netfilter - pf
Tasos Varoudis
varoudis at daemons.gr
Thu May 17 12:18:18 EEST 2007
Fotos Georgiadis wrote:
> On 16 May 2007, at 21:31, Christos Nouskas wrote:
>
> Γειά,
>
>> Έχει δίκιο ο φίλος σου, βάλε linux/netfilter.
>
> Προσωπική μου άποψη είναι να χρησιμοποιείς το κατάλληλο εργαλείο για
> την κατάλληλη δουλειά.
> Και το OpenBSD είναι το κατάλληλο εργαλείο για αυτή την δουλειά
> (firewall και vpn).
Epafksano... katapliktiko kai poli stathero
>
> Έχει small footprint και σε μνήμη και σε δίσκο, που σημαίνει ότι
> μπορείς να το βάλεις και σε αρκετά παλιό
> μηχάνημα και να κάνει την δουλειά του μια χαρά, είναι (συνήθως)
> secure by default και απλά ανοίγεις
> αυτά που χρειάζεσαι, σε αντίθεση με το να κλείνεις αυτά που δεν
> χρειάζεσαι όπως θα έκανες σε κάποια τυχαία linux διανομή.
>
> Το pf (packet filter του OpenBSD) έχει πολλές δυνατότητες (tables,
> macros, variables), απλό syntax και απλή λογική σε αντίθεση με το
> iptables/netfilter.
> Έχει ενσωματωμένο QoS (με HFSC, CBQ, PRIQ κτλ. αν το χρειάζεσαι τότε
> θα ξέρεις και σε τι αναφέρομαι). Κάνει load balancing (ingress και
> egress),
> packet tagging, packet normalization, έχει πολύ καλό performance σε
> συνδυασμό με αρκετά καλό (και τουλάχιστον πλήρες) manual.
Opos kai sto linux iparxoun kai edo site pou voithane poli kai fisika
vivlia. (exo ena boot pou mporo na sou protino kathos kai etima pf.confs)
>
> Στο linux πρέπει να χρησιμοποιήσεις κάτι "άσχημες" εντολές όπως tc
> και iproute2 με κάτι arguments που δεν θέλω να θυμάμαι, για να κάνεις
> load balancing ή λίγο πιο advanced routing. Τουλάχιστον στο pf τα
> κάνανε integrate αυτά και με καθόλου άσχημο τρόπο.
>
> Επίσης το pf γράφτηκε από security conscious ανθρώπους και σε μικρό
> χρόνικό διάστημα έγινε το default packet filter σε όλα τα well known BSD
> (ελπίζω να μου το επιβεβαιώσει και ο ο Κεραμίδας αυτό γιατί έχω και
> κάτι χρόνια να χρησιμοποιήσω FreeBSD :))
>
> Προφανώς έχω χρησιμοποιήσει και το netfilter αρκετά (όπως και το
> ipchains πριν από αυτό), και μπορώ να έχω μια άποψη
> και για τα δύο (ή τρία). Το OpenBSD είναι γεννημένο για τέτοιες
> δουλειές (να κάθεται φρουρός ανάμεσα σε δίκτυα). Πάντως
> αν ακόμα σκέφτεσαι το Linux τότε καλύτερα να ρίξεις μια ματιά στο
> IPCop (http://ipcop.org/), παρά στην τυχαία διανομή της γειτονιάς σου.
>
> Για να καταλήξω: κάνε την ερευνά σου, με βάση κυρίως τις λειτουργικές
> ανάγκες σου ... και μετά βάλε OpenBSD με pf! ;)
> Πιστεύω ότι αν έχεις λίγη όρεξη να το ψάξεις (που ούτως ή άλλως και
> στο linux θα χρειαστεί) θα δικαιώσει τον κόπο σου,
> με πολλούς μήνες αδιάκοπης και _κυρίως_ ξένοιαστης λειτουργίας.
>
>> Εξάλλου το BSD χρησιμοποιείται σχεδόν αποκλειστικά στα μεγάλα pr0n
>> sites για να σερβίρει "περιεχόμενο", όχι σαν firewall.
>
> Άσχημη γενικότητα αυτό. Ευτυχώς το χρησιμοποιούν και κάποιοι για
> firewall:
> http://www.openbsd.org/users.html#com (για δες ... ενδιαφέρον το
> πρώτο όνομα στην λίστα, ούτε εγώ το γνώριζα)
>
> Have fun, από το OpenBSD propaganda department,
> -fotos
+1
Tasos
More information about the Linux-greek-users
mailing list