[FUG-BR] RES: Famoso firewall do BSD

Joao Rocha Braga Filho goffredo em gmail.com
Quinta Fevereiro 8 20:02:39 BRST 2007 

On 2/8/07, c0re dumped <ez.c0re at gmail.com> wrote:
> Em minha humilde opinião:  OpenBSD + PF.
>
> Trabalhei com o ipfw e sinceramente, você ter que usar divert pras
> regras de nat é muito chato.

O divert tem outras funções, mas 99% dos usos feitos é NAT. Eu não acho
chato o divert. Já estou acostumado.

A grande queixa que tenho do natd é ele não reler o arquivo com um
kill -1 <PID>.


>
> No PF o nat é feito dentro dele mesmo, ao invés de direcioná-lo a um
> processo externo.
>
> Outra, quando você tem que carregar uma regra nova no ipfw, todas as
> regras são descarregadas e carregadas novamente, o que, dependendo to
> tamanho dos arquivos de regra do teu firewall, pode ser bem chato.

Você está fazendo errado.

Eu coloco no arquivo de regras e depois faço copy&paste para executar o
comando instalando as novas regras. Eu uso todas as regras numeradas,
segundo um contexto, para que eu possa inserir regras no meio das regras
sem qualquer dificuldade.

root:maquina[3081] ipfw show | wc
    1106   16347  107991

Sim, eu tenho muitas regras, sendo que mais de de 800 delas são geradas
por um script. Elas são as regras de estatística por usuário. Eu acrescento
regras no meio destas sem qualquer dificuldade.

No outro dia tive que fazer uma mudança "média". EU tive que deletar 4
regras, colocá-las de novo com números novos, colocar mais uma count,
para servir de regra inócua, e depois colocar 2 regras que eram para lidar
com uma exceção. Fiz isto com tudo no ar e sem reiniciar nada. Eu coloquei
as 4 regras com número novo, deletei as suas versões com números antigos,
criei a count e coloquei as exceções. E tudo no ar. Fiz a mudança no arquivo
antes.

>
> No PF você pode manipular objetos (adicionar, remover, alterar) "on the fly". ;)
>
> Sem contar que a sintaxe do PF é, em minha opinião, a mais elegante,
> clara e fácil de entender.
>
> Tentei estudar iptables, mas a sintaxe é muito complicada... se você
> ficar um dia sem mexer nas regras de um firewall com iptables, quando
> tem que trabalhar com ele vem sempre a pergunta "O que que isso faz
> mesmo?" heheheheh.

Já vi pessoas reclamarem de coisas parecidas. Eu tenho uma sensação de
bagunça com IPTables.


João Rocha,


>
> Uma das coisas que mais prezo em ferramentas que lidam com segurança é
> a facilidade de uso. Quando o negócio é muito complicado pras coisas
> simples, os erros tendem a surgir logo.
>
> Atualmente estou começando a mexer com FW-1 (comercial). Ele tem
> muitas características boas, mas - como quase todo produto comercial -
> tem umas coisas que achei desnecessariamente complicadas, mas no geral
> é um bom firewall.
>
>
> []'s
>

-- 
"Sempre se apanha mais com as menores besteiras. Experiência própria."

goffredo at goffredo.eti.br
goffredo at gmail.com
http://www.goffredo.eti.br

Mais detalhes sobre a lista de discussão freebsd