VPN (с OpenVPN). Изначально разрабатывался на базе IPCop., который также является форком Smoothwall.

Особенности порядка байтов

• двусторонний брандмауэр,
• предотвращение вторжений snort,
• может защитить веб-сервер с помощью прокси HTTP и FTP, антивирус и черный список URL,
• может защитить почтовый сервер с помощью прокси SMTP и POP3, спам, самообучение, список grige,
• VPN с IPsec,
• журнал сетевого трафика в реальном времени.

Конечный сайт

---

Межсетевой экран ConfigServer Security

И напоследок рассказываю о ConfigServer.. Это кроссплатформенный брандмауэр (Только дистрибутивы Linux) очень универсальный. Этот межсетевой экран также основан на концепции “Проверка пакетов с сохранением состояния”, НЕТ это открытый исходный код, но лицензия позволяет скачивать и использовать без ограничений, техническая поддержка доверена сообществу через форум, поддерживает практически все среды виртуализации, приходите Virtuozzo, OpenVZ, VMware, Xen, KVM и VirbualBox.

Особенности CSF

• его процесс демона LFD (Демон сбоя входа в систему) проверить наличие неудачных попыток входа на сервер “чувствительный” приходи SSH, SMTP, Exim, IMAP, Чистый & ProFTP, vsftpd, сухосин и mod_security,
• администратор может настроить оповещения по электронной почте для уведомления о необычном поведении или вторжении в систему,
• легко интегрируется с популярными провайдерами веб-хостинга, такими как cPanel, DirectAdmin или Webmin,
• уведомляет по электронной почте о чрезмерном использовании ресурсов пользователем и подозрительных процессах,
• защищает Linux-машину с помощью Syn flood или ping смертельных атак,
• проверить наличие дыр в безопасности,
• начало / упрощенное отключение.

Сайт CSF

---

В дополнение к только что упомянутым межсетевым экранам существует множество, приходите Sphirewall, Контрольно-пропускной пункт, ClearOS доступна для Linux. В вашей системе Linux установлен брандмауэр., Веро? Который? Напишите в комментариях ниже.