Про стандартный FireWall Windows

← →
KSergey © (2009-02-11 13:16) [0]

Подскажите: за что люди не любят стандартный FireWall из Windows?
Он не позволяет сделать какие-то настройки или есть много известных непочиненых уязвимостей?

Сколько мне попадалось криков - толком никто сказать не может, только плюются, а от чего конкретно - не говорит никто.

Меня вот он полностью устраивает функционалом в отличии от некоторых других, ест ьровно что нужно; правда про уязвимости не знаю.

← →
Эстет (2009-02-11 13:25) [1]

Очень хорошая аналогия напрашивается с машинами. Проанализируй кто и почему меняет стандартную комплектацию/конфигурацию новой машины и понимание вопроса придет само.

← →
dmk © (2009-02-11 13:36) [2]

>Подскажите: за что люди не любят стандартный FireWall из Windows?

Тут уместен вопрос наверно другого характера:
Почему он не такой навороченный как Outpost или другие?

Ведь если MS будут писать столь навороченные программы,
то о конкурентноспособности и рынке можно будет забыть.

Такая у MS политика. Пишут минимум, чтобы дать покушать и другим.

← →
Плохиш © (2009-02-11 13:40) [3]

> dmk © (11.02.09 13:36) [2]
>
> >Подскажите: за что люди не любят стандартный FireWall из
> Windows?
>
> Тут уместен вопрос наверно другого характера:
> Почему он не такой навороченный как Outpost или другие?

"Вам шашечки или ехать?" (c) народный анекдот...

← →
Сергей М. © (2009-02-11 13:47) [4]

> за что люди не любят стандартный FireWall из Windows?

Ну хотя бы за то что он бессилен в борьбе против ряда известных сетевых атак.
Внутрь себя не пускает, мол, не лезь, я сам справлюсь, а чуть запахло жареным, так сразу и лапки кверху)

← →
Anatoly Podgoretsky © (2009-02-11 13:53) [5]

> KSergey (11.02.2009 13:16:00) [0]

Или сексуально озабоченые или им нужен не персональный файрвол.
Если проанализировать обсуждения, то первое, второе редкость.

← →
wql (2009-02-11 13:53) [6]

У меня стандартный виндовый.
Устраивает. Никаких вирусов и троянов отродясь не было...
А навороты и тормоза ОутПоста раздражают.
Отказался от него когда появилась 4я версия...

← →
Anatoly Podgoretsky © (2009-02-11 13:55) [7]

> Сергей М. (11.02.2009 13:47:04) [4]

Неправда, он может полность закрыть машину, что даже пинги не пойдут.

← →
KSergey © (2009-02-11 13:56) [8]

> dmk © (11.02.09 13:36) [2]
> Почему он не такой навороченный как Outpost или другие?

Окей, переформулирую вопрос: что есть такого в том же Outpost, без чего использование стандартного невозможно?
Подчеркиваю, мне хочется конкретный примеров того, что что делает невозможным применение стандартного файервола в конкретной ситуации.

← →
Anatoly Podgoretsky © (2009-02-11 13:57) [9]

> wql (11.02.2009 13:53:06) [6]

У меня от ОутПоста только отрицательные впечатления.
Когда еще не было встроеных, то я его заменил на бесплатный ZoneAlarm - того же класса файрвол, что и встроеный.

← →
KSergey © (2009-02-11 13:59) [10]

> Сергей М. © (11.02.09 13:47) [4]

Т.е. фактически в нем есть уязвимости (баги/ошибки архитектуры), я правильно понимаю? А это точно? Нелья ли конкретных примеров, правда видимо это недопустимо правилами :(

> Anatoly Podgoretsky © (11.02.09 13:53) [5]
> или им нужен не персональный файрвол.

А можно назвать конкретную функцию не персонального файервола, которой нет в виндовом??

← →
Anatoly Podgoretsky © (2009-02-11 14:04) [11]

> KSergey (11.02.2009 13:59:10) [10]

Ну например нестандартные SSL протоколы.

← →
Anatoly Podgoretsky © (2009-02-11 14:09) [12]

> Anatoly Podgoretsky (11.02.2009 14:04:11) [11]

Кстати мы (разработчики) всегда в состояние сделать такую фичу, которой нет в других файрволах.
Так что ответ одназначный.
Надо подходить к вопросу по другому, делает ли встроеный файрвол то что мне надо или пора покупать другой и вообще нужен ли другой файрвол, не является ли
это колокольчиком и хватит обычного Интернет защитника, которых антивирусные фирмы наплодили, поскольку запрашиваемые функции относились к Папа контроль, а не к файрволам, особенно персональным.

Кстати в Виндоус стандартных файрволов было несколько, сейчас уже третье поколение, но только в Виста.

← →
boa_kaa © (2009-02-11 14:12) [13]

> Anatoly Podgoretsky © (11.02.09 13:55) [7]
>
> Неправда, он может полность закрыть машину, что даже пинги
> не пойдут.
>

и что потом с ней делать, если не секрет? дурное дело-то нехитрое...

> KSergey © (11.02.09 13:16)

если комп выходит в сеть через небольшую локалку, тогда хватит и виндовского
а вот если напрямик подключен к и-нету или в большую подсеть провайдера, то там всегда найдется N имбецилов, которые очень любят устраивать разного рода атаки, которые в свою очередь никак не блокируются

← →
Сергей М. © (2009-02-11 14:23) [14]

> Anatoly Podgoretsky © (11.02.09 13:55) [7]

А мне не надо "полностью", мне надо так как я хочу.
А он, зараза, мне не дает этого сделать.
И как мне с ним дружит после этого ?
Мне проще отключить его к едренифени, что я собственно и делаю всякий раз при инсталляции системы)

← →
KSergey © (2009-02-11 14:35) [15]

> boa_kaa © (11.02.09 14:12) [13]
> которые очень любят устраивать разного рода атаки, которые в свою
> очередь никак не блокируются

Т.е.вы хотите сказать, что есть известные уязвимости в виндовом файерволе, позволяющие его обойти, правильно?

> Сергей М. © (11.02.09 14:23) [14]
> мне надо так как я хочу. А он, зараза, мне не дает этого сделать.

Что именно, уточните, плиз. Я не смог ничего такого придумать и комплексую.

← →
Anatoly Podgoretsky © (2009-02-11 14:35) [16]

> boa_kaa (11.02.2009 14:12:13) [13]

Ты можешь продолжать работать, а для внешних врагов ты недоступен.
Компьютер не только будет закрыт, но и не будет виден в сети.

← →
Anatoly Podgoretsky © (2009-02-11 14:37) [17]

> Сергей М. (11.02.2009 14:23:14) [14]

Что именно ты не можешь делать?
Ты можешь открыть любой порт или приложение, и тогда будешь не полностью закрыт.

← →
KSergey © (2009-02-11 14:41) [18]

> boa_kaa © (11.02.09 14:12) [13]
> а вот если напрямик подключен к и-нету

вот это и имею :)
причем уже 8 лет как.
Файервол когда-то давно был, потом надоел. Но за последние пол-года (после смены провайдера) состояние пациента сильно ухудшилось, вплоть до ужасного.
Вот я и забеспокоился о презервативах. Вернее аутпост уже назад поставил (т.к. Win2k, стандартного нет), но будет Win2003, вот и думаю какой маркой резинок пользоваться.

На другом подобном сервере с 2003 включил стандартный, функционально устраивает полностью, но может ячего недогоняю, в частности по поводу уязвимостей?

← →
Правильный$Вася (2009-02-11 14:52) [19]

> для внешних врагов ты недоступен.

а для внутренних?

> не будет виден в сети.

это не всегда удобно

← →
KSergey © (2009-02-11 15:03) [20]

> Правильный$Вася (11.02.09 14:52) [19]
> > для внешних врагов ты недоступен.
> а для внутренних?

Тоже, в чем беда?

К стати, это мне как раз понравилось в стандартном - рулится свое на сетевые интерфейсы, именно в такой терминологии. Для аутпоста, например, рулится только в терминах IP-адреса. Хотя если несколько IP на интерфейсе - то может оно и гибче, да и интерфейсы меняться могут (физически), так что не понятно что удобнее.

← →
Сергей М. © (2009-02-11 15:08) [21]

> Anatoly Podgoretsky © (11.02.09 14:37) [17]

Хочу, например, иметь надежную, гибко настраиваемую и контролируемую защиту от SYN-флада и от порт-сканирования)

> KSergey © (11.02.09 14:35) [15]

см. тут же ответ для АП

← →
Anatoly Podgoretsky © (2009-02-11 15:18) [22]

> KSergey (11.02.2009 14:41:18) [18]

Сервер? Тогда корпоративный файрвол ISA 200x
Встроеный в систему все же персональный файрвол, его может не хватить.

← →
Anatoly Podgoretsky © (2009-02-11 15:21) [23]

> Правильный$Вася (11.02.2009 14:52:19) [19]

Те кто в сети есть внутренние враги, как то не замечаю никаких проблем, кроме того ты читал, что файрвол полностью настраиваемый на входящие соединения, а в Висте и на исходящие. Зачем тебе нужно в локальной сети, чтобы к тебе кто то лазил, для этого существуют сервера. На серверах у меня этот файрвол отключен, проблем нет.

← →
Сергей М. © (2009-02-11 15:24) [24]

> Anatoly Podgoretsky

Самая лучшая оборона - это эшелонированная оборона.

← →
iZEN (2009-02-11 15:25) [25]

> KSergey © (11.02.09 13:16)
>
> Подскажите: за что люди не любят стандартный FireWall из
> Windows?

Настройки не такие гибкие. Инструменты для настройки ужасают. Фильтрация трафика — вообще в "Дополнительных настройках TCP/IP" и никаким боком к файерволу не относится. :O

← →
KSergey © (2009-02-11 15:50) [26]

> Сергей М. © (11.02.09 15:08) [21]
> защиту от SYN-флада и от порт-сканирования)

ну про первое почитаю, а про второе не очень понятно: что тут нужно-то? Закрыл все порты для входящих соединений (если какие нужны - открыл индивидуально) - вот и все. И хоть засканируйся.
Или подразумевается "интеллектуальный" антисканер, который при попытках перебирания портов блокирует все соединения от "плохого" хоста?

← →
Anatoly Podgoretsky © (2009-02-11 15:52) [27]

> Сергей М. (11.02.2009 15:08:21) [21]

Да без проблем, не синронизированые пакеты блокируются по определению и без вмешательства персоны, не надо тут контролируемости никаой.
Сканирование порта чем тебя так волнует, ну запрети сканирование совсем. Пока все в рамках любого персонального файрвола.

← →
Anatoly Podgoretsky © (2009-02-11 15:54) [28]

> Сергей М. (11.02.2009 15:24:24) [24]

ИСА это позволяет и бастион и периметр и DMZ и на любую глубину.
Равноценной замены ИСА просто нет, но он очень сложный, не любой сисадмин с ним справится.

← →
Anatoly Podgoretsky © (2009-02-11 15:54) [29]

> iZEN (11.02.2009 15:25:25) [25]

Потому там и находится, а вот ее реализация редко позволяет ее применить, хотя нужна иногда.

← →
Сергей М. © (2009-02-11 16:00) [30]

> KSergey © (11.02.09 15:50) [26]

Не только и не столько блокирует, сколько ведет протокол и выполняет заданные мной действия при заданных правилах обнаружения.

> Anatoly Podgoretsky © (11.02.09 15:52) [27]

> не синронизированые пакеты блокируются по определению

А подхват ожидаемых not-SYN-пакетов ?
Такая задача тоже имеет право на жизнь и не так уж редка.

> Сканирование порта чем тебя так волнует

Тем же чем и тебя - потенциальной атакой вслед за сканированием)

← →
Anatoly Podgoretsky © (2009-02-11 16:05) [31]

> KSergey (11.02.2009 15:50:26) [26]

Блокировка, неуправляемая, тоже есть, по каким правилам работает неизвестно, файрвол персональный.

← →
Anatoly Podgoretsky © (2009-02-11 16:07) [32]

> Сергей М. (11.02.2009 16:00:30) [30]

> А подхват ожидаемых not-SYN-пакетов ?
> Такая задача тоже имеет право на жизнь и не так уж редка.

Задача файрвола бороться с хакерами, а не содействовать им.

Если такая задача есть, то решаться она другими средствами, а не файрволом.

← →
Сергей М. © (2009-02-11 16:15) [33]

> Anatoly Podgoretsky © (11.02.09 16:07) [32]

> решаться она другими средствами, а не файрволом

В любых "средствах", тем более автономных, эти ф-ции возлагаются именно на файрвол, тесно взаимодействующий с подсистемами трансляции и маршрутизации.

← →
KSergey © (2009-02-11 16:27) [34]

чета или вы тут через чур умные, ил ия на столько темный :)

Лана, если нет явных неустраняемых уязвимостей - меня устраивает вроде как. А тама посмотрим :)

← →
dmk © (2009-02-11 16:31) [35]

>Окей, переформулирую вопрос: что есть такого в том же Outpost,
>без чего использование стандартного невозможно?

Не знаю насчет outpost"a, я использую интернет секьюрити касперского.
Во-первых — касперский более оперативно реагирует на дырки в системе чем MS.
Во-вторых — гибкая система настроек и уведомлений.
В-третьих — сколько еще дырок найдут и когда неизвестно (нет должного доверия).

← →
Сергей М. © (2009-02-11 16:35) [36]

> KSergey © (11.02.09 16:27) [34]

> если нет явных неустраняемых уязвимостей

Вот ты сам рассуди - что ни день, то мелкомягкие плодят очередные затычки в системе безопасности, и конца-края этому не видно)..

А касается каждая из этих затычек в частности файрвола (и каким боком) или не касается - про то простому смертному юзеру довольно сложно понять)

← →
dmk © (2009-02-11 16:42) [37]

>Сергей М. © (11.02.09 16:35) [36]

Вот-вот. Только сегодня 5 обновлений через windows update пришло.
Все 5 заплатки и средства удаления вредоносных программ ;-)
А совокупный траффик по обновлениям уже за 1 Гб перевалил.

← →
Anatoly Podgoretsky © (2009-02-11 17:11) [38]

> Сергей М. (11.02.2009 16:35:36) [36]

Ну не надо, за данный месяц всего 48, количество постоянно снижается. При том иэ этих 48 часть относится к определениям, а не затычки и часть это разные редакции - для ХР, для Висты, для 2003/2008. Ранее приходило не менее 100, обычно по 150 за раз. А еще часть это не дырки как токовые, примерно так, кто то блокнотом исправил ИНИ файл, блокноту запретили писать - вот такого класса. Из этих 48 обновлений, что пришли вчера потребовалось только 9, по всем трем ОС и по двум языка. Можно сказать что всего 3/4 за месяц, смешно даже.

Для файрвола не припомню ни одной затычки, стабилен.

← →
Anatoly Podgoretsky © (2009-02-11 17:12) [39]

> dmk (11.02.2009 16:42:37) [37]

Чего у тебя так мало? Наверно отказался от некоторых важных и не получаешь их?

← →
Сергей М. © (2009-02-11 17:20) [40]

> Anatoly Podgoretsky © (11.02.09 17:11) [38]

> Для файрвола не припомню ни одной затычки, стабилен

Ну эт кому как повезет)
Хацкеры тоже ведь не дремлют)

← →
KSergey © (2009-02-11 17:28) [41]

> Сергей М. © (11.02.09 17:20) [40]
> > Для файрвола не припомню ни одной затычки, стабилен
> Ну эт кому как повезет)

Это все какие-то рассуждения "вообще". Уверен, в сторонних файерволах дыры так же имеются и хацкеры тоже не дремлют, а уязвимости в самой винде - они по идее файерволом и прикрыты, ну как я понимаю. Да и другой раз траблы находят в таких глубоких драйверах, что все едино сторонний файервол через них и работает, он же не подменяет собой полностью сетевую подсистему, лишь влезает в нее.

А сильно много уведомлений - да тоже надоедает. Я раз в месяц смотрю на сервер, если честно. Ну сколь-нибудь подробно. Работает - и ладно :)

Впрочем я то же так, "вообще" расуждаю.

← →
dmk © (2009-02-11 17:30) [42]

Anatoly Podgoretsky © (11.02.09 17:12) [39]

Анатолий, даже и не знаю.
Как висту поставил windows update сам ежедневно проверят что качать.
Сегодня вот 5, вчера 1, позавчера 27, в день установки 45 штук.
В общей сложности с момента установки 6 января 2009 г. - 90 обновлений.
Еще висят 34 языковых пакета, но мне они не нужны. В число обновлений
входят Vista Ultimate Extras.
Со словом "безопасность" 44 обновления. Штук 15 из них для Windows Defender. Вот ;-)

← →
han_malign © (2009-02-11 17:37) [43]

> Закрыл все порты для входящих соединений (если какие нужны
> - открыл индивидуально) - вот и все. И хоть засканируйся.

- если эти порты никто не "слушает" (WinSock - listen), то их и так сканировать без толку... Если же свежескаченный троян/шпион захочет открыть заднюю дверь, то он спокойно настроит виндовый firewall через стандартный набор интерфейсов INetFwXxx - CreateOLEObject("HNetCfg.FwMgr") и вперед - хошь тебе AuthorizedApplications, хошь GloballyOpenPorts, а хошь и FirewallEnabled. Не уверен, но кажется для этого даже административных прав не надо(не проверял)...

И - учитывая, что давно исправленная уязвимость RPC(которой пользовался MSBlaster), практически единственное от чего он защищает(если не считать ping и ша`ры) - ничего, кроме ложного чувста защищенности, встроенный "Брандмауэр Windows" не дает...

← →
KSergey © (2009-02-11 18:05) [44]

> han_malign © (11.02.09 17:37) [43]
> Если же свежескаченный троян/шпион захочет открыть заднюю дверь, то он спокойно
> настроит виндовый firewall через стандартный набор интерфейсов

Это, к стати, интересная мысль.
Ну, троян и некоторые стронние подкрутить может умеет, но то, что для виндового интерфейс вообще есть и хорошо документирован - да....
Однако надо повентилировать этот вопрос.

← →
han_malign © (2009-02-11 18:09) [45]

Фактически, "Брандмауэр Windows" реагирует только на попытки вызова listen и recvfrom, поскольку перед этим никто не мешает обратиться к вышеуказанному интерфесу - смысла ноль, разве что - от совсем уж древних троянов 98-го года выпуска поможет...

Если так уж хочется закрыть все порты, лучше воспользоваться монитором сетевых подключений и вдумчиво прибить все лишние "слушающие" процессы/сервисы...

А закрыть свежеобновляемые(с каждым патчем обнаруженных) бэкдоры от Microsoft-а, все равно только аппартным firewall-ом получится, потому как всякие LDAP, lsass и иже с ними - хрен просто так от сети отрежешь - с таким же результатом можно просто шнур выдернуть...

← →
Anatoly Podgoretsky © (2009-02-11 19:27) [46]

> Сергей М. (11.02.2009 17:20:40) [40]

Затычки не зависят от моей везучести, они или есть или их нет, я затычки получаю через WSUS
За все время помню только смену версии.

← →
Anatoly Podgoretsky © (2009-02-11 19:31) [47]

> dmk (11.02.2009 17:30:42) [42]

Я уже понял ситуацию сразу после того как отправил ответ.
Ты использует WU, а я AU, поэтому у меня больше, для нескольких систем и языков. Мой анализ показывает тоже примерно 5. А всего пришло 48, часть сразу запредил - это х64 и Итаниум, осталось 27, из них применилось 9, но это с вариантами для разных ОС, на компьютеры ставилось от 4 до 5.

> han_malign (11.02.2009 17:37:43) [43]

Он точно также настроит и любой другой, а то вообще будет просто внедрен в другое приложение, например в проводник, ИЕ и т.д.
Принцип работы другой, не запрещать, а разрешать нужное.

> KSergey (11.02.2009 18:05:44) [44]

Чаще всего подкручивают через uPnP его штатная функция конфигурирование файрвола, для работы устройства.

> han_malign (11.02.2009 18:09:45) [45]

У тебя слабые представления об работе файрволов.
Почему бы не представить, что мне например нужен NETBIOS но только для локалки, а на внешнем интерфейсе не нужен, я не могу закрыть его порты, иначе не будет работать шаринг, общие принтера, но я не хочу выставлять это наружу. Или другой случай тоже, но доступ только для одного/двух компьютеров через Интернет.
Встроеный спокойно с этой задачей справляется.

> han_malign © (11.02.09 18:09) [45]
> А закрыть свежеобновляемые(с каждым патчем обнаруженных)
> бэкдоры от Microsoft-а, все равно только аппартным firewall-
> ом получится, потому как всякие LDAP, lsass и иже с ними
> - хрен просто так от сети отрежешь - с таким же результатом
> можно просто шнур выдернуть...

Рассуждения на уровне школьника, извините.
В аппартном файерволе, как думаешь, что работает?
Та же самая программа типа пакетного фильтра (свободные реализации: IPTABLES Linnux, PF OpenBSD). Кстати, PF был признан лучшим файерволом 2003-2004 года. А правила его довольно просты и описываются в текстовом конфигурационном файле. Вот для примера:
# макроимя сетевого интерфейса int_if="fxp0" # нормализовать все пакеты scrub in all # блокировать всё, что не разрешено block in on $int_if # пространство адресов внутренней сети int_net="192.168.1.0/24" # разрешенные типы icmp сообщений allowed_icmp_types="{ echoreq, unreach }" table <nfs> const { $int_net } # пропустить трафик обратной петли без правил pass quick on lo0 all # разрешить входящий ICMP (ping) pass in on $int_if inet proto icmp all icmp-type $allowed_icmp_types # разрешить запросы к серверу SSH откуда угодно pass in on $int_if proto tcp from any to $int_if port ssh # разрешить запросы к серверу POP3 только из локальной сети pass in on $int_if proto tcp from $int_net to $int_if port pop3 # разрешить запросы к серверу SMTP pass in on $int_if proto tcp from any to $int_if port smtp # разрешить запросы к серверу HTTP/HTTPS pass in on $int_if proto tcp from any to $int_if port { http, https, 8080 } # разрешить запросы к серверу DNS pass in on $int_if proto { tcp, udp } from any to $int_if port domain # разрешить запросы к серверу NFS и RPCBIND pass in on $int_if proto { tcp, udp } from <nfs> to port { nfsd, rpcbind } modulate state # mountd -p 883 pass in on $int_if proto { tcp, udp } from <nfs> to port 883 modulate state # rpc.lockd -p 884 pass in on $int_if proto { tcp, udp } from <nfs> to port 884 modulate state # rpc.statd -p 885 pass in on $int_if proto { tcp, udp } from <nfs> to port 885 modulate state # разрешить исходящий трафик pass out on $int_if proto { tcp, udp, icmp } all keep state

Для других служб правила можно дополнить.

← →
Админ (2009-02-12 08:47) [52]

> Anatoly Podgoretsky © (11.02.09 13:57) [9]
> > wql (11.02.2009 13:53:06) [6]
>
> У меня от ОутПоста только отрицательные впечатления.
> Когда еще не было встроеных, то я его заменил на бесплатный
> ZoneAlarm - того же класса файрвол, что и встроеный.

> ZoneAlarm

Тоже таким когда-то пользовался.

> PF был признан лучшим файерволом 2003-2004 года

Это который pfSense ?

← →
iZEN (2009-02-12 20:33) [54]

> Сергей М. © (12.02.09 09:00) [53]
> > PF был признан лучшим файерволом 2003-2004 года
> Это который pfSense ?

pfSense — отдельный продукт, отпочковавшийся от проекта m0n0wall, LiveCD с ним позволяет создавать файерволы.

PF сейчас входит в состав операционной системы FreeBSD.

> iZEN (12.02.09 20:33) [54]

> pfSense — отдельный продукт, отпочковавшийся от проекта
> m0n0wall

Спасибо, я в курсе.

> LiveCD с ним позволяет создавать файерволы

Не только и не столько файрволы, сколько полноценные маршрутизаторы с функциями межсетевых экранов.

> PF сейчас входит в состав операционной системы FreeBSD

По сути ведь pfSense использует PF, поскольку растет из FreeBSD.
Аналогично RouterOS, растущей из RedHat и использующей IPTables.

← →
iZEN (2009-02-13 01:43) [56]

> Сергей М. © (12.02.09 21:03) [55]
> По сути ведь pfSense использует PF, поскольку растет из
> FreeBSD.

Я не уверен. На сайте нет такой информации. Может вообще на основе ipfw всё в нём разруливается.

> iZEN (13.02.09 01:43) [56]

Может быть.

Хочу лишь сказать, что из трех наиболее известных продуктов в этой нише - pfSense, SmoothWall, MT RouterOS - при прочих равных условиях я как правило останавливаю свой выбор на последнем, хотя бы потому что IPTables - мощный, удобный, проверенный, надежный и хорошо документированный файрвол.

> Сергей М. © (13.02.09 10:35) [57]
> хотя бы потому что IPTables - мощный, удобный,
> проверенный, надежный и хорошо документированный файрвол.

Просто кроме IPTABLES в Linux"е другого нету. :))

Честно говоря, синтаксис правил в PF отличается от IPTABLES более человечным подходом к лексике и семантике "предложений". Почитайте PF FAQ: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf — читается как поэма. ;)

> iZEN © (13.02.09 19:57) [58]

> кроме IPTABLES в Linux"е другого нету

iptables пришел на смену ipchains начиная с 2.4

Ядра младше 2.4 тоже имеют право на существование и по сей день, так что iptables не единственный файрвол)

> синтаксис правил в PF отличается от IPTABLES более человечным
> подходом к лексике и семантике "предложений"

Не возражаю.
Но речь, думаю, идет пока о возможностях и надежности сабжа.

А ты тоже посмотри хотя бы любопытства ради, какую приятную языковую оболочку придумали в MikroTik для iptables ! Да и гуя к нему лучше чем в составе WinBox, пожалуй, не сыскать..

> Но речь, думаю, идет пока о возможностях и надежности сабжа.

Ну так. PF из OpenBSD вышел.

> А ты тоже посмотри хотя бы любопытства ради, какую приятную языковую оболочку придумали в MikroTik для iptables !

На серверах и маршрутизаторах нету графических оболочек. :)) Иначе это Windows со всеми вытекающими... :D

> iZEN (13.02.2009 23:57:00) [60]

Чем мешает или чем помогает графическая оболочка на сервер Виндоус, в случае штатного или корпоративного файрвола? Кроме удобства.

> Anatoly Podgoretsky © (14.02.09 12:21) [61]
> Чем мешает или чем помогает графическая оболочка на сервер
> Виндоус, в случае штатного или корпоративного файрвола?
> Кроме удобства.

Кроме удобства, графическая оболочка ещё и требовательна к видеоподсистеме (прикинь: на серере может вообще не быть видеокарты ни встроенной, ни дискретной; всё "общение" с сервером может сводиться к прямому подключению к нему по последовательной консоли или же удалённо по SSH).

> iZEN © (13.02.09 23:57) [60]

> На серверах и маршрутизаторах нету графических оболочек

MT RouterOS - не исключение.
Я про нативный гуй под на виндовую станцию, с которой можно наглядно, эффективно и полноценно контролировать роутер.

> iZEN (14.02.2009 13:40:02) [62]

Так это я в курсе, если администрирование текстовое, скриптовое, то не надо туда тянуть ГУИ и наоборот. Поэтому Чем мешает или чем помогает графическая оболочка на сервер Виндоус.
На всякий случай есть и то и другое, поскольку корпоративный файрвол является СОМ сервером, со всеми вытекающими из этого последствиями.

Тсс, только администратором это не сообщать.

> Сергей М. (14.02.2009 17:24:03) [63]

Виндовая станция аналогично, основной ГУИ инструмент, ну а продвинутые могут из консоли через NETSH

И тоже тсс, поскольку многие не знаю, что в Виндоус, страшно даже сказать но есть консоль и боже - большинство POSIX утилит.

> Anatoly Podgoretsky © (14.02.09 19:55) [65]

> продвинутые могут из консоли через NETSH

Никто не вправе лишать мазохистов права быть мазохистами)

В случае же с MT RouterOS выбор более чем достаточен на любого ценителя: тут тебе и нативный виндовый гуй, тут тебе и веб-интерфейс, тут тебе и ssh- и telnet-доступ, если хочется "помазохировать")

← →
iZEN (2009-02-15 14:40) [67]

Пример встраиваемого решения на FreeBSD и методы управления файерволом: http://www.thg.ru/network/20041114/print.html

Про стандартный FireWall Windows Найти похожие ветки