» Endian Firewall - Прокси на Linux с кучей возможностей

Endian Firewall http://www.efw.it/
Endian Firewall is a "turn-key" linux security distribution initially based on IpCop that turns every system into a full featured security appliance. The software has been designed with "usability in mind" and is very easy to install, use and mange, without loosing its flexibility.

The features include a stateful packet inspection firewall, application-level proxies for variuos protocols (HTTP, POP3, SMTP) with antivirus support, virus and spamfiltering for email traffic (POP and SMTP), content filtering of Web traffic and a "hassle free" VPN solution (based on OpenVPN). The main advantage of Endian Firewall is that it is a pure "Open Source" solution that is commercially supported by Endian.

Основные возможности:
Base Module - Endian Firewall 1.1
- Firewall (statefull inspection)
- Outgoing Firewall
- IPSec Gateway to gateway VPN
- IPSec Remote client to gateway VPN (roadwarrior)
- NAT
- Multi-IP address support (aliases)
- Dynamic DNS
- DMZ support
- HTTPS Web Interface
- Detailed network traffic graphs
- View currently active connections
- Event log management
- Log redirection to external server
- Server DHCP
- Server NTP
- Traffic Shaping / QoS
- Transparent POP3 antivirus/antispam proxy
- Transparent HTTP proxy
- Web Proxy with local users, windows domain, samba, LDAP, radius server management
- Intrusion Detection System
- ADSL modem support
- Configuration backup and restore
- Remote update
- SIP VoIP Proxy *NEW!*

Web Content Filter Module - Endian Firewall 1.1
- URL filter
- Web content analysis/filter
- Whitelists and blacklists management
- Web surfing time limits

Advanced Antivirus Module - Endian Firewall 1.1
- HTTP Antivirus
- Endian Security Tools for Windows Desktop
- Transparent SMTP antivirus/antispam proxy

Полное описание возможностей http://www.efw.it/wiki/Features

Release Name: 1.1-rc7

Notes:
- smtp ingoing/outgoing proxy with spamfilter/antivirus/greylisting/file extension filtering
- mail statistics and queue management
- http proxy access based on ldap/ntlm/ad groups
- multiple interfaces per zone (as bridges)
- modular and extensible redesign of red dialin script
- ISDN support
- support for NO red (NONE)
- added iptables rules package
- redesign of logviewer (with regexp filtering)
- added ftp proxy (frox)
- dhcp blocking on openvpn tunnels
- unattended installation support
- moved from yum to smartpm
- added HAVP
- faster installation
- Show add/edit fields only in edit/add mode
- added linserv
- change root passwort from the GUI
- added custom fields for dhcp configs
- Support for DynDNS working behind NAT

Добавлено:
Release Name: 1.1-rc8

Notes:
- many bugfixes
- Custom safe SSL ports field added to HTTP
- Added whitelist to havp antivirus
- Added option for http proxy on orange
- Added option for frox on orange
- Blacklist/Whitelist (Sender,Recipient,Client) for SMTP proxy
- RBL support added to smtp proxy
- spam/ham training by forwarding spam/ham as attachement to spam@spam.spam/ham@ham.ham
- added option for popscan on orange
- added clamav logviewer

http://prdownloads.sourceforge.net/efw/EFW-1.1rc8.iso?download

Endian Firewall 2.0


- HTTP Antivirus now supports video/music streaming useragents,
so HTTP virus scanning does not prohibit streaming.
- ClamAV Antivirus Engine updated to the latest release.
- ClamAV Antivirus Engine now configurable via Web Administration Interface
- Outgoing Firewall enhancements
- Outgoing Firewall supports TCP, UDP, TCP+UDP, ESP and GRE
- Outgoing Firewall Services Selector, pre-defined ports of popular services now selectable
- Changes to firewall logging was done to ensure compliance with European Privacy Law
- Better configuration of firewall logging
- SMTP Proxy now supports authentication against IMAP server
- SMTP Proxy now supports the ability to change the HELO command
- Security fixes
- Bug fixes
- PING Flood protection
- Ability to log portscans
- Usability fixes to the web administrative interface

ENDIAN FIREWALL COMMUNITY 2.1 - Release Notes

GUI:
* checkboxes instead of multiselect selectboxes within network wizard
* actual selection will be marked with the respective colors within network wizard
* http ssl certificate will only be generated if the host or
domainname is changed
* logwatch displays more information
* MTU of an uplink is now configurable
* MAC address of an uplink ethernet device is now configurable (spoofable)
* linked help button to respective html pages of our documentation
* updated documentation
* added logoff button!
* dialogues can now differentiate between warning/notification/error messages
* GUI now uses gettext(), which allows individuals to help creating translations
by using https://launchpad.net/products/efw/trunk/+pots/efw
* added option to bypass the http transparent proxy for
specific source/destination ip/networks/mac addresses
* added remark field on dhcp fixed leases configuration


VPN:
* openvpn allows real hub/spoke topology and automatically pushes
all known configured networks to each openvpn user
* openvpn does not set up local routing entries if they match the
green network, which in fact is a misconfiguration
* openvpn server displays ca certificate
* openvpn server gives the possibility to configure port and protocol
* openvpn server allows to configure multiple networks per user
* no more need to dynamically add/remove openpvn related firewall
rules after connect/disconnect, they now are static. fixed
problem of not purged outdated rules


Rewrite of Backup Service:
* each backup can be downloaded with a single click
* user can decide what to include: settings, database dumps, log files, log file archives
* each restore creates a backup before the restore
* backups can be automatically encrypted with a gpg public key.
* factory default erases logfiles, databases and additional data files

And more…

Ребяты, кто пользовал? Какие впечатления?

Ну вот и 2.1.1 на дворе...
Release Name: EFW 2.1.1
Notes:
This is basically a Maintenance release with all bugfixes since 2.1.
Some minor features have been added:
- 1:1 NAT (portforwarding protocol type: ALL)
- upgrade of some packages (kernel, glibc, clamav, havp)
- Proxy authentication can now be bypassed for specific ip/mac addresses
- added support for EFW as a XEN domU instance

Доброго времени суток!
У меня небольшая проблема с настройками emule, не могу никак firewall настроить.
Есть сеть, есть рутер Comtrend 536+ (IP 172.26.1.1) И комп на котором стоит endian, одна карточка смотрит в локальную сеть (192.168.0.15) и другая в интернет (172.26.1.10)
В рутере прописываю IP моего компа (192.168.0.23) и когда подключаюсь к серверу получаю Low ID, если подключаюсь к рутеру на прямую, то подключается нормально. На Endian firewall отключен, в чем может быть проблема?
Спасибо

cabron666, думаю не стоит ждать здесь ответа, ветка полуживая, сабж незаслуженно обделен вниманием...

Этот дистриб всем хорош, но требует установки на винт с потерей всех разделов (судя по предупреждению системы после загрузки с CD)

А не встречал ли автор ветки или кто-то еще похожий дистриб, но в виде LiveCD, который хранит логи и настройки на HDD (так поступает Frenzy) или даже в сети?

Было бы просто идеально - машина загружается с CD, подхватывает настройки из сохраненного конфига и в конторе есть инет. Сдохло железо - берем любую другую тачку с сидюком, втыкаем вторую сетевую, загружаемся на ней, скармливаем конфиг из бекапа с минимальной его правкой и доступ в инет восстановлен максимум за 15 минут.

И на попробовать самое то - не нужно устанавливать, тем более зачастую свободной машины для тестов нету

А сабж растет и развивается
Fktrc, что то вроде этого и тут глянь если еще актуально...

Кто юзает Endian Firewall, плз, поделитесь впечатлениями

Цитата:

Кто юзает Endian Firewall, плз, поделитесь впечатлениями

Если ещё не работали с продуктами этого класса рекомендую по убыванию в порядке простоты
IPCop
SmoothWall
ClarkConnect
Endian Firewall
Vyatta

т.е. Endian не самый простой и лёгкий в использовани, лучше начитанть с IPCop

SAVage22 спасибо!
сейчас на вмваре играюсь со всеми из списка кроме Vyatta
IPCop и SmoothWall это стенки, для стенки то что нужно - просто и быстро, но мне все таки нужен сервер (cvs/svn, php, ftp, samba, мыло)
ClarkConnect подходит но он не совсем фри, да ещё похоже и стучит
вот сижу и ломаюсь - или прикрутить все чего не хватает к IPCop/SmoothWall или юзать "чистый" дистриб типа центос и уже на него устанавливать чего не хватает или вправить мозги кларку чтобы не стучал.

Есть вопросы по настройке:
1) не получаеться настроить авторизацию на проксе (Local, другие не пробовал) (версия 2.2 RC3). Проблема в том, что при добавлении нового пользователя в WEB-интерфейсе в списке получается их сразу 3!!! шт., в результете окно с авторизацией всплывает, ввожу данные, и не пускает никуда
2) версия 2.3 - миф или ее можно скачать где то?

Инфа с офсайта: The Community version of Endian Firewall 2.2 will be released by the end of May.
Хотя надо полагать, релизить уже будут версию 2.3 =)

Надеюсь в ней решаться все мои проблемы...

Как и обещали - зарелизили Endian Firewall Community 2.2 в конце мая...

Только в нем серьезно не хватает Аутентификации пользователя по апишнику

Кто-нибудь настраивал на нем прокси с прозрачной доменной авторизацией?
С IE7 вроде работает нормально, а в Firefox периодически (довольно часто) всплывают запросы авторизации...
Endian Firewall Community release 2.2

З.Ы. Может тема себя лучше будет чувствовать в "системном администировании"?

Endian Firewall Community 2.3 Release Candidate
released 17 Sep 2009
https://sourceforge.net/projects/efw/files/Development/EFW-2.3-RC1/EFW-COMMUNITY-2.3-rc1-200909171932.iso/download

Endian Firewall Community 2.3 released 27 Oct 2009
http://downloads.sourceforge.net/project/efw/Development/EFW-2.3/EFW-COMMUNITY-2.3-200910270923.iso

вот если бы еще билинг прикрутить, совсем хорошо было бы
не знаете у кого из них есть полноценный прокси?

На работе инет раздает сабж. Хочу запустить проксю и файрвол, но есть две траблы:

1.При запуске файрвола перестают работать некоторые банк клиенты и арм налогоплательщик и как порты не открывай, работать отказываются.

2. Сеть одноранговая (без домена) а прописывать у каждого пользователя на всех его браузерах и программах адрес прокси с портом не реально долго. Может можно как то настроить что бы автоматом настройки определялись? Или ещё как вариант может есть возможность без поднятия прокси блокировать доступ к сайтам и просматривать логи посещения сайтов по айпи?

ascod86
можно раздавать настройки прокси через PAC-скрипт, но без домена все равно придется один раз обойти все компы, установить в браузерах "Автоматическое определение параметров прокси" и прописать путь до скрипта, который должен лежать на web-сервере

Цитата:

При запуске файрвола перестают работать некоторые банк клиенты и арм налогоплательщик

Смотрите логи фаервола, какие порты он давит. У нас все банк клиенты и арм налогоплательщик работают через НАТ и прекрасно себя чувствуют.

Цитата:

прописывать у каждого пользователя на всех его браузерах и программах адрес прокси с портом не реально долго.

Эти настройки винда хранит в реестре. Достаточно экспортировать ветку с нужными настройками и разослать юзерам по почте. Им останется только кликнуть по файлу.

есть сервак с AD.
есть машина на которой поставили эндиан фаервол.
сеть настроил. все работает, в инет пускает.
не могу настроить ntlm или ldap.
не могут найти сервер 0_о есть ещё вопрос такой - могут ли быть проблемы из-за админской учетки имя которой написано по-русски?

допустим есть домен ex.local
сервак имеет ip 192.168.0.1
имя его server соответственно.

при ntlm в domainname вбиваю ex.local
в pdc host - server (при этом в хостах прописано, что server есть 192.168.0.1)
в pdc ip adress - 192.168.0.1
логин и пасс админские.
пытаюсь залесть в ad посредством AD join через учетку админскую "Администратор"
ругается на неверны логин и пасс. на сколько помню.

хотя при настроенном ntlm таким образов в инет пускает прокся разные компы 0_о
естесна прокси в браузерах прописаны %) но есть подозрение что ntlm всетаки не работает....

сделать еще одну учетку админа с латинским именем и попробовать не быстрей будет?

Не получается заблокировать скачивание файлов.
Создаю правило, ставлю access denide и выставляю mimetypes следующие:
application/octet-stream
application/x-msdownload
application/zip
И на двух одинаковых шлюзах с EFW это правило не работает, т.е. получается качать и exe и msi и что угодно.
Аутентификация выключена, ибо не требуется.
Буду рад любой помощи.

P.S. Есть еще вариант писать расширения в какой-то конфиг (сейчас уже не помню какой), только вот он скидывается при рестарте сквида и это не очень изящно, хотелось бы все таки через морду сделать.\

Цитата:

не могу настроить ntlm или ldap.

допустим есть домен ex.local

при ntlm в domainname вбиваю ex.local

C Endian Firewall не сталкивался, но общие рассуждения - если речь идет не о kerberos а о NTLM аутентификации то обычно указывается "короткое" имя домена, в данном случае EX
хотя может у Endian это решается по другому, но вдруг поможет.

Подскажите, как у сабжа обстоят дела с Корбиновской схемой на WAN. То есть WAN получает адрес по DHCP и потом поверх создается тоннель PPTP или L2TP в интернет.
И можно ли там как-нить прикрутить lm-sensors для управления вентилятором?
Так же интересует возможность поднять там BGP и простейшие ip-ip тоннели.

Здравствуйте!
Такая проблемма. Пытаюсь в кабине информатики школы поставить Endian Firewall, чтобы он у меня играл Две роли - прокси и контент-фильтра.
Вначале скажу, как было раньше. В кабинете 11 компов + учительский. Каждый из компов выходил сам в Инет безо вскякого прокси со следующими настройками:

Адрес 10.58.5. 1-24
Маска 255.255.255.224
Шлюз 10.58.5.1

ДНС 10.0.1.1
10.0.1.2

Связь с Инетом осуществлялась через DSL-модем по телефонной линии (проект министерства образования о предоставлении всем школам бесплатного Инета)

Итак, я выделил для Endian Firewall отдельный компьютер - не очень сильный, но и не слабый.
Устанавливаю. В графе выбора Зеленого порта прописываю
IP 192.168.15.1 Макса 255.255.255.0

Иду дальше. После установке вхожу через web-интерфейс с внутрисетевого ПК на шлюз по адресу https://192.168.15.1:10443/
Первым делом запускается Мастер настройки сети, в коором я плаваю. Вот в этом и вопрос.
Во-первых, если мы имеем Школьную сеть, то КАКой тип интерфейса следуе ставить на первом шаге?
Потом, при выставлении IP-адреса Красного порта абсолютно любые адреса, чо я пишу, выдают ошибку - НЕКОРРЕКТНЫЙ IP-адрес.

Пожалуйста, подскажите, кто знает, в чем могут быть ошибки?

http://ib1.keep4u.ru/b/2011/06/01/cc/cc9205c6740346604be5595ede35da50.jpg
http://ib1.keep4u.ru/b/2011/06/01/5f/5f4714603d10aaca0d90858693523783.jpg
http://ib1.keep4u.ru/b/2011/06/01/fb/fb0308c6134a08371098aaacb1e5bd45.jpg
http://ib1.keep4u.ru/b/2011/06/01/c7/c7674f0cdf460c8dceab30494476c586.jpg