[FUG-BR] Misturar IPFW e PF
Saulo Bozzi
psykhe6 em gmail.com
Terça Outubro 16 17:29:19 BRST 2007
"ah e pf tambem nao filtra metade dos ipoptions e tcpoptions que o ipfw
filtra entao como firewall propriamente dito pf eh mediocre perto do
ipfw"
relevante o dito.
para mim que estou apreendendo PF e ja implementei bem basicao em my
home, my network, le isso, é constrangedor. sei la... talvez pegou
pesado um tiquim, ou tem um pouco de veracidade nos fatos. para eu
opinar fica mais dificil, sei muito pouco de openbsd, free e menos
ainda de PF e others firewall.
deixo os comentarios a quem ja tem conhecimentos de causa.
abraços a lista.
ate.
Em 16/10/07, Evandro Nunes<evandronunes12 em gmail.com> escreveu:
> irmão pode usar sem problemas
>
> so se lembre que o pf é processado primeiro e depois o ipfw entao por
> exemplo se bloqueou no ipfw nao adianta ter liberado no pf
>
> outra coisa que voce tem que lembra irmão é que pelo motivo do pf ser
> processado primeiro quando voce chegar no ipfw o nat do pf ja vai ter
> acontecido, então os IPs ja vao tar traduzido, beleza?
>
> no mais pode usar os dois sem problema
>
> eu uso motivado pela mesma coisa que voce, porque o altq é muito
> bonzinho pra quem meche com poucas filas, pra ter dezenas, centenas de
> filhas tem q configurar uma por uma na mão, com ipfw tem pipe e queue
> dinamico que é uma maravilha do outro mundo (ha ha exagero? sai de um
> background com Linux e TC onde voce tem 4 arquivos de configuracao por
> HOST pra fazer o que no ipfw agora eu faco "dinamico" com mask e voce
> vai ve que nao eh exagero nao)
>
> alias irmao ve direito pra que voce precisa de pf
>
> pf so vale a pena se voce tem que fazer balanceamento de saida com
> multiplos links, que no ipfw ate faz mas nao tem stick address entao
> fode o esquema, alem disso no ipfw e muito dificil e confuso, no pf
> faz sozinho
>
> se nao for isso, ou se nao for a necessidade nat-pool que o natd
> tambem nao faz, se for um nat normal ou so saida por multiplos links
> sem balancear dai o PF e so pra criar confusao ele e dispensavel
> totalmente
>
> ah e pf tambem nao filtra metade dos ipoptions e tcpoptions que o ipfw
> filtra entao como firewall propriamente dito pf eh mediocre perto do
> ipfw
>
> mas tem umas feature mo bacana como nao matar state no reload das
> regras, poder adicionar e remover um ip do pool, essas coisas. ah mas
> pool volta no nat, e nisso, pf é impecavel, se voce precisa de coisa
> avancada no nat
>
> On 10/15/07, João Paulo Just <jpjust em justsoft.com.br> wrote:
> > Olá, pessoal.
> >
> > Gostaria de misturar o IPFW com o PF da seguinte forma: IPFW fazendo
> > controle de banda e PF fazendo NAT.
> >
> > Porque isso? Porque não fazer tudo no PF?
> >
> > O problema é que uso controle de banda dinâmico no IPFW da seguinte forma:
> >
> > -- ipfw.rules --
> > # Download
> > ipfw pipe 1 config bw 150Kbit/s mask dst-ip 0xffffffff
> > # Upload
> > ipfw pipe 2 config bw 150Kbit/s mask src-ip 0xffffffff
> >
> > ipfw add pipe 1 ip from not me to 172.16.16.0/20 in via rl0
> > ipfw add pipe 2 ip from 172.16.16.0/20 to not me in via tun*
> > ----------------
> >
> > E não sei como fazer isso no PF, não consegui achar como fazer, e até já
> > pedi auxílio à lista há um tempo atrás e ninguém pôde me ajudar (se
> > alguém tiver a solução, me ajude).
> >
> > Então, pra continuar com o controle de banda do IPFW, qual seria a
> > melhor forma de misturar os dois? Se eu tirar a NAT do IPFW e botar no
> > PF direto vai funcionar tranquilo?
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd