[FUG-BR] RES: Famoso firewall do BSD
c0re dumped
ez.c0re em gmail.com
Sexta Fevereiro 9 09:45:38 BRST 2007
> Você está fazendo errado.
>
> Eu coloco no arquivo de regras e depois faço copy&paste para executar o
> comando instalando as novas regras. Eu uso todas as regras numeradas,
> segundo um contexto, para que eu possa inserir regras no meio das regras
> sem qualquer dificuldade.
>
> root:maquina[3081] ipfw show | wc
> 1106 16347 107991
>
> Sim, eu tenho muitas regras, sendo que mais de de 800 delas são geradas
> por um script. Elas são as regras de estatística por usuário. Eu acrescento
> regras no meio destas sem qualquer dificuldade.
>
> No outro dia tive que fazer uma mudança "média". EU tive que deletar 4
> regras, colocá-las de novo com números novos, colocar mais uma count,
> para servir de regra inócua, e depois colocar 2 regras que eram para lidar
> com uma exceção. Fiz isto com tudo no ar e sem reiniciar nada. Eu coloquei
> as 4 regras com número novo, deletei as suas versões com números antigos,
> criei a count e coloquei as exceções. E tudo no ar. Fiz a mudança no arquivo
> antes.
>
> João Rocha,
>
>
heheheheheheheh....
Mas é justamente *todo* esse processo que considero nada prático no IPFW.
No pf vc mexe somento com o arquivo de configuração. Adiciona, altera
ou elimina uma(s) regra(s) e manda um pfctl -f /etc/pf.conf. Pronto.
Opcionalmente voce pode trabalhar apenas com alguns objetos na
memória, mas o mais simples (e prático) é default no PF.
Não precisa verificar numero de regra, trocar numero de regra (até pq
o PF não trabalha com esse conceito o q considero uma vantagem) ...
bem mais simples, pelo menos ao meu ver.
Quanto ao NAT, acho bem mais confortável manipular isso em uma regra
no próprio firewall (que no final das contas é quem faz tudo mesmo) do
que ter q mexer em um outro arquivo de configuração, com um outro
processo trabalhando com essas regras de NAT.
Mas enfim, cada um tem sua ferramenta preferida e o ipfw é um firewall
muito bom também.
Quanto ao iptables, me desculpe o pessoal do linux, mas é uma
ferramenta inviável de se usar de forma eficitente no dia a dia.
[]'s
--
No stupid signatures here.
Mais detalhes sobre a lista de discussão freebsd