Archiv verlassen und diese Seite im Standarddesign anzeigen : welche Firewall ist besser?
linux-power
26.08.03, 13:13
Hallo,
hab´ mal ne Frage: welche Firewall ist besser, die Personal Firewall oder die Suse Firewall???
die suse firewall ist *mächtiger*. zur konfiguration derselben nutze mal die suchfunktion des boards. dazu gibt es schon etliche threads.
Gruß HL
Schwarzer'Engel
26.08.03, 13:36
Baut die Suse FIrewall auf IPTABLES auf? Und die MDK 9.1 auch ?
@Schwarzer'Engel
für linux gibt es eigentlich nur netfilter als paketfilter. iptables ist eigentlich nur ein frontend um netfilter *zu steuern*.
und um iptables *leichter* zu bedienen, gibt es halt noch die unterschiedlichsten tools ala susefirewall, firewallbuilder usw.
unter der haube arbeiten sie aber alle mit iptables/netfilter.
Gruß HL
Schwarzer'Engel
26.08.03, 13:47
ja genau netfilter, davon hab ich vorhin im zusammenhang mit iptables & ipchains gelesen. Danke für die Info.
@ Schwarzer'Engel
Vergiß ipchains die sind veraltet und es fehlen viele Funktionen die Iptables/Netfilter bieten...
Schwarzer'Engel
26.08.03, 15:33
Original geschrieben von cane
@ Schwarzer'Engel
Vergiß ipchains die sind veraltet und es fehlen viele Funktionen die Iptables/Netfilter bieten...
Ja ich weiss, stand irgendwo in ner Netfilter-HowTo.
<holy-war on>
OpenBSD's PF ist das einzig Wahre!!!
</holy-war off>
Matzetronic
26.08.03, 16:09
*lol*
http://www.heise.de/newsticker/data/kav-26.08.03-001/
dieses feature wünsche ich mir auch für netfilter ;)
gruß,
matze
kannst du das auch irgendwie begründen?
Gruß HL
Hi!
Original geschrieben von HangLoose
kannst du das auch irgendwie begründen?
Solch ein Feature kann doch sehr nützlich sein, vgl:
Diskussion bei OpenBSD-Diary (http://www.deadly.org/article.php3?sid=20030821153534&mode=flat)
oder:
Diskussion bei bsdforen.de (http://www.bsdforen.de/forums/showthread.php?s=&threadid=1148)
etwas mehr argumente hab ich mir schon erhofft, nach deiner aussage.
OpenBSD's PF ist das einzig Wahre!!!
das feature ist ja noch recht frisch, kann also nicht der einzige grund sein, oder?
übrigens aus der heise meldung:
"Allerdings lässt sich der Fingerabdruck eines Betriebssystems relativ leicht fälschen -- die eigentliche System-Sicherheit verbessern die neuen Regeln also kaum."
Gruß HL
Die Jungs von Heise haben richtig erkannt:
Allerdings lässt sich der Fingerabdruck eines Betriebssystems relativ leicht fälschen -- die eigentliche System-Sicherheit verbessern die neuen Regeln also kaum. (kav/c't)
Außerdem verstehe ich sowieso nicht wozu das gut sein soll. es gibt wohl kaum SMTP Server die nur von Linux Clients connected werden (außer in euren Privat LANs ;) )
cane
@Hang Loose
Warste mal wieder schneller:rolleyes:
cane
Original geschrieben von HangLoose
etwas mehr argumente hab ich mir schon erhofft, nach deiner aussage.
das feature ist ja noch recht frisch, kann also nicht der einzige grund sein, oder?
übrigens aus der heise meldung:
"Allerdings lässt sich der Fingerabdruck eines Betriebssystems relativ leicht fälschen -- die eigentliche System-Sicherheit verbessern die neuen Regeln also kaum."
Dieses Feature ist na klar noch testing und kann aber trotzdem Hilfe leisten, auch wenn man es fälschen kann, es ist einfach ein Baustein zur Sicherheit mehr.
PF hat noch viel mehr Features:
- richtiges statefull filtering im Gegensatz zu iptables ohne patches, wenn ich mich richtig erinnere
- tables, macros, lables
- log-device
- packet normalisation(scrub)
- einfachere syntax
- buildin ftp-proxy
- 4 typen von load-balancing
- Bandbreitenmanagement mit ALTQ!!!!!!!
- user-authentification mit authpf
mehr siehe pf-faq (http://www.openbsd.org/faq/pf/index.html)
insgesammt bewerte ich persönlich PF als mächtiger und einfacher als iptables. Insbesondere passiert da auch momentan viel, es kommen sehr viele Features im Wochentakt hinzu.
@Tomonage
das sind schon eher argumente ;).
ich kenne mich mit pf allerdings so gut wie gar nicht aus und möchte von daher auch keine wertung was nun besser ist abgegeben.. habe nur mal auf meinem ibook mit ipfw rumgespielt.
- richtiges statefull filtering im Gegensatz zu iptables ohne patches, wenn ich mich richtig erinnere
beherrscht netfilter auch ohne patches
- einfachere syntax
ist wohl geschmackssache. ich bin zum beispiel mit iptables *groß geworden* und konnte mich nicht mit der syntax von ipfw anfreunden.
Insbesondere passiert da auch momentan viel, es kommen sehr viele Features im Wochentakt hinzu.
die jungs von netfilter liegen auch nicht auf der faulen haut => http://www.netfilter.org/documentation/pomlist/pom-summary.html
Gruß HL
PF kann noch mehr:
- state modulation für initial sequenz numbers
- antispoofing
PF ist auch somit die einzige Firewall (nach meinem Wissenstand), die verhindert, dass man erkennt wieviele IPs hinter dem NAT sitzen.
PF kann auch icmp und udp stateful filtern, ich weiß nicht genau, wie das bei iptables aussieht. Soweit ich mich erinnere kann iptables nur die einzelnen Flags (SYN/ACK..) filtern. PF kann aber eine Verbindung über die ganze Zeit über überwachen, also zu erst muss ACK kommen, dann SYN/ACK von der anderen Seite, usw..
Kann iptables das auch?
PF kann auch icmp und udp stateful filtern, ich weiß nicht genau, wie das bei iptables aussieht. Soweit ich mich erinnere kann iptables nur die einzelnen Flags (SYN/ACK..) filtern. PF kann aber eine Verbindung über die ganze Zeit über überwachen, also zu erst muss ACK kommen, dann SYN/ACK von der anderen Seite, usw..
Kann iptables das auch?
ja das kann iptables auch. da bist du also nicht mehr auf dem neuesten stand.
ps: antispoofing bietet netfilter auch
Gruß HL
Original geschrieben von HangLoose
ja das kann iptables auch. da bist du also nicht mehr auf dem neuesten stand.
ps: antispoofing bietet netfilter auch
Gruß HL
Meine Infos sind noch aus den Anfängen von ipfilter. Wäre ja auch schade, wenn ipfilter das immer noch nicht könnte :-)
Bleiben aber trotzdem noch ne ganze menge features, denen ipfilter nichts entgegen setzten kann. Besonders ALTQ und authpf sind sehr interessant.
Gruß,
Tomonage
derRichard
26.08.03, 17:23
hallo!
ich persönlich finde den pf feiner im handling als iptables.
wer von den beiden jetzt "besser" ist, kann ich nicht nicht.
aber eins steht fest, iptables hat kein authpf. :)
//richard
@Tomonage
naja netfilter ist ja auch noch recht jung ;).
@derRichard
ich hab auch nicht bestritten, das PF ein guter paketfilter ist ;). mir ist iptables trotzdem lieber, weil ich mich damit einigermaßen eingespielt habe und ich bisher noch nichts vermißt habe.
Gruß HL
Hmm ich bin eigentlich nicht so sehr erfahren mit Iptables/Netfilter.
Vielleicht sollte ich mir PF mal ansehen...
Kannte ich überhaupt nicht / habe ich noch nie von gehört. Problematisch könnte nur werden dass niemand außer mir dann PF einsetzt und ich im Job nichts damit anfangen kann...
cane
derRichard
27.08.03, 17:09
Original geschrieben von cane
Hmm ich bin eigentlich nicht so sehr erfahren mit Iptables/Netfilter.
Vielleicht sollte ich mir PF mal ansehen...
Kannte ich überhaupt nicht / habe ich noch nie von gehört. Problematisch könnte nur werden dass niemand außer mir dann PF einsetzt und ich im Job nichts damit anfangen kann...
cane
hallo!
du weisst schon, dass pf der paketfilter von openbsd ist?
unter linux kann man den nicht verwenden...
//richard
Original geschrieben von derRichard
aber eins steht fest, iptables hat kein authpf. :) nicht so fest, dass es nicht geändert werden könnte: http://www.itlab.musc.edu/~nathan/pam_iptables/README
:D
@Tomonage
hmm, einige deiner Aussagen trafen noch gar nie auf iptables zu. Kann es sein, dass du es vielleicht mit ipfw/ipchains verwechselst?
ne, ich meinte schon iptables. ich habe mich ja nur wegen dem statefull geirrt, wobei ich glaube, dass netfilter am anfang nicht wirklich statefull war.
PF wirkt einfach durchdachter und ausgereifter als NETFILTER. auch die features sind mehr und besser :-)
derRichard
31.08.03, 00:07
Original geschrieben von Tomonage
PF wirkt einfach durchdachter und ausgereifter als NETFILTER. auch die features sind mehr und besser :-)
hallo!
also, ich würde da fast das gegenteil sagen.
pf ist zwar sicher, aber er ist grad mal 2jahre alt.
und iptables hat mehr features als der pf.
//richard
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.