Что лучше FreeBSD ipfw или Linux IPTables? И мои аргументы ...

Тишина полная ... видимо iptables новая система, и ее мало кто знает. Может быть кто-то скажет ipchains(Linux) vs ipfw(FreeBSD).

Не забивайте себе голову ненужными вопросами. Если у вас работает ipfw вот и не трогайте его. А если "корпоративная политика" не предоставляет вам выбора, то лучше или хуже iptables чем ipfw, всеравно прийдеться ставить iptables.

Спасибо, но нужен ответ на вопрос. Много ОС на предприятии - это плохо, если все перевести под Linux с FreeBSD (сейчас FreeBSD и Linux примерно 50/50 используются) будет лучше (меньше специалистов, проще администрировать одними и теми же средствами).

Даже очень подозрительно молчит народ. Никто не знает что ли? Я рад буду любому мнению, без обосноваяния, только желательно рядом указать опыт вашей работы с каждой или одной из систем.

ну выдержка из man'a: --destination-port [!] [port[:port]] Destination port or port range specification. The flag --dport is an alias for this option.

в общем если диапазон портов сплошной, то есть допустим например с 1055 по 1075 , то можно написать iptables ... --dport 1055:1075 а если порты по отдельности, то так по отдельности и прописывать.

По отдельности это два правила или это два раз dest писать(попробую)? Через запятую не работает. И еще: почему iptables -L часто виснет на середине вывода, может я что-то забыл настроить? Ядро родное, немного патченое 2.4.19-rc1-aa2 (+bridge-netfilter patch, 3Com VLAN patch). Три VLAN карточки объединены в мост, br0 = eth0.1+eth1.2+eth2.3. Вот это надо фильтровать, делать на один VLAN - один IP-адрес не могу (нету еще решения по разделению на IP-подсети).

Вот нельзя в одной строке задать два непоследовательных порта, ужасно громоздко потом смотреть правила.

Работал и с тем и с другим... Достаточно много. Личное мнение - iptables лучше. Например отделением мух от котлет ( INPUT, OUTPUT & FORWARD chains, -t nat...) Гораздо гибче (опять таки ИМХО). Удобнее. Хотя в ipfw глубоко не копался, но то что откопал не понравилось. В кратце вот так.

Спасибо, но опять таки аргумент в пользу FreeBSD: есть общие фильтры, которые надо применять вообще ко всем приходящим на узел пакетам (попытки обращения на 139 порт, попытки flood-а). Кстати в дальнейшем планируется установить snort IDS, как она с ipfw дружит?

2saper:

Ну что ты одно и то же заладил? man читал? Наверно нет. А там вот что пишут:

===cut===
multiport
       This module matches a set of source or destination  ports.
       Up  to  15 ports can be specified.  It can only be used in
       conjunction with -p tcp or -p udp.

       --source-ports port[,port[,port...]]
              Match if the source port is one of the given ports.
              The  flag  --sports  is a convenient alias for this
              option.

       --destination-ports port[,port[,port...]]
              Match if the destination port is one of  the  given
              ports.  The flag --dports is a convenient alias for
              this option.

       --ports port[,port[,port...]]
              Match if the both the source and destination  ports
              are  equal  to  each  other and to one of the given
              ports.

===cut===
Т.е. пишешь -m multiport и получаешь то что надо.

p.s. ipfw не юзал.

по мне то лучше если все работает то ниче не трогать. если основная цель заеба@6ся то можно полностью переходить на одну из OS.

iptables -L виснет ? тогда вопрос на засыпку: как ведет себя iptables -nL в этом случае ? Сдается мне, дальше сам догадаешься...

Спасибо. А про NAT кто знает (как отфильтровать пакет идущий в nat до трансляции адресов)? В mangle его не отфильтровать, а потом пакет сразу в nat попадает...

только тут надо еще указать интерфейс внешний с помощью -i eth[1,2,etc..]
iptable -A input -p tcp --destination-port 139 -j DROP

И вообще Сапер ты бы почитал доки :)
http://www.netfilter.org/documentation/tutorials/blueflux/iptables-tutorial.html

По ссылке (я читал это на русском только) в 3.1 в таблице пп.2 указано, что пакет приходит на интерфейс, но не указано, что ему сопоставлена какая то таблица. В целом мне кажется сильно разрозненно информация хранится как в самом iptables, так и о самом iptables ... кстати если кому по PostgreSQL помочь - пишите.

2saper:

А зачем фильтровать до NAT? Я чего-то не понимаю. В случае SNAT фильтруй в forward - это и будет до NAT. В случае DNAT - пусть проходит - в forward опять и отфильтруешь. Imho, лучше, если вся фильтрация в одном месте - forward. А читать советую на английском.

Да вот как бы не было атак на сам NAT модуль ... DoS-ы (например flood заставит делать NAT очень часто - в результате затраты CPU на это преобразование)и другие buffer overflow.

iptables -m limit и никакого флуда :-)

А у меня выбор кончился, потому что БЗДя на серверной платформе (compaq) - АцТоЙ! Любители прежде чем кричать пусть туда фирменную диагностику прикрутят.

iptables -L виснет, если не может разрешить некоторые IP-адреса. попробуйте iptables -nL