-
Подскажите: за что люди не любят стандартный FireWall из Windows?
Он не позволяет сделать какие-то настройки или есть много известных непочиненых уязвимостей?
Сколько мне попадалось криков - толком никто сказать не может, только плюются, а от чего конкретно - не говорит никто.
Меня вот он полностью устраивает функционалом в отличии от некоторых других, ест ьровно что нужно; правда про уязвимости не знаю.
-
Очень хорошая аналогия напрашивается с машинами. Проанализируй кто и почему меняет стандартную комплектацию/конфигурацию новой машины и понимание вопроса придет само.
-
>Подскажите: за что люди не любят стандартный FireWall из Windows?
Тут уместен вопрос наверно другого характера:
Почему он не такой навороченный как Outpost или другие?
Ведь если MS будут писать столь навороченные программы,
то о конкурентноспособности и рынке можно будет забыть.
Такая у MS политика. Пишут минимум, чтобы дать покушать и другим.
-
> dmk © (11.02.09 13:36) [2]
>
> >Подскажите: за что люди не любят стандартный FireWall из
> Windows?
>
> Тут уместен вопрос наверно другого характера:
> Почему он не такой навороченный как Outpost или другие?
"Вам шашечки или ехать?" (c) народный анекдот...
-
> за что люди не любят стандартный FireWall из Windows?
Ну хотя бы за то что он бессилен в борьбе против ряда известных сетевых атак.
Внутрь себя не пускает, мол, не лезь, я сам справлюсь, а чуть запахло жареным, так сразу и лапки кверху)
-
> KSergey (11.02.2009 13:16:00) [0]
Или сексуально озабоченые или им нужен не персональный файрвол.
Если проанализировать обсуждения, то первое, второе редкость.
-
У меня стандартный виндовый.
Устраивает. Никаких вирусов и троянов отродясь не было...
А навороты и тормоза ОутПоста раздражают.
Отказался от него когда появилась 4я версия...
-
> Сергей М. (11.02.2009 13:47:04) [4]
Неправда, он может полность закрыть машину, что даже пинги не пойдут.
-
> dmk © (11.02.09 13:36) [2]
> Почему он не такой навороченный как Outpost или другие?
Окей, переформулирую вопрос: что есть такого в том же Outpost, без чего использование стандартного невозможно?
Подчеркиваю, мне хочется конкретный примеров того, что что делает невозможным применение стандартного файервола в конкретной ситуации.
-
> wql (11.02.2009 13:53:06) [6]
У меня от ОутПоста только отрицательные впечатления.
Когда еще не было встроеных, то я его заменил на бесплатный ZoneAlarm - того же класса файрвол, что и встроеный.
-
> Сергей М. © (11.02.09 13:47) [4]
Т.е. фактически в нем есть уязвимости (баги/ошибки архитектуры), я правильно понимаю? А это точно? Нелья ли конкретных примеров, правда видимо это недопустимо правилами :(
> Anatoly Podgoretsky © (11.02.09 13:53) [5]
> или им нужен не персональный файрвол.
А можно назвать конкретную функцию не персонального файервола, которой нет в виндовом??
-
> KSergey (11.02.2009 13:59:10) [10]
Ну например нестандартные SSL протоколы.
-
> Anatoly Podgoretsky (11.02.2009 14:04:11) [11]
Кстати мы (разработчики) всегда в состояние сделать такую фичу, которой нет в других файрволах.
Так что ответ одназначный.
Надо подходить к вопросу по другому, делает ли встроеный файрвол то что мне надо или пора покупать другой и вообще нужен ли другой файрвол, не является ли
это колокольчиком и хватит обычного Интернет защитника, которых антивирусные фирмы наплодили, поскольку запрашиваемые функции относились к Папа контроль, а не к файрволам, особенно персональным.
Кстати в Виндоус стандартных файрволов было несколько, сейчас уже третье поколение, но только в Виста.
-
> Anatoly Podgoretsky © (11.02.09 13:55) [7]
>
> Неправда, он может полность закрыть машину, что даже пинги
> не пойдут.
>
и что потом с ней делать, если не секрет? дурное дело-то нехитрое...
> KSergey © (11.02.09 13:16)
если комп выходит в сеть через небольшую локалку, тогда хватит и виндовского
а вот если напрямик подключен к и-нету или в большую подсеть провайдера, то там всегда найдется N имбецилов, которые очень любят устраивать разного рода атаки, которые в свою очередь никак не блокируются
-
> Anatoly Podgoretsky © (11.02.09 13:55) [7]
А мне не надо "полностью", мне надо так как я хочу.
А он, зараза, мне не дает этого сделать.
И как мне с ним дружит после этого ?
Мне проще отключить его к едренифени, что я собственно и делаю всякий раз при инсталляции системы)
-
> boa_kaa © (11.02.09 14:12) [13]
> которые очень любят устраивать разного рода атаки, которые в свою
> очередь никак не блокируются
Т.е.вы хотите сказать, что есть известные уязвимости в виндовом файерволе, позволяющие его обойти, правильно?
> Сергей М. © (11.02.09 14:23) [14]
> мне надо так как я хочу. А он, зараза, мне не дает этого сделать.
Что именно, уточните, плиз. Я не смог ничего такого придумать и комплексую.
-
> boa_kaa (11.02.2009 14:12:13) [13]
Ты можешь продолжать работать, а для внешних врагов ты недоступен.
Компьютер не только будет закрыт, но и не будет виден в сети.
-
> Сергей М. (11.02.2009 14:23:14) [14]
Что именно ты не можешь делать?
Ты можешь открыть любой порт или приложение, и тогда будешь не полностью закрыт.
-
> boa_kaa © (11.02.09 14:12) [13]
> а вот если напрямик подключен к и-нету
вот это и имею :)
причем уже 8 лет как.
Файервол когда-то давно был, потом надоел. Но за последние пол-года (после смены провайдера) состояние пациента сильно ухудшилось, вплоть до ужасного.
Вот я и забеспокоился о презервативах. Вернее аутпост уже назад поставил (т.к. Win2k, стандартного нет), но будет Win2003, вот и думаю какой маркой резинок пользоваться.
На другом подобном сервере с 2003 включил стандартный, функционально устраивает полностью, но может ячего недогоняю, в частности по поводу уязвимостей?
-
> для внешних врагов ты недоступен.
а для внутренних?
> не будет виден в сети.
это не всегда удобно
-
> Правильный$Вася (11.02.09 14:52) [19]
> > для внешних врагов ты недоступен.
> а для внутренних?
Тоже, в чем беда?
К стати, это мне как раз понравилось в стандартном - рулится свое на сетевые интерфейсы, именно в такой терминологии. Для аутпоста, например, рулится только в терминах IP-адреса. Хотя если несколько IP на интерфейсе - то может оно и гибче, да и интерфейсы меняться могут (физически), так что не понятно что удобнее.
-
> Anatoly Podgoretsky © (11.02.09 14:37) [17]
Хочу, например, иметь надежную, гибко настраиваемую и контролируемую защиту от SYN-флада и от порт-сканирования)
> KSergey © (11.02.09 14:35) [15]
см. тут же ответ для АП
-
> KSergey (11.02.2009 14:41:18) [18]
Сервер? Тогда корпоративный файрвол ISA 200x
Встроеный в систему все же персональный файрвол, его может не хватить.
-
> Правильный$Вася (11.02.2009 14:52:19) [19]
Те кто в сети есть внутренние враги, как то не замечаю никаких проблем, кроме того ты читал, что файрвол полностью настраиваемый на входящие соединения, а в Висте и на исходящие. Зачем тебе нужно в локальной сети, чтобы к тебе кто то лазил, для этого существуют сервера. На серверах у меня этот файрвол отключен, проблем нет.
-
> Anatoly Podgoretsky
Самая лучшая оборона - это эшелонированная оборона.
-
> KSergey © (11.02.09 13:16)
>
> Подскажите: за что люди не любят стандартный FireWall из
> Windows?
Настройки не такие гибкие. Инструменты для настройки ужасают. Фильтрация трафика — вообще в "Дополнительных настройках TCP/IP" и никаким боком к файерволу не относится. :O
-
> Сергей М. © (11.02.09 15:08) [21]
> защиту от SYN-флада и от порт-сканирования)
ну про первое почитаю, а про второе не очень понятно: что тут нужно-то? Закрыл все порты для входящих соединений (если какие нужны - открыл индивидуально) - вот и все. И хоть засканируйся.
Или подразумевается "интеллектуальный" антисканер, который при попытках перебирания портов блокирует все соединения от "плохого" хоста?
-
> Сергей М. (11.02.2009 15:08:21) [21]
Да без проблем, не синронизированые пакеты блокируются по определению и без вмешательства персоны, не надо тут контролируемости никаой.
Сканирование порта чем тебя так волнует, ну запрети сканирование совсем. Пока все в рамках любого персонального файрвола.
-
> Сергей М. (11.02.2009 15:24:24) [24]
ИСА это позволяет и бастион и периметр и DMZ и на любую глубину.
Равноценной замены ИСА просто нет, но он очень сложный, не любой сисадмин с ним справится.
-
> iZEN (11.02.2009 15:25:25) [25]
Потому там и находится, а вот ее реализация редко позволяет ее применить, хотя нужна иногда.
-
> KSergey © (11.02.09 15:50) [26]
Не только и не столько блокирует, сколько ведет протокол и выполняет заданные мной действия при заданных правилах обнаружения.
> Anatoly Podgoretsky © (11.02.09 15:52) [27]
> не синронизированые пакеты блокируются по определению
А подхват ожидаемых not-SYN-пакетов ?
Такая задача тоже имеет право на жизнь и не так уж редка.
> Сканирование порта чем тебя так волнует
Тем же чем и тебя - потенциальной атакой вслед за сканированием)
-
> KSergey (11.02.2009 15:50:26) [26]
Блокировка, неуправляемая, тоже есть, по каким правилам работает неизвестно, файрвол персональный.
-
> Сергей М. (11.02.2009 16:00:30) [30]
> А подхват ожидаемых not-SYN-пакетов ?
> Такая задача тоже имеет право на жизнь и не так уж редка.
Задача файрвола бороться с хакерами, а не содействовать им.
Если такая задача есть, то решаться она другими средствами, а не файрволом.
-
> Anatoly Podgoretsky © (11.02.09 16:07) [32]
> решаться она другими средствами, а не файрволом
В любых "средствах", тем более автономных, эти ф-ции возлагаются именно на файрвол, тесно взаимодействующий с подсистемами трансляции и маршрутизации.
-
чета или вы тут через чур умные, ил ия на столько темный :)
Лана, если нет явных неустраняемых уязвимостей - меня устраивает вроде как. А тама посмотрим :)
-
>Окей, переформулирую вопрос: что есть такого в том же Outpost,
>без чего использование стандартного невозможно?
Не знаю насчет outpost'a, я использую интернет секьюрити касперского.
Во-первых — касперский более оперативно реагирует на дырки в системе чем MS.
Во-вторых — гибкая система настроек и уведомлений.
В-третьих — сколько еще дырок найдут и когда неизвестно (нет должного доверия).
-
> KSergey © (11.02.09 16:27) [34]
> если нет явных неустраняемых уязвимостей
Вот ты сам рассуди - что ни день, то мелкомягкие плодят очередные затычки в системе безопасности, и конца-края этому не видно)..
А касается каждая из этих затычек в частности файрвола (и каким боком) или не касается - про то простому смертному юзеру довольно сложно понять)
-
>Сергей М. © (11.02.09 16:35) [36]
Вот-вот. Только сегодня 5 обновлений через windows update пришло.
Все 5 заплатки и средства удаления вредоносных программ ;-)
А совокупный траффик по обновлениям уже за 1 Гб перевалил.
-
> Сергей М. (11.02.2009 16:35:36) [36]
Ну не надо, за данный месяц всего 48, количество постоянно снижается. При том иэ этих 48 часть относится к определениям, а не затычки и часть это разные редакции - для ХР, для Висты, для 2003/2008. Ранее приходило не менее 100, обычно по 150 за раз. А еще часть это не дырки как токовые, примерно так, кто то блокнотом исправил ИНИ файл, блокноту запретили писать - вот такого класса. Из этих 48 обновлений, что пришли вчера потребовалось только 9, по всем трем ОС и по двум языка. Можно сказать что всего 3/4 за месяц, смешно даже.
Для файрвола не припомню ни одной затычки, стабилен.
-
> dmk (11.02.2009 16:42:37) [37]
Чего у тебя так мало? Наверно отказался от некоторых важных и не получаешь их?
-
> Anatoly Podgoretsky © (11.02.09 17:11) [38]
> Для файрвола не припомню ни одной затычки, стабилен
Ну эт кому как повезет)
Хацкеры тоже ведь не дремлют)
-
> Сергей М. © (11.02.09 17:20) [40]
> > Для файрвола не припомню ни одной затычки, стабилен
> Ну эт кому как повезет)
Это все какие-то рассуждения "вообще". Уверен, в сторонних файерволах дыры так же имеются и хацкеры тоже не дремлют, а уязвимости в самой винде - они по идее файерволом и прикрыты, ну как я понимаю. Да и другой раз траблы находят в таких глубоких драйверах, что все едино сторонний файервол через них и работает, он же не подменяет собой полностью сетевую подсистему, лишь влезает в нее.
А сильно много уведомлений - да тоже надоедает. Я раз в месяц смотрю на сервер, если честно. Ну сколь-нибудь подробно. Работает - и ладно :)
Впрочем я то же так, "вообще" расуждаю.
-
Anatoly Podgoretsky © (11.02.09 17:12) [39]
Анатолий, даже и не знаю.
Как висту поставил windows update сам ежедневно проверят что качать.
Сегодня вот 5, вчера 1, позавчера 27, в день установки 45 штук.
В общей сложности с момента установки 6 января 2009 г. - 90 обновлений.
Еще висят 34 языковых пакета, но мне они не нужны. В число обновлений
входят Vista Ultimate Extras.
Со словом "безопасность" 44 обновления. Штук 15 из них для Windows Defender. Вот ;-)
-
> Закрыл все порты для входящих соединений (если какие нужны
> - открыл индивидуально) - вот и все. И хоть засканируйся.
- если эти порты никто не "слушает" (WinSock - listen), то их и так сканировать без толку... Если же свежескаченный троян/шпион захочет открыть заднюю дверь, то он спокойно настроит виндовый firewall через стандартный набор интерфейсов INetFwXxx - CreateOLEObject('HNetCfg.FwMgr') и вперед - хошь тебе AuthorizedApplications, хошь GloballyOpenPorts, а хошь и FirewallEnabled. Не уверен, но кажется для этого даже административных прав не надо(не проверял)...
И - учитывая, что давно исправленная уязвимость RPC(которой пользовался MSBlaster), практически единственное от чего он защищает(если не считать ping и ша`ры) - ничего, кроме ложного чувста защищенности, встроенный "Брандмауэр Windows" не дает...
-
> han_malign © (11.02.09 17:37) [43]
> Если же свежескаченный троян/шпион захочет открыть заднюю дверь, то он спокойно
> настроит виндовый firewall через стандартный набор интерфейсов
Это, к стати, интересная мысль.
Ну, троян и некоторые стронние подкрутить может умеет, но то, что для виндового интерфейс вообще есть и хорошо документирован - да....
Однако надо повентилировать этот вопрос.
-
Фактически, "Брандмауэр Windows" реагирует только на попытки вызова listen и recvfrom, поскольку перед этим никто не мешает обратиться к вышеуказанному интерфесу - смысла ноль, разве что - от совсем уж древних троянов 98-го года выпуска поможет...
Если так уж хочется закрыть все порты, лучше воспользоваться монитором сетевых подключений и вдумчиво прибить все лишние "слушающие" процессы/сервисы...
А закрыть свежеобновляемые(с каждым патчем обнаруженных) бэкдоры от Microsoft-а, все равно только аппартным firewall-ом получится, потому как всякие LDAP, lsass и иже с ними - хрен просто так от сети отрежешь - с таким же результатом можно просто шнур выдернуть...
-
> Сергей М. (11.02.2009 17:20:40) [40]
Затычки не зависят от моей везучести, они или есть или их нет, я затычки получаю через WSUS
За все время помню только смену версии.
-
> dmk (11.02.2009 17:30:42) [42]
Я уже понял ситуацию сразу после того как отправил ответ.
Ты использует WU, а я AU, поэтому у меня больше, для нескольких систем и языков. Мой анализ показывает тоже примерно 5. А всего пришло 48, часть сразу запредил - это х64 и Итаниум, осталось 27, из них применилось 9, но это с вариантами для разных ОС, на компьютеры ставилось от 4 до 5.
-
> han_malign (11.02.2009 17:37:43) [43]
Он точно также настроит и любой другой, а то вообще будет просто внедрен в другое приложение, например в проводник, ИЕ и т.д.
Принцип работы другой, не запрещать, а разрешать нужное.
-
> KSergey (11.02.2009 18:05:44) [44]
Чаще всего подкручивают через uPnP его штатная функция конфигурирование файрвола, для работы устройства.
-
> han_malign (11.02.2009 18:09:45) [45]
У тебя слабые представления об работе файрволов.
Почему бы не представить, что мне например нужен NETBIOS но только для локалки, а на внешнем интерфейсе не нужен, я не могу закрыть его порты, иначе не будет работать шаринг, общие принтера, но я не хочу выставлять это наружу. Или другой случай тоже, но доступ только для одного/двух компьютеров через Интернет.
Встроеный спокойно с этой задачей справляется.
-
> han_malign © (11.02.09 18:09) [45]
> А закрыть свежеобновляемые(с каждым патчем обнаруженных)
> бэкдоры от Microsoft-а, все равно только аппартным firewall-
> ом получится, потому как всякие LDAP, lsass и иже с ними
> - хрен просто так от сети отрежешь - с таким же результатом
> можно просто шнур выдернуть...
Рассуждения на уровне школьника, извините.
В аппартном файерволе, как думаешь, что работает?
Та же самая программа типа пакетного фильтра (свободные реализации: IPTABLES Linnux, PF OpenBSD). Кстати, PF был признан лучшим файерволом 2003-2004 года. А правила его довольно просты и описываются в текстовом конфигурационном файле. Вот для примера:
# макроимя сетевого интерфейса
int_if="fxp0"
# нормализовать все пакеты
scrub in all
# блокировать всё, что не разрешено
block in on $int_if
# пространство адресов внутренней сети
int_net="192.168.1.0/24"
# разрешенные типы icmp сообщений
allowed_icmp_types=""
table <nfs> const
# пропустить трафик обратной петли без правил
pass quick on lo0 all
# разрешить входящий ICMP (ping)
pass in on $int_if inet proto icmp all icmp-type $allowed_icmp_types
# разрешить запросы к серверу SSH откуда угодно
pass in on $int_if proto tcp from any to $int_if port ssh
# разрешить запросы к серверу POP3 только из локальной сети
pass in on $int_if proto tcp from $int_net to $int_if port pop3
# разрешить запросы к серверу SMTP
pass in on $int_if proto tcp from any to $int_if port smtp
# разрешить запросы к серверу HTTP/HTTPS
pass in on $int_if proto tcp from any to $int_if port
# разрешить запросы к серверу DNS
pass in on $int_if proto from any to $int_if port domain
# разрешить запросы к серверу NFS и RPCBIND
pass in on $int_if proto from <nfs> to port modulate state
# mountd -p 883
pass in on $int_if proto from <nfs> to port 883 modulate state
# rpc.lockd -p 884
pass in on $int_if proto from <nfs> to port 884 modulate state
# rpc.statd -p 885
pass in on $int_if proto from <nfs> to port 885 modulate state
# разрешить исходящий трафик
pass out on $int_if proto all keep state
Для других служб правила можно дополнить.
-
> Anatoly Podgoretsky © (11.02.09 13:57) [9]
> > wql (11.02.2009 13:53:06) [6]
>
> У меня от ОутПоста только отрицательные впечатления.
> Когда еще не было встроеных, то я его заменил на бесплатный
> ZoneAlarm - того же класса файрвол, что и встроеный.
> ZoneAlarm
Тоже таким когда-то пользовался.
-
> PF был признан лучшим файерволом 2003-2004 года
Это который pfSense ?
-
> Сергей М. © (12.02.09 09:00) [53]
> > PF был признан лучшим файерволом 2003-2004 года
> Это который pfSense ?
pfSense — отдельный продукт, отпочковавшийся от проекта m0n0wall, LiveCD с ним позволяет создавать файерволы.
PF сейчас входит в состав операционной системы FreeBSD.
-
> iZEN (12.02.09 20:33) [54]
> pfSense — отдельный продукт, отпочковавшийся от проекта
> m0n0wall
Спасибо, я в курсе.
> LiveCD с ним позволяет создавать файерволы
Не только и не столько файрволы, сколько полноценные маршрутизаторы с функциями межсетевых экранов.
> PF сейчас входит в состав операционной системы FreeBSD
По сути ведь pfSense использует PF, поскольку растет из FreeBSD.
Аналогично RouterOS, растущей из RedHat и использующей IPTables.
-
> Сергей М. © (12.02.09 21:03) [55]
> По сути ведь pfSense использует PF, поскольку растет из
> FreeBSD.
Я не уверен. На сайте нет такой информации. Может вообще на основе ipfw всё в нём разруливается.
-
> iZEN (13.02.09 01:43) [56]
Может быть.
Хочу лишь сказать, что из трех наиболее известных продуктов в этой нише - pfSense, SmoothWall, MT RouterOS - при прочих равных условиях я как правило останавливаю свой выбор на последнем, хотя бы потому что IPTables - мощный, удобный, проверенный, надежный и хорошо документированный файрвол.
-
> Сергей М. © (13.02.09 10:35) [57]
> хотя бы потому что IPTables - мощный, удобный,
> проверенный, надежный и хорошо документированный файрвол.
Просто кроме IPTABLES в Linux'е другого нету. :))
Честно говоря, синтаксис правил в PF отличается от IPTABLES более человечным подходом к лексике и семантике "предложений". Почитайте PF FAQ:
ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf — читается как поэма. ;)
-
> iZEN © (13.02.09 19:57) [58]
> кроме IPTABLES в Linux'е другого нету
iptables пришел на смену ipchains начиная с 2.4
Ядра младше 2.4 тоже имеют право на существование и по сей день, так что iptables не единственный файрвол)
> синтаксис правил в PF отличается от IPTABLES более человечным
> подходом к лексике и семантике "предложений"
Не возражаю.
Но речь, думаю, идет пока о возможностях и надежности сабжа.
А ты тоже посмотри хотя бы любопытства ради, какую приятную языковую оболочку придумали в MikroTik для iptables ! Да и гуя к нему лучше чем в составе WinBox, пожалуй, не сыскать..
-
> Но речь, думаю, идет пока о возможностях и надежности сабжа.
Ну так. PF из OpenBSD вышел.
> А ты тоже посмотри хотя бы любопытства ради, какую приятную языковую оболочку придумали в MikroTik для iptables !
На серверах и маршрутизаторах нету графических оболочек. :)) Иначе это Windows со всеми вытекающими... :D
-
> iZEN (13.02.2009 23:57:00) [60]
Чем мешает или чем помогает графическая оболочка на сервер Виндоус, в случае штатного или корпоративного файрвола? Кроме удобства.
-
> Anatoly Podgoretsky © (14.02.09 12:21) [61]
> Чем мешает или чем помогает графическая оболочка на сервер
> Виндоус, в случае штатного или корпоративного файрвола?
> Кроме удобства.
Кроме удобства, графическая оболочка ещё и требовательна к видеоподсистеме (прикинь: на серере может вообще не быть видеокарты ни встроенной, ни дискретной; всё "общение" с сервером может сводиться к прямому подключению к нему по последовательной консоли или же удалённо по SSH).
-
> iZEN © (13.02.09 23:57) [60]
> На серверах и маршрутизаторах нету графических оболочек
MT RouterOS - не исключение.
Я про нативный гуй под на виндовую станцию, с которой можно наглядно, эффективно и полноценно контролировать роутер.
-
> iZEN (14.02.2009 13:40:02) [62]
Так это я в курсе, если администрирование текстовое, скриптовое, то не надо туда тянуть ГУИ и наоборот. Поэтому Чем мешает или чем помогает графическая оболочка на сервер Виндоус.
На всякий случай есть и то и другое, поскольку корпоративный файрвол является СОМ сервером, со всеми вытекающими из этого последствиями.
Тсс, только администратором это не сообщать.
-
> Сергей М. (14.02.2009 17:24:03) [63]
Виндовая станция аналогично, основной ГУИ инструмент, ну а продвинутые могут из консоли через NETSH
И тоже тсс, поскольку многие не знаю, что в Виндоус, страшно даже сказать но есть консоль и боже - большинство POSIX утилит.
-
> Anatoly Podgoretsky © (14.02.09 19:55) [65]
> продвинутые могут из консоли через NETSH
Никто не вправе лишать мазохистов права быть мазохистами)
В случае же с MT RouterOS выбор более чем достаточен на любого ценителя: тут тебе и нативный виндовый гуй, тут тебе и веб-интерфейс, тут тебе и ssh- и telnet-доступ, если хочется "помазохировать")
-
Есть новые 
Нет новых [134454 +42][b:0.001][p:0.003]