[Uneex] Спецкурс «Межсетевые экраны в …»
George Kouryachy
frbrgeorge на gmail.com
Пн Фев 10 17:05:26 MSK 2014
Всем привет!
Думаю в начавшемся семестре в какой-то степени воспроизвести спецкурс по МЭ.
В узкой (https://uneex.ru/LecturesCMC/UnixFirewalls2009) или
расширенной (https://uneex.ru/LecturesCMC/Firewall2005) форме — я пока
не решил, и в этом вопрос.
Поясню: если firewall — это (цитирую самого себя) «ограничение,
перенаправление, преобразование и отслеживание сетевого трафика», то
_разумеется_ одними только iptables/nftables/pf/ipfw/npf дело
совершенно не исчерпывается. Но в этом случае очень легко свалиться в
перечисление всевозможных способов жевать трафик и соответствующих
инструментов. Или жёстко фильтровать темы. Вот курс 2005 года был
принципиально такой кусочками, но этого не хочется.
С другой стороны, если ограничиться только объёмом, скажем, PF
(сетевой и транспортный уровни), то можно рассказать о том, как одна и
та же задача решается разными инструментами. Это поможет слегка
просветлиться народу, изначально далёкому от понимания это самой
задачи (на самом деле именно её труднее всего понять, читая
документацию по инструментам). Так устроен курс 2009 года. Он
получился интересный.
Первый вариант можно отфильтровать так: принципиально рассказывать про
именно Linux-based системы. В этом случае iptables окажется
практически один в ряду «ebtables - iptables - tc/ipsec и др -
прикладные жевалки - shorewall и подобные». Одну-две-три подсистемы из
каждого уровня можно разобрать подробнее и даже реализовать на стенде
(если не ограничиваться Linux, это уже будет зоосад, а не стенд). Про
остальное только упомянуть. Но как объяснять файрволлы без PF? Не
побоюсь этого слова, _не начиная с_ PF?
Вот такие три пути вырисовываются:
1. Систематичный, но поверхностный обзор: что можно сделать с трафиком
2. Задачи МЭ на примере сравнительного изучения различных реализаций
TCP/TP firewall
3. Межсетевые экраны в Linux, как они есть
Что посоветуете? Я бы даже предложил собраться в пятницу в 18:00 на
факультете для обсуждения, если я не приму решения раньше.
--
George V. Kouryachy (aka Fr. Br. George)
Подробная информация о списке рассылки Uneex