|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey Barabanov 2:5020/400 28 Dec 2002 23:53:43
To : Oleg Balychev
Subject : Re: iptables&mac
--------------------------------------------------------------------------------
Oleg Balychev wrote:
>>> не будет. Хотя даже если он и будет, я не вижу как им
> AB> А я и сам не знаю пока. Hо в принципе проблема netfilter как файрвола
> в
> AB> том, что он работает поверх ip-стека. Т.е. независимо от условий,
> AB> анализируемых в правила, мак ли то, или уже IP, или даже TCP, или это
> А какие альтернативы? Я слышал, вроде CheckPoint то ли есть, то ли будет
> под линукс. Больше я не про какие файрволы не слышал, да и мне в
> принципе возможностей iptables хватает. Hеудобство конечно, что
> непосредственно файрволл настраиваешь в одном месте, ids (intrusion
> detection system) в другом и проч.
Альтернатив нет. Я тут намекал, что есть еще такое поделие как патч на ядро
бриджинг+файрвол, который ,я не смотрел как, не было актуально, но так или
иначе заставляет срабатывать файрвол еще на уровне интерфейса, т.е. там где
собственно реализован бридж.
А IDS должно размещаться совсем в другом месте, imho. Есть такое поделие
"shadow sensor", вот где-то в таком духе и должно быть сделано. Т.е. на
бэкбоне прослушиваемой зоны надо установить дополнительное подключение без
IP, но с интерфейсом в "беспорядочном" режиме для прослушки трафика.
А кстати, что вы используете в качестве IDS на эхотаге. И кстати, на каком
трафике и в каком окружении (какого объема контора, ISP или что там ?).
Bye.
--
Aleksey Barabanov <alekseybb@mtu-net.ru>
--- ifmail v.2.15dev5
* Origin: homenet (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
