forum.lissyara.su

Что лучше использовать и почему?

icb писал(а):Что лучше использовать и почему?

смотря для чего.

PF

IPFW

ipfw +1

ИМХО, IPFW более гибок, удобен и понятен
Но все же хотелось бы уточнить у автора круг задач для фаерволла.

PF структурирован. Человеческий синтаксис правил. Абстракции, макросы, чёткая структура файла правил. Работает целиком в ядре (встроенный NAT).

ipfw == "ассемблер", похож на убогий IPTABLES. Множественные вызовы из ядра в юзерспейс и обратно (к natd).

Сравнение 3 Пакетных фильтров FreeBSD 5.3 (IPFW, PF, IPFILTER):
http://www.opennet.ru/docs/RUS/ipfw_pf_ipfilter/

Сейчас в ipfw нат работает прекрасно без natd на уровне ядра

Но все же хотелось бы уточнить у автора круг задач для фаерволла.

Весь круг задач хотелось бы выполнять одним средством (nat, шейпинг и т.п. по списку возможностей).

ipfw + nat +1

если раньше не настраивал фаерволов - то лучше начать с IPFW
PS: но мимо PF - тоже не стоит проходить мимо

но мимо PF - тоже не стоит проходить мимо

Почему? Уже ведь будет натсроен ipfw

icb писал(а):

но мимо PF - тоже не стоит проходить мимо

Почему? Уже ведь будет натсроен ipfw

потому что его возможности более расширены по сравнению с ipfw
---
думаю еще не один админ который работал с ipfw и начал заниматься pf или перешел на него - не расстроились
да и знания лишними не бывают

офтоп: очередной холивар не за горами

Автор, тема ни о чем! Если используете ipfw так и используйте дальше! Если считаете что его возможности "исчерпаны" или хотите чего новенького, или думаете, что с чем-то другим будет как-то по-особенному и иначе работать, так какой смысл спрашивать. Берете тестовую железку с новоиспеченным файерволом и "вперед и с песней" Когда покувыркаетесь с ним, день , три , неделю вот тогда и поймете что вам нужно и тогда уже вопросы будут более конкретные. А не "любит - не любит". А так только пустой треп.
Вот у меня ipfw, кое где natd на серверах используется. Хлеб он свой отрабатывает. И ничего, не комплексую, мне религия позволяет

iZEN писал(а):PF структурирован. Человеческий синтаксис правил. Абстракции, макросы, чёткая структура файла правил. Работает целиком в ядре (встроенный NAT).

ipfw == "ассемблер", похож на убогий IPTABLES. Множественные вызовы из ядра в юзерспейс и обратно (к natd).

Сравнение 3 Пакетных фильтров FreeBSD 5.3 (IPFW, PF, IPFILTER):
http://www.opennet.ru/docs/RUS/ipfw_pf_ipfilter/

улыбнуло.
кернел нат уже давно шагает по планете. а вы всё никак...
и синтаксис человеческий как раз в ipfw а не ещё где-то.
=====
пишите собственные мысли, а не чужие.

гЫ! IPFilter!!!!

потому что его возможности более расширены по сравнению с ipfw

Т.е. ipfw менее функционален? Почему его тогда оставили и развивают, а не забросили?

Когда покувыркаетесь с ним, день , три , неделю вот тогда и поймете что вам нужно и тогда уже вопросы будут более конкретные.

Так можно ответить на любой вопрос - бери сервер и кувыркайся год, все поймешь.
Но хочется услышать мнение тех, кто уже покувыркался и воспользоваться их знаниями

icb писал(а):

потому что его возможности более расширены по сравнению с ipfw

Т.е. ipfw менее функционален? Почему его тогда оставили и развивают, а не забросили?

Потому что ipfw может интегрироваться с NetGraph!

холивар У меня на основной работе и дома ipfw, на второй работе pf - что в лоб, что по лбу, вообще не вижу никаких принципиальных преимуществ. Чисто субъективно больше нравится ipfw из-за последовательности обработки правил.

на толстых каналах pf сосёт причмокивая ^_^

pf удобней. Пользую authpf.

холивар я чую
и посему сажу вам, что круче ACL.

что такое шейпинг?
с чем его едят , с кетчупом или горчицей?

zingel писал(а):холивар я чую

Код: Выделить всё

pf vs ipfw

и посему сажу вам, что круче ACL.

ACL на сиське или на фре?