[FUGSPBR] um "novo" FreeBSD??

João Carlos Mendes Luís jonny em jonny.eng.br
Qui Maio 13 16:13:59 BRT 2004 

Um caso típico (mas não unico):

- Imagine um FreeBSD com 3 interfaces de rede, A, B e C.
- A rede C é interna, e tenho total controle sobre ela.  Sei bem o que pode ou 
não pode passar.
- Já as redes A e B são externas, e roteáveis pelo meu FreeBSD, de forma que não 
posso filtrar pacotes de A para B e de B para A.
- As redes A e B são dinâmicas, ou seja, não tenho a menor noção de quais 
endereços estão de cada lado, o daemon de roteamento é que se preocupa com isso.
- Os endereços internos do roteador são conhecidos, mas podem mudar com relativa 
facilidade, e não queria que a firewall dependesse disso.

     Como o ipfw é executado antes e depois do pacote passar, e não durante, não 
existe uma forma de filtrar sabendo a origem E o destino do pacote 
simultaneamente ANTES dele entrar na máquina.  A opção "me" do ipfw2 ajudou um 
bocado, mas eu tenho esse problema com IPv6, e o ip6fw parou no tempo e não tem 
nem essa nem um monte de outras opções.

=============================================

     Outra bastante comum: tenho um roteador com várias interfaces, e as regras 
depende da origem e destino dos pacotes em função da interface.  A primeira 
coisa a fazer é separar o processamento em grupos para otimizar o processamento 
e facilitar a interpretação das regras individualmente.  Por outro lado, existe 
um conjunto de regras que eu quero aplicar em algumas, mas não todas as 
possiveis rotas.

     Em iptables eu faço uma sub-rotima.  Em ipfw não é possível, pois não tenho 
um "RETURN" para o skipto.

Márcio Luciano Donada wrote:

> Bom dia,
> Ainda não consegui ver o que o iptables faz que o ipfw não faz?  O ipfw é
> nota dez, agora com o ipfw2 muito legal mesmo e pra quem já esta utilizando
> o 5.x tem o pf que o pessoal portou do OpenBSD. Talvez você passasse algo
> pra gente que o iptables faz que o ipfw não possa fazer, seria legal pra
> gente discutir, acredito ser muito pertinente a discussão.
_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd