Proxy firewall for Linux

Dette ser ut til å ha noe med saken å gjøre:
http://www.socks.nec.com/

http://www.socks.nec.com/aboutsocks.html

Der er så vidt jeg ved bare tale om at den er stedfortræder for de interne noder (proxy = stedfortræder på latin)

Derudover bliver cacheing (squid ol.) ofte også betegnet som værende proxy.

Og sidst kan de måske mene "stedfortræder for en standalone firewall"...altså istedet for

Jo, er nok enig i det, så langt men ..

En filtring router/firewall den hånterer jo i prinsipp en og en ip pakke, som den bare tar i mot og sender videre med eventuelt noen nye data, for eksempel ny avsender adresse (SNAT - Source NAT), eller en ny adresst til, DNAT, Destination NAT.)

Når det der i mot gjelder Squid som vel først og fremst er en http proxy, så foregår det vel mere slik at Squid forholder seg til mer eller mindre hele web sider (?) som den så mellomlagrer og sender videre til lan når den blir spurt om det. På denne måten så kan man vel si at squid nærmest surfer på vegne av klinetene og opptrer som "surfe fullmektig" for disse. (Dette skulle da større betydelig større krav til maskinytelse hos den maskinen som kjører squid i forhold til en maskin som bare kjører netfilter/iptables) Kopier sendes så videre til klientene.

Når det gjelder socs så er min arbeidsteori foreløpig at den foretar eller kan foreta en filtreringstype som ligger mellom en ren pakkefiltrering og en http filtrering slik som squid.

Når den er i stand til å utføre logiske operasjoner på de pakkene som sendes ut som bygger på informasjon som meget vel kan ligge fordelt på flere pakker, for eksempel avsender eller mottaker url (For den kan vel umulig gjøre oppslag på hver enkelt pakke via dns ??!!) så må vel det bety at socs "monterer" sammen pakker slik at den kan utføre logiske operasjoner på slik samlinger av pakker.

Har foreløpig ikke noen oversikt over i hviklen grad dette eventuelt vil bli likt eller forskjellig fra squid dersom man bruker socs.

Det som jeg vil forsøke å finne ut av det er om det er mulig å så og si seriekople en netfilter/iptables filtering firewall med en socs applications firewall, slik at man kan kombinere egenskaper fra disse firewall typene. Mener å vite at dette skal være mulig med iptables/squid, men lurer på om det kan være mulig å få til en mere fleksibel og generell løsning enn det som gjelder for netfilter/iptables/squid. (Fleksibel dvs kan transportere alle typer data uten spesiell konfigurering samtidig som det er mulig å filtere både på packet level og application level.)

Squid har vel ellers ingen filtering function alene (eller har den det ??)men den kan gis slike egenskaper gjennom tillegsprogrammvare. Socks er muliggens mere skreddersydd for formålet ???

Har ingen ide om svarene på disse spørsmålene så langt, men ser at de som produserer kommersiell firewalls basert på hardware løsninger skryter av at de har en slik kombinasjon av funksjonalitet i produktene deres packet filtering pluss filtering på application level, samtidig i det samme produkt. 

Så skulle det være morsomt å lage det samme i Linux :-)

Du har ret...op til application level...så er det "Stateful inspections" du skal fokusere på.

Basalt understøtter kernel 2.4.x Stateful inspections.

Squid har jeg aldrig beskæftiget mig med. Jeg kender kun teknikken generelt.

Nei, netfilter/iptables støtter statefull inspections !
Se her http://iptables.1go.dk
Firewall generatoren til dank baserer seg på prinsippet om "statefull inspection", dvs et slags "regnskap" over avsendte og mottatte ip pakker, slik at firewall i prinsipp dynamisk sørger for å åpne for for den trafikk den forventer å få tilbake. Det dreier seg forstatt om filtering på et "kernel level".
Tror at application filtering vil si at man etablerer filtering funsjoner som fungerer på logisk application level utenfor "basic kernel processes".

Fra firewall generatoren til dank:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Altså med andre ord: Aksepter all trafikk som du i henhold til ditt trafikkregnskap kan konstantere er satt opp innefra lan eller fra en av de portene som har lovlig adgang utenfra.
(Her bruker dank en regel som virker likt begge veier, både inn og ut. Jeg for min del liker å spesifisere retningen alle firewall rules skal gjelde ved å angi for eksempel -i eth0 eller -i eth1)

Application level da skal man kunne utføre andre logiske operasjoner, for eksempel forkast alle henvendelser fra baduser.com eller muliggens: Forkast alle henvendlser til eller fra alle domenenavn som inneholder bokstavrekkefølgen "bil"

Takker for kommentarene. Testet socks5 men fikk det aldri til å fungere helt slik som ønsket. Installerte Squid i stedet og den ser ut til å fungere meget bra.