In Debian Testing (Sarge) sind etliche verschiedene Firewall Scripte, also Scripte, die im Grunde nur eine Liste für IP-Tables erzeugen bzw. komplette Tools als Firewall als Pakete vorhanden.
Hier ist die Äbersicht der Kandidaten.
Ich werde alle mal ausprobieren, und dann entscheiden, welche ich verwende
Di. 25-01-05
Firewall Scripte und Tools
Paket: zorp (2.0.9-8)
Fortschrittliche protokoll-analysierende Firewall
Zorp ist eine neue Generation von Firewall. Es ist im Wesentlichen eine
transparente Proxy-Firewall mit rigorosen protokoll-analysierenden
Proxies, einer modularen Architektur und präziser Kontrolle über den
vermittelten Verkehr. Konfigurationsentscheidungen sind mittels der
Python-basierten Konfigurationssprache per Skript vorzunehmen.
Zorp wird erfolgreich in anspruchsvollen Umgebungen wie dem Schutz von
Web-Servern mit hohen Datenaufkommen oder der Sicherung großer
Intranets eingesetzt. Da die Protokoll-Analyse sehr genau ist und viele
gängige Exploits das Anwendungs-Protokoll, in dem sie eingesetzt
werden, verletzen, kann eine große Prozentzahl der Angriffe eine
Zorp-basierende Firewall nicht überwinden, sogar wenn der entsprechende
Dienst frei gegeben ist.
In einer Testumgebung konnten wir eine 100-MBit-Ethernet-Verbindung
voll auslasten und bis zu 600 Mbit einer 1000-MBit-Ethernet-Verbindung
ausnutzen. In Produktions-Umgebungen konnte eine
10-MBit-Ethernet-Verbindung mit 500 parallelen Sitzungen ausgelastet
werden.
Paket: shorewall (2.0.13-1)
Shoreline Firewall (Shorewall)
Shorewall ist eine iptables-basierte Firewall, die auf einem
dedizierten Firewallsystem, einem Multifunktions-Masquerade-
Gateway/Server oder auf einem Einzelplatz-Linux eingesetzt werden kann.
Shorewall unterstützt folgende Features: * Konfigurierbar über
Konfigurationsdateien. * Unterstützung für Statusüberwachung und
akustischem Alarm bei Eingang von bestimmten Paketen.
* Enthalten ist ein Skript für die Wiederherstellung des vorherigen
Konfigurationsstandes sowie ein Deinstallationsskript für die
vollständige Deinstallation der Firewall.
* Statisches NAT wird unterstützt. * Proxy-ARP wird unterstützt. *
Enthält DMZ Funktionalität. * Unterstützung für IPSEC, GRE und IPIP
Tunnel. * Unterstützung für Traffic Kontrolle / Shaping.
Paket: mason (1.0.0-2)
Erstellt interaktiv eine Paket-filternde Firewall für Linux
Mason erstellt eine Firewall, die genau den Typen von TCP/IP-Verkehr
entspricht, die durch einen Linux-Computer herein- und herausfließen.
Es kann benutzt werden, um eine vollständige Firewall zu erstellen oder
einer bestehenden Firewall Regeln hinzuzufügen.
Paket: lokkit (0.50.22-4)
Interaktives Firewall-Konfigurationsprogramm (Konsole-Version)
Lokkit ist ein Versuch, Firewall-Funktionen für den
Linux-Durchschnitts- Benutzer zu bieten. Anstatt das man
Firewall-Regeln konfigurieren muss, stellt das Lokkit-Programm eine
kleine Anzahl einfacher Fragen und schreibt dann ein Firewall-Regelwerk
für Sie.
Lokkit ist nicht dafür gedacht, komplexe Firewalls zu konfigurieren.
Damit es einfach zu verstehen ist, wurde es nur dazu entwickelt,
typische Wähl- und Kabelmodem-Szenarien zu behandeln. Es ist nicht die
Antwort für eine komplexe Firewall-Konfiguration und auch nicht das
Äquivalent einer erfahrenen Firewall-Gestalterin.
Beachten Sie, das diese Version von lokkit iptables (netfilter)
benötigt, das nur in Linux 2.4 und neuer verfügbar ist.
Webseite: http://www.linux.org.uk/apps/lokkit.shtml
Paket: fwbuilder (2.0.3-2)
Firewall-Verwaltungs-Programm -- GUI
Firewall Builder besteht aus einer objektorientierten grafischen
Oberfläche und einer Reihe von Regel-Compilern für verschiedene
Firewall-Plattformen. Bei Firewall Builder bestehen die Firewall-Regeln
(policy) aus einer Menge von Vorschriften (rules), wobei jede
Vorschrift aus abstrakten Objekten besteht, die reale Netzwerk-Objekte
und -Dienste (Hosts, Router, Firewalls, Netzwerke, Protokolle)
darstellen. Firewall Builder hilft dem Anwender dabei, eine Datenbank
der Objekte zu verwalten, und erlaubt das Festlegen der Regeln mit
einfachen Drag-und-Drop-Operationen.
Dies ist die grafische Oberfläche für fwbuilder.
Package: fireflier-client-gtk (1.1.5-1)
Interactive firewall rule creation tool - GTK client
This is the GTK client for the fireflier-server. You will need this, if
you want to connect to a local or remote fireflier-server
Fireflier is a firewall tool, which is built on top of the iptables
framework. You can create rules based on single incoming network
packets or simply allow/deny single packets to pass. The ip_queue
kernel module is used to get packets from the kernel. Features: -
client-server approach for administering from another PC - SSL
connection - rules with timeout (rules are deleted after some time or
when fireflier-server shuts down) - filtering based on applications
Paket: filtergen (0.12.4-3)
Paketfilter-Generator für verschiedene Firewall-Syteme
Filtergen ist ein Paketfilter-Generator. Er kompiliert eine
Beschreibung in einer Hochsprache in Skripte für iptables, ipchains
oder ipfilter (und hat einige Unterstützung für Cisco
IOS-Zugriffslisten).
Paket: ferm (1.1-1)
komplexe Firewall-Regeln erstellen und verwalten
ferm erlaubt es Ihnen, die mühsame Aufgabe, vorsichtig Regeln und
Ketten einzufügen, stark zu vereinfachen. Dadurch hat ein
Firewall-Administrator mehr Zeit, gute Regeln zu entwickeln, statt sie
richtig implementieren zu müssen.
ferm unterstützt ipchains-Firewalls, ipfwadm-Regeln und
iptables-Firewalls. Auf ein anderes System zu wechseln ist sehr
einfach, da Ihnen ferm dabei hilft.
firm erstellt fertige Firewall-Regeln aus einem strukturierten
Regel-Setup. Diese Regeln werden von der bevorzugten
Kernel-Schnittstelle wie z.B. ipchains(8) oder iptables(8) ausgeführt.
ferm hilft auch dabei, Firewalls zu modularisieren, da es die
Möglichkeit bietet, die Firewall in verschiedene Dateien aufzuspalten.
Diese können nach Belieben neu geladen werden, so dass Sie Ihre Regeln
dynamisch anpassen können.
ferm, welches »firm« ausgesprochen wird, steht für »For Easy Rule
Making« (zum einfachen Erstellen von Regeln).
Paket: fiaif (1.19.2-10)
Eine einfache aber dennoch komplexe Firewall
Fiaif ist eine intelligente Firewall.
Das Ziel von FIAIF ist es ein vielseitig anpassbares Skript für das
Aufsetzen einer iptables-Firewall zu liefern.
Im Gegensatz zu anderen Skripten kann FIAIF wirklich angepasst werden,
mit der Möglichkeit von mehreren Schnittstellen (oder eher Zonen). Es
existiert keine Beschränkung der Anzahl der Zonen. Die komplette
Konfiguration erfolgt mittels Konfigurationsdateien. Es besteht keine
Notwendigkeit, das Skript dahinter verstehen zu müssen.
Dieses Skript benutzt größtenteils state-full Firewallregeln und alle
RELATED und ESTABLISHED Pakete werden auf allen Chains angenommen. Wenn
Sie etwas abblocken wollen, sollten sie es nicht zuerst akzeptieren.
Dieses Skript ist in BASH geschrieben. Auch wenn es nicht das beste
Programm hierfür ist, so entfällt das installieren eines extra Inter-
preters auf Ihrer Firewall.
Installieren Sie dieses Paket, wenn ihr Rechner immer am Internet ist.
Weitere Informationen unter http://www.fiaif.net
Paket: guarddog (2.3.2-1)
Firewall-Konfigurationsprogramm für KDE
Guarddog ist ein Firewall-Konfigurationsprogramm für KDE. Es ist für
zwei Benutzergruppen gedacht: Anfänger und Fortgeschrittene, die keine
Experten in TCP/IP-Vernetzung und Sicherheit sind, und jenen Benutzern,
die sich nicht mit kryptischen Shellskripten und
ipchain/iptables-Parametern belästigen wollen.
Hier scheint sich ein gutes Äberwachungspaket zu verbergen
Paket: fwlogwatch (1.0-3)
Firewall-Loganalysator
Fwlogwatch produziert Zusammenfassungen von ipchains,
netfilter/iptables, ipfilter, Cisco IOS und Cisco PIX Log-Dateien in
Text- und HTML-Form und besitzt eine Menge von Optionen, um relevante
Muster in Verbindungsver- suchen zu finden und anzuzeigen. Mit den
gefundenen Daten kann es auch anpaßbare Berichte über Zwischenfälle aus
einem Muster generieren und diese an Mißbrauchs-Kontakte betroffener
Rechner oder CERT-Koordinierungszentren senden. Letztendlich kann es
auch als Dämon laufen und Auffälligkeiten berichten oder Gegenmaßnahmen
starten.