Какие брандмауэры используются в системах HP-UX, AIX, Solaris, QNX и MAC OS X?
Мне известно, что ядра *BSD-систем поддерживают: ipfw, pf, ipf (IPFilter). GNU/Linux: ipchains и iptables.
Интерес связан не только с информацией о существовании в конкретной ОС, но и
- предистория;
- на каких уровнях OSI работают;
- штатный или откуда портирован;
- как взаимодействует с NAT;
- функции NAT встроены или работает как сторонняя программа (как демон или в пространстве ядра);
- плюсы и минусы (скорее для каждого IMHO);
- ссылки на документацию;P.S.: По возможности без флэйма.
Баз флейма: www.google.com
никто за тебя гуглить не будет
>никто за тебя гуглить не будетВообще-то я создал топик, чтобы собрать людей которые хотябы соприкасались с сабжем.
>>никто за тебя гуглить не будет
>
>Вообще-то я создал топик, чтобы собрать людей которые хотябы соприкасались с сабжем.
>оно им надо?
>Какие брандмауэры используются в системах HP-UX, AIX, Solaris, QNX и MAC OS
>X?Например ipfilter см. http://coombs.anu.edu.au/~avalon/
Но, обычно такие системы сами не являются файрволлами, а прячутся за аппаратный или в некоторых случаях самопальный bsd/linux брандмауэр.
Смотрите таблицы:
http://en.wikipedia.org/wiki/Comparison_of_operating_systems
Free:
FreeBSD (IPFW2, IPFilter, PF)
NetBSD (IPFilter, pf)
OpenBSD (pf)
Linux (Netfilter)Проприетарные:
HP-UX (IPFilter)
AIX (IPFilter, IPSec VPNs, basic IDS)
Mac OS X (ipfw)
Solaris (IPFilter)
QNX (IPFilter)
------Чем вызван такой интерес к IPFilter?
>[оверквотинг удален]
>
>Проприетарные:
>HP-UX (IPFilter)
>AIX (IPFilter, IPSec VPNs, basic IDS)
>Mac OS X (ipfw)
>Solaris (IPFilter)
>QNX (IPFilter)
>------
>
>Чем вызван такой интерес к IPFilter?Какой IPSec, нафиг, filrewall... Про Linux могу добавить, что ipchains уже давно "умер" (если брать современные версии).
>Но, обычно такие системы сами не являются файрволлами, а прячутся за аппаратный или в некоторых случаях самопальный bsd/linux брандмауэр.
Апаратный это только он так называется, на самом деле в большинстве случаев "железки" делаются на базе того же самого linux c прописанными правилами iptables (cisco есст-но в расчёт не беру).
> ....(cisco есст-но в расчёт не беру).и здря
>> ....(cisco есст-но в расчёт не беру).
>
>и здряЧеловеку нужно ОС с ядром и прочими атрибутами.
Автору - извенения за флэйм.
А так, очень интересует такой обзор.
>>> ....(cisco есст-но в расчёт не беру).
>>
>>и здря
>
>Человеку нужно ОС с ядром и прочими атрибутами.
>Автору - извенения за флэйм.
>А так, очень интересует такой обзор.чтобы не было многознячности _подчёркиваю_
"Зря вы думаете что cisco не использует Linux."
>Человеку нужно ОС с ядром и прочими атрибутами.
>Автору - извенения за флэйм.
>А так, очень интересует такой обзор."К тому же, люди не слишком грамотно пишут и на русском языке, одно "извените" чего стоит :)" (c) agathis
>"К тому же, люди не слишком грамотно пишут и на русском языке,
>одно "извените" чего стоит :)" (c) agathisЕсли анализировать результат запросов в гугле, то картина довольно печальная:
На 26 июня 2008 года (то бишь сегодня), поисковик мне выдал:
файрвол - 404 00
фаервол - 326 000
файрволл - 225 000
файервол - 174 000
фаерволл - 75 000
файерволл - 64 100
фаирвол - 13 200
фаирволл - 3 060и для сравнения:
"межсетевой экран" - 414 000
брандмауэр - 808 000
"пакетный фильтр" - 26 800О каком русском языке вы говорите, товарищи! Американизмы наполнили русский язык настолько искажённо, что в в печатных изданиях не найдёшь стандарта в точном написании. Когда есть чисто русские термины. И зачастую неправильное понимание слова, его созвучия сисадминам просто пофигу как высказываться.
>файрвол - 404 00
>фаервол - 326 000
>файрволл - 225 000
>файервол - 174 000
>фаерволл - 75 000
>файерволл - 64 100
>фаирвол - 13 200
>фаирволл - 3 060фаревол ~ 966
файвол ~ 844
фиревол ~ 656
фаевол ~ 632
фирвол ~ 177
фаявол ~ 82
фырвол ~ 37
фаривол и фэрвол по ~ 8
феривол ~ 3 ... $)>брандмауэр - 808 000
бранмауер ~ 1 540
брадмауер ~ 1 340
брадмауэр ~ 964
брендмаур ~ 346
брандмаер ~ 236
_ бредмауер ~ 137
брендмаер ~ 73
брандмаёр ~ 10
брандмуер ~ 8
брадмаер, брадмаэр, бранмаер ~ по 2
брендмуер ~ 1:) брандмайор ~ 7 230
PS: Даёшь авто-генератор слово-хворь-м и скрипт к гуглю.
>О каком русском языке вы говорите, товарищи!
>А так, очень интересует такой обзор.Как единомышленнику, хочу предложить провести сравнительный анализ.
>> ....(cisco есст-но в расчёт не беру).
>
>и здряПонятно, что PIX рекомендуют все сетевые архитекторы. Но для малобюджетной организации построение на программном файрволе, намного целесообразнее.
> Какой IPSec, нафиг, filrewall..
Согласен. я указал из http://en.wikipedia.org/wiki/Comparison_of_operating_systems
я предположил, что IPSec интегрирован в firewall
>[оверквотинг удален]
>
>Проприетарные:
>HP-UX (IPFilter)
>AIX (IPFilter, IPSec VPNs, basic IDS)
>Mac OS X (ipfw)
>Solaris (IPFilter)
>QNX (IPFilter)
>------
>
>Чем вызван такой интерес к IPFilter?Написан был портабельно
>[оверквотинг удален]
>>HP-UX (IPFilter)
>>AIX (IPFilter, IPSec VPNs, basic IDS)
>>Mac OS X (ipfw)
>>Solaris (IPFilter)
>>QNX (IPFilter)
>>------
>>
>>Чем вызван такой интерес к IPFilter?
>
>Написан был портабельноТочно. Скачал исходники, удивился, что и под Linux можно поставить. Здорово!
RasskazovBSD:
> Как единомышленнику, хочу предложить провести сравнительный анализ.Достаточно мало знаю - Linux и FreeBSD. Из проприетарных видел только QNX (livecd), но не настраивал и не устанавливал. Если взять Mac OS - ядро BSD (переработанное наверное), ipfw или ipfw2 там стоит? - не знаю. (да и разницу сейчас между ними сейчас не вспомню). Тогда - так же как и во FreeBSD.
Флейм:
> 'hate'
> "К тому же, люди не слишком грамотно пишут и на русском языке, одно "извените"чего стоит "
Сам приверженец русского языка, но "бывает иногда выражопываюсь" :)
В дополнение.
Получается если смотреть на wiki, то сейчас из серьёзных разработок это: ipfw(2), IPFilter, PF, iptables(Netfilter).
Может чего еще не знаю/не слышал.
И ходить на сайты - читать описание...
>Получается если смотреть на wiki, то сейчас[...чик...]
>iptables(Netfilter).Вы тут всё ещё про "проприертарные ОС" разговариваете?
>>Получается если смотреть на wiki, то сейчас
>
>[...чик...]
>>iptables(Netfilter).
>
>Вы тут всё ещё про "проприертарные ОС" разговариваете?Ладно, Вам, придираться? Я просто резюмировал... Если уж рассматривать, так наиболее распространнённые. К примеру, Вы можете ответить на поставленные вопросы хотя бы по одной из них? Мне, насколько известно, NAT в ipfw(2) реализован в виде отдельного процесса, а в IPFILTER он встроен (это даже особо искать не нужно). iptables не настраивал, но судя по тому, что видел - тоже встроенный.
>>Вы тут всё ещё про "проприертарные ОС" разговариваете?
>Ладно, Вам, придираться? Я просто резюмировал...Это не резюмировал, а либо съехал в сторону, либо не потрудился вложить смысл в то, что написал.
> Если уж рассматривать, так наиболее распространнённые.
>К примеру, Вы можете ответить на поставленные вопросы хотя бы по
>одной из них?По netfilter/iptables ответы на 5 из 7 вопросов лежат прямо-таки на заглавной странице соответствующего сайта -- http://netfilter.org/ , он же http://iptables.org/
Желаю успешного поиска в окаменелостях "проприертарных" ОС.
>Это не резюмировал, а либо съехал в сторону, либо не потрудился вложить
>смысл в то, что написал.А смотрю, ВЫ, "уважаемый", считаете, что netfilter используется только "свободными" ОС... Не надо опускаться до личных оскорблений.
>ВЫ, "уважаемый", считаете,
>надо опускаться до личных оскорблений.----
> что netfilter используется только "свободными" ОС... НеХорошо-хорошо, не забудьте включить в отчёт Netfilter шведской компании.
Обязательно с полным сравнением.И никаких упоминаний свободных ОС, а то ж неудобно получится...
>Мне, насколько известно, NAT в ipfw(2) реализован
>в виде отдельного процесса, а в IPFILTER он встроен (это даже
>особо искать не нужно). iptables не настраивал, но судя по тому,
>что видел - тоже встроенный.В FreeBSD седьмой ветки NAT работает в пространстве ядра. До этого требовалось использовать либо штатный natd - который работал как демон, на пользовательском уровне. Либо использовать ipnat (уровень ядра).
>В FreeBSD седьмой ветки NAT работает в пространстве ядра. До этого требовалось
>использовать либо штатный natd - который работал как демон, на пользовательском
>уровне. Либо использовать ipnat (уровень ядра).Эх, точно... Про ipnat, как-то давно прочитал - а попробывать руки не доходили, вот и забыл.