>Новичка iptables можно научить за то-же время и на таком-же уровне. При
>этом я не считаю, что фаерволл можно толком изучить за час-полтора.
>Основы - да, можно. Что-то более сложное - нет. Разумеется, о владении в совершенстве никто не говорил.
>Во FreeBSD всё наглядно, да. Но только на первый взгляд. Стоит попробовать
>настроить закрытый по умолчанию фаерволл с NAT, и который должен пропускать
>через себя PPTP-соединения, FTP-трафик и т.п. Вот тут-то и начинается головняк.
Да без проблем.
>Нетехнологичность проявляется сразу же: здесь входящие, исходящие и маршрутизируемые пакеты, NAT
>и QoS свалены в кучу! Особенно долго приходится разбираться с тем
>почему не проходят определённые пакеты при наличии NAT: нужно прописать разрешающее
>правило на вход в интерфейс, разрешающее правило на выход из интерфейса,
>разрешающее правило на вход в divert-сокет, разрешающее правило на выход из
>divert-сокета, настроить перехват пакетов которые должны попасть в divert-сокет, настроить сам
>divert-сокет. Вкупе с примешанными в этом же файле правилами QoS это
>становится ещё сложнее. Настройка нормально работающего FTP - вообще песня.
Простите, а вы заметку https://www.opennet.ru/opennews/art.shtml?num=16080 читали? Там схема описана. Так много правил, которые вы перечислили - не требуется.
>Мне попадались уже настроенные фаерволы во FreeBSD. Разобраться в них на уровне
>"добавить ещё одно разрешающее правило" можно. А вот понять как работает
>ВСЁ это хозяйство на несколько килобайт становится сложновато. Если же учитывать
>вольность синтаксиса (определение переменных в тексте фаервола) разобраться в написанном кем-то
>фаерволе становится практически невозможно.
>Если придерживаться правил загружать
>и сохранять фаервол средствами iptables-save iptables-restore, то разобраться в чужом фаерволе
>значительно легче.
Пардон, вы путаете шелл-скрипт и "текст файрвола". И я как раз-таки предпочту изучать чужой шелл-скрипт, поскольку в нем есть имена переменных и комментарии, помогающие разобраться в смысле, в отличие от голого вывода ipfw list (который никто не мешает сохранять/загружать аналогично iptables-save). Кроме того, при больших количествах правил народ точно так же применяет скрипты (с переменными, ага) и для iptables.
>Для сравнения, в iptables одна таблица для форвардящихся пакетов, одна таблица для
>пакетов попадающих в систему, одна таблица для пакетов, выходящих из системы,
>одна таблица для SNAT, одна для DNAT. Для поддержки FTP есть
>модуль ядра, который заглядывает в управляющую сессию и добавляет в таблицу
>установленных соединений запись для сессии данных. QoS отдельно, маршрутизация отдельно. Причем
>фаерволом можно помечать пакеты, QoS будет реализовывать политику для этих пакетов,
>маршрутизатор выбирать одну из НЕСКОЛЬКИХ таблиц маршрутизации.
Прочитатйе еще раз заметку со схемой прохождения пакетов. Все вышеперечисленное (кроме модуля FTP, он только в состае ната идет) есть и в ipfw. А вот жесткость iptables, что в таблицах, что в формате правила, начинает мешать в сложных случаях. Попробуйте, например, в одном правиле iptables указать несколько src, аналогично OR-блокам ipfw...
>Далее, если отклониться от темы фаерволов, можно сравнить как происходит латание дыр
>в сервисах или установка новых программ во FreeBSD и, например, Debian.
[...]
>Если сервер один, денёк ещё можно поплясать с бубном, ничего не случится.
>Если серверов с десяток - будешь плясать с бубном неделями.
>
>Я НЕ противник FreeBSD, я НЕ говорю, что FreeBSD сосёт. Мне эта
>система нравится, но я предпочитаю тратить своё время с пользой для
>себя, а не для системы.
>
>Не надо всё переводить на религиозную войну FreeBSD vs. Linux. Я никого
>не хочу оскорблять. Просто прежде чем спорить что лучше, стоит ознакомиться
Да, но вы зачем-то с темы файрволов свернули именно на религозную тематику, вместо того, чтоб, например, ознакомиться с опытом других, как они поддерживают большое количество машин. Узнали бы, скажем, что на фремах серверов используют сборочный тазик, а вовсе не компилируют на каждой машине, без танцев с бубном. И т.д.
