Date: Fri, 1 Apr 2005 14:27:04 +0200 (CEST) From: Claus Guttesen <none@cguttesen--yahoo.dk.lh.bsd-dk.dk> Subject: Re: pf og (mangel på) keep state på FreeBSD 5.4 prerelease To: bsd-dk@bsd-dk.dk
Takker for de gode henvisninger, som er kommet på
denne tråd.
> Der er intet galt med OpenBSD's PF. Dog er det
> _ikke_ nemt at lave regler for
Jeg er enig at pf teknisk set er et glimrende værktøj,
især når brandmur samt båndbredde-håndtering er samlet
i én pakke. Og hvis jeg kan få sat carp op, og jeg
opnår failover, er det jo meget fristende at hoppe
over.
> mere end 2-3 interfaces. Det du skal tænke på er
> trafikflow.
> For hvert interface har du en indgående strøm og en
> udgående strøm. Her skal
> du så lave regler for hvad du vil tillade som går
> ind og ud.
Det er netop min anke med pf. Jeg har i ipf.conf lavet
grupper, som skal øge ydelsen, fordi jeg har fire
netkort, og snart får et femte.
grep "^[block|pass]" /etc/ipf.conf|wc -l
158
Så overblikket har jeg. Det som jeg prøver at pointere
er når man sammenligner ipf og pf, og skal opnå samme
sikkerhed på brandmuren, kræver det med ipf i mit
miljø 158 regler, dette dækker web, internet, vores
eget lokale netværk og et lille privat netværk.
Skal jeg, uden at gå på kompromis med sikkerheden på
brandmuren, og ikke lave en 'default tillad alt på
udgående trafik på alle netkort', skal jeg som minimum
doble dette antal. Ssh, http, smtp, dns (både tcp udp)
og andre essentielle protokoller skal på alle netkort,
jeg vil næppe slippe for mindre en en tredobling af
regelsættet. Og jeg havner i et administrativt
mareridt, som øger faren for at jeg introducere fejl.
Jeg kan lave tabeller, aliaser for netkort, netværk,
protokoller etc. som kan lette dette, men ikke på
samme måde som state-sætningen gør for dig i ipf.
Hilsen
Claus
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:49 CET