Autenticação no Iptables
Projeto NuFW promete autenticação de pacotes que passam pelo seu Firewall Linux. Talvez isto seja um problema para você, como é para mim hoje. Esta ferramenta, acoplada ao iptables, torna seu Firewall Linux ainda mais poderoso.
[ Hits: 37.858 ]
Por: Alan Cota em 19/03/2005
O Projeto NuFW
O Projeto NuFW (http://www.nufw.org) é uma suíte de autenticação que se acopla ao iptables no Linux. A idéia é autenticar o usuário que está tentando acessar o recurso, jogando o pacote que está entrando no firewall para uma fila. Após a autenticação ser feita, podendo-se utilizar diretórios LDAP, o pacote irá para o filtro iptables caso a autenticação seja válida e constatada que aquele usuário realmente tem acesso ao recurso solicitado.
Atualmente o daemon roda em Linux e possui clientes gratuitos para Linux e Windows.
1. Autenticar toda conexão que passa pelo seu firewall, ou apenas vinda ou indo a algum determinado ponto, ou por um protocolo específico, etc.
2. Permitir que seja realizada uma contagem, roteamento e QoS (Quality of Service) baseado em um usuário e não somente em endereços IP.
3. Filtrar pacotes com um maior detalhamento, como por sistema operacional do usuário que está se conectando, ou alguma aplicação.
4. Implementar SSO (Single Sign On).
5. É um software escalável, que se divide em 2 daemons que podem ser colocados em diferentes sistemas operacionais, onde o daemon principal (responsável pela autenticação) é totalmente multithread.
6. É um software modular, onde a autenticação dos usuários e as ACL (Access Control List) podem ser acessadas via LDAP, clean text, dbm, system, etc.
7. NuFW é um software aberto, liberado sob a GNU GPL.
Atualmente o NuFW possui clientes para Linux e Windows, ambos em uma janelinha típica do MS-DOS. Porém a empresa INL (http://www.inl.fr/article.php3?id_article=26) já fabrica um cliente totalmente Win32, visual, que pode ser instalado e melhor administrado caso os clientes remotos sejam máquinas Windows.
Este projeto traz uma enorme revolução aos firewalls iptables, pois com o passar do tempo, simples firewalls que fazem apenas filtro, podem se tornar servidores poderosos de VPN client-to-site, onde o foco será o usuário e não só o pacote que está passando pelo gateway.
Hoje esta funcionalidade de VPN é incorporada em apenas alguns firewalls comerciais, como o Firewall-1 da Checkpoint, BorderManager da Novell, ISA Server da Microsoft, NetScreen da Juniper, dentre outros. Todos com um altíssimo custo, se o interesse do comprador for a VPN.
Eu montei um laboratório aqui e estou testando exaustivamente o NuFW. Espero em breve postar um artigo contendo um guia completo de implementação, mas por enquanto eu só queria mesmo é divulgá-lo para vocês!
Um abraço e até a próxima.
Atualmente o daemon roda em Linux e possui clientes gratuitos para Linux e Windows.
Características do NuFW
1. Autenticar toda conexão que passa pelo seu firewall, ou apenas vinda ou indo a algum determinado ponto, ou por um protocolo específico, etc.
2. Permitir que seja realizada uma contagem, roteamento e QoS (Quality of Service) baseado em um usuário e não somente em endereços IP.
3. Filtrar pacotes com um maior detalhamento, como por sistema operacional do usuário que está se conectando, ou alguma aplicação.
4. Implementar SSO (Single Sign On).
5. É um software escalável, que se divide em 2 daemons que podem ser colocados em diferentes sistemas operacionais, onde o daemon principal (responsável pela autenticação) é totalmente multithread.
6. É um software modular, onde a autenticação dos usuários e as ACL (Access Control List) podem ser acessadas via LDAP, clean text, dbm, system, etc.
7. NuFW é um software aberto, liberado sob a GNU GPL.
Atualmente o NuFW possui clientes para Linux e Windows, ambos em uma janelinha típica do MS-DOS. Porém a empresa INL (http://www.inl.fr/article.php3?id_article=26) já fabrica um cliente totalmente Win32, visual, que pode ser instalado e melhor administrado caso os clientes remotos sejam máquinas Windows.
Este projeto traz uma enorme revolução aos firewalls iptables, pois com o passar do tempo, simples firewalls que fazem apenas filtro, podem se tornar servidores poderosos de VPN client-to-site, onde o foco será o usuário e não só o pacote que está passando pelo gateway.
Hoje esta funcionalidade de VPN é incorporada em apenas alguns firewalls comerciais, como o Firewall-1 da Checkpoint, BorderManager da Novell, ISA Server da Microsoft, NetScreen da Juniper, dentre outros. Todos com um altíssimo custo, se o interesse do comprador for a VPN.
Eu montei um laboratório aqui e estou testando exaustivamente o NuFW. Espero em breve postar um artigo contendo um guia completo de implementação, mas por enquanto eu só queria mesmo é divulgá-lo para vocês!
Um abraço e até a próxima.
Páginas do artigo
1. Introdução2. O Projeto NuFW
Outros artigos deste autor
Por que o Linux é uma melhor opção comparado ao Windows?
Certificações Novell para Linux
Administrando bancos MySQL com phpMyAdmin
Gerenciando regras de Iptables com Firewall Builder (parte 2)
Leitura recomendada
Como construir um firewall de baixo custo para sua empresa (parte 2)
Iptables 1.3.4 com Layer 7 e Kernel 2.6.14 no Debian 3.1
Revisão atualizada de instalação do Iptables com Layer7
Controlando 2 links de internet (roteados) em um gateway Linux com SQUID
Servidor Firewall-Proxy utilizando CentOS, IPtables, Squid, DHCP, DNS e outros
Comentários
[1] Comentário enviado por pistosbo em 21/03/2005 - 08:28h
Ae isso deveria ser uma dica e não um artigo !!! acho que vc deveria ter realizado testes e explicado a instalação.
Ae isso deveria ser uma dica e não um artigo !!! acho que vc deveria ter realizado testes e explicado a instalação.
[2] Comentário enviado por shocker em 21/03/2005 - 09:17h
Obrigado por seu comentário, mais eu acho que um artigo não deve ser um passo a passo, e sim um comentário (técnico ou não) a respeito de algo. E foi o que eu fiz.
Um abraço.
Obrigado por seu comentário, mais eu acho que um artigo não deve ser um passo a passo, e sim um comentário (técnico ou não) a respeito de algo. E foi o que eu fiz.
Um abraço.
[3] Comentário enviado por mrluk em 21/03/2005 - 10:12h
Concordo com o pistosbo, ta mais com cara de dica, mas após estudos e aplicação, poderia facilmente virar um artigo. Mas o site possue moderadores de conteúdo, se o artigo foi aprovado é pq atende aos critérios do VOL.
De qualquer maneira, o NuFW me parece ser um excelente projeto! Parabéns pela contribuição!
Concordo com o pistosbo, ta mais com cara de dica, mas após estudos e aplicação, poderia facilmente virar um artigo. Mas o site possue moderadores de conteúdo, se o artigo foi aprovado é pq atende aos critérios do VOL.
De qualquer maneira, o NuFW me parece ser um excelente projeto! Parabéns pela contribuição!
[4] Comentário enviado por farra_br em 21/03/2005 - 13:58h
Pistosbo, o cara coloca uma dica legal e vc ainda reclama?? Pq vc não pega essa dica e estuda. Vc deve ser daqueles que adora coisa pronta e fica falando pra todo mundo que saber fazer isso ou aquilo mas na verdade só cola dos outros.
Sem comentários....
Pistosbo, o cara coloca uma dica legal e vc ainda reclama?? Pq vc não pega essa dica e estuda. Vc deve ser daqueles que adora coisa pronta e fica falando pra todo mundo que saber fazer isso ou aquilo mas na verdade só cola dos outros.
Sem comentários....
[5] Comentário enviado por pistosbo em 22/03/2005 - 11:24h
Karo farra_br vc mesmo o disse uma "dica legal", e concordo plenamente com vc que seja uma "dica legal", mas como artigo infelizmente fikou a desejar.
Mas mesmo assim parabens pelo artigo.
Abraços
Karo farra_br vc mesmo o disse uma "dica legal", e concordo plenamente com vc que seja uma "dica legal", mas como artigo infelizmente fikou a desejar.
Mas mesmo assim parabens pelo artigo.
Abraços
[6] Comentário enviado por removido em 27/03/2005 - 00:06h
Autenticação no iptables é um recurso muito bom, mas eu acho que já havia um negócio parecido, as opções de "owner":
iptables -p tcp --dport 80 -m owner --uid-owner 200 -j LOG --log-prefix "Joãozinho, de UID 200, está tentando acessar um site."
Há também as opções --gid-owner para o GID, --sid-owner para o SESSION ID (alguém sabe o que é isso?) e o --pid-owner para o PID a ser liberado (tipo, se o Apache tiver PID 3096 libera, senão segue para a próxima regra)
[]'s
Max
Autenticação no iptables é um recurso muito bom, mas eu acho que já havia um negócio parecido, as opções de "owner":
iptables -p tcp --dport 80 -m owner --uid-owner 200 -j LOG --log-prefix "Joãozinho, de UID 200, está tentando acessar um site."
Há também as opções --gid-owner para o GID, --sid-owner para o SESSION ID (alguém sabe o que é isso?) e o --pid-owner para o PID a ser liberado (tipo, se o Apache tiver PID 3096 libera, senão segue para a próxima regra)
[]'s
Max
[7] Comentário enviado por agk em 31/03/2005 - 17:33h
Parabéns, muito bom o artigo, não sei do que estão reclamando. As informações estão aí, quem quiser saber mais que estude, se aprofunde no assunto. Jamais pensem que um artigo vai esgotar determinado assunto, pois isso nunca vai acontecer, no meu ponto de vista um artigo serve para explanar determinado assunto e gerar interesse em se pesquisar mais sobre ele.
[ ]'s.
Parabéns, muito bom o artigo, não sei do que estão reclamando. As informações estão aí, quem quiser saber mais que estude, se aprofunde no assunto. Jamais pensem que um artigo vai esgotar determinado assunto, pois isso nunca vai acontecer, no meu ponto de vista um artigo serve para explanar determinado assunto e gerar interesse em se pesquisar mais sobre ele.
[ ]'s.
[8] Comentário enviado por Mcloud em 06/02/2007 - 08:24h
Tão confundindo Artigo com Tutorial...
Parabéns, a informação foi muito relevante...
Abraços...
Tão confundindo Artigo com Tutorial...
Parabéns, a informação foi muito relevante...
Abraços...
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Como gerar um podcast a partir de um livro em PDF
Automatizando digitação de códigos 2FA no browser
Resolver problemas de Internet
Como compartilhar a tela do Ubuntu com uma Smart TV (LG, Samsung, etc.)
Dicas
Como Instalar o Microsoft Teams no Linux Ubuntu
Músicas de Andrew Hulshult no DOOM (WAD)
Instalar o Apache, MySQL e PHP no Oracle Linux 8
Bloqueando telemetria no Deepin 23.1
Como converter imagens PNG/JPEG para SVG em linha de comando
Tópicos
Top 10 do mês
-
Xerxes
1° lugar - 74.867 pts -
Fábio Berbert de Paula
2° lugar - 57.055 pts -
Buckminster
3° lugar - 19.621 pts -
Mauricio Ferrari
4° lugar - 17.448 pts -
Alberto Federman Neto.
5° lugar - 15.297 pts -
Daniel Lara Souza
6° lugar - 14.357 pts -
Diego Mendes Rodrigues
7° lugar - 13.744 pts -
edps
8° lugar - 13.683 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 13.377 pts -
Andre (pinduvoz)
10° lugar - 10.768 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
