netfilter - pf

[Kostas Zorbadelos]

On Thu, May 17, 2007 at 12:18:18PM +0300, Tasos Varoudis wrote:

Ena akoma kalo tutorial gia to PF einai:

http://home.nuug.no/~peter/pf/en/

Kata ta alla symfono me tous prolalisantes gia tin axia tou OpenBSD
san firewall.

> Fotos Georgiadis wrote:
> > On 16 May 2007, at 21:31, Christos Nouskas wrote:
> > 
> > Γειά,
> > 
> >>   Έχει δίκιο ο φίλος σου, βάλε linux/netfilter.
> > 
> > Προσωπική μου άποψη είναι να χρησιμοποιείς το κατάλληλο εργαλείο για  
> > την κατάλληλη δουλειά.
> > Και το OpenBSD είναι το κατάλληλο εργαλείο για αυτή την δουλειά  
> > (firewall και vpn).
> 
> Epafksano... katapliktiko kai poli stathero
> 
> > 
> > Έχει small footprint και σε μνήμη και σε δίσκο, που σημαίνει ότι  
> > μπορείς να το βάλεις και σε αρκετά παλιό
> > μηχάνημα και να κάνει την δουλειά του μια χαρά, είναι (συνήθως)  
> > secure by default και απλά ανοίγεις
> > αυτά που χρειάζεσαι, σε αντίθεση με το να κλείνεις αυτά που δεν  
> > χρειάζεσαι όπως θα έκανες σε κάποια τυχαία linux διανομή.
> > 
> > Το pf (packet filter του OpenBSD) έχει πολλές δυνατότητες (tables,  
> > macros, variables), απλό syntax και απλή λογική σε αντίθεση με το  
> > iptables/netfilter.
> > Έχει ενσωματωμένο QoS (με HFSC, CBQ, PRIQ κτλ. αν το χρειάζεσαι τότε  
> > θα ξέρεις και σε τι αναφέρομαι). Κάνει load balancing (ingress και  
> > egress),
> > packet tagging, packet normalization, έχει πολύ καλό performance σε  
> > συνδυασμό με αρκετά καλό (και τουλάχιστον πλήρες) manual.
> 
> Opos kai sto linux iparxoun kai edo site pou voithane poli kai fisika 
> vivlia. (exo ena boot pou mporo na sou protino kathos kai etima pf.confs)
> 
> > 
> > Στο linux πρέπει να χρησιμοποιήσεις κάτι "άσχημες" εντολές όπως tc  
> > και iproute2 με κάτι arguments που δεν θέλω να θυμάμαι, για να κάνεις
> > load balancing ή λίγο πιο advanced routing. Τουλάχιστον στο pf τα  
> > κάνανε integrate αυτά και με καθόλου άσχημο τρόπο.
> > 
> > Επίσης το  pf γράφτηκε από security conscious ανθρώπους και σε μικρό  
> > χρόνικό διάστημα έγινε το default packet filter σε όλα τα well known BSD
> > (ελπίζω να μου το επιβεβαιώσει και ο ο Κεραμίδας αυτό γιατί έχω και  
> > κάτι χρόνια να χρησιμοποιήσω FreeBSD :))
> > 
> > Προφανώς έχω χρησιμοποιήσει και το netfilter αρκετά (όπως και το  
> > ipchains πριν από αυτό), και μπορώ να έχω μια άποψη
> > και για τα δύο (ή τρία). Το OpenBSD είναι γεννημένο για τέτοιες  
> > δουλειές (να κάθεται φρουρός ανάμεσα σε δίκτυα). Πάντως
> > αν ακόμα σκέφτεσαι το Linux τότε καλύτερα να ρίξεις μια ματιά στο  
> > IPCop (http://ipcop.org/), παρά στην τυχαία διανομή της γειτονιάς σου.
> > 
> > Για να καταλήξω: κάνε την ερευνά σου, με βάση κυρίως τις λειτουργικές  
> > ανάγκες σου ... και μετά βάλε OpenBSD με pf! ;)
> > Πιστεύω ότι αν έχεις λίγη όρεξη να το ψάξεις (που ούτως ή άλλως και  
> > στο linux θα χρειαστεί) θα δικαιώσει τον κόπο σου,
> > με πολλούς μήνες αδιάκοπης και _κυρίως_ ξένοιαστης λειτουργίας.
> > 
> >> Εξάλλου το BSD χρησιμοποιείται σχεδόν αποκλειστικά στα μεγάλα pr0n  
> >> sites για να σερβίρει "περιεχόμενο", όχι σαν firewall.
> > 
> > Άσχημη γενικότητα αυτό. Ευτυχώς το χρησιμοποιούν και κάποιοι για  
> > firewall:
> > http://www.openbsd.org/users.html#com (για δες ... ενδιαφέρον το  
> > πρώτο όνομα στην λίστα, ούτε εγώ το γνώριζα)
> > 
> > Have fun, από το OpenBSD propaganda department,
> > -fotos
> 
> +1
> Tasos
>