|
firewall-ы что лучше и почему (плюсы и минусы) /cut from Каким дистрибутивом с веб..
mar
Насчёт безопастности. Вообще, на мой взгляд, человечество ещё ничего более удобного, простого и эффективного, кроме как ipfw - не придумало. :) |
SantaXP
Если серьезно: ipfw все-таки, наверное, имеет отношение к безопасности firewall-а, а не web-сервера, который чаще всего лучше бы от греха подальше все-таки держать за этим самым firewall-ом. (NB - эта ветка вырезана в отдельный топик из обсуждения web-серверов) Для задач, решаемых ipfw лучше ipfw, наверное, может быть портированный из openBSD pf. Плюcом BSD-ых pf/ipfw является скорость (поскольку работает все это на уровне ядра). Плюсом linux-ых firewall-ов является навороченность (iproute2), позволяющая делать очень сложные (и не всегда нужные для работы с web-сервером из нашей темы) пассажи. (Я не уверена, что это невозможно на ipfw, пусть специалисты меня поправят (у нас, помнится, Barracuda весьма сложные вещи на ipfw выделывал :)) (Примеры про Linux из нашего форума (чтобы далеко не ходить:) : тема Linux vs. FreeBSD - стр.12 тема "сеть") При разговоре про безопасность web-сервера скорее надо поминать jail, chroot и прочие вещи, защищающие ВЕСЬ серверот его части, выделенной под файловую систему apache. Но для того, чтобы это обсуждать, надо опять-таки решить, о каких вариантах web-сервера мы говорим :) Минусом данной дискуссии является то, что опять придется ей хвост откусывать и перемещать в Linux vs. FreeBSD :( |
mar
>Плюcом BSD-ых pf/ipfw является скорость (поскольку работает все это на уровне ядра) А вы думаете iptables не входят в ядро linux? |
bdancer
Цитата:
Цитата:
|
Belansky Но, вспомним, что помимо FreeBSD есть еще Open, Net и прочие BSD-like системы. Так что, если тебе придется админить, например, openbsd, то ты уже не скажешь, что "где, что и каким конфигом настраивается, где расположены стартовые скрипты системы". К тому же, при установке системы на сервер с нуля твоя фраза легко преобразуется в "Поэтому, я предпочитаю везде, где есть такая возможность, разворачивать сервера под <мой любимый дистрибутив Linux>" И вообще, почему "Linux vs. FreeBSD" давайте уж "Linux vs. *BSD" |
bdancer
Шуить изволите? Хорошо, делаю вид, что это стр-р-рашная тайна и прилюдно ее раскрываю: BSD-системы отличаются не только сборкой дистрибутива и отдельными библиотеками, как разные дистрибутивы Linux, но и такой мелочью, как ядром, ну и всеми остальными мелочами, естественно, тоже :) То есть я не могу, как это делала в Linux скачать ядро с kernel.org и и поставить на свою систему. Свободные BSD системы - это эволюционные ветви BSD (то есть разрабатываемоой в небезизвестном :) университете Беркли) ОС Unix. А вот как раз многое в стартовых скриптах BSD-систем (по крайней мере в OpenBSD и FreeBSD) похоже и лежат в похожих местах. (Скорее всего сказываются общие корни и принципы разработки). Поэтому "Linux vs. *BSD" - неправомочно. Хотя (сугубое имхо) неправомочно и само "vs", потому, что попытка пртивопоставления с обязательным желанием доказать, что у нас самое-самое гораздо менее конструктивна, чем попытка понять слабые стороны того, что нравится тебе, сильные стороны того, что имеется рядом и, соответственно, желания портировать. В первом случае имеем ряд высказываний на которые чаще всего не хочется отвечать, во втором - pf (из OpenBSD) во FreeBSD, порты в Gentoo, удобные (хотя и о ужас! внешне похожие на виндовые) window managers под *nix и наконец, бессмертный mc - не что иное, как (весьма удачная) реинкорнация незабвенного (для тех, кто застал :)) дос-овского nc (Norton Comander) и т.д. |
Цитата:
На счет навороченности: сомневаюсь, что pf не умеет делать чего - то, что умеют линуксовые файрволы (в частности роутинг, нормализация трафика, очереди, поддержка ALTQ и т.д.), не зря ж его ставят на один уровень с коммерческими файрволами от SUN, IBM и прочими. |
mar >Хорошо, делаю вид, что это стр-р-рашная тайна и прилюдно ее раскрываю И к чему такой сарказм? Я что, написал, что они все одинаковые? По-моему, я написал все же BSD-like... >А вот как раз многое в стартовых скриптах BSD-систем похоже и лежат в похожих местах. "Похоже" всё же не "одинаково". Да и в линуксе они из /etc/init.d редко куда убегают. >Хотя (сугубое имхо) неправомочно и само "vs", потому... Согласен. >чем попытка понять слабые стороны того, что нравится тебе, сильные стороны того, что имеется рядом и, соответственно, желания портировать. Так может попытаемся? Вот в плане файерволов уже какое-то сравнение пошло... PS Но dn рулит :) |
mar
>>>Плюcом BSD-ых pf/ipfw является скорость (поскольку работает все это на уровне ядра) >>А вы думаете iptables не входят в ядро linux? >чего тут думать, всегда же можно посмотреть? Ну пока почитаем :) Вот, цитатку нашел: What is Netfilter/Iptables? Netfilter is the framework in Linux 2.4 kernels that allow for firewalling, NAT, and packet mangling. Iptables is the userspace tools that works with the Netfilter framework (technically a lie; Iptables is also a part of the Netfilter framework in the kernel). Think of Netfilter as kernel space, and Iptables as userspace. >Народ, если мы хотим обсуждать firewall-ы (а не веб-сервера), может вырезать эту часть в отдельную ветку? Эт можно :) Типа iptables vs ipfw :) |
идя на встечу пожеланиям трудящихся... делаем отдельный топик по firewall-ам. Возражений нет? :search:
|
приписываю сюда же кусок оставленного в старом топике поста
m2001 Цитата:
|
Ну от правил то же зависит, но я так понимаю сравниваются примерно одинаковый набор правил. (Хотя при хорошем процессоре, сетевухах и наличии большого объема памяти количество правил не так существенно). А вот про динамические правила, соглашусь что ресурсов надо больше, в первую очередь памяти, для поддержки таблицы состояний, но вот по скорости это быстрее обычных правил, потому как "таблица" состояний обычно является деревом и требуется всего несколько сравнений, чем проход в среднем половины правил (актуально, если число правил 20 и больше :)).
На мой взгляд, лучше файрвол, который полностью работает на уровне ядра и управляется какой - либо утилитой, в этом плане хороши pf/ipfilter, на счет ipfw уже высказывался выше. На счет iptables незнаю, но если оно работает не в ядре (хотя судя по вышеприведенной цитате оно как раз живет в ядре), то потеря производительности и безопасности неизбежна. |
Лично меня связка ipfw+tcpwrapper+конфиги отдельных программ вполне устраивает. А, если трафик фильтруется еще и на роутерах Cisco, получается совсем замечательно. И скорость работы вполне устраивает.
P.S. С секундомером я, конечно, не засекал. :) |
bdancer
FrIcE пардон, не сразу заметила. Вы все-таки гляньте на офф-сайте http://www.netfilter.org/: Цитата:
На самом деле, может быть я и неправа,- надо поковырять код, посмотреть работу libiptc. Желающие могут заняться :) Цитата:
|
| Время: 15:15. |
Время: 15:15.
© OSzone.net 2001-