forum.opennet.ru - "IPFW IPF PF" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"IPFW IPF PF"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"IPFW IPF PF"
Сообщение от billy (ok) on 31-Мрт-05, 17:42 (MSK)
Вот прочел http://documents.dhs.net.ru/ru/books/handbook/firewalls.html У меня установлена 4.10, использую ipfw Имеет ли смысл перейти на 5.3 + pf в плане повышения безопасности системы? Какие у кого соображения вообще про отличия этих межсетевых экранов?
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

IPFW IPF PF, DukeArtem, 21:25 , 31-Мрт-05, (1)
- IPFW IPF PF, billy, 09:25 , 01-Апр-05, (2)
  - IPFW IPF PF, DukeArtem, 22:12 , 01-Апр-05, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "IPFW IPF PF"

Сообщение от DukeArtem (??) on 31-Мрт-05, 21:25  (MSK)

>Какие у кого соображения вообще про отличия этих межсетевых экранов?
Мой совет поступить, как гласит закон админа: "Если всё работает нормально, НИЧЕГО, НИЧЕГО не меняй" (С)
На самом деле PF конечно самый крутой из ВСЕХ встроенных фаерволов, но по безопасности они все равны в умелых руках, я думаю у тебя уже есть не плохой опыт с IPFW так и сиди на нём, зачем тебе нужны какие то дополнительные трюшки, типа индексации ip пакета и т.д.
А вот что на счёт версии 4.11 или 5.3 то опять же, может 4.11 больше и не поддерживается теперь, но дыр то нету - это факт! А 5.3 это не плохо, сам сижу, но если переходить, то советую сначала на отдельный комп поставить её и если ВСЁ обеспечения заработает на ура, то вперёд, а ведь с пол пинка, что то не стандартное может и не заработать...
Ну и подведя мысль - я думаю решать тебе, хочется поэксперементировать, то выбор хороший, иначе я думаю всё оставить на своих местах
З.Ы. Всё сказаное выше, сугубо моё личное мнение (с)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "IPFW IPF PF"

Сообщение от billy (ok) on 01-Апр-05, 09:25  (MSK)

1. В принципе я доволен 4.10
2. С ipfw знаком (не так уж обширно, но...)
3. С точки зрения безопасности: неужели система 5.3 не отличается повышенной безопасностью по отношению к 4.10?
4. " но дыр то нету - это факт" на этот счет есть статья, прошу более опытных чем я сказать свое "фи" по ее поводу: http://www.linuxcenter.ru/lib/articles/security/nt_vs_unix.phtml
5. Есть ли классификации систем с точки зрения безопасноти?
6. В системе использую nat, squid, ipfw. Какие (минимально) порты необходимы для работы как прокси, и передача почтового трафика в лок. сеть? (80, 110, 25... что еще?) Чтобы ничего лишнего. DNS у прова.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "IPFW IPF PF"

Сообщение от DukeArtem (??) on 01-Апр-05, 22:12  (MSK)

>1. В принципе я доволен 4.10
>2. С ipfw знаком (не так уж обширно, но...)
>3. С точки зрения безопасности: неужели система 5.3 не отличается повышенной безопасностью
>по отношению к 4.10?
>4. " но дыр то нету - это факт" на этот счет
>есть статья, прошу более опытных чем я сказать свое "фи" по
>ее поводу: http://www.linuxcenter.ru/lib/articles/security/nt_vs_unix.phtml
>5. Есть ли классификации систем с точки зрения безопасноти?
>6. В системе использую nat, squid, ipfw. Какие (минимально) порты необходимы для
>работы как прокси, и передача почтового трафика в лок. сеть? (80,
>110, 25... что еще?) Чтобы ничего лишнего. DNS у прова.
По пунктам:
1) Доволен потому, что работает, так и должно, это же ФРЮ!
2) Всегда лучше настроить то, что лучше знаешь, в доказательство - "плохому танцору..." (с), грамотно настроенный старенький (ну конечно не дырявый) фаервол будет всегда работать лучше,чем супер новый но кривой.
3) 5.3 хмм отличается например то что у неё в принцепе другое строение системы и поэтому свои баги, первое с чем я столкнулся ядро с правилом ipdivert не компилировалась, я просто чудом нарыл статью здесь, где сказали, что это "ошибка разработчиков", и исправляется с помощью текстового файла с описанием ошибки и редактирование, какой то там net библиотеки в папке с ядром... А вообще глюков больше небыло замеченно и то помойму этот до 5.3 Realese#4
4)Всё что выше + дыры в самой системе только помойму в 5.2.* и то локал и то только область памяти в которой МОЖЕТ быть ценная информация
5)Классификация наверное есть и их проводят независимые сайты типа securitylab.ru но опять же они исходят от общей статистики, но не от кривизны "админов"(таких даже админами не назовешь)
6)Ну в этих сервисах, ну кроме Squid дыр не было и не будет т.к они написаны элементарны и с "любовью" :))
что бы ничего небыло лишнего ты ipfw запрети порты + отключи программы все лишние, ну и конечно софт ООО это бесконечная, что флеймовая война, что просто, всегда есть дыры, но где то их меньше, а это и есть выбор, просто надо лазить по форумам и смотреть, что люди думаю о програх,пример:
Sendmail-раньше самый дырявый почтовый сервер-клиент (не знаю, как сейчас), и что некоторые на нём, ну а большая часть ушла на тот же Postfix (больше не помню названий, как один из распространённых)
Вопросы есть? (в хорошем смысле этой фразы)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPFW IPF PF"
Сообщение от DukeArtem (??) on 31-Мрт-05, 21:25 (MSK)
>Какие у кого соображения вообще про отличия этих межсетевых экранов? Мой совет поступить, как гласит закон админа: "Если всё работает нормально, НИЧЕГО, НИЧЕГО не меняй" (С) На самом деле PF конечно самый крутой из ВСЕХ встроенных фаерволов, но по безопасности они все равны в умелых руках, я думаю у тебя уже есть не плохой опыт с IPFW так и сиди на нём, зачем тебе нужны какие то дополнительные трюшки, типа индексации ip пакета и т.д. А вот что на счёт версии 4.11 или 5.3 то опять же, может 4.11 больше и не поддерживается теперь, но дыр то нету - это факт! А 5.3 это не плохо, сам сижу, но если переходить, то советую сначала на отдельный комп поставить её и если ВСЁ обеспечения заработает на ура, то вперёд, а ведь с пол пинка, что то не стандартное может и не заработать... Ну и подведя мысль - я думаю решать тебе, хочется поэксперементировать, то выбор хороший, иначе я думаю всё оставить на своих местах З.Ы. Всё сказаное выше, сугубо моё личное мнение (с)
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "IPFW IPF PF"
	Сообщение от billy (ok) on 01-Апр-05, 09:25 (MSK)
	1. В принципе я доволен 4.10 2. С ipfw знаком (не так уж обширно, но...) 3. С точки зрения безопасности: неужели система 5.3 не отличается повышенной безопасностью по отношению к 4.10? 4. " но дыр то нету - это факт" на этот счет есть статья, прошу более опытных чем я сказать свое "фи" по ее поводу: http://www.linuxcenter.ru/lib/articles/security/nt_vs_unix.phtml 5. Есть ли классификации систем с точки зрения безопасноти? 6. В системе использую nat, squid, ipfw. Какие (минимально) порты необходимы для работы как прокси, и передача почтового трафика в лок. сеть? (80, 110, 25... что еще?) Чтобы ничего лишнего. DNS у прова.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "IPFW IPF PF"
	Сообщение от DukeArtem (??) on 01-Апр-05, 22:12 (MSK)
	>1. В принципе я доволен 4.10 >2. С ipfw знаком (не так уж обширно, но...) >3. С точки зрения безопасности: неужели система 5.3 не отличается повышенной безопасностью >по отношению к 4.10? >4. " но дыр то нету - это факт" на этот счет >есть статья, прошу более опытных чем я сказать свое "фи" по >ее поводу: http://www.linuxcenter.ru/lib/articles/security/nt_vs_unix.phtml >5. Есть ли классификации систем с точки зрения безопасноти? >6. В системе использую nat, squid, ipfw. Какие (минимально) порты необходимы для >работы как прокси, и передача почтового трафика в лок. сеть? (80, >110, 25... что еще?) Чтобы ничего лишнего. DNS у прова. По пунктам: 1) Доволен потому, что работает, так и должно, это же ФРЮ! 2) Всегда лучше настроить то, что лучше знаешь, в доказательство - "плохому танцору..." (с), грамотно настроенный старенький (ну конечно не дырявый) фаервол будет всегда работать лучше,чем супер новый но кривой. 3) 5.3 хмм отличается например то что у неё в принцепе другое строение системы и поэтому свои баги, первое с чем я столкнулся ядро с правилом ipdivert не компилировалась, я просто чудом нарыл статью здесь, где сказали, что это "ошибка разработчиков", и исправляется с помощью текстового файла с описанием ошибки и редактирование, какой то там net библиотеки в папке с ядром... А вообще глюков больше небыло замеченно и то помойму этот до 5.3 Realese#4 4)Всё что выше + дыры в самой системе только помойму в 5.2.* и то локал и то только область памяти в которой МОЖЕТ быть ценная информация 5)Классификация наверное есть и их проводят независимые сайты типа securitylab.ru но опять же они исходят от общей статистики, но не от кривизны "админов"(таких даже админами не назовешь) 6)Ну в этих сервисах, ну кроме Squid дыр не было и не будет т.к они написаны элементарны и с "любовью" :)) что бы ничего небыло лишнего ты ipfw запрети порты + отключи программы все лишние, ну и конечно софт ООО это бесконечная, что флеймовая война, что просто, всегда есть дыры, но где то их меньше, а это и есть выбор, просто надо лазить по форумам и смотреть, что люди думаю о програх,пример: Sendmail-раньше самый дырявый почтовый сервер-клиент (не знаю, как сейчас), и что некоторые на нём, ну а большая часть ушла на тот же Postfix (больше не помню названий, как один из распространённых) Вопросы есть? (в хорошем смысле этой фразы)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх