Implementing a Distributed Firewall

Вопросы программного кода и архитектуры Linux

Модератор: Olej

Аватара пользователя
Olej
Писатель
Сообщения: 21338
Зарегистрирован: 24 сен 2011, 14:22
Откуда: Харьков
Контактная информация:

Re: Implementing a Distributed Firewall

Непрочитанное сообщение Olej » 15 авг 2015, 11:22

Olej писал(а): Ну, вот, собственно, и всё:
Как сам проект Distributed Firewall этот вряд ли представляет интерес, его ещё доводить и доводить до ума...
Да и вообще, идея Distributed Firewall, высказанная в начале 2000-х и активно обсуждавшаяся, похоже, так и не нашла практического продолжения.
Потому как, главным образом, думаю, такой фаервол контролирует только коннекты по протоколу TCP, другие протоколы уровня L4 (UDP, SCTP, и т.д.) остаются вне контроля.
Для очень крупных сетей с распределённой и централизовано контролируемой политикой это могло бы иметь место ... но, похоже, что крупные корпоративные сети предпочитают строить как замкнутые структуры, с ограниченным числом шлюзов "вовне", и контролем на этих шлюзах с помощью NAT и iptables.

Но в кодах проекта мне понравилось и было очень интересно:
1. проделать всю технику замещения любого системного вызова Linux, с вставкой своего контролирующего кода и использованием замещённого оригинального обработчика ... то, что в публикациях называют невозможным;
2. разгребание именно 17-ти сетевых-сокетных системных вызовов, которые на архитектуре i386 делаются, как оказалось, совершенно через задницу;

Возможно этот код кому-то пригодится в последующих проектах.

Ответить

Вернуться в «Linux изнутри»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 6 гостей