Hallo,

hab´ mal ne Frage: welche Firewall ist besser, die Personal Firewall oder die Suse Firewall???

die suse firewall ist *mächtiger*. zur konfiguration derselben nutze mal die suchfunktion des boards. dazu gibt es schon etliche threads.


Gruß HL

Baut die Suse FIrewall auf IPTABLES auf? Und die MDK 9.1 auch ?

@Schwarzer'Engel

für linux gibt es eigentlich nur netfilter als paketfilter. iptables ist eigentlich nur ein frontend um netfilter *zu steuern*.

und um iptables *leichter* zu bedienen, gibt es halt noch die unterschiedlichsten tools ala susefirewall, firewallbuilder usw.

unter der haube arbeiten sie aber alle mit iptables/netfilter.

Gruß HL

ja genau netfilter, davon hab ich vorhin im zusammenhang mit iptables & ipchains gelesen. Danke für die Info.

@ Schwarzer'Engel

Vergiß ipchains die sind veraltet und es fehlen viele Funktionen die Iptables/Netfilter bieten...

Original geschrieben von cane
@ Schwarzer'Engel

Vergiß ipchains die sind veraltet und es fehlen viele Funktionen die Iptables/Netfilter bieten...

Ja ich weiss, stand irgendwo in ner Netfilter-HowTo.

<holy-war on>
OpenBSD's PF ist das einzig Wahre!!!
</holy-war off>

*lol*

http://www.heise.de/newsticker/data/kav-26.08.03-001/

dieses feature wünsche ich mir auch für netfilter ;)

gruß,
matze

kannst du das auch irgendwie begründen?


Gruß HL

Hi!


Original geschrieben von HangLoose
kannst du das auch irgendwie begründen?


Solch ein Feature kann doch sehr nützlich sein, vgl:
Diskussion bei OpenBSD-Diary (http://www.deadly.org/article.php3?sid=20030821153534&mode=flat)

oder:

Diskussion bei bsdforen.de (http://www.bsdforen.de/forums/showthread.php?s=&threadid=1148)

etwas mehr argumente hab ich mir schon erhofft, nach deiner aussage.


OpenBSD's PF ist das einzig Wahre!!!


das feature ist ja noch recht frisch, kann also nicht der einzige grund sein, oder?

übrigens aus der heise meldung:

"Allerdings lässt sich der Fingerabdruck eines Betriebssystems relativ leicht fälschen -- die eigentliche System-Sicherheit verbessern die neuen Regeln also kaum."


Gruß HL

Die Jungs von Heise haben richtig erkannt:

Allerdings lässt sich der Fingerabdruck eines Betriebssystems relativ leicht fälschen -- die eigentliche System-Sicherheit verbessern die neuen Regeln also kaum. (kav/c't)

Außerdem verstehe ich sowieso nicht wozu das gut sein soll. es gibt wohl kaum SMTP Server die nur von Linux Clients connected werden (außer in euren Privat LANs ;) )

cane

@Hang Loose

Warste mal wieder schneller:rolleyes:

cane

Original geschrieben von HangLoose
etwas mehr argumente hab ich mir schon erhofft, nach deiner aussage.
das feature ist ja noch recht frisch, kann also nicht der einzige grund sein, oder?

übrigens aus der heise meldung:

"Allerdings lässt sich der Fingerabdruck eines Betriebssystems relativ leicht fälschen -- die eigentliche System-Sicherheit verbessern die neuen Regeln also kaum."


Dieses Feature ist na klar noch testing und kann aber trotzdem Hilfe leisten, auch wenn man es fälschen kann, es ist einfach ein Baustein zur Sicherheit mehr.

PF hat noch viel mehr Features:
- richtiges statefull filtering im Gegensatz zu iptables ohne patches, wenn ich mich richtig erinnere
- tables, macros, lables
- log-device
- packet normalisation(scrub)
- einfachere syntax
- buildin ftp-proxy
- 4 typen von load-balancing
- Bandbreitenmanagement mit ALTQ!!!!!!!
- user-authentification mit authpf

mehr siehe pf-faq (http://www.openbsd.org/faq/pf/index.html)

insgesammt bewerte ich persönlich PF als mächtiger und einfacher als iptables. Insbesondere passiert da auch momentan viel, es kommen sehr viele Features im Wochentakt hinzu.

@Tomonage

das sind schon eher argumente ;).


ich kenne mich mit pf allerdings so gut wie gar nicht aus und möchte von daher auch keine wertung was nun besser ist abgegeben.. habe nur mal auf meinem ibook mit ipfw rumgespielt.


- richtiges statefull filtering im Gegensatz zu iptables ohne patches, wenn ich mich richtig erinnere


beherrscht netfilter auch ohne patches


- einfachere syntax

ist wohl geschmackssache. ich bin zum beispiel mit iptables *groß geworden* und konnte mich nicht mit der syntax von ipfw anfreunden.


Insbesondere passiert da auch momentan viel, es kommen sehr viele Features im Wochentakt hinzu.

die jungs von netfilter liegen auch nicht auf der faulen haut => http://www.netfilter.org/documentation/pomlist/pom-summary.html



Gruß HL

PF kann noch mehr:

- state modulation für initial sequenz numbers
- antispoofing

PF ist auch somit die einzige Firewall (nach meinem Wissenstand), die verhindert, dass man erkennt wieviele IPs hinter dem NAT sitzen.

PF kann auch icmp und udp stateful filtern, ich weiß nicht genau, wie das bei iptables aussieht. Soweit ich mich erinnere kann iptables nur die einzelnen Flags (SYN/ACK..) filtern. PF kann aber eine Verbindung über die ganze Zeit über überwachen, also zu erst muss ACK kommen, dann SYN/ACK von der anderen Seite, usw..
Kann iptables das auch?

PF kann auch icmp und udp stateful filtern, ich weiß nicht genau, wie das bei iptables aussieht. Soweit ich mich erinnere kann iptables nur die einzelnen Flags (SYN/ACK..) filtern. PF kann aber eine Verbindung über die ganze Zeit über überwachen, also zu erst muss ACK kommen, dann SYN/ACK von der anderen Seite, usw..
Kann iptables das auch?

ja das kann iptables auch. da bist du also nicht mehr auf dem neuesten stand.


ps: antispoofing bietet netfilter auch


Gruß HL

Original geschrieben von HangLoose
ja das kann iptables auch. da bist du also nicht mehr auf dem neuesten stand.

ps: antispoofing bietet netfilter auch

Gruß HL

Meine Infos sind noch aus den Anfängen von ipfilter. Wäre ja auch schade, wenn ipfilter das immer noch nicht könnte :-)

Bleiben aber trotzdem noch ne ganze menge features, denen ipfilter nichts entgegen setzten kann. Besonders ALTQ und authpf sind sehr interessant.

Gruß,
Tomonage

hallo!

ich persönlich finde den pf feiner im handling als iptables.
wer von den beiden jetzt "besser" ist, kann ich nicht nicht.
aber eins steht fest, iptables hat kein authpf. :)

//richard

@Tomonage

naja netfilter ist ja auch noch recht jung ;).


@derRichard

ich hab auch nicht bestritten, das PF ein guter paketfilter ist ;). mir ist iptables trotzdem lieber, weil ich mich damit einigermaßen eingespielt habe und ich bisher noch nichts vermißt habe.


Gruß HL

Hmm ich bin eigentlich nicht so sehr erfahren mit Iptables/Netfilter.

Vielleicht sollte ich mir PF mal ansehen...

Kannte ich überhaupt nicht / habe ich noch nie von gehört. Problematisch könnte nur werden dass niemand außer mir dann PF einsetzt und ich im Job nichts damit anfangen kann...

cane

Original geschrieben von cane
Hmm ich bin eigentlich nicht so sehr erfahren mit Iptables/Netfilter.

Vielleicht sollte ich mir PF mal ansehen...

Kannte ich überhaupt nicht / habe ich noch nie von gehört. Problematisch könnte nur werden dass niemand außer mir dann PF einsetzt und ich im Job nichts damit anfangen kann...

cane
hallo!

du weisst schon, dass pf der paketfilter von openbsd ist?
unter linux kann man den nicht verwenden...

//richard

Original geschrieben von derRichard
aber eins steht fest, iptables hat kein authpf. :) nicht so fest, dass es nicht geändert werden könnte: http://www.itlab.musc.edu/~nathan/pam_iptables/README
:D

@Tomonage
hmm, einige deiner Aussagen trafen noch gar nie auf iptables zu. Kann es sein, dass du es vielleicht mit ipfw/ipchains verwechselst?

ne, ich meinte schon iptables. ich habe mich ja nur wegen dem statefull geirrt, wobei ich glaube, dass netfilter am anfang nicht wirklich statefull war.

PF wirkt einfach durchdachter und ausgereifter als NETFILTER. auch die features sind mehr und besser :-)

Original geschrieben von Tomonage
PF wirkt einfach durchdachter und ausgereifter als NETFILTER. auch die features sind mehr und besser :-)
hallo!

also, ich würde da fast das gegenteil sagen.
pf ist zwar sicher, aber er ist grad mal 2jahre alt.
und iptables hat mehr features als der pf.

//richard