Innehålls-filtrerande brandvägg

Jag kör i dagsläget ipf ovanpå NetBSD/alpha. Ipf filtrerar baserat på avsändarens/destionationens ip och anvsändarens/destinationens port. Det är ju ganska lätt att braka igenom en sådan uppsättning som t ex endast tillåter att man kan komma ut på Internet över port 80 (i hopp om att endast tillåta surfning), genom att tunnla annan trafik över HTTP. Jag vet inte hur mycket en proxy skulle hjälpa mig här...

Jag har för mig att jag sett mjukvara som kan analysera trafiken och avgöra om det verkligen är webtrafik som strömmar igenom, dvs den känner igen trafik-mönstret från olika protokoll. Jag kommer dock inte ihåg vad det hette så jag behöver lite hjälp. Har testat sökt på alla möjliga kombinationer på google, men kommer mest fram till komersiella produkter och Linux Netfilter.

Jag har kollat på Squid en del, men går det inte att tunnla annan trafik över t ex HTTP igenom en proxy? I sånt fall är jag tillbaka på ruta ett...

Intressant, men det verkar fortfarande ligga på IP-nivå. Jag letar efter filtrering på applikations-nivå, jag är nästan 100 på att jag har sett ett open-source projekt som kunde analysera flera protokoll...

Jag kommer att gå över till pf, helt klart. Hittade authpf som kanske kan hjälpa mig för mina planer på att implementera WDMZ här hemma med inloggning till mitt lokala (trådburna) nät...

Jag tror jag har varit lite otydlig... :-/

Jag vill sätta upp en WDMZ till en bärbar med en inloggningsserver. När man har autentiserat sig (kanske med delade nyckar mha IPSec eller SSH + login) så skall man få tillgång till mitt lokala nät och de maskiner jag har här.

Men jag vill även kunna surfa utan att behöva gå genom någon proxy i mitt lokala nät, utan direkt genom brandväggen ut på Internet. Det är enkelt att sätta upp regler som tillåter att man får göra HTTP-anslutningar från WDMZ när man väl har autentiserat sig, men det förhindrar inte att man kör annan trafik över den porten. Därför tänkte jag försöka sätta upp ett filter som verkligen kollar att det är web-trafik och inte något annat i paketen. Jag har för mig att det finns något som känner igen en HTTP-session på att det skickas GET osv i rätt ordning.

Dansguardian kan ju användas till att OM någon skulle lyckas komma över min nyckel, login och vet vart min AP är någonstans, förhindra att den surfar på skitsidor...

Fan vad krångligt det blev, kanske skall köra trådburet istället...

EDIT: Jag kanske kör Squid+DansGuardian+authpf på brandväggen för att kunna surfa med endast den igång. Sedan måste man gå via inloggningsserver för att komma åt det lokala nätet. Låter det bra eller bara idiotiskt?

Tack! Det var l7-filter jag har läst om tidigare men hade glömt bort namnet på.

EDIT: Tyvär verkar det bestå av patchar mot Linux-kärnan...

Jag kommer nog att köra PF+squid+snort+authpf och eventuellt DansGuardian. Det kommer bli intressant hur mycket problem jag kommer att få med att konfigurera det hela...