Объясните пожалуйста, для неопытного, почему это шутка?

А Firewall-1 ver4.1 под линух забыли? правда kernell нужен 2.2.12

Sorry, offtopic:Не надо так шутить. Многие ведь не поймут -- меня уже спросили, - "Что в самом деле можно?"

А что, в самом деле нельзя?
В 2.4 действительно есть stateful inspection, так что далее все зависит от потребностей.
А FW-1 та еще поделка.... Я уже измучился на сего сервиспаки ставить - что-то исправляют и не меньше ломают :(

сервиспак поставить это ровно 5 минут вместе с rebootoм так что не надо особо потеть ,просто FW-1 денег стоит.

А правильно ли я понял, что netfilter еще и берет на себя работу portcentry? Или не в полном размере. А то до доки еще долго не доберусь - текучка заела :-(

Переведите мне слово stateful. По смыслу статьи вроде догадался,
но хочу знать точнее...
И еще вопрос - FW-1 - это что, лидер среди firewalls?
Если так, хотелось бы увидеть _ПРОФЕССИОНАЛЬНОЕ_ сравнение с топиком.
(не породить бы новый треп...)

По прежнему не зарегестрированный SASHA

Необходимые пояснения.

Stateful FW -- так называемый FW с состояниями; грубо говоря, после того как прошла процедура установки соединения (одобренная FW), все остальные пакеты в этом соеднении уже не пропускаются через полный набор фильтров.

FW-1 -- насколько мне известно, лидер продаж среди брандмауэров. Однако, некоторые специалисты считают, что в этом заслуга маркетинга а вовсе не технического совершенства продукта.

Я полагаю, что только появившееся stateful в linux вовсе не свободно от багов (поскольку реализация stateful сложнее простого packet filter), поэтому я бы лично поостерегся пока применять это на "боевом" сервере.

В FW-1 багов предостаточно,но IMHO это проблемы statefull технологии лучше proxy-aplication пока ничего нет ,хотя недавно придумали E-GAP или Air-GAP - вот это действительно круто.

Видел ipfilter? (работает на BSDs, Solaris и очень старом ядре Linux)
Тот кто видел, не будет ничего "выбрасывать".
Причем, тот 'keep state', который там реализован, это несколько
иное, чем флаги IPFW's setup/established или ipchains' -y.
Рекомендовал бы разобраться в этом отличии, тем паче, что скорость
обработки пакетов тут не суть дела.

P.S. я согласен, что netfilter в целом лучше, чем ipchains.
но вот переход на новое ядро этим не аргументируется, никак.

отрывок из FAQ по netfilter:
"...
1.2 Is there a backport of netfilter to Linux 2.2?
No, there currently is none. But if anybody wants to start, it
shouldn't be too difficult because of the clean interface to the
network stack Please inform us about any work in this area.
..."

с чего бы это такие вопросы в FAQ попадают? ;-)

--
Igor Podlesny a.k.a Poige

> Видел ipfilter? (работает на BSDs, Solaris и очень старом ядре Linux)
Видел. Пользовался. Не надо делать из FW культа ;)
Я хорошо помню, как он у меня убивал kernel при достаточно больших объемах траффика через active-ftp.

> Тот кто видел, не будет ничего "выбрасывать".
Будет, если такова политика компании.

> с чего бы это такие вопросы в FAQ попадают? ;-)
Попадают. Из этого еще не следует, что кто-то backport выполнит.
Щас RH 7.1 и Mandrake 8.0 выйдут с 2.4 и все.
Все вновь обращенные geeks и знать не будут про ipchains. ;)
Шутка. Хотя доля правды, конечно, есть...

>> Видел ipfilter? (работает на BSDs, Solaris и очень старом ядре Linux)
>Видел. Пользовался. Не надо делать из FW культа ;)
>Я хорошо помню, как он у меня убивал kernel при достаточно больших объемах траффика через
>active-ftp.

ну до культа ему далековато, хотя возможности его мое уважение
вызывают. Насчет убиенного ядра (ТОЛЬКО ОПЫТА, НЕ ФЛЕЙМА ради :-)
-- на какой ОСине? и какой версии filter был?

>> Тот кто видел, не будет ничего "выбрасывать".
>Будет, если такова политика компании.
политика компании... у вас решили "нам стабильности 2.4.[немножко]
хватает?" или просто Linux-эйфория? "мы поставим его везде!" :-)

>> с чего бы это такие вопросы в FAQ попадают? ;-)
>Попадают. Из этого еще не следует, что кто-то backport выполнит.

да, но я это и не имел в виду. речь шла о том, что очень многие
юзали бы netfilter на старом ядре, а новое... он пока слишком новое.

--
Igor Podlesny a.k.a Poige

To:anonymous, about serviсepack
Так вот, поставтиь-то дело минутное, но SP (4.0SP3-7, 4.1-4.1SP2) исправляют одни баги и добавляют не меньше, причем весьмя неприятные
(Например молчаливое срезание аттачей с непонравившимися именами и тд)

FW-1 - действительно лидер _продаж_ (и как уже заметили в основном заслуга маркетинга)
Сравнивать - хм... здесь наверно не очень подходящее место

нормальное место для сравнения, если не здесь - то где?

> Причем, тот 'keep state', который там (ipfilter) реализован,
> это несколько иное, чем флаги IPFW's setup/established или
> ipchains' -y.

как я понял, теперь и к netfilter это относится:
http://securityportal.com/cover/coverstory20010122.printerfriendly.html :

--
Igor Podlesny a.k.a Poige

> ну до культа ему далековато, хотя возможности его мое уважение
> вызывают.
Кто б спорил. "Правильная" вещь.

> Насчет убиенного ядра (ТОЛЬКО ОПЫТА, НЕ ФЛЕЙМА ради :-)
> -- на какой ОСине? и какой версии filter был?
OpenBSD 2.6 (и 2.7 по моему) IPFilter тот, что шел в поставке.
Кажется, в поздних FAQ этот баг был отражен, я не имел возможности проверить на последней OpenBSD, но полагаю, что там это исправлено.

> политика компании... у вас решили "нам стабильности 2.4.[немножко]
> хватает?" или просто Linux-эйфория? "мы поставим его везде!" :-)
Немного не о том. Полодим, решили -- из фрюниксов мы будем пользоваться Linux а из дистрибутивов Linux выберем Debian. В связи с чем создается локальный миррор для требуемых архитектур. Никто не призывает ставить 2.4.0 на production серверы. Я и сам противник новшеств ради новшеств.
Однако, согласись, что управлять гомогенной инфраструктурой проще, нежели гетерогенной. Соответственно сокращение издержек ведется именно за счет унификации.
Какая уж тут эйфория... Исключительно ради экономии.

> да, но я это и не имел в виду. речь шла о том, что очень многие
> юзали бы netfilter на старом ядре, а новое... он пока слишком новое.
Я бы был первым.
Но нет -- так нет... Подожду стабилизации woody ;)