O FreeBSD essa semana importou as novas características da versão do PF (Packet Filter) equivalente ao OpenBSD 4.1. Esse import aconteceu após o HEADS-UP enviado pelo commiter Max Laier, no FreeBSD 7.0, e tem MFC previsto para o ramo -STABLE em 4 semanas.

Aos usuários do firewall pf(4) segue a lista das mudanças mais significativas, em ordem cronológica, de acordo com a versão do pf(4) no kernel do OpenBSD:

3.9

• ftp-proxy foi reescrito e uma versão de proxy para tftp, o tftp-proxy foi adicionado.

4.0

• pf(4) suporta agora uRPF (Unicast Reverse Path Forwarding) para verificação de filtragem ingress simplificada.

4.1

• A interface pflog(4) pode ser agora clonada. O pf(4) pode logar em múltiplas interfaces pflog, cada regra podendo ser associada a uma interface onde logar. O pflogd(8) pode agora ser informado sobre qual interface pflog ele deve trabalhar.
• pfctl(8) pode agora expirar entradas em tabela.
• keep state agora é padrão nas regras de filtragem do pf.conf(5), tal qual as flags S/SA para conexões TCP. As expressões no state e flags any podem ser usadas para desativar o filtro stateful por padrão e as flags TCP.
• O otimizador de ruleset do pfctl(8) pode ser ativado no pf.conf(5).
• âncoras do pf(4) podem ser carregadas em linha no pf.conf(5) e ser impressos recursivamente.
• As regras do pf(4) dentro de âncoras podem ter seus contadores reiniciados e operações atômicas trabalhar leitura e reinicio de contadores.

Muito bom.

Comentrios

MFC nao acontecer. Por Patrick Tracanelli em 07/08/2007 21:19:38 Infelizmente o MFC no acontecer mais, segundo o prprio mlainer.    "... it can never be MFCed due to the ABI breakage in several essential   places (ifnet and pf ioctls).    There is some work going on in OpenBSD 4.2 to reduce userland ABI changes   in the future, but for now updating pf means breaking ABIs means no MFC   unfortunately.  "  Referencia:    http://lists.freebsd.org/pipermail/freebsd-pf/2007-July/003580.html

Comente!*
Nome:
E-mail
Homepage
Ttulo:
Comentrio:
Cdigo:*