Co to jest?

ppfw to nakładka na iptables pozwalająca w bardzo prosty sposób zarządzać firewallem na maszynach z Linuksem. Obsługuje ona również protokół IPv6 zapewniając ochronę na już wprowadzanej, nowej wersji protokołu IP. Konfiguracja odbywa się przez prosty, pojedynczy plik konfiguracyjny.

Sekcja rules

Sekcja rules w pliku konfiguracyjnym zasługuje na trochę więcej uwagi. Wpisujemy tam nie regułki jak w klasycznym iptables (te wpisujemy w sekcjach raw_rules, raw_rules_v4 i raw_rules_v6) ale za pomocą specjalnego, bardzo prostego języka zrozumiałego dla ludzi.

Przykładowo:

# Pozwól na cały ruch tcp przychodzący na port 22
allow tcp from any to port 22
# Pozwól na cały ruch z moj.domowy.komputer
allow any from moj.domowy.komputer
# Odrzucaj połączenia icmp z okropni.spamerzy
deny icmp from okropni.spamerzy
# Pozwalaj mi łączyć się ze zdalnymi maszynami na porcie 80
allow any from me to port 80
# Pozwól mi łączyć się do maszyny.w.mojej.firmie
allow any from me to maszyny.w.mojej.firmie
# Przekieruj ruch tcp przychodzący na port 22 na port 2345
redirect tcp from port 22 to port 2345
# Odrzuć wszystkie inne połączenia
reject any

Jak, mam nadzieję, widać regułki te są znacznie prostsze niż ich odpowiedniki z iptables. Dodatkowo skrypt troszczy się o zamianę nazw domenowych na IP i dodawanie reguł do odpowiednich łańcuchów iptables czy wersji iptables (dla IPv4 i IPv6).

Po więcej informacji (anglojęzycznych) odsyłam na stronę projektu na Githubie:

https://github.com/pidpawel/ppfw