Vuurmuur — боевые коты на страже вашей сети

    image

    Vuurmuur — за таким «кошачьим» именем скрывается довольно мощная GUI надстройка для iptables. Основным отличием от других iptables-надстроек является наличие консольного интерфейса написанного на Ncurses. Поэтому администрирование всё также легко возможно посредством SSH или консоли. Vuurmuur умеет работать с шейпингом, поддерживает функции мониторинга трафика, ведёт отдельные логи, прекрасно работает как на 2.4 так и на 2.6 ядрах и даже «говорит» на русском.



    Возможности


    Администрирование

    • как всегда — знания iptables не требуются. Совсем :)
    • понятный обычному человеку синтаксис правил
    • шейпинг
    • Ncurses GUI, нет необходимости в X Window.
    • легкое перенаправление портов
    • легкая настройка NAT
    • безопасная политика по-умолчанию
    • полное управление через ssh или консоли (в том числе через PuTTY для Windows)
    • скрипты для интеграции с другими инструментами
    • возможность сборки bash-скрипта для установки правил iptables на системе без vuurmuur
    • средства противодействия IP-спуфингу
    • возможность обрыва нежелательных соединений
    • работа со Snort с помощью QUEUE или NFQUEUE
    • поддерживаемые языки: английский, немецкий, норвежский, французский, голландский, португальский и русский
    • понятная и удобная справка на русском

    Мониторинг

    • удобный просмотр логов в реальном времени
    • удобный просмотр соединений в реальном времени
    • фильтрация при просмотре логов
    • базовый подсчёт трафика
    • поиск по старым логам

    Учёт

    • аудит: все изменения записываются
    • запись всех новых соединений и подозрительных пакетов
    • подсчёт трафика

    Установка


    Gentoo

    emerge -av layman
    layman -f && layman -a sunrise
    ACCEPT_KEYWORDS="~ARCH" emerge -av net-firewall/vuurmuur


    Debian/Ubuntu

    #Debian
    echo "deb ftp.vuurmuur.org/debian etch main" >> /etc/apt/sources.list
    #Ubuntu
    echo "deb ftp.vuurmuur.org/ubuntu feisty main" >> /etc/apt/sources.list

    apt-get update
    apt-get install libvuurmuur vuurmuur vuurmuur-conf


    Для любителей ручной установки: deb-пакеты лежат на официальном FTP

    Картинки


    Просмотр логов

    image

    Просмотр соединений

    image

    Просмотр трафика

    image

    Правила

    image

    Шейпинг

    image

    Мультики


    Добавление интерфейса
    Добавление зоны
    Добавление правил
    Добавление хоста
    Добавление перенаправления
    Добавление службы

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 73

      +6
      Спасибо за обзор, в закладки.
      • UFO just landed and posted this here
        –1
        классненько
        • UFO just landed and posted this here
            +1
            Ну что Вы такой зануда, ну честное слово! Для консоли самое то!
            • UFO just landed and posted this here
                0
                Ну не знаю, меня ГУИ мало интересуют. На них тяжело с телефона зайти по GPRS (ну можно конечно, но консоль как-то роднее).
                  +2
                  Тогда линукс перестанет быть линуксом. Иксы затолкают в ядро и появятся мышевозные линукс-админы. Тогда я наверное уйду на Hurd какой-нибудь :)
                  • UFO just landed and posted this here
                    0
                    "#" в консоли — наше все!
                  +2
                  Бр, а зачем iptables крутой GUI? Его обычно 1 раз настраивают и забывают. Я так вообще, ручками в текстовый файлик до сих пор пишу, и ничего
                    0
                    Ну вот реальная задача:
                    ВРЕМЕННО отключить на роутере один хост от интернета (или же ВРЕМЕННО зарезать канал) БЕЗ использования iptables -F .
                    Здесь, как я понял, можно просто в одном из полей сменить Yes на No.
                      0
                      И как эта система делает это? Точно также, делает -F наверняка. Тогда что вам мешает скопировать ваши правила, заблочить хост, а потом его же включить? В общем я проблемы не понимаю :) К тому же, iptables чаще всего настраивается раз и надолго
                        0
                        при -F рвутся все установленные соединения?
                    0
                    Если надо по SSH зайти — самое то! Не для того роутер нужен, чтобы в нем X поднимать или веб-сервер вешать! Отличная штука!
                  +3
                  > Err ftp://ftp.vuurmuur.org jaunty/main Packages
                  > Unable to fetch file, server said ‘Failed to open file. ’

                  (жалобно) дяденька, а для x64 сборки будут?
                    0
                    угу
                    ребята забыли сделать сборочку для x64
                      +1
                      vuurmuur уже есть в unstable-ветке дебиана.
                      +1
                      О, больше гуёв хороших и разных)) Давно подумывал что-нить по IPTABLES такое найти, а то для меня, как для неадмина, настраивать его была сущая морока.
                        0
                        Порадовало то, что «знания iptables не требуются :)» Пойду протестю, а то пока нат настроил в консоли, пришлось покурить немного мануалов
                          +2
                          Но ведь «выкуренные» Вами маны выкурены Вами не зря, в отличие от сигарет?
                            0
                            Это точно, сигареты нужно бросать :) Эка Вы о сигаретах вовремя вспомнили — я как раз задумался об очередной попытке бросить ))
                          0
                          >понятный обычному человеку синтаксис правил
                          А чем он непонятен без гуев?
                            +1
                            Призовите в топик бсдшников, они могут долго на эту тему говорить
                            0
                            Пробовал Firewall Builder, как-то не сложилось, слишком запутанно. Посмотрим что тут: )
                              0
                              Хабраэффект!!!
                                0
                                похоже сайт проекта под хабраэффектом — картинки перезалейте куда-нибудь, очень плохо открываются.
                                  0
                                  Похоже всё прилегло у них: D
                                    +1
                                    Ушло в избранное, спасибо.
                                      0
                                      Удобная надстройка, использую на домашнем сервере с CentOS примерно больше полу года. За это время были небольшие проблемы с логами и шейпером, но эти проблемы решались в короткие сроки.
                                        0
                                        В репозиториях CentOS этой штуки нету — не подскажете, какие у нее зависимости?
                                          0
                                          К сожалению, уже не помню. Помню только, что поставилось все без особых проблем.
                                          0
                                          Скажите, а там есть MAC фильтр из коробки?
                                            0
                                            Да.
                                              0
                                              Вроде, нет. Точно сказать не могу, т.к. сейчас не дома.
                                            0
                                            Эй! Я хотел посмотреть на мультики с боевыми котами! :(
                                              +1
                                              А могли бы про шейпинг чуть подробнее?
                                                0
                                                Поставил и глянул. Синтаксис iptables действительно знать не надо. Теперь надо знать синтаксис vuurmuur. Поменяли шило на мыло.
                                                  0
                                                  По крайней мере разобраться в вурмуре легче, чем в iptables, учитывая что в ней есть хелп на русском. Самое то для новичков.
                                                    +1
                                                    А работать оно потом будет после новичка?
                                                      +2
                                                      Новички разные бывают…
                                                  +2
                                                  >шейпинг

                                                  iproute2?
                                                    0
                                                    [telepate mode on]
                                                    HTB?
                                                    +3
                                                    Вы видели в какое месиво он превращает /etc/sysconfig/iptables?
                                                      +1
                                                      а вы видели в какое мессиво превращается скомпиленный си код после обработки его компиляторами?

                                                      это плата за новый уровень абстракции
                                                        +2
                                                        Тот кто будет работать после Вас, будет иметь дело с исходниками, а не с скомпилеными файлами. Тот кто будет (вероятно) работать с сервером проклянёт страшным админским проклятием будет как минимум удивлён такой забавной конфигурацией фаервола.
                                                          0
                                                          Это да… По-прежнему ручки и "# — эту хню не понял, но написал----" решают! Хотя для быстрой настройки «на первое время» может и хватит. А вообще есть Shorewall+Webmin.
                                                      +3
                                                      Эх мне бы утилитку такую, чтобы задаешь интерфейс и порт откуда прийдет пакет и она бы показывала на каком правиле у меня этот пакет дропнется. Или не дропнется.
                                                        0
                                                        Быть может есть что-нибудь подобное для ipfw? :)
                                                          0
                                                          Да там синтаксис ну очень простой, даже новичку не составит труда разобраться за часик-другой.
                                                          А вот для шейпера подобную приблуду иметь хочеться…
                                                            0
                                                            Ну просто руки до него ещё не дошли. Осваиваю пока что основы основ. Вот завтра и думаю им заняться.
                                                          +2
                                                          Сразу же после запуска добавились 100 с лишним правил iptables, которые никто не заказывал о_О.
                                                          Пока vaarmuur единственный хозяин фаервола на компе, ничего страшного не произойдет. Но что, если вам по каким-либо причинам потребуется одновременно использовать 2,3 такие vaarmuur-оподобные умные проги, которые сами знают, какие правила куда вам нужно вписать? Незамедлительно прийдет осознание того, что вместе заставить их работать будет сложно, того, что юникс-вей рулит, и того, что нужно было сразу разбираться в iptables.
                                                            0
                                                            Правила, которые создаёт shorewall, тоже слегка пугают. А разберёшься — оказывается, что многие весьма толковы.
                                                            0
                                                            А оно поддерживает динамические интерфейсы? Ну например когда у нас есть eth0 eth1 > Bond0
                                                            + Heartbeat add Bond0:0 when active node?
                                                              +2
                                                              Не знаю, при чём тут коты, но название с голландского на английский дословно переводится просто как firewall. Vuur — «огонь», muur — «стена» :)
                                                                +1
                                                                Веришь, искал… но так и не понял от какого языка плясать. Поэтому решил сыграть на «фонетике» :)
                                                                0
                                                                Хорошо сделано, а главное что не надо никакого GDM для полноценной работы с таким продуктом, все прямо из консоли, как и должно быть на настоящем боевом серваке.
                                                                  +2
                                                                  На настоящем боевом серваке все должно быть просто и аскетично :)
                                                                  vi достаточно, iptables не такой уж и сложный
                                                                    –1
                                                                    ed и ipchains.
                                                                    echo и ipfwadm.

                                                                    игра в «Кто более трушный» :)
                                                                      0
                                                                      Не игра, безусловно. Каждый выбирает для себя наиболее приемлемый инструмент.
                                                                      Конкретно этот инструмент не показался мне прозрачным и понятным для новичка.
                                                                        0
                                                                        Как выше уже написали: «Новички, они разные». Кому-то голый iptables, кому-то narc или ferm, кому-то FireHOL или shorewall, некоторым fwbuilder какой-нибудь покажется милей всего (брр.). Короче, я лично за альтернативу и стараюсь просто показать некоторые инстрУменты, а использовать их или нет, конечно, каждый решает сам.

                                                                        У всех этих надстроек (наверное, кроме долгожителя shorewall) одна беда — старость :) Через какое-то время они перестают обновляться и не знают как вести себя с iptables более свежей версии. Поэтому лучше иметь в запасе несколько кандидатов в нашлёпки, если нежелание учить синтаксис iptables патологичное.
                                                                • UFO just landed and posted this here
                                                                    +1
                                                                    Сочни! Мжвячни!

                                                                    Спасибо, в смысле. Поставил себе смотрю, что да как.
                                                                      0
                                                                      Какая-то шляпа с кодировкой помощи. Весь интерфейс переводится по локали. А справка кракозябрами остается.
                                                                        0
                                                                        ubuntu-server jaunty
                                                                        локаль utf-8
                                                                        вообще набор спецсимволов вместо интерфеса :(
                                                                          0
                                                                          Gentoo x64, ru_RU.UTF8, vuurmuur-0.8_beta2

                                                                          Всё хорошо. Может у вас версия пониже?
                                                                          0
                                                                          ставил, щупал, работало) В итоге перешёл на shorewall, он как-то логичней…
                                                                            0
                                                                            Это ужасно. Жуткое месиво в конфигах. Надо использовать чистый iptables + iproute
                                                                            На совсем крайний случай — ufw
                                                                              0
                                                                              Unpacking libvuurmuur0 (from .../libvuurmuur0_0.7+debian-1_i386.deb)…
                                                                              dpkg: error processing /var/cache/apt/archives/libvuurmuur0_0.7+debian-1_i386.deb (--unpack):
                                                                              trying to overwrite '/etc/vuurmuur/plugins/textdir.conf', which is also in package libvuurmuur 0:0.6-1
                                                                              dpkg-deb: subprocess paste killed by signal (Broken pipe)
                                                                              Errors were encountered while processing:
                                                                              /var/cache/apt/archives/libvuurmuur0_0.7+debian-1_i386.deb
                                                                              E: Sub-process /usr/bin/dpkg returned an error code (1)
                                                                                –3
                                                                                хуета
                                                                                  0
                                                                                  Нет пакета под Ubuntu 10.04, это конечно не есть гуд.
                                                                                    0
                                                                                    Под 10.10 server легко встал через apt-get
                                                                                    0
                                                                                    Очень полезная штука на мой взгляд, все наглядно, это мне нравится )
                                                                                    В закладки и на установку =)

                                                                                    Only users with full accounts can post comments. Log in, please.