[FUG-BR] BSD para Firewall

[Luiz Souza]

Marcello Costa wrote:
> (...)
>   
> Agora o conceito de segurança no OpenBSD é custoso , ou seja , as
> aplicações demoram bem mais a serem portadas nele, o uso de criptografia
> tem seu custo, o propio PF gasta bem mais CPU do que o ipfw como já foi
> diversas vezes reportado nessa lista. O FreeBSD foi bastante alterado no
> nascimento da versão 4.x para 5.x , essas alterações visam um novo
> caminho no quesito performance , o openbsd não sei exatamente em que
> ponto ele se coloca em relação a isso.
>   
As alteracões do FreeBSD 4.x para o 5.X e posteriores foram fundamentais 
para o sucesso do FreeBSD no presente e no futuro, pois foram 
relacionadas a utilizacão de sistemas multiprocessados (SMP) que é o 
futuro (ou presente) da informatica. Vide os processadores dual core.

Sem as alteracões feitas o ganho de performance nessas maquinas seria 
pequeno senão nulo.

Por outro lado, as mudancas feitas foram tão grandes e tão profundas que 
ainda hoje não foram terminadas (ainda existem subsistemas do kernel que 
ainda operam em partes debaixo do BGL - big giant lock).

No OpenBSD embora existe suporte SMP, todo o kernel ainda roda sob o BGL 
e até aonde eu sei não há expectativas de mudanca num futuro próximo.

O OpenBSD é modesto com relacão ao número de desenvolvedores (por volta 
de 60) e não tem mão de obra disponivel para encarar uma tarefa desta 
proporcão.

Talvez com o desenvolvimento de outros SOs nessa area o trabalho do 
OpenBSD se torne mais simples.

Vejo com muitos bons olhos o trabalho do dragonflybsd que adotou outras 
tecnicas para conseguir os mesmo resultados do FreeBSD, mas que também 
por outros motivos teve e tem a coragem de rever algumas estruturas 
importantes do kernel (e que precisavam ser revistas). Ainda que com 
pouca visibilidade o trabalho que vem sendo desenvolvido provavelmente 
contribuirá no futuro para o desenvolvimento das tecnicas de programacão 
SMP.

> Um Firewall com um filtro de pacotes , sem sendmail e com ssh apenas
> para uma maquina especifica , travado no mac e no ip , acho que tanto no
> FreeBSD quanto no OpenBSD são equivalentes em segurança, mas o FreeBSD
> ainda tem uma outra coisa a seu favor , o desenpenho , pois ele pode
> suportar um trafego ou um ataque que talvez a performace do OpenBSD não
> suporte.
>   
O OpenBSD tem performance excepcional em aplicacões de rede. O BGL do 
kernel AJUDA o desenvolvimento de aplicacões e protocolos de rede no 
kernel (é bem mais facil quando vc precisa se preocupar com um unico lock).

O pf tem problemas de performance, mas isso é mais relacionado a suas 
caracteristicas e estrutura do que ao OpenBSD (esses problemas podem ser 
verificados também no FreeBSD).

Outro ponto verdadeiramente positivo com relacão ao OpenBSD é o kernel 
GENERIC que é realmente generico, já vem com todos os dispositivos 
habilitados (incluindo o carp, trunk, etc) e também o pf, ou seja basta 
instalar e configurar, tudo rápido e fácil.

enfim, apenas meus 2 cents...

luiz