Date: Fri, 1 Apr 2005 15:43:19 +0200 From: Sven Esbjerg <none@esbjerg--xbsd.net.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: pf og (mangel på) kep state på FreeBSD 5.4 prerelease
On Fri, Apr 01, 2005 at 02:27:04PM +0200, Claus Guttesen wrote:
> Det er netop min anke med pf. Jeg har i ipf.conf lavet
> grupper, som skal øge ydelsen, fordi jeg har fire
> netkort, og snart får et femte.
>
> grep "^[block|pass]" /etc/ipf.conf|wc -l
> 158
>
> Så overblikket har jeg. Det som jeg prøver at pointere
> er når man sammenligner ipf og pf, og skal opnå samme
> sikkerhed på brandmuren, kræver det med ipf i mit
> miljø 158 regler, dette dækker web, internet, vores
> eget lokale netværk og et lille privat netværk.
Nu er jeg ikke lige 100% hjemme i ipf mere, men jeg vil mene at den må
fungere nogenlund på samme måde som pf.
Når man laver grupper, lister og tabeller sparer det ikke reelt på regler i
selve filtret, men gøre det blot nemmere for admin at overskue hvad der
foregår.
Prøv at lave en regel der dækker et par porte og fx. både udp og tcp i pf.
Prøv derefter at liste de aktuelle regler. Du vil se at for hver protokol og
port laves en seperat regel. Det giver sådan set også mening logisk.
Hav for øje at filtret sagtens kan optimere reglerne for dig (bag din ryg så
at sige).
Mvh
Sven
-- http://xbsd.net/~esbjerg/esbjerg.gpg - openpgp compliant key
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:49 CET