Вот прочел http://documents.dhs.net.ru/ru/books/handbook/firewalls.html
У меня установлена 4.10, использую ipfw
Имеет ли смысл перейти на 5.3 + pf в плане повышения безопасности системы?
Какие у кого соображения вообще про отличия этих межсетевых экранов?

• IPFW IPF PF,DukeArtem, 21:25 , 31-Мрт-05
  • IPFW IPF PF,billy, 09:25 , 01-Апр-05
    • IPFW IPF PF,DukeArtem, 22:12 , 01-Апр-05

>Какие у кого соображения вообще про отличия этих межсетевых экранов?
Мой совет поступить, как гласит закон админа: "Если всё работает нормально, НИЧЕГО, НИЧЕГО не меняй" (С)
На самом деле PF конечно самый крутой из ВСЕХ встроенных фаерволов, но по безопасности они все равны в умелых руках, я думаю у тебя уже есть не плохой опыт с IPFW так и сиди на нём, зачем тебе нужны какие то дополнительные трюшки, типа индексации ip пакета и т.д.
А вот что на счёт версии 4.11 или 5.3 то опять же, может 4.11 больше и не поддерживается теперь, но дыр то нету - это факт! А 5.3 это не плохо, сам сижу, но если переходить, то советую сначала на отдельный комп поставить её и если ВСЁ обеспечения заработает на ура, то вперёд, а ведь с пол пинка, что то не стандартное может и не заработать...
Ну и подведя мысль - я думаю решать тебе, хочется поэксперементировать, то выбор хороший, иначе я думаю всё оставить на своих местах
З.Ы. Всё сказаное выше, сугубо моё личное мнение (с)

1. В принципе я доволен 4.10
2. С ipfw знаком (не так уж обширно, но...)
3. С точки зрения безопасности: неужели система 5.3 не отличается повышенной безопасностью по отношению к 4.10?
4. " но дыр то нету - это факт" на этот счет есть статья, прошу более опытных чем я сказать свое "фи" по ее поводу: http://www.linuxcenter.ru/lib/articles/security/nt_vs_unix.p...
5. Есть ли классификации систем с точки зрения безопасноти?
6. В системе использую nat, squid, ipfw. Какие (минимально) порты необходимы для работы как прокси, и передача почтового трафика в лок. сеть? (80, 110, 25... что еще?) Чтобы ничего лишнего. DNS у прова.

>1. В принципе я доволен 4.10
>2. С ipfw знаком (не так уж обширно, но...)
>3. С точки зрения безопасности: неужели система 5.3 не отличается повышенной безопасностью
>по отношению к 4.10?
>4. " но дыр то нету - это факт" на этот счет
>есть статья, прошу более опытных чем я сказать свое "фи" по
>ее поводу: http://www.linuxcenter.ru/lib/articles/security/nt_vs_unix.p...
>5. Есть ли классификации систем с точки зрения безопасноти?
>6. В системе использую nat, squid, ipfw. Какие (минимально) порты необходимы для
>работы как прокси, и передача почтового трафика в лок. сеть? (80,
>110, 25... что еще?) Чтобы ничего лишнего. DNS у прова.
По пунктам:
1) Доволен потому, что работает, так и должно, это же ФРЮ!
2) Всегда лучше настроить то, что лучше знаешь, в доказательство - "плохому танцору..." (с), грамотно настроенный старенький (ну конечно не дырявый) фаервол будет всегда работать лучше,чем супер новый но кривой.
3) 5.3 хмм отличается например то что у неё в принцепе другое строение системы и поэтому свои баги, первое с чем я столкнулся ядро с правилом ipdivert не компилировалась, я просто чудом нарыл статью здесь, где сказали, что это "ошибка разработчиков", и исправляется с помощью текстового файла с описанием ошибки и редактирование, какой то там net библиотеки в папке с ядром... А вообще глюков больше небыло замеченно и то помойму этот до 5.3 Realese#4
4)Всё что выше + дыры в самой системе только помойму в 5.2.* и то локал и то только область памяти в которой МОЖЕТ быть ценная информация
5)Классификация наверное есть и их проводят независимые сайты типа securitylab.ru но опять же они исходят от общей статистики, но не от кривизны "админов"(таких даже админами не назовешь)
6)Ну в этих сервисах, ну кроме Squid дыр не было и не будет т.к они написаны элементарны и с "любовью" :))
что бы ничего небыло лишнего ты ipfw запрети порты + отключи программы все лишние, ну и конечно софт ООО это бесконечная, что флеймовая война, что просто, всегда есть дыры, но где то их меньше, а это и есть выбор, просто надо лазить по форумам и смотреть, что люди думаю о програх,пример:
Sendmail-раньше самый дырявый почтовый сервер-клиент (не знаю, как сейчас), и что некоторые на нём, ну а большая часть ушла на тот же Postfix (больше не помню названий, как один из распространённых)
Вопросы есть? (в хорошем смысле этой фразы)