[FUGSPBR] PF - Bloqueio por aplicação

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Qua Nov 17 09:24:51 BRST 2004 

> Alguém sabe se o PF ou qualquer outro firewall para
> BSD consegue:
> 
> 1) Criar regras de filtragem por aplicação? 
> Por exemplo: eu quero que ele abra o cabeçalho do
> pacote, identifique que a aplicação é o Kazaa e faço o
> bloqueio.

Nativamente, não faz. E nem deveria, isso é papel de IDS e ferramentas 
do genero, de analise de conteudo e nao de filtro de pacotes. O 
netfilter (linux) faz, com ums patches que adicionam uma pa de outras 
funcionalidades. O IPFW faz, com um .ko de terceiros, não mantido por 
ninguem do FreeBSD, mas que não tem muita chance de ser adicionado na 
árvore.

PF e IPF não fazem.

> 2) Fazer marcação de pacote para tratamento de QOS?

Gambiarra detected ;) Mark em pacotes é muito 'estranho' pra não dizer 
nada além... ambos, PF e IPFW fazem QoS de forma distinta um do outro 
mas fazem de forma muito mais aceitável/eficiente. Se voce quer praticar 
os neuronios (sempre é bom) vai usar dummynet (ipfw) se quer facilidade, 
altq (pf).

> 3) Sincronismo de conexões no caso para failover?

IPFW faz com a opção "tee" em conjunto com algum daemon como os 
implementados pelo HUT Project, "tee" duplica cada pacote deixando 1 
passar pelo firewall atual e desviando o outro para qualquer lugar, onde 
qualquer lugar nesse caso é a aplicaçao (como o divert faz com natd, mas 
com outro proposito) que gerencia esses pacotes entre 1 ou mais outros 
firewall, duplicando o "estado" das conexoes.

Só funciona (no IPFW) com regras stateful (keep-state).

PF faz com pfsync(4);

Ambos podem implementar redundancia/salva-guarda ou sincronismo de 
estados apenas, não sendo necessário dupla aprovação da conexão pra 
gerar estado, caso existam outros firewall na rede (ou seja eles podem 
se comunicar, nao agindo como standalone). Esse segundo ambiente deixa a 
gente com milhões de idéias legais :P Mas só funciona bem em firewall 
por perímetro, na prática.

> 4) Bloqueio por MAC?

IPFW faz, alias o IPFW tem o melhor controle de layer2 (não limitado 
apenas a MAC) dos firewall;

PF não faz (que eu saiba IPF tambem nao).

-- 
Atenciosamente,

Patrick Tracanelli

FreeBSD Brasil LTDA.
The FreeBSD pt_BR Documentation Project
http://www.freebsdbrasil.com.br
patrick @ freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd