Je nejaky rozdiel medzi firewallom vo windowse, napriklad KERIO FIREWALL, a v linuxe na baze IPTABLES ? teraz nehladiac na uzivatelske rozhranie.. atd. mam na mysli technologiu...
ok odhliadnuc od neplatnej operacie, videl som KERIO a co sa tyka, nastaveni. tiez sa tam daju filtrovat pakety prakticky do takej istej "hlbky" ako pri iptables, niesom si vsak isty ci je tam mozne filtrovat pakety na zaklade priznakov SYN, ACK... nejedna sa tu o konkretny firewall napr, KERIO... naskyta sa otazka preco nepouzit firewall s WINDOZE A nejakym komercnym firewall. nehladiac na potrebne zakupenie, licencii. ide mi o tu technicku stranku
Podle toho, co jsem se dival na www.kerio.cz, tak firewall od kerio toho umi urcite vice nez iptables.
Umi packet filtering a stateful inspection stejne jako iptables. Ale ma implementovany antivir a aplikacni filtry (napr. url). Toto iptables urcite neumi, protoze se jedna o packetovy filter, pouze.
Pod linuxem jsou ale softy, ktere umi antivirovou ochranu, antispam, umi filtering url, intrusion detection systemy, atd. Je ale potreba techto nekolik baliku mit nainstalovano a pouzivat je jako celek.
kolisko
Presne tak, IPTABLES je na tom velmi podobně jako integrovny firewall ve Win XP a Win .NET ICF. Ma sice mene nastaveni ale principialne pracuje naprosto stejne.
viz. http://www.securityfocus.com/infocus/1620
to předně znamená, že keiro není žádný firewall, ale balík obsahující mimo jiné firewall
takže lze buď srovnávat firewall z keiro s iptables, nebo prostě není co s čím srovnávat
to je sice pekne, ale pak hodne zalezi na prostredi ktere ma oddelovat. lepe receno firewall nic nezchrani, at je jakykoliv, kdyz holt pusti libovolny odchozi udp, jenom proto, ze ho nerozezna a navze k nemu "podobne libovolny" prichozy do paru established, jenom proto, ze uzivatel chce pouzivat program s takovym neznamym protokolem...
vzdy, pro bezneho uzivatele, narazite na proprietarni protokoly, ktere nikdy nebudou implementovane v zadnem aplikacnim firewallu a potom taky na open protokoly, ktere pokud maji splnovat vsechny definice, tak jsou v praxi nezabezpecitelne a zde vim o cem mluvim, protoze jedena moje zatim nedokoncena prace spociva v prepisovani DNS provozu a v podstate pokud mam zajistit korektni(ocekavanou NAT) funkci, musim z casti porusit veskera relevantni rfc a pokud bych chtel pridat filtrovani, ktere uz to v podstate z vetsi casti dela, tak porusim snad uplne vsechna rfc, az na ty, ktera se venuji pouze definici typu a jejich dat.