PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Vergleich iptables mit ISA-server



Ryanika
17.10.03, 11:03
hy,

ich sammel grade vor-und nachteile von iptables im vergleich zum MS ISA-Serverund habe bei der recherche folgendes antwort bekommen.

*Im Vergleich zu IPTables hast Du mehr Filtermöglichkeiten. Du kannst z.B. durch das Reverse Caching festlegen, dass http://www.firma.de/sales auf den internen Server1 und .../marketing auf Server2 weitergeleitet wird. .../Mail ist dann z.B. gar nicht aufrufbar. Ferner hast Du einen URLFilter, der Dir z.B. CodeRed-Angriffe (die es auch heute noch immer gibt!) erst gar nicht an den Webserver weiterleitet. Oder er kann eine Authentifizierung (auch via SSL) direkt am ISA abfangen - somit bleibt der interne Webserver *völlig* unerreichbar von extern. Kannst Du das mit IPTables auch steuern? Bei Webserververöffentlichungen wird niemals der eigentliche Webserver von aussen angesprochen.
Oder Du kannst festlegen, dass Benutzer "Müller" nur von 12 bis 13 Uhr auf www.n-tv.de darf. Etc....


so weit verstehe ich iptables noch nicht, um dieses als richtig oder falsch einzuordnen. meine aber, wenn ichs richtig verstanden habe, dass ich folgendes auf jeden fall mit iptables abfangen kann.

* Oder er kann eine Authentifizierung (auch via SSL) direkt am ISA abfangen*

liege ich da richtig?

gruss Uta

Stormbringer
17.10.03, 11:18
Hi,

iptables ist ja nun einmal nur ein packet-filter, und bspw. nicht auch ein content-filter.
Der MS ISA Server hat einmal ein deutliche breiteres Spektrum an Möglichkeiten (filtern, auswerten, etc.), als es sich mit einer reinen iptables Lösung realisieren läßt.

Aber: es ist halt ene SW von MS, und diese ist i. d. R. direkt oder indirekt häufiger von Programmier- /Designfehlern betroffen als andere. Somit sei von diesem Standpunkt aus erst einmal gegen eine softwarebasierte FW Lösung auf MS Basis gesprochen.



Oder Du kannst festlegen, dass Benutzer "Müller" nur von 12 bis 13 Uhr auf www.n-tv.de darf. Etc....

Nein. iptables wertet nur den ip Verkehr aus - nicht mehr und nicht weniger. Auf ip Adreßebene ginge es (wäre aber aufwändig).



* Oder er kann eine Authentifizierung (auch via SSL) direkt am ISA abfangen*

Klar kann er das ... aber nur generell, indem die betreffenden ports gesperrt werden.
Oder aber Fall-für-Fall, indem es Regeln pro ip Adresse / ip Range gibt.

Gruß

emba
17.10.03, 13:23
ich denke die POM Module wie time und string sind schon einen schritt in richtung MS ISA Konkurrent bzgl. des "breiteren spektrums"

iptables allein (ohne die "speziellen" POM Module) ist wahrlich nur ein stateful paketfilter

greez

Jinto
17.10.03, 15:01
IMO wäre der Vergleich Squid mit MS-ISA wohl treffener.

Ryanika
17.10.03, 15:35
Original geschrieben von Jinto
IMO wäre der Vergleich Squid mit MS-ISA wohl treffener.

da hast du recht. aber ich muss begründen, warum ich eine firewall unter linux konfiguriere und warum nicht unter windows. suid steht mir nicht zur verfügung. entweder ein iptables script oder SuSE firewall on cd (die erste, welche noch unter ipchains läuft)

Jinto
17.10.03, 15:53
Original geschrieben von Ryanika
da hast du recht. aber ich muss begründen, warum ich eine firewall unter linux konfiguriere und warum nicht unter windows. Na hast du ein Glück, dass FW != Paketfilter :D

Das könnte für dich interessant sein:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
http://www.stud.tu-ilmenau.de/~traenk/dcsm.htm


suid steht mir nicht zur verfügung. entweder ein iptables script oder SuSE firewall on cd (die erste, welche noch unter ipchains läuft) Ich weiss leider nicht was du genau machen sollst oder willst. Schau dir bitte erstmal die 2 Links durch, wenn dann noch fragen sind wäre es IMHO gut du würdest beschreiben warum du einen Proxy mit einem Paketfilter vergleichen willst.

HTH

Ryanika
17.10.03, 16:14
@ Jinto

das will ich machen:

eine firewall, die zwischen der DMZ und dem Lan steht. wie und womit ich das mache ist vollkommen egal. ich habe mich für ein iptables-script entschieden. gefragt wird in der prüfung, warum ich nicht zb einen ISA server zwischen DMZ und LAN setze, oder eine andere hard-oder software einsetze. mit ISA muss ich mich noch ausführlich befassen, das gehört aber nicht hierher. sicher ist aber zu 99,9% dass ich nach den vor- und nachteilen gefragt werde. deshalb MUSS ich vergleichen. auch wenns ein vergleich von äpfeln mit birnen ist.
danke erst mal für die links. :)

gruss Uta

Jinto
18.10.03, 14:50
Original geschrieben von Ryanika
ich habe mich für ein iptables-script entschieden. Jetzt sag mir bitte noch warum du dich für iptables entschieden hast (egal wie trivial dir das erscheint).