Главная страница
Top.Mail.Ru    Яндекс.Метрика
Текущий архив: 2009.04.12;
Скачать: CL | DM;

Вниз

Про стандартный FireWall Windows   Найти похожие ветки 

 
KSergey ©   (2009-02-11 13:16) [0]

Подскажите: за что люди не любят стандартный FireWall из Windows?
Он не позволяет сделать какие-то настройки или есть много известных непочиненых уязвимостей?

Сколько мне попадалось криков - толком никто сказать не может, только плюются, а от чего конкретно - не говорит никто.

Меня вот он полностью устраивает функционалом в отличии от некоторых других, ест ьровно что нужно; правда про уязвимости не знаю.


 
Эстет   (2009-02-11 13:25) [1]

Очень хорошая аналогия напрашивается с машинами. Проанализируй кто и почему меняет стандартную комплектацию/конфигурацию новой машины и понимание вопроса придет само.


 
dmk ©   (2009-02-11 13:36) [2]

>Подскажите: за что люди не любят стандартный FireWall из Windows?

Тут уместен вопрос наверно другого характера:
Почему он не такой навороченный как Outpost или другие?

Ведь если MS будут писать столь навороченные программы,
то о конкурентноспособности и рынке можно будет забыть.

Такая у MS политика. Пишут минимум, чтобы дать покушать и другим.


 
Плохиш ©   (2009-02-11 13:40) [3]


> dmk ©   (11.02.09 13:36) [2]
>
> >Подскажите: за что люди не любят стандартный FireWall из
> Windows?
>
> Тут уместен вопрос наверно другого характера:
> Почему он не такой навороченный как Outpost или другие?

"Вам шашечки или ехать?" (c) народный анекдот...


 
Сергей М. ©   (2009-02-11 13:47) [4]


> за что люди не любят стандартный FireWall из Windows?


Ну хотя бы за то что он бессилен в борьбе против ряда известных сетевых атак.
Внутрь себя не пускает, мол, не лезь, я сам справлюсь, а чуть запахло жареным, так сразу и лапки кверху)


 
Anatoly Podgoretsky ©   (2009-02-11 13:53) [5]

> KSergey  (11.02.2009 13:16:00)  [0]

Или сексуально озабоченые или им нужен не персональный файрвол.
Если проанализировать обсуждения, то первое, второе редкость.


 
wql   (2009-02-11 13:53) [6]

У меня стандартный виндовый.
Устраивает. Никаких вирусов и троянов отродясь не было...
А навороты и тормоза ОутПоста раздражают.
Отказался от него когда появилась 4я версия...


 
Anatoly Podgoretsky ©   (2009-02-11 13:55) [7]

> Сергей М.  (11.02.2009 13:47:04)  [4]

Неправда, он может полность закрыть машину, что даже пинги не пойдут.


 
KSergey ©   (2009-02-11 13:56) [8]

> dmk ©   (11.02.09 13:36) [2]
> Почему он не такой навороченный как Outpost или другие?

Окей, переформулирую вопрос: что есть такого в том же Outpost, без чего использование стандартного невозможно?
Подчеркиваю, мне хочется конкретный примеров того, что что делает невозможным применение стандартного файервола в конкретной ситуации.


 
Anatoly Podgoretsky ©   (2009-02-11 13:57) [9]

> wql  (11.02.2009 13:53:06)  [6]

У меня от ОутПоста только отрицательные впечатления.
Когда еще не было встроеных, то я его заменил на бесплатный ZoneAlarm - того же класса файрвол, что и встроеный.


 
KSergey ©   (2009-02-11 13:59) [10]

> Сергей М. ©   (11.02.09 13:47) [4]

Т.е. фактически в нем есть уязвимости (баги/ошибки архитектуры), я правильно понимаю? А это точно? Нелья ли конкретных примеров, правда видимо это недопустимо правилами :(

> Anatoly Podgoretsky ©   (11.02.09 13:53) [5]
> или им нужен не персональный файрвол.

А можно назвать конкретную функцию не персонального файервола, которой нет в виндовом??


 
Anatoly Podgoretsky ©   (2009-02-11 14:04) [11]

> KSergey  (11.02.2009 13:59:10)  [10]

Ну например нестандартные SSL протоколы.


 
Anatoly Podgoretsky ©   (2009-02-11 14:09) [12]

> Anatoly Podgoretsky  (11.02.2009 14:04:11)  [11]

Кстати мы (разработчики) всегда в состояние сделать такую фичу, которой нет в других файрволах.
Так что ответ одназначный.
Надо подходить к вопросу по другому, делает ли встроеный файрвол то что мне надо или пора покупать другой и вообще нужен ли другой файрвол, не является ли
это колокольчиком и хватит обычного Интернет защитника, которых антивирусные фирмы наплодили, поскольку запрашиваемые функции относились к Папа контроль, а не к файрволам, особенно персональным.

Кстати в Виндоус стандартных файрволов было несколько, сейчас уже третье поколение, но только в Виста.


 
boa_kaa ©   (2009-02-11 14:12) [13]


> Anatoly Podgoretsky ©   (11.02.09 13:55) [7]
>
> Неправда, он может полность закрыть машину, что даже пинги
> не пойдут.
>

и что потом с ней делать, если не секрет? дурное дело-то нехитрое...


> KSergey ©   (11.02.09 13:16)  

если комп выходит в сеть через небольшую локалку, тогда хватит и виндовского
а вот если напрямик подключен к и-нету или в большую подсеть провайдера, то там всегда найдется N имбецилов, которые очень любят устраивать разного рода атаки, которые в свою очередь никак не блокируются


 
Сергей М. ©   (2009-02-11 14:23) [14]


> Anatoly Podgoretsky ©   (11.02.09 13:55) [7]


А мне не надо "полностью", мне надо так как я хочу.
А он, зараза, мне не дает этого сделать.
И как мне с ним дружит после этого ?
Мне проще отключить его к едренифени, что я собственно и делаю всякий раз при инсталляции системы)


 
KSergey ©   (2009-02-11 14:35) [15]

> boa_kaa ©   (11.02.09 14:12) [13]
> которые очень любят устраивать разного рода атаки, которые в свою
> очередь никак не блокируются

Т.е.вы хотите сказать, что есть известные уязвимости в виндовом файерволе, позволяющие его обойти, правильно?

> Сергей М. ©   (11.02.09 14:23) [14]
> мне надо так как я хочу. А он, зараза, мне не дает этого сделать.

Что именно, уточните, плиз. Я не смог ничего такого придумать и комплексую.


 
Anatoly Podgoretsky ©   (2009-02-11 14:35) [16]

> boa_kaa  (11.02.2009 14:12:13)  [13]

Ты можешь продолжать работать, а для внешних врагов ты недоступен.
Компьютер не только будет закрыт, но и не будет виден в сети.


 
Anatoly Podgoretsky ©   (2009-02-11 14:37) [17]

> Сергей М.  (11.02.2009 14:23:14)  [14]

Что именно ты не можешь делать?
Ты можешь открыть любой порт или приложение, и тогда будешь не полностью закрыт.


 
KSergey ©   (2009-02-11 14:41) [18]

> boa_kaa ©   (11.02.09 14:12) [13]
> а вот если напрямик подключен к и-нету

вот это и имею :)
причем уже 8 лет как.
Файервол когда-то давно был, потом надоел. Но за последние пол-года (после смены провайдера) состояние пациента сильно ухудшилось, вплоть до ужасного.
Вот я и забеспокоился о презервативах. Вернее аутпост уже назад поставил (т.к. Win2k, стандартного нет), но будет Win2003, вот и думаю какой маркой резинок пользоваться.

На другом подобном сервере с 2003 включил стандартный, функционально устраивает полностью, но может ячего недогоняю, в частности по поводу уязвимостей?


 
Правильный$Вася   (2009-02-11 14:52) [19]


> для внешних врагов ты недоступен.

а для внутренних?

> не будет виден в сети.

это не всегда удобно


 
KSergey ©   (2009-02-11 15:03) [20]

> Правильный$Вася   (11.02.09 14:52) [19]
> > для внешних врагов ты недоступен.
> а для внутренних?

Тоже, в чем беда?

К стати, это мне как раз понравилось в стандартном - рулится свое на сетевые интерфейсы, именно в такой терминологии. Для аутпоста, например, рулится только в терминах IP-адреса. Хотя если несколько IP на интерфейсе - то может оно и гибче, да и интерфейсы меняться могут (физически), так что не понятно что удобнее.


 
Сергей М. ©   (2009-02-11 15:08) [21]


> Anatoly Podgoretsky ©   (11.02.09 14:37) [17]


Хочу, например, иметь надежную, гибко настраиваемую и контролируемую защиту от SYN-флада и от порт-сканирования)


> KSergey ©   (11.02.09 14:35) [15]


см. тут же ответ для АП


 
Anatoly Podgoretsky ©   (2009-02-11 15:18) [22]

> KSergey  (11.02.2009 14:41:18)  [18]

Сервер? Тогда корпоративный файрвол ISA 200x
Встроеный в систему все же персональный файрвол, его может не хватить.


 
Anatoly Podgoretsky ©   (2009-02-11 15:21) [23]

> Правильный$Вася  (11.02.2009 14:52:19)  [19]

Те кто в сети есть внутренние враги, как то не замечаю никаких проблем, кроме того ты читал, что файрвол полностью настраиваемый на входящие соединения, а в Висте и на исходящие. Зачем тебе нужно в локальной сети, чтобы к тебе кто то лазил, для этого существуют сервера. На серверах у меня этот файрвол отключен, проблем нет.


 
Сергей М. ©   (2009-02-11 15:24) [24]


> Anatoly Podgoretsky


Самая лучшая оборона - это эшелонированная оборона.


 
iZEN   (2009-02-11 15:25) [25]


> KSergey ©   (11.02.09 13:16)
>
> Подскажите: за что люди не любят стандартный FireWall из
> Windows?

Настройки не такие гибкие. Инструменты для настройки ужасают. Фильтрация трафика — вообще в "Дополнительных настройках TCP/IP" и никаким боком к файерволу не относится. :O


 
KSergey ©   (2009-02-11 15:50) [26]

> Сергей М. ©   (11.02.09 15:08) [21]
> защиту от SYN-флада и от порт-сканирования)

ну про первое почитаю, а про второе не очень понятно: что тут нужно-то? Закрыл все порты для входящих соединений (если какие нужны - открыл индивидуально) - вот и все. И хоть засканируйся.
Или подразумевается "интеллектуальный" антисканер, который при попытках перебирания портов блокирует все соединения от "плохого" хоста?


 
Anatoly Podgoretsky ©   (2009-02-11 15:52) [27]

> Сергей М.  (11.02.2009 15:08:21)  [21]

Да без проблем, не синронизированые пакеты блокируются по определению и без вмешательства персоны, не надо тут контролируемости никаой.
Сканирование порта чем тебя так волнует, ну запрети сканирование совсем. Пока все в рамках любого персонального файрвола.


 
Anatoly Podgoretsky ©   (2009-02-11 15:54) [28]

> Сергей М.  (11.02.2009 15:24:24)  [24]

ИСА это позволяет и бастион и периметр и DMZ и на любую глубину.
Равноценной замены ИСА просто нет, но он очень сложный, не любой сисадмин с ним справится.


 
Anatoly Podgoretsky ©   (2009-02-11 15:54) [29]

> iZEN  (11.02.2009 15:25:25)  [25]

Потому там и находится, а вот ее реализация редко позволяет ее применить, хотя нужна иногда.


 
Сергей М. ©   (2009-02-11 16:00) [30]


> KSergey ©   (11.02.09 15:50) [26]


Не только и не столько блокирует, сколько ведет протокол и выполняет заданные мной действия при заданных правилах обнаружения.


> Anatoly Podgoretsky ©   (11.02.09 15:52) [27]



> не синронизированые пакеты блокируются по определению


А подхват ожидаемых not-SYN-пакетов ?
Такая задача тоже имеет право на жизнь и не так уж редка.


> Сканирование порта чем тебя так волнует


Тем же чем и тебя - потенциальной атакой вслед за сканированием)


 
Anatoly Podgoretsky ©   (2009-02-11 16:05) [31]

> KSergey  (11.02.2009 15:50:26)  [26]

Блокировка, неуправляемая, тоже есть, по каким правилам работает неизвестно, файрвол персональный.


 
Anatoly Podgoretsky ©   (2009-02-11 16:07) [32]

> Сергей М.  (11.02.2009 16:00:30)  [30]

> А подхват ожидаемых not-SYN-пакетов ?
> Такая задача тоже имеет право на жизнь и не так уж редка.

Задача файрвола бороться с хакерами, а не содействовать им.

Если такая задача есть, то решаться она другими средствами, а не файрволом.


 
Сергей М. ©   (2009-02-11 16:15) [33]


> Anatoly Podgoretsky ©   (11.02.09 16:07) [32]


> решаться она другими средствами, а не файрволом


В любых "средствах", тем более автономных, эти ф-ции возлагаются именно на файрвол, тесно взаимодействующий с подсистемами трансляции и маршрутизации.


 
KSergey ©   (2009-02-11 16:27) [34]

чета или вы тут через чур умные, ил ия на столько темный :)

Лана, если нет явных неустраняемых уязвимостей - меня устраивает вроде как. А тама посмотрим :)


 
dmk ©   (2009-02-11 16:31) [35]

>Окей, переформулирую вопрос: что есть такого в том же Outpost,
>без чего использование стандартного невозможно?

Не знаю насчет outpost"a, я использую интернет секьюрити касперского.
Во-первых — касперский более оперативно реагирует на дырки в системе чем MS.
Во-вторых — гибкая система настроек и уведомлений.
В-третьих — сколько еще дырок найдут и когда неизвестно (нет должного доверия).


 
Сергей М. ©   (2009-02-11 16:35) [36]


> KSergey ©   (11.02.09 16:27) [34]


> если нет явных неустраняемых уязвимостей


Вот ты сам рассуди  - что ни день, то мелкомягкие плодят очередные затычки в системе безопасности, и конца-края этому не видно)..

А касается каждая из этих затычек в частности файрвола (и каким боком) или не касается - про то простому смертному юзеру довольно сложно понять)


 
dmk ©   (2009-02-11 16:42) [37]

>Сергей М. ©   (11.02.09 16:35) [36]

Вот-вот. Только сегодня 5 обновлений через windows update пришло.
Все 5 заплатки и средства удаления вредоносных программ ;-)
А совокупный траффик по обновлениям уже за 1 Гб перевалил.


 
Anatoly Podgoretsky ©   (2009-02-11 17:11) [38]

> Сергей М.  (11.02.2009 16:35:36)  [36]

Ну не надо, за данный месяц всего 48, количество постоянно снижается. При том иэ этих 48 часть относится к определениям, а не затычки и часть это разные редакции - для ХР, для Висты, для 2003/2008. Ранее приходило не менее 100, обычно по 150 за раз. А еще часть это не дырки как токовые, примерно так, кто то блокнотом исправил ИНИ файл, блокноту запретили писать - вот такого класса. Из этих 48 обновлений, что пришли вчера потребовалось только 9, по всем трем ОС и по двум языка. Можно сказать что всего 3/4 за месяц, смешно даже.

Для файрвола не припомню ни одной затычки, стабилен.


 
Anatoly Podgoretsky ©   (2009-02-11 17:12) [39]

> dmk  (11.02.2009 16:42:37)  [37]

Чего у тебя так мало? Наверно отказался от некоторых важных и не получаешь их?


 
Сергей М. ©   (2009-02-11 17:20) [40]


> Anatoly Podgoretsky ©   (11.02.09 17:11) [38]


> Для файрвола не припомню ни одной затычки, стабилен


Ну эт кому как повезет)
Хацкеры тоже ведь не дремлют)


 
KSergey ©   (2009-02-11 17:28) [41]

> Сергей М. ©   (11.02.09 17:20) [40]
> > Для файрвола не припомню ни одной затычки, стабилен
> Ну эт кому как повезет)

Это все какие-то рассуждения "вообще". Уверен, в сторонних файерволах дыры так же имеются и хацкеры тоже не дремлют, а уязвимости в самой винде - они по идее файерволом и прикрыты, ну как я понимаю. Да и другой раз траблы находят в таких глубоких драйверах, что все едино сторонний файервол через них и работает, он же не подменяет собой полностью сетевую подсистему, лишь влезает в нее.

А сильно много уведомлений - да тоже надоедает. Я раз в месяц смотрю на сервер, если честно. Ну сколь-нибудь подробно. Работает - и ладно :)

Впрочем я то же так, "вообще" расуждаю.


 
dmk ©   (2009-02-11 17:30) [42]

Anatoly Podgoretsky ©   (11.02.09 17:12) [39]

Анатолий, даже и не знаю.
Как висту поставил windows update сам ежедневно проверят что качать.
Сегодня вот 5, вчера 1, позавчера 27, в день установки 45 штук.
В общей сложности с момента установки 6 января 2009 г. - 90 обновлений.
Еще висят 34 языковых пакета, но мне они не нужны. В число обновлений
входят Vista Ultimate Extras.
Со словом "безопасность" 44 обновления. Штук 15 из них для Windows Defender. Вот ;-)


 
han_malign ©   (2009-02-11 17:37) [43]


> Закрыл все порты для входящих соединений (если какие нужны
> - открыл индивидуально) - вот и все. И хоть засканируйся.

- если эти порты никто не "слушает" (WinSock - listen), то их и так сканировать без толку... Если же свежескаченный троян/шпион захочет открыть заднюю дверь, то он спокойно настроит виндовый firewall через стандартный набор интерфейсов INetFwXxx - CreateOLEObject("HNetCfg.FwMgr") и вперед -  хошь тебе AuthorizedApplications, хошь GloballyOpenPorts, а хошь и FirewallEnabled. Не уверен, но кажется для этого даже административных прав не надо(не проверял)...

И - учитывая, что давно исправленная уязвимость RPC(которой пользовался MSBlaster), практически единственное от чего он защищает(если не считать ping и ша`ры) - ничего, кроме ложного чувста защищенности, встроенный "Брандмауэр Windows" не дает...


 
KSergey ©   (2009-02-11 18:05) [44]

> han_malign ©   (11.02.09 17:37) [43]
> Если же свежескаченный  троян/шпион захочет открыть заднюю дверь, то он спокойно
> настроит виндовый firewall через стандартный набор интерфейсов

Это, к стати, интересная мысль.
Ну, троян и некоторые стронние подкрутить может умеет, но то, что для виндового интерфейс вообще есть и хорошо документирован - да....
Однако надо повентилировать этот вопрос.


 
han_malign ©   (2009-02-11 18:09) [45]

Фактически, "Брандмауэр Windows" реагирует только на попытки вызова listen и recvfrom, поскольку перед этим никто не мешает обратиться к вышеуказанному интерфесу - смысла ноль, разве что - от совсем уж древних троянов 98-го года выпуска поможет...

Если так уж хочется закрыть все порты, лучше воспользоваться монитором сетевых подключений и вдумчиво прибить все лишние "слушающие" процессы/сервисы...

А закрыть свежеобновляемые(с каждым патчем обнаруженных) бэкдоры от Microsoft-а, все равно только аппартным firewall-ом получится, потому как всякие LDAP, lsass и иже с ними - хрен просто так от сети отрежешь - с таким же результатом можно просто шнур выдернуть...


 
Anatoly Podgoretsky ©   (2009-02-11 19:27) [46]

> Сергей М.  (11.02.2009 17:20:40)  [40]

Затычки не зависят от моей везучести, они или есть или их нет, я затычки получаю через WSUS
За все время помню только смену версии.


 
Anatoly Podgoretsky ©   (2009-02-11 19:31) [47]

> dmk  (11.02.2009 17:30:42)  [42]

Я уже понял ситуацию сразу после того как отправил ответ.
Ты использует WU, а я AU, поэтому у меня больше, для нескольких систем и языков. Мой анализ показывает тоже примерно 5. А всего пришло 48, часть сразу запредил - это х64 и Итаниум, осталось 27, из них применилось 9, но это с вариантами для разных ОС, на компьютеры ставилось от 4 до 5.


 
Anatoly Podgoretsky ©   (2009-02-11 19:33) [48]

> han_malign  (11.02.2009 17:37:43)  [43]

Он точно также настроит и любой другой, а то вообще будет просто внедрен в другое приложение, например в проводник, ИЕ и т.д.
Принцип работы другой, не запрещать, а разрешать нужное.


 
Anatoly Podgoretsky ©   (2009-02-11 19:34) [49]

> KSergey  (11.02.2009 18:05:44)  [44]

Чаще всего подкручивают через uPnP его штатная функция конфигурирование файрвола, для работы устройства.


 
Anatoly Podgoretsky ©   (2009-02-11 19:38) [50]

> han_malign  (11.02.2009 18:09:45)  [45]

У тебя слабые представления об работе файрволов.
Почему бы не представить, что мне например нужен NETBIOS но только для локалки, а на внешнем интерфейсе не нужен, я не могу закрыть его порты, иначе не будет работать шаринг, общие принтера, но я не хочу выставлять это наружу. Или другой случай тоже, но доступ только для одного/двух компьютеров через Интернет.
Встроеный спокойно с этой задачей справляется.


 
iZEN ©   (2009-02-12 00:34) [51]


> han_malign ©   (11.02.09 18:09) [45]
> А закрыть свежеобновляемые(с каждым патчем обнаруженных)
> бэкдоры от Microsoft-а, все равно только аппартным firewall-
> ом получится, потому как всякие LDAP, lsass и иже с ними
> - хрен просто так от сети отрежешь - с таким же результатом
> можно просто шнур выдернуть...

Рассуждения на уровне школьника, извините.
В аппартном файерволе, как думаешь, что работает?
Та же самая программа типа пакетного фильтра (свободные реализации: IPTABLES Linnux, PF OpenBSD). Кстати, PF был признан лучшим файерволом 2003-2004 года. А правила его довольно просты и описываются в текстовом конфигурационном файле. Вот для примера:
# макроимя сетевого интерфейса
int_if="fxp0"
# нормализовать все пакеты
scrub in all
# блокировать всё, что не разрешено
block in on $int_if
# пространство адресов внутренней сети
int_net="192.168.1.0/24"
# разрешенные типы icmp сообщений
allowed_icmp_types="{ echoreq, unreach }"
table <nfs> const { $int_net }
# пропустить трафик обратной петли без правил
pass quick on lo0 all
# разрешить входящий ICMP (ping)
pass in on $int_if inet proto icmp all icmp-type $allowed_icmp_types
# разрешить запросы к серверу SSH откуда угодно
pass in on $int_if proto tcp from any to $int_if port ssh
# разрешить запросы к серверу POP3 только из локальной сети
pass in on $int_if proto tcp from $int_net to $int_if port pop3
# разрешить запросы к серверу SMTP
pass in on $int_if proto tcp from any to $int_if port smtp
# разрешить запросы к серверу HTTP/HTTPS
pass in on $int_if proto tcp from any to $int_if port { http, https, 8080 }
# разрешить запросы к серверу DNS
pass in on $int_if proto { tcp, udp } from any to $int_if port domain
# разрешить запросы к серверу NFS и RPCBIND
pass in on $int_if proto { tcp, udp } from <nfs> to port { nfsd, rpcbind } modulate state
# mountd -p 883
pass in on $int_if proto { tcp, udp } from <nfs> to port 883 modulate state
# rpc.lockd -p 884
pass in on $int_if proto { tcp, udp } from <nfs> to port 884 modulate state
# rpc.statd -p 885
pass in on $int_if proto { tcp, udp } from <nfs> to port 885 modulate state
# разрешить исходящий трафик
pass out on $int_if proto { tcp, udp, icmp } all keep state


Для других служб правила можно дополнить.


 
Админ   (2009-02-12 08:47) [52]


> Anatoly Podgoretsky ©   (11.02.09 13:57) [9]
> > wql  (11.02.2009 13:53:06)  [6]
>
> У меня от ОутПоста только отрицательные впечатления.
> Когда еще не было встроеных, то я его заменил на бесплатный
> ZoneAlarm - того же класса файрвол, что и встроеный.


> ZoneAlarm

Тоже таким когда-то пользовался.


 
Сергей М. ©   (2009-02-12 09:00) [53]


> PF был признан лучшим файерволом 2003-2004 года


Это который pfSense ?


 
iZEN   (2009-02-12 20:33) [54]


> Сергей М. ©   (12.02.09 09:00) [53]
> > PF был признан лучшим файерволом 2003-2004 года
> Это который pfSense ?

pfSense — отдельный продукт, отпочковавшийся от проекта m0n0wall, LiveCD с ним позволяет создавать файерволы.

PF сейчас входит в состав операционной системы FreeBSD.


 
Сергей М. ©   (2009-02-12 21:03) [55]


> iZEN   (12.02.09 20:33) [54]


> pfSense — отдельный продукт, отпочковавшийся от проекта
> m0n0wall


Спасибо, я в курсе.


> LiveCD с ним позволяет создавать файерволы


Не только и не столько файрволы, сколько полноценные маршрутизаторы с функциями межсетевых экранов.


> PF сейчас входит в состав операционной системы FreeBSD


По сути ведь pfSense использует PF, поскольку растет из FreeBSD.
Аналогично RouterOS, растущей из RedHat и использующей IPTables.


 
iZEN   (2009-02-13 01:43) [56]


> Сергей М. ©   (12.02.09 21:03) [55]
> По сути ведь pfSense использует PF, поскольку растет из
> FreeBSD.

Я не уверен. На сайте нет такой информации. Может вообще на основе ipfw всё в нём разруливается.


 
Сергей М. ©   (2009-02-13 10:35) [57]


> iZEN   (13.02.09 01:43) [56]


Может быть.

Хочу лишь сказать, что из трех наиболее известных продуктов в этой нише - pfSense, SmoothWall, MT RouterOS - при прочих равных условиях я как правило останавливаю свой выбор на последнем, хотя бы потому что IPTables - мощный, удобный, проверенный, надежный и хорошо документированный файрвол.


 
iZEN ©   (2009-02-13 19:57) [58]


> Сергей М. ©   (13.02.09 10:35) [57]
> хотя бы потому что IPTables - мощный, удобный,
>  проверенный, надежный и хорошо документированный файрвол.


Просто кроме IPTABLES в Linux"е другого нету. :))

Честно говоря, синтаксис правил в PF отличается от IPTABLES более человечным подходом к лексике и семантике "предложений". Почитайте PF FAQ: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf — читается как поэма. ;)


 
Сергей М. ©   (2009-02-13 22:18) [59]


> iZEN ©   (13.02.09 19:57) [58]


> кроме IPTABLES в Linux"е другого нету


iptables пришел на смену ipchains начиная с 2.4

Ядра младше 2.4 тоже имеют право на существование и по сей день, так что iptables не единственный файрвол)


> синтаксис правил в PF отличается от IPTABLES более человечным
> подходом к лексике и семантике "предложений"


Не возражаю.
Но речь, думаю, идет пока о возможностях и надежности сабжа.

А ты тоже посмотри хотя бы любопытства ради, какую приятную языковую оболочку придумали в MikroTik для iptables ! Да и гуя к нему лучше чем в составе WinBox, пожалуй, не сыскать..


 
iZEN ©   (2009-02-13 23:57) [60]

> Но речь, думаю, идет пока о возможностях и надежности сабжа.

Ну так. PF из OpenBSD вышел.

> А ты тоже посмотри хотя бы любопытства ради, какую приятную языковую оболочку придумали в MikroTik для iptables !

На серверах и маршрутизаторах нету графических оболочек. :)) Иначе это Windows со всеми вытекающими... :D


 
Anatoly Podgoretsky ©   (2009-02-14 12:21) [61]

> iZEN  (13.02.2009 23:57:00)  [60]

Чем мешает или чем помогает графическая оболочка на сервер Виндоус, в случае штатного или корпоративного файрвола? Кроме удобства.


 
iZEN ©   (2009-02-14 13:40) [62]


> Anatoly Podgoretsky ©   (14.02.09 12:21) [61]
> Чем мешает или чем помогает графическая оболочка на сервер
> Виндоус, в случае штатного или корпоративного файрвола?
> Кроме удобства.

Кроме удобства, графическая оболочка ещё и требовательна к видеоподсистеме (прикинь: на серере может вообще не быть видеокарты ни встроенной, ни дискретной; всё "общение" с сервером может сводиться к прямому подключению к нему по последовательной консоли или же удалённо по SSH).


 
Сергей М. ©   (2009-02-14 17:24) [63]


> iZEN ©   (13.02.09 23:57) [60]


> На серверах и маршрутизаторах нету графических оболочек


MT RouterOS - не исключение.
Я про нативный гуй под на виндовую станцию, с которой можно наглядно, эффективно и полноценно контролировать роутер.


 
Anatoly Podgoretsky ©   (2009-02-14 19:53) [64]

> iZEN  (14.02.2009 13:40:02)  [62]

Так это я в курсе, если администрирование текстовое, скриптовое, то не надо туда тянуть ГУИ и наоборот. Поэтому Чем мешает или чем помогает графическая оболочка на сервер Виндоус.
На всякий случай есть и то и другое, поскольку корпоративный файрвол является СОМ сервером, со всеми вытекающими из этого последствиями.

Тсс, только администратором это не сообщать.


 
Anatoly Podgoretsky ©   (2009-02-14 19:55) [65]

> Сергей М.  (14.02.2009 17:24:03)  [63]

Виндовая станция аналогично, основной ГУИ инструмент, ну а продвинутые могут из консоли через NETSH

И тоже тсс, поскольку многие не знаю, что в Виндоус, страшно даже сказать но есть консоль и боже - большинство POSIX утилит.


 
Сергей М. ©   (2009-02-14 20:05) [66]


> Anatoly Podgoretsky ©   (14.02.09 19:55) [65]


> продвинутые могут из консоли через NETSH


Никто не вправе лишать мазохистов права быть мазохистами)

В случае же с MT RouterOS выбор более чем достаточен на любого ценителя: тут тебе и нативный виндовый гуй, тут тебе и веб-интерфейс, тут тебе и ssh- и telnet-доступ, если хочется "помазохировать")


 
iZEN   (2009-02-15 14:40) [67]

Пример встраиваемого решения на FreeBSD и  методы управления файерволом: http://www.thg.ru/network/20041114/print.html



Страницы: 1 2 вся ветка

Текущий архив: 2009.04.12;
Скачать: CL | DM;

Наверх




Память: 0.68 MB
Время: 0.017 c
10-1154350700
MisterR
2006-07-31 16:58
2009.04.12
Сменить имя листа в Excel


2-1235672125
privett
2009-02-26 21:15
2009.04.12
Помогите разобраться с поинтэрами


15-1234284520
Finansist
2009-02-10 19:48
2009.04.12
Кризис


2-1235503620
dmitry_12_08_73
2009-02-24 22:27
2009.04.12
Проверка на открытое окно в приложении


15-1234169370
Maacheba
2009-02-09 11:49
2009.04.12
Indy писали индусы?