Vuurmuur — боевые коты на страже вашей сети / Linux для всех / Хабрахабр

Vuurmuur — боевые коты на страже вашей сети

Vuurmuur — за таким «кошачьим» именем скрывается довольно мощная GUI надстройка для iptables. Основным отличием от других iptables-надстроек является наличие консольного интерфейса написанного на Ncurses. Поэтому администрирование всё также легко возможно посредством SSH или консоли. Vuurmuur умеет работать с шейпингом, поддерживает функции мониторинга трафика, ведёт отдельные логи, прекрасно работает как на 2.4 так и на 2.6 ядрах и даже «говорит» на русском.

Возможности

Администрирование

как всегда — знания iptables не требуются. Совсем :)
понятный обычному человеку синтаксис правил
шейпинг
Ncurses GUI, нет необходимости в X Window.
легкое перенаправление портов
легкая настройка NAT
безопасная политика по-умолчанию
полное управление через ssh или консоли (в том числе через PuTTY для Windows)
скрипты для интеграции с другими инструментами
возможность сборки bash-скрипта для установки правил iptables на системе без vuurmuur
средства противодействия IP-спуфингу
возможность обрыва нежелательных соединений
работа со Snort с помощью QUEUE или NFQUEUE
поддерживаемые языки: английский, немецкий, норвежский, французский, голландский, португальский и русский
понятная и удобная справка на русском

Мониторинг

удобный просмотр логов в реальном времени
удобный просмотр соединений в реальном времени
фильтрация при просмотре логов
базовый подсчёт трафика
поиск по старым логам

Учёт

аудит: все изменения записываются
запись всех новых соединений и подозрительных пакетов
подсчёт трафика

Установка

Gentoo

emerge -av layman

layman -f && layman -a sunrise

ACCEPT_KEYWORDS="~ARCH" emerge -av net-firewall/vuurmuur

Debian/Ubuntu

#Debian

echo "deb ftp://ftp.vuurmuur.org/debian/ etch main" >> /etc/apt/sources.list

#Ubuntu

echo "deb ftp://ftp.vuurmuur.org/ubuntu/ feisty main" >> /etc/apt/sources.list



apt-get update

apt-get install libvuurmuur vuurmuur vuurmuur-conf

Для любителей ручной установки: deb-пакеты лежат на официальном FTP

Картинки

Просмотр логов

Просмотр соединений

Просмотр трафика

Правила

Шейпинг

Мультики

Добавление интерфейса
Добавление зоны
Добавление правил
Добавление хоста
Добавление перенаправления
Добавление службы

+94

9 марта 2010, 13:49

272

UUSER

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

комментарии (73)

iTNitro 9 марта 2010, 14:22 #

Спасибо за обзор, в закладки.

dragomirka 9 марта 2010, 23:08 # ↑

попробуйте ferm

–1

gigimon 9 марта 2010, 14:42 #

классненько

НЛО прилетело и опубликовало эту надпись здесь

trak 10 марта 2010, 10:50 # ↑

Ну что Вы такой зануда, ну честное слово! Для консоли самое то!

trak 10 марта 2010, 11:11 # ↑

Ну не знаю, меня ГУИ мало интересуют. На них тяжело с телефона зайти по GPRS (ну можно конечно, но консоль как-то роднее).

UUSER 10 марта 2010, 11:13 # ↑

Тогда линукс перестанет быть линуксом. Иксы затолкают в ядро и появятся мышевозные линукс-админы. Тогда я наверное уйду на Hurd какой-нибудь :)

Kastrulya 10 марта 2010, 16:16 # ↑

"#" в консоли — наше все!

gigimon 10 марта 2010, 18:52 # ↑

Бр, а зачем iptables крутой GUI? Его обычно 1 раз настраивают и забывают. Я так вообще, ручками в текстовый файлик до сих пор пишу, и ничего

mihmig 11 марта 2010, 06:46 # ↑

Ну вот реальная задача:
ВРЕМЕННО отключить на роутере один хост от интернета (или же ВРЕМЕННО зарезать канал) БЕЗ использования iptables -F .
Здесь, как я понял, можно просто в одном из полей сменить Yes на No.

gigimon 11 марта 2010, 12:38 # ↑

И как эта система делает это? Точно также, делает -F наверняка. Тогда что вам мешает скопировать ваши правила, заблочить хост, а потом его же включить? В общем я проблемы не понимаю :) К тому же, iptables чаще всего настраивается раз и надолго

mihmig 13 марта 2010, 14:48 # ↑

при -F рвутся все установленные соединения?

lavi 10 марта 2010, 22:41 # ↑

Если надо по SSH зайти — самое то! Не для того роутер нужен, чтобы в нем X поднимать или веб-сервер вешать! Отличная штука!

bogolt 9 марта 2010, 16:36 #

> Err ftp://ftp.vuurmuur.org jaunty/main Packages
> Unable to fetch file, server said ‘Failed to open file. ’

(жалобно) дяденька, а для x64 сборки будут?

NickyX3 9 марта 2010, 18:32 # ↑

угу
ребята забыли сделать сборочку для x64

ave44100 9 марта 2010, 20:48 # ↑

vuurmuur уже есть в unstable-ветке дебиана.

DoctorMozg 9 марта 2010, 17:03 #

О, больше гуёв хороших и разных)) Давно подумывал что-нить по IPTABLES такое найти, а то для меня, как для неадмина, настраивать его была сущая морока.

KEP 9 марта 2010, 17:03 #

Порадовало то, что «знания iptables не требуются :)» Пойду протестю, а то пока нат настроил в консоли, пришлось покурить немного мануалов

mihmig 10 марта 2010, 13:24 # ↑

Но ведь «выкуренные» Вами маны выкурены Вами не зря, в отличие от сигарет?

KEP 10 марта 2010, 13:46 # ↑

Это точно, сигареты нужно бросать :) Эка Вы о сигаретах вовремя вспомнили — я как раз задумался об очередной попытке бросить ))

fozzy 9 марта 2010, 17:05 #

>понятный обычному человеку синтаксис правил
А чем он непонятен без гуев?

EvilShadow 9 марта 2010, 20:29 # ↑

Призовите в топик бсдшников, они могут долго на эту тему говорить

ArtyV 9 марта 2010, 17:11 #

Пробовал Firewall Builder, как-то не сложилось, слишком запутанно. Посмотрим что тут: )

krl82 9 марта 2010, 17:12 #

Хабраэффект!!!

bondbig 9 марта 2010, 17:13 #

похоже сайт проекта под хабраэффектом — картинки перезалейте куда-нибудь, очень плохо открываются.

ArtyV 9 марта 2010, 17:18 #

Похоже всё прилегло у них: D

ironviper 9 марта 2010, 17:36 #

Ушло в избранное, спасибо.

VIskander 9 марта 2010, 17:37 #

Удобная надстройка, использую на домашнем сервере с CentOS примерно больше полу года. За это время были небольшие проблемы с логами и шейпером, но эти проблемы решались в короткие сроки.

bigdogsru 9 марта 2010, 18:21 # ↑

В репозиториях CentOS этой штуки нету — не подскажете, какие у нее зависимости?

VIskander 9 марта 2010, 18:46 # ↑

К сожалению, уже не помню. Помню только, что поставилось все без особых проблем.

vadv 9 марта 2010, 19:11 # ↑

Скажите, а там есть MAC фильтр из коробки?

UUSER 9 марта 2010, 19:13 # ↑

Да.

VIskander 9 марта 2010, 19:21 # ↑

Вроде, нет. Точно сказать не могу, т.к. сейчас не дома.

Spavvn 9 марта 2010, 17:44 #

Эй! Я хотел посмотреть на мультики с боевыми котами! :(

ready_pro 9 марта 2010, 17:53 #

А могли бы про шейпинг чуть подробнее?

smartly 9 марта 2010, 18:26 #

Поставил и глянул. Синтаксис iptables действительно знать не надо. Теперь надо знать синтаксис vuurmuur. Поменяли шило на мыло.

VIskander 9 марта 2010, 19:25 # ↑

По крайней мере разобраться в вурмуре легче, чем в iptables, учитывая что в ней есть хелп на русском. Самое то для новичков.

smartly 9 марта 2010, 19:29 # ↑

А работать оно потом будет после новичка?

VIskander 9 марта 2010, 19:33 # ↑

Новички разные бывают…

swibl 9 марта 2010, 18:44 #

>шейпинг

iproute2?

g0dlike 9 марта 2010, 19:22 # ↑

[telepate mode on]
HTB?

ipdemon 9 марта 2010, 19:15 #

Вы видели в какое месиво он превращает /etc/sysconfig/iptables?

bogolt 9 марта 2010, 23:38 # ↑

а вы видели в какое мессиво превращается скомпиленный си код после обработки его компиляторами?

это плата за новый уровень абстракции

ipdemon 9 марта 2010, 23:58 # ↑

Тот кто будет работать после Вас, будет иметь дело с исходниками, а не с скомпилеными файлами. Тот кто будет (вероятно) работать с сервером ~~проклянёт страшным админским проклятием~~ будет как минимум удивлён такой забавной конфигурацией фаервола.

lavi 10 марта 2010, 22:45 # ↑

Это да… По-прежнему ручки и "# — эту хню не понял, но написал----" решают! Хотя для быстрой настройки «на первое время» может и хватит. А вообще есть Shorewall+Webmin.

Yur4eg 9 марта 2010, 19:18 #

Эх мне бы утилитку такую, чтобы задаешь интерфейс и порт откуда прийдет пакет и она бы показывала на каком правиле у меня этот пакет дропнется. Или не дропнется.

Nks 9 марта 2010, 20:01 #

Быть может есть что-нибудь подобное для ipfw? :)

ipfw 9 марта 2010, 22:12 # ↑

Да там синтаксис ну очень простой, даже новичку не составит труда разобраться за часик-другой.
А вот для шейпера подобную приблуду иметь хочеться…

Nks 9 марта 2010, 23:07 # ↑

Ну просто руки до него ещё не дошли. Осваиваю пока что основы основ. Вот завтра и думаю им заняться.

facha 9 марта 2010, 22:29 #

Сразу же после запуска добавились 100 с лишним правил iptables, которые никто не заказывал о_О.
Пока vaarmuur единственный хозяин фаервола на компе, ничего страшного не произойдет. Но что, если вам по каким-либо причинам потребуется одновременно использовать 2,3 такие vaarmuur-оподобные умные проги, которые сами знают, какие правила куда вам нужно вписать? Незамедлительно прийдет осознание того, что вместе заставить их работать будет сложно, того, что юникс-вей рулит, и того, что нужно было сразу разбираться в iptables.

EvilShadow 10 марта 2010, 17:16 # ↑

Правила, которые создаёт shorewall, тоже слегка пугают. А разберёшься — оказывается, что многие весьма толковы.

xReaper 10 марта 2010, 00:12 #

А оно поддерживает динамические интерфейсы? Ну например когда у нас есть eth0 eth1 > Bond0
+ Heartbeat add Bond0:0 when active node?

yktoo 10 марта 2010, 01:07 #

Не знаю, при чём тут коты, но название с голландского на английский дословно переводится просто как firewall. Vuur — «огонь», muur — «стена» :)

UUSER 10 марта 2010, 10:46 # ↑

Веришь, искал… но так и не понял от какого языка плясать. Поэтому решил сыграть на «фонетике» :)

Dennis 10 марта 2010, 01:55 #

Хорошо сделано, а главное что не надо никакого GDM для полноценной работы с таким продуктом, все прямо из консоли, как и должно быть на настоящем боевом серваке.

lnking 10 марта 2010, 10:46 # ↑

На настоящем боевом серваке все должно быть просто и аскетично :)
vi достаточно, iptables не такой уж и сложный

UUSER 10 марта 2010, 10:50 # ↑

ed и ipchains.
echo и ipfwadm.

игра в «Кто более трушный» :)

lnking 10 марта 2010, 10:56 # ↑

Не игра, безусловно. Каждый выбирает для себя наиболее приемлемый инструмент.
Конкретно этот инструмент не показался мне прозрачным и понятным для новичка.

UUSER 10 марта 2010, 11:09 # ↑

Как выше уже написали: «Новички, они разные». Кому-то голый iptables, кому-то narc или ferm, кому-то FireHOL или shorewall, некоторым fwbuilder какой-нибудь покажется милей всего (брр.). Короче, я лично за альтернативу и стараюсь просто показать некоторые инстрУменты, а использовать их или нет, конечно, каждый решает сам.

У всех этих надстроек (наверное, кроме долгожителя shorewall) одна беда — старость :) Через какое-то время они перестают обновляться и не знают как вести себя с iptables более свежей версии. Поэтому лучше иметь в запасе несколько кандидатов в нашлёпки, если нежелание учить синтаксис iptables патологичное.

metrofun 10 марта 2010, 02:57 #

Спасибо, как раз давная программа оказалась очень актуальной для меня

trak 10 марта 2010, 10:48 #

Сочни! Мжвячни!

Спасибо, в смысле. Поставил себе смотрю, что да как.

trak 10 марта 2010, 10:59 #

Какая-то шляпа с кодировкой помощи. Весь интерфейс переводится по локали. А справка кракозябрами остается.

lnking 10 марта 2010, 11:18 # ↑

ubuntu-server jaunty
локаль utf-8
вообще набор спецсимволов вместо интерфеса :(

UUSER 10 марта 2010, 11:21 # ↑

Gentoo x64, ru_RU.UTF8, vuurmuur-0.8_beta2

Всё хорошо. Может у вас версия пониже?

tishka87 10 марта 2010, 11:10 #

ставил, щупал, работало) В итоге перешёл на shorewall, он как-то логичней…

vazik 10 марта 2010, 11:13 #

Это ужасно. Жуткое месиво в конфигах. Надо использовать чистый iptables + iproute
На совсем крайний случай — ufw

mihmig 10 марта 2010, 14:24 #

Unpacking libvuurmuur0 (from .../libvuurmuur0_0.7+debian-1_i386.deb)…
dpkg: error processing /var/cache/apt/archives/libvuurmuur0_0.7+debian-1_i386.deb (--unpack):
trying to overwrite '/etc/vuurmuur/plugins/textdir.conf', which is also in package libvuurmuur 0:0.6-1
dpkg-deb: subprocess paste killed by signal (Broken pipe)
Errors were encountered while processing:
/var/cache/apt/archives/libvuurmuur0_0.7+debian-1_i386.deb
E: Sub-process /usr/bin/dpkg returned an error code (1)

–3

posix 14 марта 2010, 12:00 #

хуета

den_rad 24 мая 2010, 02:59 #

Нет пакета под Ubuntu 10.04, это конечно не есть гуд.

BigD 26 ноября 2010, 17:42 # ↑

Под 10.10 server легко встал через apt-get

DaHacka 23 ноября 2010, 08:38 #

Очень полезная штука на мой взгляд, все наглядно, это мне нравится )
В закладки и на установку =)

Linux для всех