ISA vs ipfw&nat etc

Если сравнивать с iptables+fwtk+squid, то в ISA есть поддержка всяких странных протоколов вроде H.323 кроме того в нем есть различные M$-овые рюшечки, зато отсутствуют расширенные возможности фильтрации и маршрутизации пакетов (iptables+iproute) Ну и интерфейс, конечно ...

чем H.323 странен? Просто ISA поддерживает фильтры приложений (хотя так себе). И какие возможности по фильтрации и маршрутизации пакетов в нём отсутсвуют? В ISA вообще предлагается пользоваться фильтрацией, только по-необходимости(крайней), а так использовать динамические правила.(Но они само собой есть и в *nix).

Поддержка H.323 в iptables есть.
insmod ip_conntrack_h323
insmod ip_nat_h323

Что может ISA и не может связка ipfw+natd+squid:
1). Есть куча удобных визардов, которые позволяют быстро (и, что самое смешное, достаточно корректно) настроить её непрофессионалу.
2). Если поставить клиентов, то можно делать фильтрацию приложений, которые хотят ходить в интернет (не путать со stateful inspection).
3). Вроде бы есть load balancing и failover. Сам не пробовал.

> 1). Есть куча удобных визардов, которые позволяют быстро (и, что самое смешное, достаточно корректно) настроить её непрофессионалу.

тем не менее, качество правил, создаваемых ISA, оставляет желать лучшего. межсетевой экран - это не то место, где можно позволить себе такую роскошь. Более того, в ISA правила создаются с точки зрения приложений и их эффект на реальную ситуацию неясен.

> 2). Если поставить клиентов, то можно делать фильтрацию приложений, которые хотят ходить в интернет (не путать со stateful inspection).

socks можно поставить и в linux. из dante. будет ровно тоже самое.

> 3). Вроде бы есть load balancing и failover. Сам не пробовал.

есть "кластеризация" ISA серверов. Увы, лучше бы ее не было. Даже http://keepalived.sourceforge.net/ в этом смысле удачнее. Кстати, в OpenBSD есть вот что: http://www.deadly.org/article.php3?sid=20031018101733

еще о недостатках ISA: ужасный GUI, кривой пакетный фильтр, низакая прозводительность (хотя squid этим тоже отличается, но там есть что пооптимизировать), негибкость (или LAT или нет, третьего не дано, про понятие DMZ они, видимо, не знают) и много чего еще.

достоинства? ну если у вас windows-only shop и вы командной строки боитесь... и то, я бы тогда PIX рекомендовал или Nokia.

Для iptables есть замечательный GUI: fwbuilder.sf.net
IMHO:
1. Требует GTK-- и SNMP (последний если хочется)
2. По виду смахивает на Checkpoint ;) немного, но все же
3. Иногда выпадает без объяснений (Slackware 8-9.x), правда своя сборка, но старался
4. IMHO самая удобная и грамотная (но возможно не "правильная") версия 1.0.9 (а не последние), советую с 1.0.9 начинать, а потом уже остальные
5. У меня есть положительный опыт построения корпоративного периметра защиты на нем (в одном GUI все межсетевые экраны сразу)
6. Лучше один раз увидеть ...