Date: Sun, 21 Dec 2003 13:44:07 -0500 From: Munish Chopra <none@chopra--soulwax.net.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: Om at compile firewall rulesets til C (og god jul)
On 2003-12-21 11:44 +0000, Claus Guttesen wrote:
> --- Jesper Louis Andersen <none@jlouis--mongers.org.lh.bsd-dk.dk> skrev:
> > Det er sent og jeg kan alligevel ikke sove, saa jeg
> > vil forulempe
> > resten af tilhoerende med en mail.
> >
>
> Fint indlæg, glimrende læsning ;-)
>
> > fra ipfw, men i tilfaeldet med PF fra OpenBSD gaar
> > det rent faktisk
> > hurtigere at lave stateful inspection [1]. OpenBSD
> > benytter internt
> > bare en struct af src/dst ip, src/dst port og
> > protokolnummer,
> > ordnet leksikografisk og gemt i et balanceret
> > binaert soegetrae
> > (Red-black, hvis nogen er interesserede). Det sikrer
> > O(lg n) lookup-
>
> > kan udgives. Det
> > ser ud til at IPF faar denne feature med
> > 4.0-releasen:
> >
>
> Jeg bruger ipf og ipfw på min brandmur/væg. Ipf som
> vagtmester, og ipfw som sikrer at alle kommer til
> fadet (dummynet), men vil gerne bruge pf istedet, da
> den kombinerer disse to egenskaber.
>
ALTQ virker kun hvis du laegger et ALTQ patchset ind. Der er ikke kommet
et nyt siden ca. 5.1-RELEASE, men det bliver vist nok opdatered til
5.2-RELEASE. Det er stadig uklart om pf og ALTQ bliver smidt ind i base
foer 5.3-RELEASE.
> Hvor meget afviger ipf og pf's regler sig fra
> hinanden?
>
For ikke saa lang tid siden var de naesten identiske. Jeg er ikke helt
sikker paa hvordan det ser ud nu (jeg har ikke koert andet end pf i lang
tid nu). pf har desuden en del flere features.
> Har nogen lagt det på FreeBSD 5.1/2?
>
Selve pf virker fint, dog har jeg ikke koert det paa FreeBSD i et stykke
tid. Indtil videre har jeg skiftet router til OpenBSD pga. ALTQ og et
par andre ting.
-- Munish Chopra
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:34 CET