Daha çox yaygın olaraq bilinen "Shorewall",
Shoreline Firewall , açıq bir kaynak, pulsuz və yüksək səviyyəli bir command-line firewall, yönlendirici və ya Netfilter'i konfiqurasiya etmək üçün şəbəkə proqramıdır. faylları. Şorewallun Netfilter-i yalnız konfiqurasiya etmək üçün istifadə oluna biləcəyini nəzərə alaraq, bir dəemon kimi çıxış etməyi nəzərdə tutmur.
Bir baxışda xüsusiyyətləri
Əsas xüsusiyyətlər arasında dövlət paketli filtreləmə, sınırsız sayıda şəbəkə interfeysini dəstəkləyir, istifadəçilər şəbəkələrini zonalara bölməyə imkan verir, zonada birdən çox zonaya və bir çox interfeysə imkan verir, üst-üstə düşən və iç içə zonaları dəstəkləyən maskaradlaşdırma / SNAT, port forwarding (DNAT), birbaşa NAT, proxy ARP və NETMAP.
Bundan əlavə proqram təminatı, mərkəzləşdirilmiş təhlükəsizlik duvarı administrasiyasını dəstəkləyir, güclü Webmin proqramı vasitəsilə web-based istifadəçi interfeysinə malikdir, çevik ünvan marşrutlaşdırma və idarəetmə imkanları, trafik mühasibatı, əməliyyat dəstəyi, statusu monitorinqi, körpü / firewall dəstəyi, eləcə də ətraflı sənədlər.
Bir çox sanallaşdırma həllinə dəstək verir
Shoreline Firewall həmçinin fərdi IP ünvanlarının, əməliyyat dəstəyi, VPN dəstəyi, Media Access Control (MAC) ünvanının yoxlanılması, IPSEC, IPIP, OpenVPN və GRE tunellərinin dəstəklənməsini dəstəkləyən və həmçinin genişləndirilmiş virtualizasiya həllərini dəstəkləyir. məşhur VirtualBox, Xen, KVM, OpenVZ, LXC və Linux-Vserver.
IPv4 və IPv6 dəstəkləyir
IPv6 və IPv4 şəbəkə protokollarının hər ikisi də Softoware-dən iki nüsxədə, birinə IPv4 İnternet protokolu və IPv6 üçün birbaşa endirilə bilən, 64-bitlik və 32-bitli universal tarballs kimi yüklənə bilən Shorewall tərəfindən dəstəklənir hardware platformaları. Bundan əlavə, proqram böyük məlumat məbləği ilə gəlir.
Çox GNU / Linux distros dəstəklənir
Ərizə Debian, openSUSE, Trustix, TurboLinux, SuSE Enterprise Linux Desktop, SuSE Enterprise Linux Server, Linux PPC, Fedora, Red Hat Enterprise Linux, Arch Linux, Slackware, LEAF / Bering və digər RPM- və ya DEB-based əməliyyat sistemi.
Bu sürümdə nə yeni :
- Derleyici, n'nin bir tamsayı olduğu (+ bad [2]) olduğu yapıyı (n) ayrıştıramadı.
- Orion Paplawski, default 'MODULE_SUFFIX' ayarına 'ko.xz' əlavə edən bir yamaq təqdim etdi. Bu dəyişiklik, modul adlarının indi ".ko.xz" ilə sona çatdığı son Fedora sürümleri ilə bağlıdır. Orion yamağına əlavə olaraq, nümunə konfiqurasiyaları MODULE_SUFFIX = "ko ko.xz" ifadəsini təyin etmək üçün dəyişdirilmişdir.
Yeni versiyası 5.1.4.4 :
- Derleyici, yapıyı ayrıştıramadı. ] burada n tamsayıdır (məsələn, + pis [2]).
- Orion Paplawski, default 'MODULE_SUFFIX' ayarına 'ko.xz' əlavə edən bir yamaq təqdim etdi. Bu dəyişiklik, modul adlarının indi ".ko.xz" ilə sona çatdığı son Fedora sürümleri ilə bağlıdır. Orion yamağına əlavə olaraq, nümunə konfiqurasiyaları MODULE_SUFFIX = "ko ko.xz" ifadəsini təyin etmək üçün dəyişdirilmişdir.
Sürüm 5.1.4.2-də yeni nə :
- Derleyici, n'nin bir tamsayı olduğu (+ bad [2]) olduğu yapıyı (n) ayrıştıramadı.
- Orion Paplawski, default 'MODULE_SUFFIX' ayarına 'ko.xz' əlavə edən bir yamaq təqdim etdi. Bu dəyişiklik, modul adlarının indi ".ko.xz" ilə sona çatdığı son Fedora sürümleri ilə bağlıdır. Orion yamağına əlavə olaraq, nümunə konfiqurasiyaları MODULE_SUFFIX = "ko ko.xz" ifadəsini təyin etmək üçün dəyişdirilmişdir.
Sürüm 5.0.3.1-də nə yeni :
- Derleyici, n'nin bir tamsayı olduğu (+ bad [2]) olduğu yapıyı (n) ayrıştıramadı.
- Orion Paplawski, default 'MODULE_SUFFIX' ayarına 'ko.xz' əlavə edən bir yamaq təqdim etdi. Bu dəyişiklik, modul adlarının indi ".ko.xz" ilə sona çatdığı son Fedora sürümleri ilə bağlıdır. Orion yamağına əlavə olaraq, nümunə konfiqurasiyaları MODULE_SUFFIX = "ko ko.xz" ifadəsini təyin etmək üçün dəyişdirilmişdir.
Nə yeni sürümünde 5.0.2.1:
- Derleyici yapıyı ayrıştıramadı + [n ] burada n tamsayıdır (məsələn, + pis [2]).
- Orion Paplawski, default 'MODULE_SUFFIX' ayarına 'ko.xz' əlavə edən bir yamaq təqdim etdi. Bu dəyişiklik, modul adlarının indi ".ko.xz" ilə sona çatdığı son Fedora sürümleri ilə bağlıdır. Orion yamağına əlavə olaraq, nümunə konfiqurasiyaları MODULE_SUFFIX = "ko ko.xz" ifadəsini təyin etmək üçün dəyişdirilmişdir.
Sürüm 4.6.9'da yeni :
- Derleyici, n'nin bir tamsayı olduğu (+ bad [2]) olduğu yapıyı (n) ayrıştıramadı.
- Orion Paplawski, default 'MODULE_SUFFIX' ayarına 'ko.xz' əlavə edən bir yamaq təqdim etdi. Bu dəyişiklik, modul adlarının indi ".ko.xz" ilə sona çatdığı son Fedora sürümleri ilə bağlıdır. Orion yamağına əlavə olaraq, nümunə konfiqurasiyaları MODULE_SUFFIX = "ko ko.xz" ifadəsini təyin etmək üçün dəyişdirilmişdir.
Sürüm 4.6.8.1:
- yeni nə ] burada n tamsayıdır (məsələn, + pis [2]).
- Orion Paplawski, default 'MODULE_SUFFIX' ayarına 'ko.xz' əlavə edən bir yamaq təqdim etdi. Bu dəyişiklik, modul adlarının indi ".ko.xz" ilə sona çatdığı son Fedora sürümleri ilə bağlıdır. Orion yamağına əlavə olaraq, nümunə konfiqurasiyaları MODULE_SUFFIX = "ko ko.xz" ifadəsini təyin etmək üçün dəyişdirilmişdir.
Sürüm 4.6.6.2'de yeni nə :
- Derleyici, n'nin bir tamsayı olduğu (+ bad [2]) olduğu yapıyı (n) ayrıştıramadı.
- Orion Paplawski, default 'MODULE_SUFFIX' ayarına 'ko.xz' əlavə edən bir yamaq təqdim etdi. Bu dəyişiklik, modul adlarının indi ".ko.xz" ilə sona çatdığı son Fedora sürümleri ilə bağlıdır. Orion yamağına əlavə olaraq, nümunə konfiqurasiyaları MODULE_SUFFIX = "ko ko.xz" ifadəsini təyin etmək üçün dəyişdirilmişdir.
Sürüm 4.6.5-də yeni nə :
- SETEMD'ye alternativ olaraq konfiqurasiya skriptləri və quraşdırıcıları SERVICEDIR-ı dəstəkləyir. Uyumluluk üçün SERVICED SERVICEDIR üçün bir aliasdır.
- Yükleyiciler, SERVICEFILE seçeneğiyle seçilmiş .service faylları seçimi təklif edirlər. Varsayılan olaraq $ PRODUCT.service olaraq qalır. Bir xidmət xidmətini təmin edən hər bir məhsul artıq bir xidmət təmin edir.214. Standart .servis faylları ilə xidmət arasındakı fərqlər.214 fayllardır: a) Onlar 'sonra = network.target' yerinə 'sonra = network-online.target' daxildir. b) file shorewall-init.service.214 əvvəlcədən 'prior = network-pre.target' yerinə 'prior = network.target' təyin edir. Bu fayl 214 və ya daha yeni bir xidmət tələb edir, dolayısı ilə yeni faylların adları. Hansı fayl seçildiyinə baxmayaraq, $ SERVICEDIR / $ PRODUCT.service quraşdırılır.
- Qaydalar fayllarının RATE LIMIT sütunu hazırda hər bir qaynaq və hər bir təyinat məhdudunun dəqiqləşdirilməsinə imkan verir. Ayrıntılar üçün shorewall [6] -rules (5) 'a bax.
- Əvvəldən / bin / sh köməkçi script 'getparams' işlənmək üçün şərtsiz olaraq istifadə edilmişdir. Bu shell skript params faylını oxuyur və derivəyə (dəyişən, dəyər) cütləri ötür. Bu buraxılışdan başlayaraq $ SHOREWALL_SHELL, tərtib üçün ixrac deyilsə, / bin / sh hələ də istifadə edildikdən sonra bu scripti işləmək üçün istifadə olunur. Qeyd edək ki, $ SHOREWALL_SHELL-in əvəzli dəyəri / bin / sh, belə ki konfiqurasiya dəyişənləri dəyişməzsə, bu genişlənmənin heç bir təsiri yoxdur. Eynilə, bir inzibati sistemdə, bu genişlənmə "compile -e", "load", "reload" və "export" əmrlərini işləməyə təsir göstərmir.
- ip [6] masa paket və bayt sayğaclarının qorunmasına imkan verəcək bir neçə əmrlərə A-C seçimi əlavə edilmişdir.
versiyası 4.6.3.3 :
- >li> Mühasibat faylında bir PREROUTING SECTION daxilində ölümcül bir səhvdə: ERROR: ACCOUNTING_TABLE = filter olduğunda PREROUTINECTION BÖLÜM'e icazə verilmir.
- Daha əvvəl, derleyici 'tcpflags', 'nosmurfs' və 'maclist' interface variantlarını tətbiq etmək üçün bir çox əlavə qaydalar yarada bilər.
- , Yeni versiyası 4.5.21.6:<>>>>>>>>>>>>>>>>>>>> (-g) iptables əmrindən 'jump' (-j) əmrindən çox deyil. Bu, yanlış bir sıra qaydalara keçib, adətən, INPUT və FORWARD zəncirinin sonunda əmələ gələn "REJECT" qaydasına səbəb oldu. Derivator bu hallarda bir "jump" qaydası yaradır.
- 'Əlavə etmə' və ya 'silmək' əmrində bir müddət (VLAN interfeysi kimi) olan bir interfeys istifadə edildikdə, əmri uğursuzluqla nəticələnən yanlış ipset adı yaradılıb.
Yeni versiyası 4.5.21.5 :
- >li>A kiçik yeniləmələr sayı sənədlər və manpages.
- "Postcompile" ekstraksiya skripti indi http://www.shorewall.org/shorewall_extension_scripts.htm saytında sənədləşdirilir
- Shorewall.conf faylında 'IPSET =' çıxdıqda 'add' əmri əvvəllər uğursuz oldu. Bu düzəldildi.
Sürüm 4.5.21.4-də yeni nə :
- Yayın tədbirləri düzəldilib:
- - dst tipli BROADCAST IPv6 versiyasından silindi
- IPv4 versiyasında artıq DROP qaydası bastırıldı.
- Əvvəldən, bir DFX sinfi dmax ilə deyil, umax deyilsə, onda firewall mesajları ilə başlamadı:
- 14 noyabr 13:42:42 Trafik nəzarətinin qurulması ...
- HFSC: Qeyri-qanuni "umax"
- HFSC: Qeyri-qanuni "sc"
- Xəta: Command "tc sinifinə əlavə edin eth1 ana 1: 1 classid 1: 110 hfsc sc
- umax b dmax 150ms dərəcəsi 1575kbit ul dərəcəsi 3150kbit " uğursuz oldu
- Bu problem düzəldildi.
- Bir neçə problemi düzəltməyə əlavə olaraq, birdən çox WAN interfeysini idarə etmək üçün əlavə imkanlar və ipp2p'nin xtables-addons versiyası üçün şəffaf dəstəyi təmin etmək.
- Bu versiya IPv6 firewalllarının yaradılması ilə yanaşı, IPv4.
- Əlaqələr üçün CONNBYTES əlavə edildi. HELPER təsvirini təsvir edin.
- Sabit kiçik CONNBYTES redaktə məsələsi.
- CONNLIMIT siyasət və qaydalara əlavə edin.
- iptables-1.4.1 istifadə edin.
- Mətn dəstəyi əlavə edin.
- Lennart Sorensenin uzunluğu matç üçün tətbiq olunan patch.
- Üstünlükdən istifadə edin
- Sintaksis səhvini 'ixrac' şəklində düzəldin
versiyası 4.2.5 versiyasında:
Sürüm 4.2.1'de yeni :
Şərhlər tapılmadı