Есть ли аналог KerioWF / Isa в Linux/FreeBsd
 

Добрый день, вот загорелся идеей поднять на другой, отличной от Windows платформе, Firewall.
И вот с этим у меня возникла пара вопросов: На какой ОС (из семейства Linux. Или на FreeBsd) посоветуете поднимать Firewall, и если не секрет - почему :-) ?
И еще один вопрос, если поднимать фаерволл, то нужен соответствующий дистрибутив, аналог ISA или KERIO WF на Windows. Какую прогу посоветуете, для реализации этой задачи.
Заранее спасибо.

Файерволл (iptables) встроен в ядро Linux. Так, что подойдёт любой дистрибутив. Но, конечно, желательно поновее. Выбор дистрибутива определяется что вам ещё нужно кроме его, насколько вы готовы работать без графики и.п. вопросы.

http://www.opennet.ru/docs/RUS/iptables/
http://www.altlinux.ru/solutions/state/school-server/

А не могли бы вы уточнить, есть ли там такие функции как возможность ограничения трафика, проверка посещяемых сайтов, контроль объема используемого трафика... и тд

Есть, только его надо изучать (я уже вам дал ссылку на учебник).

Спасибо.

Хм.. iptables это вообще не firewall. Iatables - это набор утилит, позволяющий контролировать трафик, которой проходит через систему. Сравнивать с kerio очень Это все равно что кто-то попросит подсказать программу начертить график, а ему учебник по C++ подсунут. Мол, там и про графику есть...

А вот есть программа под Linux, в которой так же как и в kerio можно посмотреть кто из пользователей как канал занимает в динамике? Или лог HTTP, например?
Или блокировать пользователя, или ограничить ему скорость подключения.
Теоретически, путем написания батника, это и в Windows сделать можно...

Для начала неплохо бы уяснить, что Unix (Linux/BSD и т.п.) - это не Windows. Это две идеологически разные системы. В unix принят компонентный подход: для каждой задачи есть свой компонент. Если вам нужно построить комплексную систему, вы анализируете, какие компоненты для нее нужны и как они должны быть связаны. Крайне желательно читаете теорию по этим компонентам (стандарты протоколов например). Затем ищете реализацию этих компонент под unix. На большинство задач есть один или даже несколько компонент (программ). Выбираете наиболее понравившиеся, читаете документацию по ним и сопоставляете прочитанное с ранее усвоенной теорией. Затем из этих компонент как кирпичиками собираете готовую систему, полностью отвечающую вашим требованиям, не больше не меньше. И при этом вы отлично понимаете, как она работает, что делать, если что-то не работает или сломалось в процессе и т.д. Это касается любой макрозадачи - почтовый сервер, файервол, виртуализация и т.д.

Люди, пришедшие из мира windows, говоря, что им нужен файервол, имеют ввиду комплексную систему с прокси-сервером, сетевым экраном, подсистемой биллинга, впн-концентратором и т.д. В unix вы эту комплексную систему должны собрать сами. На начальном этапе это очень трудоемко, нужно многое выучить и разобрать. Но это с лихвой окупается в будущем при эксплуатации. Кроме того, в собранной системе у вас не будет ничего лишнего. Если вы не строите впн-туннели, то компонент vpn вам не нужен, что упрощает обслуживание и повышает безопасность.

Есть конечно готовые, уже собранные системы, вроде pfSense. Но их использование оправдано только в очень небольших инсталляциях, в противном случае вы кроме цены получите мало пользы от перехода с windows. Хотите собрать свой "файервол" на линуксе, начните с поиска нужных задач и подходящих компонент. Например для сетевого экрана есть iptables, для фильтрации и логирования HTTP/FTP есть прокси-сервер squid, для учета трафика почитайте про технологию netflow и т.д. Можно собрать очень мощную систему, с которой виндовс-решения не пойдут ни в какое сравнение, было бы желание и понимание конечной цели ;)