Opensource firewall zoekt betatesters.

Jimmy Pop schreef op dinsdag 17 januari 2006 @ 16:13:
Het misschien niet letterlijk een firewall, maar wel een volledige configuratie voor iptables en bestaande patches daarvoor. Met het script is het mogelijk een aantal dingen makkelijk te configureren die normaal vele regels code en uurtjes compile werk kosten. Eigenlijk is het dus een verzameling van bestaande mogelijkheden, maar dan met een makkelijk schilletje.

Verwijderd schreef op dinsdag 17 januari 2006 @ 15:59:
Natuurlijk niet geheel onbelangrijk, de link naar het project: http://lokiwall.sourceforge.net

Arnold Vriezekolk aka tuxx en Niek Vlessert

1
2
3
4
5
6
7
8
9
10
11
12
13
14

                        if [ $EXT_TO_LO_VPN = 1 ]; then
                                iptables -A INPUT -i ppp0 -j ACCEPT
                                iptables -A INPUT -i ppp1 -j ACCEPT
                                iptables -A INPUT -i ppp2 -j ACCEPT
                                iptables -A INPUT -i ppp3 -j ACCEPT
                                iptables -A INPUT -i ppp4 -j ACCEPT
                                iptables -A INPUT -i ppp5 -j ACCEPT

                                iptables -A FORWARD -i ppp0 -j ACCEPT
                                iptables -A FORWARD -i ppp1 -j ACCEPT
                                iptables -A FORWARD -i ppp2 -j ACCEPT
                                iptables -A FORWARD -i ppp3 -j ACCEPT
                                iptables -A FORWARD -i ppp4 -j ACCEPT
                                iptables -A FORWARD -i ppp5 -j ACCEPT

1

iptables -A FORWARD -i ppp+ -j ACCEPT

1
2
3

$ipt -N synflood
$ipt -I INPUT -j synflood
$ipt -I synflood -j RETURN -m limit --limit 1/s --limit-burst 5

[ Voor 10% gewijzigd door MTWZZ op 18-01-2006 13:43 ]

- Dual routing
- Traffic Control
- Advanced Masquerading
- Advanced DNAT
- Advanced Marking (to be able to direct certain traffic to a certain interface)

[ Voor 68% gewijzigd door Bor op 18-01-2006 15:25 ]

Bor de Wollef schreef op woensdag 18 januari 2006 @ 15:22:
No offence maar een oprechte vraag: wat is de toevoeging van dit firewall setup script boven de reeds bestaande packs als smoothwall etc?

Wat bedoel je trouwens met de vet gedrukte stukken:


[...]


Misschien kun je die omschrijvingen beter verwoorden? Traffic control kan zo'n beetje alles zijn bijvoorbeeld. Met dual rounting bedoel je redundant routing modules?

MTWZZ schreef op woensdag 18 januari 2006 @ 15:31:
Wat ik ervan gezien heb (en dat was heel snel gezien ik eigenlijk aan het werk ben ) ziet er goed uit. Overigens zou ik voor het betere beheer van het geheel de structuur toch wat aanpassen en je functies (zoals het flushen etc) in een apart functions.sh bestand stoppen, dat scheelt je later gewoon werk.

Wat functionaliteit betreft zitten er een aantal dingen in die ik zelf niet echt gebruik. Mijn eigen firewall is net iets anders. Ik zal hem vannavond even online gooien.

Over developer worden moet ik je helaas teleurstellen, ik heb het atm redelijk druk. Wat reviewen betreft hou ik me wel aanbevolen.

[ Voor 27% gewijzigd door niekniek op 18-01-2006 15:47 ]

niekniek schreef op woensdag 18 januari 2006 @ 15:42:
[...]


Toevoeging:
Werkt op elke distro (waarschijnlijk nu nog niet, maar dat moet gaan zonder veel aanpassing) en hoeft dus niet op een aparte bak te draaien
Smoothwall is wel opensource, maar zo gauw je echt wat wil zoals qos e.d. moet je betalen

Verwijderd schreef op woensdag 18 januari 2006 @ 15:51:
[...]

Werkt dus niet op elke distro omdat hij iptables/iproute vereist, die moet dus ook aanwezig zijn en niet een andere tool...en niet op de zelfde plaats staat altijd.

Waarom niet de uitleg ook in het nederlands posten op je site? Dan loopt de tekst ook wat beter en is het waarschijnlijk duidelijker...

niekniek schreef op woensdag 18 januari 2006 @ 15:42:
Dat opdelen gaan we ook doen, lijkt me prima, kunnen we gelijk /etc/init.d/firewall weer een bietje beter maken.

Mooi dat je wil helpen! Kun je hem wel eens proberen? Hij komt in /etc/firewall en /etc/init.d/firewall. Logs in /var/log/firewall. Das alles waar je rekening mee moet houden. Welke distro draai je?

[ Voor 23% gewijzigd door MTWZZ op 18-01-2006 16:09 ]

niekniek schreef op woensdag 18 januari 2006 @ 15:18:
Igmar: Igmar??? Igmar P/MSX??

[ Voor 10% gewijzigd door MTWZZ op 18-01-2006 16:39 ]

MTWZZ schreef op woensdag 18 januari 2006 @ 16:34:
@igmar:
Het is ook niet zo raar dat er niet zoveel application level firewalls zijn. Het kost gewoon te veel processing power en je moet van elke applicatie het protocol kennen en ook precies weten wat dat protocol wel of niet mag en dan kom je gelijk op het volgende punt: het is niet te beheren.

Het limiten van HTTP traffic is op zich nog te doen, er zijn genoeg proxies die vrij agressief kunnen filteren maar bedenk dat als jij een applicatie als SAP hebt of een willekeurige applicatie met remoting dan ben je al genaaid.

Zorp zelf doet ook alleen maar de volgende proto's:
HTTP, FTP, SSL, POP3, IMAP, SMTP, FINGER, WHOIS, NNTP, MIME, TELNET, RADIUS, LDAP, TFTP, NET8, PRINTER, VBUSTER

IPtables kun je best laten filteren welke applicatie gebruik maakt van welke poort maar inhoudelijk de protocollen filteren is volgens mij niet onmogelijk maar te gecompliceerd om daar een degelijke applicatie van te bouwen.

MTWZZ schreef op woensdag 18 januari 2006 @ 16:34:
@igmar:
Het is ook niet zo raar dat er niet zoveel application level firewalls zijn. Het kost gewoon te veel processing power en je moet van elke applicatie het protocol kennen en ook precies weten wat dat protocol wel of niet mag en dan kom je gelijk op het volgende punt: het is niet te beheren.

Het limiten van HTTP traffic is op zich nog te doen, er zijn genoeg proxies die vrij agressief kunnen filteren maar bedenk dat als jij een applicatie als SAP hebt of een willekeurige applicatie met remoting dan ben je al genaaid.
Zorp zelf doet ook alleen maar de volgende proto's:
HTTP, FTP, SSL, POP3, IMAP, SMTP, FINGER, WHOIS, NNTP, MIME, TELNET, RADIUS, LDAP, TFTP, NET8, PRINTER, VBUSTER

IPtables kun je best laten filteren welke applicatie gebruik maakt van welke poort maar inhoudelijk de protocollen filteren is volgens mij niet onmogelijk maar te gecompliceerd om daar een degelijke applicatie van te bouwen.

niekniek schreef op woensdag 18 januari 2006 @ 16:55:
Dat klopt ja, maar onze firewall is hier intern al in staat om op basis van protocol (tcp/udp/gre enzo) en poort te filteren en op basis daarvan traffic control te doen. Op die manier kom je dus een heel eind. Het is natuurlijk geen application level, dan moeten we op de windows tour, die doet het met checksums van executables enzo.

Maar dan pleuren we gewoon de rest dicht, alleen de poorten die de applicatie nodig heeft zetten we open voor de interne ip's die ze nodig hebben.

niekniek schreef op woensdag 18 januari 2006 @ 15:42:
[...]

Uitleg, doe eerst wat meer huiswerk voordat je dat vraagt, dit staat er op de lokiwall site:
- Dual routing (Dual Routing gives you the ability to use two internet connections simultaniously)
- Fail Over (When one of two internet connections goes down, the other takes over the full load)
- Load Balancing (When using two internetconnections the slower one will get less traffic)
- Traffic Control (Traffic control is not yet functional in version 0.1)
- Advanced Masquerading (Gives you the ability to masquerade traffic from certain ip's or subnets (and block certain ip's etc.))
- Advanced DNAT (Portforwarding, virtual server or whatever fancy name u think is best )
- Advanced Marking (to be able to direct certain traffic to a certain interface)

niekniek schreef op donderdag 19 januari 2006 @ 17:44:
[...]


Ik krijg het niet aan de gang Java kan het wel, dat weet ik zeker, maar perl slikt het niet. Hij geeft geen fout, maar je krijgt overal dezelfde inhoud terug, met ', met " en ook met niks eromheen als je begrijpt wat ik bedoel. Iemand een idee??

1
2
3
4
5
6
7
8
9
10
11
12

#!/usr/bin/perl

# vul een hash met waardes
$hash{'foo'}="foo";
$hash{'bar'}="bar";

# sla het adres (de referentie) van de hash op in een array element, dmv de \
$array[0]=\%hash;

# print de waardes in de hash door het adres in de array te derefereren, dmv ->
print $array[0]->{'foo'} . "\n";
print $array[0]->{'bar'} . "\n";

BoAC schreef op vrijdag 20 januari 2006 @ 13:00:
Komen er ook nog configuratie-pagina's aan in een of andere vorm?
Bijvoorbeeld om de firewall te configureren via http oid

v0.?
----
- Web interface
- IPv6

[ Voor 8% gewijzigd door Randal Peelen op 20-01-2006 13:51 ]

Jimmy Pop schreef op vrijdag 20 januari 2006 @ 13:49:
Voorlopig staat een html interface op de plannig voor versie > 0.3, dat plan bestaat dus al en gaat er ook komen.

Staat ook op:
http://lokiwall.sourceforge.net/todo.php

[...]


Verder is het idee van Lokiwall juist dat het mooi simpel is, even uitpakken en het werkt. Of iig, dat zou het moeten doen, dat wordt dus nog getest. Aan een grafische interface heb je niet zoveel als je dat ding eigenlijk maar een keer in hoeft te stellen en alleen maar een paar jaar zijn werk hoeft te laten doen. Mensen die thuis zijn op de commandline, of alleen al in een grafische, simpele, tekstverwerker, zouden hier geen problemen mee moeten hebben.

Anyhow, dat is het idee achter het project, tot nu toe

igmar schreef op woensdag 18 januari 2006 @ 16:52:
Sja.. niks verhinderd mij om SSH over poort 80 te gooien. Dat maakt een firewall al heel wat minder zinnig. Is het gecompliceerd : ja. Is het te doen : Ja.

[ Voor 72% gewijzigd door Verwijderd op 20-01-2006 19:44 ]

Jimmy Pop schreef op vrijdag 20 januari 2006 @ 13:49:
Voorlopig staat een html interface op de plannig voor versie > 0.3, dat plan bestaat dus al en gaat er ook komen.

Staat ook op:
http://lokiwall.sourceforge.net/todo.php

[...]

Verder is het idee van Lokiwall juist dat het mooi simpel is, even uitpakken en het werkt. Of iig, dat zou het moeten doen, dat wordt dus nog getest. Aan een grafische interface heb je niet zoveel als je dat ding eigenlijk maar een keer in hoeft te stellen en alleen maar een paar jaar zijn werk hoeft te laten doen. Mensen die thuis zijn op de commandline, of alleen al in een grafische, simpele, tekstverwerker, zouden hier geen problemen mee moeten hebben.

Maar wie weet staat er ooit iemand op die aan een grafische interface begint, daar is het tenslotte open source voor!

Anyhow, dat is het idee achter het project, tot nu toe

niekniek schreef op maandag 23 januari 2006 @ 16:01:
Heeft iemand hem nu al geprobeerd?? Zo ja, post wat bevindingen! En met proberen bedoel ik dus het daadwerkelijk draaien van het gebeuren.

Ik hoor het wel.

[b]
Een paar maanden geleden ben ik voor mijn afstudeerstage bezig geweest met Perl. Ik zocht ook een soortgelijke functionaliteit. Een oplossing:

code:

1 2 3 4 5 6 7 8 9 10 11 12

#!/usr/bin/perl # vul een hash met waardes $hash{'foo'}="foo"; $hash{'bar'}="bar"; # sla het adres (de referentie) van de hash op in een array element, dmv de \ $array[0]=\%hash; # print de waardes in de hash door het adres in de array te derefereren, dmv -> print $array[0]->{'foo'} . "\n"; print $array[0]->{'bar'} . "\n";

Verwijderd schreef op dinsdag 17 januari 2006 @ 15:59:

We hebben onlangs de eerste release van de firewall uitgebracht en hij heet LokiWall, Loki is de griekse Germaanse god van het vuur dus vandaar .

Hij was een onruststoker die vaak van gedaante veranderde. Hij werd steeds boosaardiger en tenslotte sloten de goden hem op in een grot, waar hij zou blijven tot Ragnarok, het einde van de wereld. Loki verveelde zich daar vreselijk.

Zijn boosaardige inslag kwam misschien voort uit het feit dat zijn ouders reuzen waren. Hij kon het niet laten gewaagde grappen uit te halen en de goden in gevaar te brengen, al redde hij hen vaak ook weer dankzij zijn slimheid.

[ Voor 4% gewijzigd door Joghert op 10-04-2006 16:41 ]

Verwijderd schreef op woensdag 12 april 2006 @ 17:31:
...
In beide gevallen moeten we dat even implementeren maar dat lijkt ons geen probleem... GELD?
...

daft_dutch schreef op woensdag 18 januari 2006 @ 15:04:
Naar mijn weten is Loki een Reus.

Loki- Loki is known as the trickster god, the mischief maker, the father of lies and deceit. Loki is counted among the Æsir gods, but he is not one of them. Some say that he and Odhinn were blood brothers, which is why none of the gods dared to harm Loki, no matter how mischievous and malevolent he becomes. Loki is associated with the hearth fires and over time came to be associated with evil. It was due to Loki that the gods received the gifts of Ilvadi's sons and of Brokk and Sindri. It was due to Loki's words at Ægir's feast and his hand in the death of Balder that the gods finally set out to capture and punish Loki.

Loki (ook Loke of Lopt) is de god van het vuur in de Noorse mythologie en Germaanse mythologie.

Hij was een zoon van Farbauti en Laufey. Hij was een onruststoker die vaak van gedaante veranderde. Hij werd steeds boosaardiger en tenslotte sloten de goden hem op in een grot, waar hij zou blijven tot Ragnarok, het einde van de wereld. Loki verveelde zich daar vreselijk.

Zijn boosaardige inslag kwam misschien voort uit het feit dat zijn ouders reuzen waren. Hij kon het niet laten gewaagde grappen uit te halen en de goden in gevaar te brengen, al redde hij hen vaak ook weer dankzij zijn slimheid.

Verwijderd schreef op woensdag 12 april 2006 @ 17:31:
hoe bedoel je dat precies?
heb je 1 interface waarop beide lans binnenkomen of zijn het 2 interfaces. In beide gevallen moeten we dat even implementeren maar dat lijkt ons geen probleem... GELD?

Beide lans mogen elkaar waarschijnlijk niet zien?

quote: settings

# Allow special hosts (Check the advanced_settings for more configurable options)
ALLOW_SPECIAL_HOSTS=1

quote: advanced_settings

#-----------------------------------
# Hosts to allow
#-----------------------------------
$ALLOW_HOST[0] = "10.0.1.100";

Verwijderd schreef op dinsdag 17 januari 2006 @ 15:59:
[...] Deze firewall is gemaakt omdat wij vonden dat er nog geen firewall was die dualrouting, failover, loadbalancing, QoS, traffic control en nog meer dingen aankon en daarnaast ook nog eens vrij simpel te configureren was. [...]

# ---------------------------------
# DNAT
# ---------------------------------
$DNAT[0][0]="10.0.0.100"; # Ip Address
$DNAT[0][1]="64221"; # Port External
$DNAT[0][2]="64221"; # Port Interal
$DNAT[0][3]="tcp"; # Protocol
$DNAT[0][4]="bond0"; # Interface

niekniek schreef op woensdag 17 mei 2006 @ 22:37:
[...]
Jij gaat nu vanaf je ene LAN naar de firewall toe, dus draait er op de firewall een webserver, en verder kun je dus nergens bij zeg je. Waar dat nu precies in zit weet ik niet, zal wel iets zijn omdat het niet voor LAN bedoeld is ofzo, maar goed, je kunt ff wat custom rules toevoegen, dan ben je d'r ook weer.
[....]
Overigens is je subnet 10.0.0.x zeg je, en het ip in kwestie is 10.0.1.100, dat komt niet helemaal overeen, dat ken ook wat wezen...