Краткая сравнительная характеристика IPFW,PF,IPF

[vvn]

Доброго времени суток.
Прошу помощи у специалистов по firewall. Дайте краткую сравнительную характеристику этих firewall'ов - IPFW,PF,IPF.
Опишите основные отличия и сходства.
Заранее спасибо.

PS: Я уже смотрел статью на openNET , но отзывы о ней не очень!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Larin]

для стандартного офисного шлюза подойдет любой.

[vvn]

Интересны сами особенности(теория). Чтоб можно было сделать правильный выбор в зависимости от сложившейся ситуации и сразу поставить "правильный" firewall.
Прошу тех кто использовал эти ferewall'ы объяснить ключевые особенности каждого из них.

PS: Думаю тема будет полезна многим, так как в сети нет (может я плохо искал ) ничего подобного.

[Larin]

Интересны сами особенности(теория). Чтоб можно было сделать правильный выбор в зависимости от сложившейся ситуации и сразу поставить "правильный" firewall.
Прошу тех кто использовал эти ferewall'ы объяснить ключевые особенности каждого из них.

PS: Думаю тема будет полезна многим, так как в сети нет (может я плохо искал ) ничего подобного.

в сети нет ничего подобного потому, что ответ слишком субъективный. я, например, использую ipfw, но читая документацию pf мне кажется, что синтаксис у него приятнее и конфиг можно написать короче...

[gortum]

Интересны сами особенности(теория). Чтоб можно было сделать правильный выбор в зависимости от сложившейся ситуации и сразу поставить "правильный" firewall.
Прошу тех кто использовал эти ferewall'ы объяснить ключевые особенности каждого из них.

PS: Думаю тема будет полезна многим, так как в сети нет (может я плохо искал ) ничего подобного.

Тут есть два варианта
1) Вы называете свои особенности и вам рекомендуют оптимальный фаервол
2) Вы читаете про них в интернете (по каждому фаерволу в отдельности есть много информации ) и выбираете сами, перед этим проведя их сравнение

[vvn]

Вот несколько вопросов:

1. PF работает на уровне ядра или пользователя, как в нем реализован NAT, судьбу пакета решает первое совпавшее правило или просматривается вся таблица правил, базовая структура правил?
2. Как эти функции реализованы в ipfw и ipf?

Поделитесь своим опытом и теми особенностями которые вы встретили в этих fireewall'ах.

Давайте все вместе создадим, что-то подобное маленьком FAQ!

[gortum]

посмотрите тут http://www.xakep.ru/post/37504/default.asp

[vvn]

посмотрите тут http://www.xakep.ru/post/37504/default.asp

То, что нужно!!!
Спасибо.

[iZEN]

Тут: Сравнение 3 Пакетных фильтров FreeBSD 5.3 (IPFW, PF, IPFILTER) (немного устарело)

[rambomax]

Я всю сознательную жизнь использовал IPFW для простеньких случаев.
Но когда я до конца прочувствовал гемор с созданием демилитаризованной зоны думаю везде перейти на PF
С нуля лучше учить PF а про IPFW забыть что он существует.

[Alex Keda]

Я всю сознательную жизнь использовал IPFW для простеньких случаев.
Но когда я до конца прочувствовал гемор с созданием демилитаризованной зоны думаю везде перейти на PF
С нуля лучше учить PF а про IPFW забыть что он существует.

мда...
я один раз юзал pf - вспоминаю как страшный сон.
а вот ipfw - единственный файрволл с человеческим лицом и прозрачным человеческим синтаксисом.

[Fioktist]

pf товарисЧЬ это много (почти все)...

тут по ссылке после прочтения станет ясно что выбрать
оне pf http://house.hcn-strela.ru/BSDCert/BSDA-course/apc.html
ту ipfw http://house.hcn-strela.ru/BSDCert/BSDA-course/ape.html
фри ipf http://house.hcn-strela.ru/BSDCert/BSDA-course/apd.html

[schizoid]

мда...
я один раз юзал pf - вспоминаю как страшный сон.
а вот ipfw - единственный файрволл с человеческим лицом и прозрачным человеческим синтаксисом.

+1

[MASiK]

Я так понял тут борьба либо у нас будет новый ПФник или новый ИПФВфник ))))))))

Ну я могу сказать что чем меньше букв тем меньше функционала (pf ipf ipfw) выбирай там де больше не ошибёшся

+ за ipfw

http://www.lissyara.su/?id=1356

Ну и на счёт в нете нету

http://www.opennet.ru/docs/RUS/ipfw_pf_ipfilter/

2 ссылка по гуглу если ввести ipfw pf ipf
первая ссылка на этоу тему

[$Alchemist]

Ранее юзал IPFW - очень удобно, только снчала долго въезжал как настроить NAT.
Сейчас перешел на PF - еще удобнее. Имхо всё имхо...

[schizoid]

то вы не строили несколько каналов на pf....

[iZEN]

я один раз юзал pf - вспоминаю как страшный сон.
а вот ipfw - единственный файрволл с человеческим лицом и прозрачным человеческим синтаксисом.

PF === Pascal;
IPFW === Assembler.
Вот и вся разница.

[MASiK]

Ранее юзал IPFW - очень удобно, только снчала долго въезжал как настроить NAT.
Сейчас перешел на PF - еще удобнее. Имхо всё имхо...

Хоть 100 раз ИМХО в ipfw нат строиться в 3 строчки максиму, а если он Кернель нат ещё проще

Код: Выделить всё

$fw nat 123 config if $ext_inf
$fw add 400 nat 123 ip from $netin to any out via $ext_inf
$fw add 410 nat 123 ip from any to $ext_ip in via $ext_inf

Код: Выделить всё

echo "route_enable="yes"" >> /etc/rc.conf

И заметте это ещё сложная вариация, не каждому такое надо

Так что у вас ещё есть шанс вернуться назад с овна на конфеты

[Shuba]

Ранее юзал IPFW - очень удобно, только снчала долго въезжал как настроить NAT.
Сейчас перешел на PF - еще удобнее. Имхо всё имхо...

Хоть 100 раз ИМХО в ipfw нат строиться в 3 строчки максиму, а если он Кернель нат ещё проще

Код: Выделить всё

$fw nat 123 config if $ext_inf
$fw add 400 nat 123 ip from $netin to any out via $ext_inf
$fw add 410 nat 123 ip from any to $ext_ip in via $ext_inf

Код: Выделить всё

echo "route_enable="yes"" >> /etc/rc.conf

И заметте это ещё сложная вариация, не каждому такое надо

Так что у вас ещё есть шанс вернуться назад с овна на конфеты

Вот тебе конфиг NAT-а в одну строчку:

Код: Выделить всё

nat on $ext_inf from $netin to any -> $ext_inf

[Shuba]

ДА ЗДРАВСТВУЕТ ХОЛИВАР IPFW VS PF!!!!!

[paradox]

каждый фаер по своему хорош

я вот мечтаю изучить pf изнутри
но руки не доходят

между прочим
что ipf что ipfw что pf работают на одних и техже хуках в ядре
так что...

[iZEN]

Вот тебе конфиг NAT-а в одну строчку:

Код: Выделить всё

nat on $ext_inf from $netin to any -> $ext_inf

А для PF нужно прописывать "route_enable="yes"" в /etc/rc.conf?

[Sadok123]

сначала пользовал ipf/ipnat вместе с ipfw (этот шейпером выступал). ушел на pf. доволен.

[paradox]

MASiK
-1

echo "route_enable="yes"" >> /etc/rc.conf

за вот это

[MASiK]

MASiK
-1

echo "route_enable="yes"" >> /etc/rc.conf

за вот это

Блин признаю косяк

Код: Выделить всё

echo 'route_enable="yes"' >> /etc/rc.conf

Исправил, Вернёшь мечь?...