netfilter - pf

Fri May 18 13:45:07 EEST 2007

Fanis Dokianakis wrote:
> Κλασσικές ατάκες ενός OpenBSD advocate. Η πραγματικότητα όμως είναι άλλη.
> Το OpenBSD είναι και θα παραμείνει ΑΡΓΟ [1].

   To link poy edwses einai sxetika palio (ws poly palio). bebaia 
yparxei kai gia to sygkekrimeno link ena megalo flamewar poy ksekinhse 
gia to poso unbiased einai ta tests toy sygkekrimenoy. Pantws opws 
grafei kai to link :
While I received a lot of verbal abuse from OpenBSD users, the OpenBSD 
project itself is focusing on solving the issues; the 1024 cylinder 
limit is apparently being worked on, and the fork panic has been 
reproduced and a bug has been opened in the bug tracking system.

  Kai ok exoyne allaksei polla pragmata apo to 3.4

   Pantws ayto to pragma den shmainei oti se polla pragmata to OpenBSD 
einai ONTWS pio argo apo to Linux. To focus toy project den einai to 
speed, epomenws akomh exei arketa subsystems poy einai old kai genika 
arketa arga. (Px to SMP support sto OpenBSD einai kati san to zombie, 
yparxei men, alla most of the time gelame, to Linux kanei scale se 
arketa megala systhmata).
  Epishs diafora apo ta security enhancements toy OpenBSD dhmioyrgoyne 
kapoio overhead (px randomise sthn memory ktl ktl).
  Kai an milas gia performance, edw pera ta noymera einai ligaki 
diaforetika :
  http://blog.mon.itor.us//?p=286 (bebaia asxeta ayta me firewalling)

> Το Linux διαχερίζεται καλύτερα την μνήμη και την διαθέσιμη επεξεργαστική
> ισχύ σε ένα παλιό υπολογιστή (δεν θυμάμαι να κυκλοφορούν πολλοί bsd
> based home routers) και το base installation του openbsd είναι
> ανάλογο σε μέγεθος με αυτό major διανομών. Και δεν βάζεις μια
> οποιαδήποτε τυχαία διανομή σε ένα απλό gw/router.

   Errm to mono pragma poy lypei apo to OpenBSD einai na exei ftiaksei 
kapoios mia cut down version. (toylaxiston egw den kserw). Egw exw 
ftiaksei 2-3 cut down versions me ta aparaithta kai to exw doylepsei se 
soekris kai paizei mia xara. Twra apo ekei kai pera to base .. den einai 
kai TOSO megalo pleon .. kai mia flash 256MB einai easy to get.
   Nomizw kai gnwsto firewall paketo me wraio web interface einai based 
se FreeBSD ;) (http://m0n0.ch/wall/) kai paizei kai poly kala.

> 
> Το tc και το iproute2 αποτελούν εκπληκτικά utilities που συμπληρώνουν
> απόλυτα το iptables στο netfilter framework, με features που ονειρεύεται
> το bsd.

   Edw apla anoigeis mia poly megalh syzhthsh. Poia features GAMATA poy 
exei to iproute2 einai ONTWS xrhsima se kathhmerinh bash. Dioti exw dei 
diafora "trella features" poy exei to iptables, alla .. den ta 
xrhsimopoiei kanenas.
  To iptables moy exei module gia na epitrepei mono paketa me 
coffee-spoons <=3 na pernane sthn kafeteria moy .. bebaia kaneis den 
exei kafeteria :p.
   Ena apo ta "arnhtika" toy pf einai ayto poy lene kai oi pf-ades: oti 
einai IP (kai mono) firewall. Dhladh kati me mac-addresses kati alla den 
ta kanei, dioti den einai doyleia toy. (Allo megalo thema syzhthshs)
  Pantws exontas doylepsei me pf kai iptables, den exw dei kapoio palabo 
killer feature toy iptables na leipei sto pf.

> 
> Το Netfilter [2] είναι ταχύτερο έχει περισσότερα features, έχει helpers
> για ότι πρωτόκολλο σου σπάει τα νεύρα και είναι μακράν πιο ευέλικτο και
> επεκτάσιμο από το pf. Φυσικά όσο πιο πολλά features χρησιμοποιείς τόσο
> περισσότερες οι πιθανότητες για bugs, για αυτό όμως το netfilter είναι
> εντελώς modular (μέχρι και το ποιό βασικό match/target). 

   To link ayto einai epishs ligaki palio. Den exw dei kanena latest 
test gia tetoio pragma. To oti exei helpers den shmainei oti oi helpers 
einai PANTA kalo na yparxoyne h oti einai swsta grammenoi (thymamai ena 
bug sto ftp helper poy oyte ligo oyte poly mporoyse o allos kai soy 
ekane to firewall apo feta elbetiko tyri me polles polles polles trypares).
  Einai ligaki diaforetiko approach gia to pws ftiaxnontai ta pragamta. 
An ontws xreiazetai kapoio koylo protocol support, tote to iptables 
einai ontws h lysh soy. An ta standard pragmata einai enough, i'd vote 
for pf.

> 
> Υ.Γ δεν συνηθιζω να μπλέκω σε flamewars αλλά ρε γαμώτο έχω σιχαθεί όλη
> αυτή την παραπληροφόρηση, (κύριώς από χρήστες άλλων *nix), ενάντια στο
> linux.

   Fainetai, den eisai arketa freskos gia to flame. Mallon moy fainetai 
prepei na kanonisoyme synanthsh gia na se ferw pali se forma :p

    Aristotelis