netfilter - pf (was: Re: OpenBSD)

[Giorgos Keramidas]

On 2007-05-17 02:19, Fotos Georgiadis <fotos at di.uoa.gr> wrote:
> On 16 May 2007, at 21:31, Christos Nouskas wrote:
> 
> Γειά,
> 
> >   Έχει δίκιο ο φίλος σου, βάλε linux/netfilter.
> 
> Προσωπική μου άποψη είναι να χρησιμοποιείς το κατάλληλο εργαλείο για
> την κατάλληλη δουλειά.  Και το OpenBSD είναι το κατάλληλο εργαλείο για
> αυτή την δουλειά (firewall και vpn).

True.

Προσωπική μου άποψη είναι ότι δε θέλω να ξαναδώ ποτέ στη ζωή μου
«αλυσίδες» από κανόνες με «περίεργα» ονόματα και εκατοντάδες options.  Η
όλη φάση με το netfilter μου θυμίζει τους 15-χρονους που τσακώνονται με
πάθος για το τάδε check box στο version 7.16.1246.876-rc-29 των Nvidia
drivers, το οποίο αν το ενεργοποιήσεις το ``ping time'' σου στο WoW θα
είναι πλέον γαμάτο.

Τα firewalls ΕΠΙΒΑΛΛΕΤΑΙ να είναι όσο πιο απλά γίνεται.  Τόσο απλά που
να μπορείς με μια ματιά να δεις ότι το πρόβλημα είναι στον κανόνα 8, κι
όχι στον κανόνα 123 της αλυσίδας 'hc-bb-forward-internal-ftp-stateless'.

Κι αυτό δεν ισχύει για το netfilter, το tc και το iproute2 :(

> Έχει small footprint και σε μνήμη και σε δίσκο, που σημαίνει ότι
> μπορείς να το βάλεις και σε αρκετά παλιό μηχάνημα και να κάνει την
> δουλειά του μια χαρά, είναι (συνήθως) secure by default και απλά
> ανοίγεις αυτά που χρειάζεσαι, σε αντίθεση με το να κλείνεις αυτά που
> δεν χρειάζεσαι όπως θα έκανες σε κάποια τυχαία linux διανομή.
> 
> Το pf (packet filter του OpenBSD) έχει πολλές δυνατότητες (tables,
> macros, variables), απλό syntax και απλή λογική σε αντίθεση με το
> iptables/netfilter.
>
> Έχει ενσωματωμένο QoS (με HFSC, CBQ, PRIQ κτλ. αν το χρειάζεσαι τότε
> θα ξέρεις και σε τι αναφέρομαι). Κάνει load balancing (ingress και
> egress), packet tagging, packet normalization, έχει πολύ καλό
> performance σε συνδυασμό με αρκετά καλό (και τουλάχιστον πλήρες)
> manual.
> 
> Στο linux πρέπει να χρησιμοποιήσεις κάτι "άσχημες" εντολές όπως tc και
> iproute2 με κάτι arguments που δεν θέλω να θυμάμαι, για να κάνεις load
> balancing ή λίγο πιο advanced routing. Τουλάχιστον στο pf τα κάνανε
> integrate αυτά και με καθόλου άσχημο τρόπο.
> 
> Επίσης το pf γράφτηκε από security conscious ανθρώπους και σε μικρό
> χρόνικό διάστημα έγινε το default packet filter σε όλα τα well known
> BSD (ελπίζω να μου το επιβεβαιώσει και ο ο Κεραμίδας αυτό γιατί έχω
> και κάτι χρόνια να χρησιμοποιήσω FreeBSD :))

Δεν υπάρχει 'default' firewall σε ένα FreeBSD installation, αλλά ναι το
PF είναι από τα καλύτερα που υπάρχουν και για FreeBSD.

Τα παραπάνω χαρακτηριστικά είναι μια πάρα πολύ καλή περιγραφή του γιατί
κάποιος να χρησιμοποιήσει PF κι όχι netfilter.  Θα το κρατήσω για future
reference :-)))