[FUG-BR] RES: Famoso firewall do BSD
Joao Rocha Braga Filho
goffredo em gmail.com
Sexta Fevereiro 9 11:20:38 BRST 2007
On 2/9/07, c0re dumped <ez.c0re at gmail.com> wrote:
> > Você está fazendo errado.
> >
> > Eu coloco no arquivo de regras e depois faço copy&paste para executar o
> > comando instalando as novas regras. Eu uso todas as regras numeradas,
> > segundo um contexto, para que eu possa inserir regras no meio das regras
> > sem qualquer dificuldade.
> >
> > root:maquina[3081] ipfw show | wc
> > 1106 16347 107991
> >
> > Sim, eu tenho muitas regras, sendo que mais de de 800 delas são geradas
> > por um script. Elas são as regras de estatística por usuário. Eu acrescento
> > regras no meio destas sem qualquer dificuldade.
> >
> > No outro dia tive que fazer uma mudança "média". EU tive que deletar 4
> > regras, colocá-las de novo com números novos, colocar mais uma count,
> > para servir de regra inócua, e depois colocar 2 regras que eram para lidar
> > com uma exceção. Fiz isto com tudo no ar e sem reiniciar nada. Eu coloquei
> > as 4 regras com número novo, deletei as suas versões com números antigos,
> > criei a count e coloquei as exceções. E tudo no ar. Fiz a mudança no arquivo
> > antes.
> >
> > João Rocha,
> >
> >
>
> heheheheheheheh....
>
> Mas é justamente *todo* esse processo que considero nada prático no IPFW.
>
> No pf vc mexe somento com o arquivo de configuração. Adiciona, altera
> ou elimina uma(s) regra(s) e manda um pfctl -f /etc/pf.conf. Pronto.
>
> Opcionalmente voce pode trabalhar apenas com alguns objetos na
> memória, mas o mais simples (e prático) é default no PF.
>
> Não precisa verificar numero de regra, trocar numero de regra (até pq
> o PF não trabalha com esse conceito o q considero uma vantagem) ...
> bem mais simples, pelo menos ao meu ver.
>
> Quanto ao NAT, acho bem mais confortável manipular isso em uma regra
> no próprio firewall (que no final das contas é quem faz tudo mesmo) do
> que ter q mexer em um outro arquivo de configuração, com um outro
> processo trabalhando com essas regras de NAT.
root:maquina[3104] wc natd.conf
2137 9296 89295 natd.conf
Este é o tamanho do meu natd.conf. E boa parte dele é gerada por scripts
que rodam no boot. Cada cliente do provedor, exceto discado, tem um IP
externo.
A minha principal queixa é nao poder fazer um kill -1 nele para reler o
arquivo de configuração.
João Rocha.
>
> Mas enfim, cada um tem sua ferramenta preferida e o ipfw é um firewall
> muito bom também.
>
> Quanto ao iptables, me desculpe o pessoal do linux, mas é uma
> ferramenta inviável de se usar de forma eficitente no dia a dia.
>
>
> []'s
>
> --
>
> No stupid signatures here.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
"Sempre se apanha mais com as menores besteiras. Experiência própria."
goffredo at goffredo.eti.br
goffredo at gmail.com
http://www.goffredo.eti.br
Mais detalhes sobre a lista de discussão freebsd