Для доступа в интернет многие организации используют прокси сервер Squid. В этих случаях практически всегда squid установлен в операционной системе Linux (FreeBSD). И в большинстве случаев необходимо, хотя бы для примерного контроля ситуации, знать, кто, куда и сколько J. Многие системы учета трафика не совсем просты в установке, некоторые являются платными. Описываемая утилита для сбора и анализа трафика прокси-сервера Squid проста в установке, настройке и использовании. Это LightSquid.

LightSquid

Дом. страница: http://lightsquid.sourceforge.net/

Для установки требуются: Perl, http server (Apache, lighthttpd, etc), Squid, Cron.

Perl установлен в большинстве систем и так (значит, скорее всего, ставить вам его не придется).

Squid уже установлен (а как же иначе, что анализировать-то собираемся?!)

Cron тоже есть в любой unix-like системе.

Итак, необходим только http-сервер, наиболее популярным из которых, является Apache.

Apache

Дом. страница: http://httpd.apache.org/

Установка Apache проста и не затейлива.

Загрузка:
$ lynx http://httpd.apache.org/download.cgi

Распаковка:
$ gzip -d httpd-NN.tar.gz
$ tar xvf httpd-NN.tar
$ cd httpd-NN

Подготовка конфигурации:
$ ./configure --prefix=PREFIX

И, наконец, волшебные
$ make
$ make install

Далее редактируем основной файл конфигурации. Лежит он, например, в папке /usr/local/apache/conf/:
$ ee /usr/local/apache/conf/httpd.conf

либо, в более общем случае:
$ ee PREFIX/conf/httpd.conf

Тестируем то, что установили:
$ PREFIX/bin/apachectl -k start

Этот документ не является руководством по установке Apache, поэтому лучше всего сразу обратиться к офиц. руководству: http://httpd.apache.org/docs/2.2/install.html

Итак, с Apache все ясно более или менее. Теперь сама наша цель – LightSquid.

Установка LightSquid

Офиц. страница руководства: http://lightsquid.sourceforge.net/Installs.html

 

Распаковка дистрибутива. Предполагается, что папка /var/www/htdocs/ - это корень вашего сайта (см. настройки Apache: httpd.conf)	cd /var/www/html/ mkdir lightsquid cd lightsquid tar -xzf lightsquid.tgz
Делаем исполняемыми сценарии языка perl в директории с распакованным дистрибутивом.	chmod +x *.cgi chmod +x *.pl
Меняем владельца файлов на то имя, от имени которого запускается Apache. Опять смотри httpd.conf.	chown -R apache:apache *
Теперь нам надо добавить в файл конфигурации веб сервера Apache эти строки. Разрешаем выполнять скрипты на нашем локальном сайте http://127.0.0.1/ lightsquid/	AddHandler cgi-script .cgi    AllowOverride All
Рестартуем Apache для учета наших изменений	$ /usr/local/apache/bin/apachectl -k stop $ /usr/local/apache/bin/apachectl -k start
Проверяем доступность сайта (либо локально, либо с другого компьютера). При этом желательно, чтобы к этому сайту, а еще лучше, вообще к этому веб-серверу, доступ был открыт только для администратора. Даже для начальства доступ лучше закрыть. Сами понимаете J	Открываем страницу: http://local_ip_address/ lightsquid и убеждаемся, что система напишет о необходимости импорта лог-файлов. В противном случае ищем проблему в настройках Apache.
Редактируем lightsquid.cfg (лежит в папке /var/www/html/lightsquid в нашем примере). Также можно отредактировать файлы group.cfg и realname.cfg в соответствии с примером на странице офиц. руководства, но это уже не обязательно.	Минимально надо уточнить пути до лог файлов веб-сервера Squid. $logpath="/var/log/squid"; Естественно, это должно соответствовать настройкам хранения лог-файлов вашей системы.
Все. По минимуму, вы уже готовы к тестированию системы учета трафика. Можете смотреть в вашем броузере, кто сколько скачал. Смотрите, не попадитесь сами ;)	$ cd /var/www/html/lightsquid $ ./lightparser.pl access.log.1

 

Примечание: если что-то не срастается, необходимо помнить, что все настройки хранятся в паре текстовых файлов. Первый: httpd.conf (Apache). Второй - lightsquid.cfg (LightSquid). Все. С вопросами пишите на info@bozza.ru либо оставляйте вопросы на сайте. Постараюсь ответить по мере сил.

На основании комментария от 03.08.2010 (Arata) напомню, что формат запуска Lightsquid такой:

$ ./lightparser.pl [параметр]

где [параметр] м.б. пустым либо явно указывающим на файл с логом.

Методика тестов

Тестирование производилось на экспериментальном ПК под управлением лицензионной Windows XP с установленным SP1 (тестирования проводились в идеализированных условиях - "операционная система + Firewall" для исключения влияния других программ на чистоту эксперимента). В качестве индикатора успешного доступа к сервисам использовалась утилита APS. В качестве средств внешнего воздействия применялись:

• сканер XSpider 6.5 и 7.0
• Retina Network Security Scanner 4.9
• NMAP
• несколько сканеров моей разработки.

Кроме того, применялся сниффер CommView 4.1 (в качестве средства наблюдения за сетевым трафиком и в качестве утилиты для генерации и отправки пакетов с различными нарушениями в структуре). Применялись т.н. флудеры (flooder) распространенных типов, утилиты для имитации троянских программ.

На испытательном ПК в качестве средств доступа к сети и Интернет применялся IE 6, Outlook Express 6, TheBat 1.60, MSN Messanger 6.1. Кроме них в тесте участвовали имитаторы троянских программ и реальные троянские / Backdoor программы из моей коллекции (в частности Backdoor.Antilam, Backdoor.AutoSpy, Backdoor.Death, Backdoor.SubSeven, Backdoor.Netbus, Backdoor.BO2K), сетевые / почтовые вирусы (I-Worm.Badtrans, I-Worm.NetSky, I-Worm.Sircam, I-Worm.Mydoom, I-Worm.MSBlast), загрузчики троянских программ TrojanDownloader (в частности TrojanDownloader.IstBar) и шпионские SpyWare компоненты. Главной задачей тестов была попытка взглянуть на Firewall глазами пользователя, отметить его сильные и слабые с моей точки зрения стороны.

Kerio Technologies WinRoute Pro v4.2.5

Инсталляция и деинсталляция:
Проходит без проблем.
Установка с настройками "по умолчанию", без правил - действует только NAT. Работа в сети - без проблем, результаты сканирования - APS не показывает состояние тревоги, сканер считает, что все порты закрыты. Сам Winroute не выдает сигналов тревоги и никак визуально не идентифицирует факт сканирования.

Достоинства:

1. Функционирует сразу после установки, дыры отсутствуют даже без настроек;
2. NAT трансляция сразу дает существенную защиту от сканирования портов и удаленных атак;
3. Хорошо построено протоколирование

Недостатки и особенности:

1. Пароль администратора должен быть задан сразу после установки, иначе возможно удаленное отключение Firewall или его перенастройка;
2. Процессы видны в памяти под характерными именами и их уничтожение приводит к отключению защиты - APS поднял тревогу в момент уничтожения процессов;

Общая оценка:
Winroute - это серьезный продукт, гибрид Firewall, прокси сервера, NAT транслятора, простого почтаря …, он требует настройки и понимания принципов работы сети.

 

Outpost Firewall Pro 2.5.369.4608 (369)

Инсталляция и деинсталляция:
Установка под XP SP 2 проходит без проблем, после установки требует перезагрузку, при запуске включается режим обучения. Инсталлятор предлагает на выбор автонастройку Firewall или ручную настройку. Новшества этой версии описаны на сайте разработчиков http://www.agnitum.com/products/outpost/history.html

Достоинства:

1. Есть режим "невидимость", и он включен по умолчанию;
2. Экспериментально проверена стабильная работа этого Firewall под SP1 и SP2;
3. Есть автопоиск подсетей - по крайней мере уверенно находится "домашняя" подсеть
4. Настройки объединяются в конфигурации, которые можно сохранять на диске - таким образом можно сделать несколько разных конфигураций и загружать их по мере необходимости
5. Русифицированный интерфейс, ориентированный на пользователя. Интерфейс достаточно хорошо продуман, все понятно с первого взгляда;
6. Встроенный детектор атак. Обнаруживает простые атаки типа сканирования портов, тесты IDS это подтвердили - по крайне мере, сканирование портов он ловит отлично;
7. Показывает список приложений, прослушивающих порты TCP и UDP (с указанием списка портов по каждому приложению и информации о моменте начала прослушивания - полезно для отлова троянских программ и шпионского ПО);
8. Режим обучения удобен для обнаружения троянских программ и визуальной настройки правил - он реализован типовым образом и основан на запросе допустимости операции, производимой приложением. Кроме того, в описании заявлено, что есть защита от внедрения постороннего кода в доверенный процесс;
9. В правилах можно указывать не только имя программы, но и ее параметры - это в ряде случаев полезно;
10. В комплекте содержит ряд плагинов (IDS, средства борьбы с рекламой и т.п.)
11. При удалении процесса outpost.exe происходит блокировка обмена с сетью - это полезная возможность
12. Есть опция слежения за библиотеками процесса - к примеру, при появлении нового BHO в IE выводится сообщение о том, что у процесса IE изменился состав используемых им библиотек;
13. Продуманный просмотрщик протоколов (работает в реальном времени, данные лдостаточно логично сгруппированы
14. Есть особые настройки для RAW Socket - можно указать, каким приложениям можно их использовать

Недостатки и особенности:

1. Firewall виден в списке задач и не препятствует своему удалению (но при удалении процесса происходит блокирование обмена с сетью - поэтому это не недостаток);
2. Большое потребление ресурсов - 33 МБ ОЗУ + 31 МБ вирт. памяти, что конечно многовато, хотя на ПК с 1 ГБ ОЗУ это не особо ощущуется;
3. Комплекстный тест IDS показал, что она отлично ловит сканирование портов, но остальньные атаки практически не детектирует. Например, явный SYN FLOOD был успешно заблокирован правилами, но IDS по этому поводу ничего не сказал (хотя флудил я со скоростью 2-3 тысячи пакетов/сек)

Общая оценка:
Как и предыдущая версия 2.1, по сочетанию возможностей и удобства работы (да еще и с поправкой на русскоязычный интерфейс) на мой взгляд один из лучших продуктов на момент тестирования.

ZoneLabs ZoneAlarm Pro with Web Filtering 4.5.594.000 - Personal Firewall

Инсталляция и деинсталляция:
В ходе установки подвесил XP в ходе попытки запуститься после инсталляции. После перезагрузки все заработало нормально.

Достоинства:

1. По умолчанию у него практически ничего не разрешено (в отличие от Outpost)

Недостатки и особенности:

1. Несколько запутанный на мой взгляд интерфейс
2. Firewall виден в списке задач и не препятствует своему удалению - после удаления защита отключается (APS тут же фиксирует тревогу)

Общая оценка:
Персональный Firewall среднего класса, вполне соответствующий современным требованиям. Несколько запутанный англоязычный интерфейс является его минусом

AtGuard 3.22>

Инсталляция и деинсталляция:
Инталляция и деинсталляция особых проблем не вызывает

Достоинства:

1. Небольшой по размеру Firewall, имеет интересное решение с точки зрения интерфейса - он выполнен в виде панели, размещаемой вверху экрана

Недостатки и особенности:

1. В режиме обучения уязвим - с момента вывода запроса на создание правила до его создания пропускает пакеты в обоих направлениях
2. Интерфейс немного поглючивает при перерисовке окон

Общая оценка:
Простой Firewall, однако вполне функциональный

Kerio Personal Firewall 4

Инсталляция и деинсталляция:
Установка проходит без проблем, удаление "чистое" - проблем после деинсталляции не замечено.

Достоинства:

1. Антитроянские механизмы - может обнаруживать и блокировать запуск одной программы из другой (можно настроить правила), запуск новой программы. В настройках три градации (разрешить, запретить, спросить);
2. Показывает, какие из запущенных приложений прослушивают порты
3. Имеет механизмы обучение;
4. Может настраиваться вручную;
5. Имеет IDS, которая определяет типовые атаки, в частности сканирование портов;
6. Может блокировать подозрительные куки (cookies)

Недостатки и особенности:

1. Разрешения по умолчанию позволяют работать по 135 порту
2. Есть ряд мелких багов, например при задании опции Alert в настройках фильтра пакетов в условиях атаки с Firewall работать невозможно - выскакивающее окно с сообщением об атаке забирает на себя фокус ввода
3. В условиях большой нагрузки периодически подтормаживает (это совершенно не критично для работы по модему)
4. Firewall виден в списке задач и не препятствует своему удалению - после удаления защита отключается (APS тут же фиксирует тревогу)

Общая оценка:
Хороший Firewall, я бы поставил его на одну ступень с Outpost.

Norton Internet Security 2004 (NIS)

Инсталляция и деинсталляция: Установка не вызывает проблем, но из всех проанализированных инсталлятор самый тяжеловесный.

Достоинства:

1. Интегрированное решение (Антивирус + Firewall + IDS + блокиратор рекламы)
2. Система обновления через Интернет;
3. В настройках IDS есть опция блокирования компьютера всех пакетов с хоста, проводящего атаку на заданное время (по умолчанию на 30 минут);
4. Содержит дополнительные надстройки, в частности, антиспам - систему, встраивающуюся в Outlook Express;
5. При уничтожении процессов NIS продолжал блокировать доступ с атакующих хостов (большинство остальных при удалении процесса прекращали защищать ПК)

Недостатки и особенности:

1. Самое "тяжеловесное" из исследованных решение - в памяти находится несколько процессов, потребляющих значительные ресурсы (хотя на ПК с 512 МБ ОЗУ эта тяжеловесность не ощущается)
2. У меня в ходе тестов отмечался некий "глюк" с закладкой, отображающей статистику и протоколы системы - вместо статистики выдывались ошибки NIS с сообщением о невозможности вызнать некую DLL;
3. IDS легко можно обмануть и заблокировать работу с "полезными" ПК. Это не минус конкретно NIS, это проблема всех подобных систем;
4. Слишком тесная итеграция с системой - это по сути его плюс, но лично мне не нравятся программы, которые внедряются и прописываются по максимуму во все возможные места системы;

Общая оценка:

Internet Connection Firewall, ICF - встроенный брандмауэр Windows XP

Инсталляция и деинсталляция: Установка не требуется, является штатным средством XP. Включение производится в настройках сетевого адаптера. По умолчанию ICF работает в режиме максимальной безопасности и (это результат моего наблюдения) принцип его работы таков - запросы приложений выпускаются наружу, а снаружи принимаются только пакеты, пришедшие в ответ на мои запросы (соответствие запрос-ответ явно ведется в виде динамической таблицы). Таким образом, при сканировании портов на компьютере с включенным ICF нет ни одного открытого порта (это логично - пакеты сканера портов не будут пропущены, т.к. их никто не запрашивал). Аналогично дело обстоит с различного рода "нюками", основанными на отправке нестандартных пакетов.

Достоинства:

1. Встроенное средство в XP - не требует установки и практически не требует настройки;
2. Обеспечивает надежную защиту от внешнего вторжения даже при отсутствии настроек - ПК не отвечает на пинги, сканирование портов показывает, что все порты недоступны;
3. Не виден как процесс (и, как следствие, не может быть остановлен вирусом или трояном);
4. Возможен прием входящих пакетов с возможностью их переадресации на другой ПК и порт - маппингом (здесь можно провести аналогию с NAT - пакет с входящим запросом отправляется в соответвии со статической таблицей правил, заданной в настройке в нашем случае эта настройка задается на закладке)
5. Блокирует работу троянских и Backdoor программ, которые прослушивают некий порт и ожидают подключение по нему хакера - по умолчанию все запросы на входящие подключения блокируются

Недостатки и особенности:

1. Полное отсутствие визуализации происходящих процессов. Единственным способом контроля за работой ICF является текстовый протокол, который пишется в указанный файл на диске (протоколирование по умолчанию отключено и его рекомендуется включить). Отсутствие визуального оповещения и просмотра информации в реальном времени на мой взляд является самым большим недостатком;
2. Достаточно скудные возможности - нет возможности обучения и настройки правил для отдельных приложений, настройки правил для разрешения/запрета работы с определенными хостами по определенным портам. В небольшой степени этот минус скрашивается наличием фильтра пакетов в настройках протокола TCP/IP ;
3. ICF хорош для защиты домашнего ПК при доступе в Интернет, использовать его в ЛВС сложнее.
4. ICF прекрасно обходится троянскими программам, которые вместо прослушивания порта организуют отправку данных по email или устанавливают соединение с удаленным сервером по своей инициативе - ICF пропустит исходящий запрос и позволит пройти ответу. В этом плане ICF существенно проигрывает другим персональным Firewall, которые информирут пользователя о попытках приложений обмениваться с сетью

Общая оценка:
Отличное средство для защиты ПК в Интернет начального уровня. Я бы назвал вещи своими именами, т.е. ICF по сути не Firewall, а NAT. Уровень защиты от сканирования и атаки извне при использовании настроек по умолчанию на очень высоком уровне - все мои сканеры показали отсутствие ответов от ПК и отсутствие открытых портов. Если дополнить это тем фактом, что ICF не нужно инсталлировать и он практически не потребляет ресурсов, то это выдвигает его в разряд лидеров

Internet Connection Firewall, ICF - встроенный брандмауэр Windows XP SP2

Инсталляция и деинсталляция: Установка не требуется, является штатным средством XP (входит в пакет обновлений SP2 для XP). Включение производится в настройках сетевого адаптера. Следует заметить, что при установке SP2 или при установке XP с интегрированным SP2 кроме Firewall в системе появляется центр обеспечения безопасности, который может показывать настройки ICF

Достоинства:

1. Все достоинства, присущие его предыдущей версии;
2. Появилась возможность индивидуальной настройки для приложений (приложению можно прописать, по каким портам и с какими ПК можно работать). Правила для приложений можно включать и выключать. Еще одним полезным моментом является запрет индивидуальных исключений-настроек одним чекбоксом в основном окне, что позволяет быстро перейти в режим максимальной безопасности;
3. При нарушении правил выводится окно с предупреждением и возможностью запретить или разрешить активность приложения;

Недостатки и особенности:

1. По моему мнению сырой драйвер, на котором основан Firewall. Во время тестов я не менее 5 раз наблюдал "синий экран смерти", после таких повисаний Firewall самопроизвольно отключался (после перезагрузки его приходилось включать вручную). Это опасно, т.к. после такой аварийной загрузки ПК не защищен. Кроме того, я наблюдал полное зависание из-за конфликта с драйвером TDI от утилиты TDIMon, в момент старта APS (т.е. Firewall не справился с попытком массового открытия множества портов). Замечу, что такие ошибки носят разовый характер, т.е. при моделировании ситуации, приведшей к повисанию мне не удавалось его повторить. Однако, тем не менее факт есть факт - виснет он часто;
2. По умолчанию в исключениях разрешен доступ по портам 135,137,138,445 для подсети класса C компьютера (т.е. при выходе в Интернет можно заполучить вирус от соседей). Вывод - это исключение нужно запретить или настроить;
3. Выводимое окно сообщения (см. рисунок) крайне неинформативно - нет информации о имени exe файла, его местоположении; нет данных о том, по какому порту и к какому хосту идет попытка обращения (или какие порты программа пытается прослушивать ... вместо этого потрясающее сообщение "... брандмауер заблокировал некоторые возможности программы". Узнать подробности невозможно (хотя кнопочка "Подробнее" прямо напрашивается);
4. При разрешении активности программы в окне запроса (кнопка "Разблокировать") программе разрешается прослушивание любого порта и обмен с любым ПК в Интернет по любому порту ... Что, по моему мнению, избыточно и опасно.

Общая оценка:
Оценка аналогична оценке предыдущей версии - хорошая встроенная защита в Интернет начального уровня. В новой версии интерфейс стал немного лучше, появились новые возможности ... но по сравнению с другими Firewall он конечно никакой критики не выдерживает. По субъективной оценке стабильность у новой версии хуже.

Sygate Personal Firewall Pro 5.5 build 2525

Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.

Достоинства и особенности:

1. В окне информации о сетевом событии (в режиме обучения) выводится детальная информация о программе (версия, описание, полный путь, ID процесса, параметры подключения (адреса и порты), данные о пакете (MAC адреса, заголовок и фрагмент пакета). Это очень полезно в режиме обучении Firewall;
2. Можно создавать правила фильтрации по MAC адресу;
3. Правила могут действовать по расписанию;
4. Встроенная IDS. Тесты показали, что уверенно опознаются атаки типа сканирования портов, "пинг смерти", разные виды флуда порта. IDS может блокировать атакующего (блокировка ведется на 10 минут);
5. Имеется система оповещения по email;
6. Достаточно удобный просмотрщик протоколов;
7. Процесс имеет защиту от завершения (стандартными средствами остановить его невозможно);
8. Есть режим полного блокирования трафика на время работы экранной заставки
9. Есть режим полного захвата пакетов (по сути получается аналог сниффера, полезно для анализа пакетов)

Недостатки:

• Существенных недостатков не замечено

Общая оценка:
Хороший Firewall в плане функциональности, стоит обратить внимание на то, что он может использовать правила фильтрации трафика по MAC адресам, производить захват пакетов для их последующего анализа, содержит хорошо работающую IDS

ISS BlackIce 3.6.cci

Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем, но в ходе инсталляции возникает ошибка в библиотеке ikernel. Эта-же ошибка возникла и при деинсталляции. Возникнование данной ошибки не влияет на процесс установки и удаления программы. Инсталлятор не потребовал перезагрузку системы, что для Firewall необычно

Достоинства и особенности:

1. После инсталляции не требуется перезагрузка
2. Содержит систему "AP" - некий "Firewall для процессов" - позволяет отслеживать появления новых программ и блокировать их запуск в возможностью обучения. Это полезно для борьбы с червями и троянскими программами.
3. Может проводить захват пакетов для их последующего анализа
4. Опознает типовые атаки - сканирование портов, SYN флуд
5. В информации по атакующему показывает его MAC и данные Netbios

Недостатки и особенности:

1. Может быть удален как процесс, защита при этом пропадает
2. Содержит достаточно строгий интерфейс, которому на мой взгляд не хватает информативности (это не недостаток, а констатация факта)

Общая оценка:
Достаточно функциональный Firewall, ничем существенным не выделяется

Visnetic Firewall 2.2

Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.

Достоинства и особенности:

1. Содержит функцию блокирования сетевого трафика при условии, что Firewall еще не запущен или его процесс принудительно завершен;
2. Правила фильтрации трафика могут строиться на основе MAC адреса;
3. Содержит детектор сканирования портов, в котором есть настройка, позволяющая автоматически блокировать атакующий хост;
4. Имеется функция захвата пакетов;
5. Содержит функцию оповещения по email;
6. Содержит функцию экспорта правил в текстовом виде (для распечатки, анализа)
7. Поддерживает удаленное администрирование - по умолчанию порт 8519

Недостатки:

1. Не привязывает сетевую активность к процессам. Т.е. является Firewall в чистом виде. Однако подавляющее большинство персональных Firewall обладают такой функцией
2. Процесс модет быть удален и на короткое время до его автоматического восстановления компьютер уязвим (опция блокирования трафика при отсутствии Firewall сводит этот недостаток к нулю)
3. В меню, вызываемом по правой кнопке мыши над иконкой в SysTray есть переключение режима работы - пропускать все пакеты, фильтр, блокировать все пакеты. Опцию отключения фильтрации трафика лично я бы вообще не вводил

Общая оценка:
Хороший Firewall, достаточно функциональный. Но не хватает возможности привязки сетевой активности к породившим ее процессам - эта возможность очень полезна для персонального Firewall.

Look n stop personal firewall 2.05

Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка. Для работы устанавливает свой драйвер.

Достоинства и особенности:

1. Правила могу строится с учетом MAC адреса, есть возможность привязки правила к процессу
2. Виден как процесс, но удаление этого процесса не приводит к выключению защиты

Недостатки:

1. В окне запроса (в режиме обучения) абсолютный минимум информации о программе и вообще нет информации собственно о факте сетевой активности. Это серьезный минус, т.к. по сообщению "Программа желает соединиться с Интернет" принимать решения о разрешении/блокировании действия сложно
2. Очень большое потребление ресурсов во время отражения атаки - на слабом ПК во время атаки вполне возможна ситуация DoS. Процессор Pentium 4 c с тактовой частотой 3 ГГц загружался на время атаки на 60-75% (в тестах других Firewall нагрузка была несущественна - менее 5%)
3. Протокол непрерывно обновляется на каждое событие - во время флуда портов или сканирования портов работать с ним невозможно
4. Работа бортовой IDS никак положительно себя не проявила, явные атаки она не детектировала

Общая оценка:
Простой Firewall, на уровне других проигрывает по интерфейсу и функциональности, сильно нагружает процессор в моменты атаки.

Kaspersky AntiHacker 1.5

Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.

Достоинства и особенности:

1. Хорошо действующая бортовая IDS. Уверенно распознаются типовые атаки, атакующий хост блокируется на заданное время. Особенностью IDS является возможность просмотра обнаруживаемых типов атак (с кратким пояснением, в чем состоит тот или иной тип атаки) и настройки параметров (что очень полезно и важно, причем для каждой разновидности атаки есть специфичные для нее параметры);
2. Информативное окно системы обучения. В режиме обучения есть возможность однократной блокировки запрошенного действия;
3. Есть режим невидимости (который включается независимо от других настроек) и регулировка уровня безопасности
4. Есть возможность просмотра прослушиваемых портов и установленных соединений с привязкой к процессу;
5. Содержит встроенный набор типовых правил (которые могут быть удалены или отредактированы)
6. Процесс AntiHacker-а виден в списке процессов, но имеет защиту от удаления
7. Малое потребление ресурсов во время работы и в моменты отражения атаки

Недостатки:

1. Нет возможности построения правил фильтрации трафика по MAC адресу
2. Во время настроки один раз имело место полное повисание системы ("экран смерти")
3. Во время обучения удалось пробить защиту по нескольким портам (это, как показали тесты, типовая проблема многих Firewall) - это произошло в момент создания правила. После настройки правил пробить Firewall не удалось
4. Блокировка и разблокировка атакующих проходит автоматически с занесением отметки в протокол, но я не нашел возможности просмотра списка заблокированных хостов с возможностью ручной разблокировки и настройки исключений

Общая оценка:
Хороший Firewall, содержит отличную IDS. Предоставляет типовые для современного Firewall функции.
Получить подробное описание Kaspersky AntiHacker 1.5 и приобрести его можно в магазине OZON Kaspersky Anti-Hacker

Tiny Personal Firewall Pro 6.0

Инсталляция и деинсталляция:
Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.

Достоинства:

1. Хороший инсталлятор - позволяет выбрать компоненты (можно отказаться от установки ненужного компонента);
2. Информативное окно системы обучения. В режиме обучения есть возможность однократной блокировки запрошенного действия, создания правил;
3. Есть достаточно мощный "Firewall системных операций" - т.е. кроме функций Firewall еще есть возможность отслеживать и блокировать нежелательную активность приложений (по отношению к реестру, файлам, запуску приложений, установке сервисов) ... - все это настраивается. Для приложений ведется контроль цифровой подписи в формате MD5 (т.е. привязка идет не к имени программы, а еще и к ее MD5 хешу - это позволит поймать заражение программы вирусом или подмену программы). В режиме обучения, таким образом, программа информирует о системной и сетевой активности приложений. Есть возможность аудита системных операций (аудит настраивается).
4. Очень неплохая IDS - все ее правила можно просматривать и редактировать. В базе IDS уже имеется большое количество правил для разных троянов/backdoor, разнообразных видов атак ... Все правила сгруппированы по категориям и могут активироваться индивидуально (или активируются/выключаются все правила группы). В правиле могут фигурировать не только порты и адреса, но содержимое пакета (включая поля заголовка пакета);
5. Содержит встроенный набор типовых правил (которые могут быть удалены или отредактированы). По умолчанию привила позволяют довольно много - стоит начать работу их анализа и ужесточения;
6. Правила можно создавать на уровне конкретных пользователей - это позволяет индивидуально настроить Firewall многопользовательской среде
7. Управление и мониторинг событий выполнены в виде двух отдельных приложений - это экономит память, т.к. их можно выгрузить и загружать по необходимости. Центр управления можно защитить паролем;
8. Firewall имеет встроенный NAT и ICS, есть поддержка VPN (правда я ее не тестировал)

Недостатки и особенности:

1. Много настроек (очень много). Это естественно не недостаток (скорее плюс), но рекомендовать такой Firewall начинающему пользователю я бы не стал;
2. В настройке по умолчанию IDS вяло реагирует на явные атаки, секция WEB атак и Backdoor у нее вообще отключена.
3. При включении большинства встроенных правил имели место ложные срабатывания IDS - например, при посещении www.ozon.ru IDS был замечен "вредоносный java script" - ничего подобного на самом деле там конечно не было
4. Процессы Firewall видны в памяти и могут быть удалены;
5. Я не нашел возможности создания правил по MAC адресам;
6. За время тестирования центр управления несколько раз "падал" с ошибкой защиты памяти, но на работу Firewall это не оказывало влияния;

Общая оценка:
Хороший Firewall, содержит хорошую настраиваемую IDS и отличные средства мониторинга операционной системы (т.е. по сути Tiny не Firewall, а антихакерский комплекс, что мне в нем и понравилось). Собственно Firewall-ная часть предоставляет типовые для современного Firewall функции. Перед эксплуатацией рекомендуется провести тщательную настройку правил Firewall и его IDS.

McAfee Personal Firewall Plus 6.0 Build 6014

Инсталляция и деинсталляция:
Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.

Достоинства:

1. Небольшой размер, наличие мастера, позволяющего начинающему пользователю настроить Firewall;
2. Есть визуальный индикатор трафика и карта, на которой отображается продполагаемое местоположение атакующего;
3. Удаление процессов Firewall не привело к пропаданию защиты

Недостатки и особенности:

1. В настройке по умолчанию оказались открыты многие опасные порты (я пробовал выбирать разные профили, но результат примерно одинавок);
2. Окно сообщения о попытке доступа приложения в сеть неиформативно (нет данных о том, c каким IP идет попытка соединения, по каким портам, нет полного пути к программе и дополнительных данных по нему ...);
3. Не прослеживается возможность ручного создания правил фильтрации пакетов. Я не нашел такой возможности - может быть, она и есть - но закопана далеко .... Правила для приложений есть, но крайне примитивны (разрешить приложению все, запретить все);
4. Блокирование прослушивая порта, по моему мнению, сделано очень некорректно - все исследованные мной Firewall позволяли программе открыть порт на прослушивание (и при запрете в правилах Firewall обмена с сетью программа просто не получала по этому порту пакеты). В данном случае блокируется открытие порта - это приводит к ошибкам в некоторых программах;
5. IDS отсутствует - я проводил лобовые атаки (сканирование портов в 200 потоков, флуд порта со скоростью 2000 соединений/сек ...) - Firewall не выдал никаких сообщений или предупреждений. Зато он обнаружил прихождение на мой ПК единичного пакета по порту 514 (Syslog) и записал это в протокол.
6. В ходе тестов отмечался некий интересный глюк в системе - перестали отображаться иконки на рабочем столе

Общая оценка:
Весьма примитивный Firewall, ориентированный на уровень начинающего пользователя. Очень бедные возможности, IDS не определяет явные атаки

R-Firewall 1.0 Build 43

Инсталляция и деинсталляция:
Установка программы и ее деинсталляция происходит без проблем. Размер дистрибутива небольшой (3.8 МБ), можно настроить состав продукта. Работа достаточно стабильная, на эталонном ПК явных сбоев и зависаний не замечено 

Достоинства:

1. Небольшой размер;
2. Два уровня настройки - упрощенный для начинающего и расширенный для опытного пользователя;
3. Содержит детектор атак, фильтр контента для блокирования баннеров, скриптов и т.п. Детектор атак реагирует на сканирование портов, флуд (правда флуд считается как Single port scan)
4. Детектирует внедрение посторонних DLL в критические процессы типа iexplorer.exe, предупреждая с указанием библиотеки и процесса. Правда не содержит системы проверки цифровых подписей или базы чистых файлов, поэтому ругается на все, включая системные DLL
5. Блокиратор контента реально опробирован на сайтах типа cracks.am, что показало его работоспособность (конечно, блокирование не стопроцентное, но файктс срабатывания имеет место)
6. Есть профили настроек с правилами для распространенных программ, что может быть полезно для начинающего пользователя

Недостатки и особенности:

1. Окно системы обучение не информативно (не выводится полный путь к программе-нарушителю и подробной информации о ней). В случае работы троянской DLL в сообщение фигурирует не DLL, а применяющая ее программа. Например, на тестах Backdoor.Win32.Thunk.i (библиотека c:windowscpu.dll) был запущен через rundll32.exe - в сообщениях firewall ругался именно на эту DLL
2. Процессы не защищены от убиения, нет контроля установки посторонних драйверов и записи в чужие процессы, из-за чего защита не может быть всесторонней. После убиения управляющих процессов защита судя по всему частично сохраняется, обмен с сетью по крайней не блокируется и ряд тестовых TrojanDownloader смогли успешно работать и обмениваться с Интернет. Убиение процессов провело к отказу контроля за внедрением посторонних DLL
3. Я не обнаружил (по крайней мере на поверхности) возможностей фильтрации по MAC адресам
4. Интерфейс и система построения правил лично мне показалась немного запутанной

Общая оценка:
Еще один Firewall, ничем радикально новым или особенным не обличается. Главный его плюс (и несомненный на мой взгляд) состоит в том, это этот продукт бесплатный - один только этот момент может перечеркнуть все его минусы и недостатки.

Общие выводы и заключение

Итак, подведем итоги тестов. По сути, тесты подтвердили мои теоретические представления о состоянии проблемы:

1. Firewall нужно настраивать. Все тестируемые Firewall неплохо работали, но только после настройки (обучения, создания настроек вручную - не важно). Эксплуатация ненастроенного Firewall может нанести больше вреда, чем пользы (он пропустит опасные пакеты и наоборот, будет мешать полезным программам);
2. После настройки Firewall и IDS нужно тестировать - это тоже достаточно очевидный вывод, но тем не менее он важен. Первый шаг к созданию тестера я сделал - это утилита APS. Осталось еще два - имитатор троянской програмы (т.е. утилита, которая будет выполнять безопасные для пользователя попытки "сломать" Firewall изнутри (естественно, атаки будут описаны базой данных и будут проводиться по команде пользователя под его управлением), что позволит наблюдать за реакцией Firewall и IDS) и утилита для экспресс-сканирования портов и проведения базовых атак (по сути APS с точностью до наоборот - база портов у них может быть общая). Разработкой этих утилит я уже занимаюсь - их наличие в арсенале пользователя позволит произвести некий "инструментальный контроль".
3. Персональный Firewall уязвим перед вредоносными программами, работающими из контекста полезных. Вывод - как минимум долой разные "левые" панели и прочие BHO из браузера и электронной почты !! Перед установкой любого плагина, панели, утилиты расширения и т.п. нужно десять раз подумать о их необходимости, т.к. они не являются отдельными процессами операционной системы и работают из контекста родительской программы. Троянская программа легко детектируется персональным Firewall - он "видит", что некоторый процесс (скажем, bo2k.exe) пытается начать прослушивание порта xxxxx или обмен с неким хостом - выдается запрос о допусимости, пользователь начинает разбираться, что же это за "bo2k.exe" и Backdoor оказывается пойман. А вот если бы троянская программа работала из контекста браузера, то на обращение браузера в Интернет почти наверняка никто не обратит внимание. Такие троянские программы существуют, ближайший пример - TrojanDownloader.IstBar - он устанавливается именно как панель IE (в процессах его естественно нет, в списке автозапуска - тоже);
4. Многие персональные Firewall видны как процессы операционной системы и могут быть остановлены вирусом. Вывод - за работой Firewall нужно следить и его внезапное завершение может служить сигналом о проникновении на ПК вируса;
5. Некоторые Firewall (например Kerio) допускают дистанционное управление - функцию дистанционного управления необходимо или отключить, или запаролить.

Источник здесь.

Думаю, многие люди, посетив страничку http://checker.samair.ru/, увидят, что они передают в сеть такую информацию, как свой внутренний ip-адрес и другие заголовки, что несет с собой потенциальные уязвимости. Если вы используете прокси-сервер squid для доступа локальной сети в интернет, то исправить ситуацию вам поможет применение двух простых правил в squid.conf, а именно:

1. forwarded_for off
2. header_access Via deny all

Добавьте их в файл /usr/local/squid/etc/squid.conf, после чего введите команду:

После этого на вышеуказанном сайте проверьте результат. Ваш статус должен стать: hight anonymous (elite) proxy

Параметр "header_access Via deny all" запретит передавать ваш внутренний ip-адрес.

А вот что написано о параметре "forwarded_for off":

если включено - по умолчанию - то squid будет вставлять IP-адрес или имя в заголовок перенаправляемых HTTP-запросов: "X-Forwarded-For: 192.1.2.3"; если выключено, то "X-Forwarded-For: unknown"

Так что спите спокойно. Главное - чтобы ваш сон был безопасным.

		Server: Apache/1.3.26 (Unix) PHP/4.2.2 mod_deflate/1.0.12 rus/PL30.14

--- GENERIC Sun Jul  6 17:09:42 2003
+++ ROUTER  Sun Jul  6 17:11:06 2003
@@ -22,7 +22,7 @@
 cpu        I486_CPU
 cpu        I586_CPU
 cpu        I686_CPU
-ident      GENERIC
+ident      ROUTER
 maxusers   0
 
 #makeoptions   DEBUG=-g        #Build kernel with gdb(1) debug symbols
@@ -259,3 +259,9 @@
 device     aue     # ADMtek USB ethernet
 device     cue     # CATC USB ethernet
 device     kue     # Kawasaki LSI USB ethernet
+
+# Enable ipfw and natd.
+options    IPFIREWALL
+options    IPFIREWALL_VERBOSE
+options    IPDIVERT
+options    DUMMYNET

# cd /usr/src
# make buildkernel KERNCONF=ROUTER
# make installkernel KERNCONF=ROUTER

# Enable firewall
firewall_enable="YES"
firewall_type="type"
firewall_quiet="NO"

# Enable natd.
natd_enable="YES"
natd_interface="fxp0"   # your public network interface
natd_flags="-m"         # preserve port numbers if possible

[Rr][Oo][Uu][Tt][Ee][Rr]-[Ss][Oo][Ll][Oo])
        ############
        # ROUTER single-machine custom firewall setup.  Protects somewhat
        # against the outside world.
        ############

        # Set this to your ip address.
        ip="192.168.0.1"

        # Allow communications through loopback interface and deny 127.0.0.1/8
        # from any other interfaces
        setup_loopback
        
        # Allow anything outbound from this address.
        ${fwcmd} add allow all from ${ip} to any out

        # Deny anything outbound from other addresses.
        ${fwcmd} add deny log all from any to any out

        # Allow TCP through if setup succeeded.
        ${fwcmd} add allow tcp from any to any established

        # Allow IP fragments to pass through.
        ${fwcmd} add allow all from any to any frag

        # Allow inbound ftp, ssh, email, tcp-dns, http, https, pop3, pop3s.
        ${fwcmd} add allow tcp from any to ${ip} 21 setup
        ${fwcmd} add allow tcp from any to ${ip} 22 setup
        ${fwcmd} add allow tcp from any to ${ip} 25 setup
        ${fwcmd} add allow tcp from any to ${ip} 53 setup
        ${fwcmd} add allow tcp from any to ${ip} 80 setup
        ${fwcmd} add allow tcp from any to ${ip} 443 setup
        ${fwcmd} add allow tcp from any to ${ip} 110 setup
        ${fwcmd} add allow tcp from any to ${ip} 995 setup

        # Deny inbound auth, netbios, ldap, and Microsoft's DB protocol
        # without logging.
        ${fwcmd} add deny tcp from any to ${ip} 113 setup
        ${fwcmd} add deny tcp from any to ${ip} 139 setup
        ${fwcmd} add deny tcp from any to ${ip} 389 setup
        ${fwcmd} add deny tcp from any to ${ip} 445 setup

        # Deny some chatty UDP broadcast protocols without logging.
        ${fwcmd} add deny udp from any 137 to any
        ${fwcmd} add deny udp from any to any 137
        ${fwcmd} add deny udp from any 138 to any
        ${fwcmd} add deny udp from any 513 to any
        ${fwcmd} add deny udp from any 525 to any

        # Allow inbound DNS and NTP replies.  This is somewhat of a hole,
        # since we're looking at the incoming port number, which can be
        # faked, but that's just the way DNS and NTP work.
        ${fwcmd} add allow udp from any 53 to ${ip}
        ${fwcmd} add allow udp from any 123 to ${ip}

        # Allow inbound DNS queries.
        ${fwcmd} add allow udp from any to ${ip} 53

        # Deny inbound NTP queries without logging.
        ${fwcmd} add deny udp from any to ${ip} 123

        # Allow traceroute to function, but not to get in.
        ${fwcmd} add unreach port udp from any to ${ip} 33435-33524

        # Allow some inbound icmps - echo reply, dest unreach, source quench,
        # echo, ttl exceeded.
        ${fwcmd} add allow icmp from any to any icmptypes 0,3,4,8,11

        # Everything else is denied and logged.
        ${fwcmd} add deny log all from any to any
        ;;

[Rr][Oo][Uu][Tt][Ee][Rr]-[Nn][Ee][Tt])
        ############
        # ROUTER network custom firewall setup.  The assumption here is that
        # the internal hosts are trusted, and can do anything they want.
        # The only thing we have to be careful about is what comes in over
        # the outside interface.  So, you'll see a lot of "in via ${oif}"
        # clauses here.
        ############

        # Set these to your outside interface network and netmask and ip.
        oif="fxp0"
        onet="217.20.160.0"
        omask="255.255.255.0"
        oip="217.20.160.1"

        # Set these to your inside interface network and netmask and ip.
        iif="fxp1"
        inet="192.168.0.0"
        imask="255.255.255.0"
        iip="192.168.0.1"

        # Allow communications through loopback interface and deny 127.0.0.1/8
        # from any other interfaces
        setup_loopback
        
        # Stop spoofing
        ${fwcmd} add deny log all from ${inet}:${imask} to any in via ${oif}
        ${fwcmd} add deny log all from ${onet}:${omask} to any in via ${iif}

        # Stop RFC1918 nets on the outside interface
        ${fwcmd} add deny log all from any to 10.0.0.0/8 via ${oif}
        ${fwcmd} add deny log all from any to 172.16.0.0/12 via ${oif}
        ${fwcmd} add deny log all from any to 192.168.0.0/16 via ${oif}

        # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
        # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E),
        # RFC 3330 nets on the outside interface
        ${fwcmd} add deny log all from any to 0.0.0.0/8 via ${oif}
        ${fwcmd} add deny log all from any to 169.254.0.0/16 via ${oif}
        ${fwcmd} add deny log all from any to 192.0.2.0/24 via ${oif}
        ${fwcmd} add deny log all from any to 198.18.0.0/15 via ${oif}
        ${fwcmd} add deny log all from any to 224.0.0.0/4 via ${oif}
        ${fwcmd} add deny log all from any to 240.0.0.0/4 via ${oif}

        # Network Address Translation.  This rule is placed here deliberately
        # so that it does not interfere with the surrounding address-checking
        # rules.  If for example one of your internal LAN machines had its IP
        # address set to 192.168.0.2 then an incoming packet for it after being
        # translated by natd(8) would match the `deny' rule above.  Similarly
        # an outgoing packet originated from it before being translated would
        # match the `deny' rule below.
        case ${natd_enable} in
        [Yy][Ee][Ss])
                if [ -n "${natd_interface}" ]; then
                        ${fwcmd} add divert natd all from any to any via ${natd_interface}
                fi
                ;;
        esac

        # Stop RFC1918 nets on the outside interface
        ${fwcmd} add deny log all from 10.0.0.0/8 to any via ${oif}
        ${fwcmd} add deny log all from 172.16.0.0/12 to any via ${oif}
        ${fwcmd} add deny log all from 192.168.0.0/16 to any via ${oif}

        # Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
        # DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E),
        # RFC 3330 nets on the outside interface
        ${fwcmd} add deny log all from 0.0.0.0/8 to any via ${oif}
        ${fwcmd} add deny log all from 169.254.0.0/16 to any via ${oif}
        ${fwcmd} add deny log all from 192.0.2.0/24 to any via ${oif}
        ${fwcmd} add deny log all from 198.18.0.0/15 to any via ${oif}
        ${fwcmd} add deny log all from 224.0.0.0/4 to any via ${oif}
        ${fwcmd} add deny log all from 240.0.0.0/4 to any via ${oif}

        # Allow anything on the internal net
        ${fwcmd} add allow all from any to any via ${iif}

        # Allow anything outbound from this net.
        ${fwcmd} add allow all from ${onet}:${omask} to any out via ${oif}

        # Deny anything outbound from other nets.
        ${fwcmd} add deny log all from any to any out via ${oif}

        # Allow TCP through if setup succeeded.
        ${fwcmd} add allow tcp from any to any established

        # Allow IP fragments to pass through.
        ${fwcmd} add allow all from any to any frag

        # Allow inbound ftp, ssh, email, tcp-dns, http, https, pop3, pop3s.
        ${fwcmd} add allow tcp from any to ${oip} 21 setup in via ${oif}
        ${fwcmd} add allow tcp from any to ${oip} 22 setup in via ${oif}
        ${fwcmd} add allow tcp from any to ${oip} 25 setup in via ${oif}
        ${fwcmd} add allow tcp from any to ${oip} 53 setup in via ${oif}
        ${fwcmd} add allow tcp from any to ${oip} 80 setup in via ${oif}
        ${fwcmd} add allow tcp from any to ${oip} 443 setup in via ${oif}
        ${fwcmd} add allow tcp from any to ${oip} 110 setup in via ${oif}
        ${fwcmd} add allow tcp from any to ${oip} 995 setup in via ${oif}

        # Deny inbound auth, netbios, ldap, and Microsoft's DB protocol
        # without logging.
        ${fwcmd} add deny tcp from any to ${oip} 113 setup in via ${oif}
        ${fwcmd} add deny tcp from any to ${oip} 139 setup in via ${oif}
        ${fwcmd} add deny tcp from any to ${oip} 389 setup in via ${oif}
        ${fwcmd} add deny tcp from any to ${oip} 445 setup in via ${oif}

        # Deny some chatty UDP broadcast protocols without logging.
        ${fwcmd} add deny udp from any 137 to any in via ${oif}
        ${fwcmd} add deny udp from any to any 137 in via ${oif}
        ${fwcmd} add deny udp from any 138 to any in via ${oif}
        ${fwcmd} add deny udp from any 513 to any in via ${oif}
        ${fwcmd} add deny udp from any 525 to any in via ${oif}

        # Allow inbound DNS and NTP replies.  This is somewhat of a hole,
        # since we're looking at the incoming port number, which can be
        # faked, but that's just the way DNS and NTP work.
        ${fwcmd} add allow udp from any 53 to ${oip} in via ${oif}
        ${fwcmd} add allow udp from any 123 to ${oip} in via ${oif}

        # Allow inbound DNS queries.
        ${fwcmd} add allow udp from any to ${oip} 53 in via ${oif}

        # Deny inbound NTP queries without logging.
        ${fwcmd} add deny udp from any to ${oip} 123 in via ${oif}

        # Allow traceroute to function, but not to get in.
        ${fwcmd} add unreach port udp from any to ${oip} 33435-33524 in via ${oif}

        # Allow some inbound icmps - echo reply, dest unreach, source quench,
        # echo, ttl exceeded.
        ${fwcmd} add allow icmp from any to any in via ${oif} icmptypes 0,3,4,8,11

        # Broadcasts are denied and not logged.
        ${fwcmd} add deny all from any to 255.255.255.255

        # Everything else is denied and logged.
        ${fwcmd} add deny log all from any to any

options   IPSEC        #IP security
options   IPSEC_ESP    #IP security (crypto; define w/ IPSEC)

options   IPSEC_DEBUG  #debug for IP security
     

ping 192.168.2.34

device gif

ifconfig gif0 A.B.C.D W.X.Y.Z
ifconfig gif0 inet 192.168.1.1 192.168.2.1 netmask 0xffffffff
     

ifconfig gif0 W.X.Y.Z A.B.C.D
ifconfig gif0 inet 192.168.2.1 192.168.1.1 netmask 0xffffffff
     

ifconfig gif0

# ifconfig gif0
gif0: flags=8011<UP,POINTTOPOINT,MULTICAST> mtu 1280
inet 192.168.1.1 --> 192.168.2.1 netmask 0xffffffff
physical address inet A.B.C.D --> W.X.Y.Z
     

# netstat -rn
Routing tables

Internet:
Destination      Gateway       Flags    Refs    Use    Netif  Expire
...
192.168.2.1      192.168.1.1   UH        0        0    gif0
...
     

ipfw add 1 allow ip from any to any via gif0

ping 192.168.2.1

route add 192.168.2.0 192.168.2.1 netmask 0xffffff00
     

tcpdump dst host 192.168.2.1

ping 192.168.2.1

16:10:24.018080 192.168.1.1 > 192.168.2.1: icmp: echo request
16:10:24.018109 192.168.1.1 > 192.168.2.1: icmp: echo reply
16:10:25.018814 192.168.1.1 > 192.168.2.1: icmp: echo request
16:10:25.018847 192.168.1.1 > 192.168.2.1: icmp: echo reply
16:10:26.028896 192.168.1.1 > 192.168.2.1: icmp: echo request
16:10:26.029112 192.168.1.1 > 192.168.2.1: icmp: echo reply
     

options IPSEC
options IPSEC_ESP

W.X.Y.Z            secret

A.B.C.D            secret

ipfw add 1 allow udp from A.B.C.D to W.X.Y.Z isakmp
ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp
     

setkey -D

spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
     

# setkey -f /etc/ipsec.conf

spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P in ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;

spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;

ipfw add 1 allow esp from A.B.C.D to W.X.Y.Z
ipfw add 1 allow esp from W.X.Y.Z to A.B.C.D
ipfw add 1 allow ipencap from A.B.C.D to W.X.Y.Z
ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D
     

tcpdump dst host 192.168.2.1

ping 192.168.2.1

XXX tcpdump output