netfilter - pf (was: Re: OpenBSD)

[Fotos Georgiadis]

On 16 May 2007, at 21:31, Christos Nouskas wrote:

Γειά,

>   Έχει δίκιο ο φίλος σου, βάλε linux/netfilter.

Προσωπική μου άποψη είναι να χρησιμοποιείς το κατάλληλο εργαλείο για  
την κατάλληλη δουλειά.
Και το OpenBSD είναι το κατάλληλο εργαλείο για αυτή την δουλειά  
(firewall και vpn).

Έχει small footprint και σε μνήμη και σε δίσκο, που σημαίνει ότι  
μπορείς να το βάλεις και σε αρκετά παλιό
μηχάνημα και να κάνει την δουλειά του μια χαρά, είναι (συνήθως)  
secure by default και απλά ανοίγεις
αυτά που χρειάζεσαι, σε αντίθεση με το να κλείνεις αυτά που δεν  
χρειάζεσαι όπως θα έκανες σε κάποια τυχαία linux διανομή.

Το pf (packet filter του OpenBSD) έχει πολλές δυνατότητες (tables,  
macros, variables), απλό syntax και απλή λογική σε αντίθεση με το  
iptables/netfilter.
Έχει ενσωματωμένο QoS (με HFSC, CBQ, PRIQ κτλ. αν το χρειάζεσαι τότε  
θα ξέρεις και σε τι αναφέρομαι). Κάνει load balancing (ingress και  
egress),
packet tagging, packet normalization, έχει πολύ καλό performance σε  
συνδυασμό με αρκετά καλό (και τουλάχιστον πλήρες) manual.

Στο linux πρέπει να χρησιμοποιήσεις κάτι "άσχημες" εντολές όπως tc  
και iproute2 με κάτι arguments που δεν θέλω να θυμάμαι, για να κάνεις
load balancing ή λίγο πιο advanced routing. Τουλάχιστον στο pf τα  
κάνανε integrate αυτά και με καθόλου άσχημο τρόπο.

Επίσης το  pf γράφτηκε από security conscious ανθρώπους και σε μικρό  
χρόνικό διάστημα έγινε το default packet filter σε όλα τα well known BSD
(ελπίζω να μου το επιβεβαιώσει και ο ο Κεραμίδας αυτό γιατί έχω και  
κάτι χρόνια να χρησιμοποιήσω FreeBSD :))

Προφανώς έχω χρησιμοποιήσει και το netfilter αρκετά (όπως και το  
ipchains πριν από αυτό), και μπορώ να έχω μια άποψη
και για τα δύο (ή τρία). Το OpenBSD είναι γεννημένο για τέτοιες  
δουλειές (να κάθεται φρουρός ανάμεσα σε δίκτυα). Πάντως
αν ακόμα σκέφτεσαι το Linux τότε καλύτερα να ρίξεις μια ματιά στο  
IPCop (http://ipcop.org/), παρά στην τυχαία διανομή της γειτονιάς σου.

Για να καταλήξω: κάνε την ερευνά σου, με βάση κυρίως τις λειτουργικές  
ανάγκες σου ... και μετά βάλε OpenBSD με pf! ;)
Πιστεύω ότι αν έχεις λίγη όρεξη να το ψάξεις (που ούτως ή άλλως και  
στο linux θα χρειαστεί) θα δικαιώσει τον κόπο σου,
με πολλούς μήνες αδιάκοπης και _κυρίως_ ξένοιαστης λειτουργίας.

> Εξάλλου το BSD χρησιμοποιείται σχεδόν αποκλειστικά στα μεγάλα pr0n  
> sites για να σερβίρει "περιεχόμενο", όχι σαν firewall.

Άσχημη γενικότητα αυτό. Ευτυχώς το χρησιμοποιούν και κάποιοι για  
firewall:
http://www.openbsd.org/users.html#com (για δες ... ενδιαφέρον το  
πρώτο όνομα στην λίστα, ούτε εγώ το γνώριζα)

Have fun, από το OpenBSD propaganda department,
-fotos

ΥΓ. Το ξέρω ότι το θέμα της λίστα δεν είναι το  OpenBSD ή το pf  
firewall.
Αν είναι πολύ offtopic η απάντηση, θα με συγχωρέσετε εσείς και θα με  
τιμωρήσει ο λίσταρχος.