[FUG-BR] Iniciando no FreeBSD - PF
Pablo Sánchez
phackwer em gmail.com
Sexta Fevereiro 15 14:12:31 BRST 2008
Sim, mas o pf tem alguns "plugins" - softwares externos - que atuam
juntamente com ele de forma bastante interessante, que são os dois que citei
no começo, o pfauth (as regras são por usuário, e não por máquina, ou seja,
o usuário pode ir onde for da rede, ao entrar com seu login, as regras são
aplicadas àquele IP), e o pfsync para criação de clusters, que juntamente
com o altq ajudam a providenciar um excelente balanceamento de carga.
Eu, pessoalmente, se fosse montar uma rede, colocaria um OpenBSD para isso
no perímetro, e nos servers o FreeBSD, com desktops em Windows mesmo (para
que forçar o usuário com o mega "amigável" Linux?). Se muito, se fosse
realmente obrigatório usar linux no desk, aí seria pelo menos um Dual OS,
produção nacional de excelente qualidade pelas poucas 8hs que deixei
instalado no meu note (eu realmente queria colocar o Free, por isso tirei,
mas não é que o bichim rodou várias aplicações windows sem nem sentir que
não era windows?).
Para fazer redirecionamento com o pf:
http://www.openbsd.org/faq/pf/rdr.html#tcpproxy
Em 15/02/08, Klaus Schneider <klausps em gmail.com> escreveu:
>
> O FreeBSD tem o ipfw, pf e ipfilter. Nenhum deles tem arquitetura modular,
> que é o caso do iptables(que permite a inserção de modulos externos para
> filtros L7). No entanto, tu pode usar o divert socket do ipfw para jogar o
> tráfego para uma aplicação externa(escrita por ti mesmo ou usar o
> snort_inline).
>
>
>
> Em 15/02/08, Douglas Santos <dsantos em hydroxyl.org> escreveu:
>
> >
> > On Feb 15, 2008, at 11:26 AM, Pablo Sánchez wrote:
> > > O próprio nome já diz: pf = packet filter. Ele é só firewall de
> > > pacotes, não
> > > é firewall de aplicação. :-P Mas você pode aliar ele a outras
> > > soluções para
> > > isso. Na verdade, se bem me lembro, nenhum fw livre é fw de
> > > aplicação...
> >
> >
> > Para Linux tem o L7-filter, quem usa diz que fuciona...
> > http://l7-filter.sourceforge.net/
> >
> > Tinha um patch para o netgraph (ng_tag) porem não sei o status disso.
> >
> > Alguém, se não me engano do PFsense, estava escrevendo alguma
> > coisa para o PF.
> >
> > Na falta de um L7, você pode usar o snort ou algo similar.
> >
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
>
> --
> /*
> * Klaus Schneider
> */
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd