[FUG-BR] RES: Famoso firewall do BSD

Daniel Dias Gonçalves daniel em dgnetwork.com.br
Sexta Fevereiro 9 09:51:00 BRST 2007 

c0re dumped escreveu:
>> Você está fazendo errado.
>>
>> Eu coloco no arquivo de regras e depois faço copy&paste para executar o
>> comando instalando as novas regras. Eu uso todas as regras numeradas,
>> segundo um contexto, para que eu possa inserir regras no meio das regras
>> sem qualquer dificuldade.
>>
>> root:maquina[3081] ipfw show | wc
>>     1106   16347  107991
>>
>> Sim, eu tenho muitas regras, sendo que mais de de 800 delas são geradas
>> por um script. Elas são as regras de estatística por usuário. Eu acrescento
>> regras no meio destas sem qualquer dificuldade.
>>
>> No outro dia tive que fazer uma mudança "média". EU tive que deletar 4
>> regras, colocá-las de novo com números novos, colocar mais uma count,
>> para servir de regra inócua, e depois colocar 2 regras que eram para lidar
>> com uma exceção. Fiz isto com tudo no ar e sem reiniciar nada. Eu coloquei
>> as 4 regras com número novo, deletei as suas versões com números antigos,
>> criei a count e coloquei as exceções. E tudo no ar. Fiz a mudança no arquivo
>> antes.
>>
>> João Rocha,
>>
>>
>>     
>
> heheheheheheheh....
>
> Mas é justamente *todo* esse processo que considero nada prático no IPFW.
>
> No pf vc mexe somento com o arquivo de configuração. Adiciona, altera
> ou elimina uma(s) regra(s) e manda um pfctl -f /etc/pf.conf. Pronto.
>
> Opcionalmente voce pode trabalhar apenas com alguns objetos na
> memória, mas o mais simples (e prático) é default no PF.
>
> Não precisa verificar numero de regra, trocar numero de regra (até pq
> o PF não trabalha com esse conceito o q considero uma vantagem) ...
> bem mais simples, pelo menos ao meu ver.
>
> Quanto ao NAT, acho bem mais confortável manipular isso em uma regra
> no próprio firewall (que no final das contas é quem faz tudo mesmo) do
> que ter q mexer em um outro arquivo de configuração, com um outro
> processo trabalhando com essas regras de NAT.
>
> Mas enfim, cada um tem sua ferramenta preferida e o ipfw é um firewall
> muito bom também.
>
> Quanto ao iptables, me desculpe o pessoal do linux, mas é uma
> ferramenta inviável de se usar de forma eficitente no dia a dia.
>
>
> []'s
>
>   
O que eu vejo no PF que é, me desculpem a palavra, um cocô é ter que 
utilizar ftp proxy ... Nunca consegui colocar para funcionar o modo 
passivo e ativo simultaneamente, tanto com o ftp-proxy, pftpx, etc ...

[]s

Mais detalhes sobre a lista de discussão freebsd