[FUG-BR] Iniciando no FreeBSD - PF
mantunes
mantunes.listas em gmail.com
Sexta Fevereiro 15 16:00:54 BRST 2008
De minha parte não.. eu quero apenas saber a diferença da segurança
entre o OpenBSD e FreeBSD exclusivo para firewall .
Até pq como falei sou fã incondicional do FreeBSD e OpenBSD.
Em 15/02/08, Klaus Schneider<klausps at gmail.com> escreveu:
> Isso já ta quase virando briga, mas uma informação importante está aqui:
>
> O PF do FreeBSD é diferente SIM do PF do OpenBSD
>
> Leiam aqui:
> http://home.nuug.no/~peter/pf/en/long-firewall.html#PFTODAY
> E aqui tbm:
> http://www.freebsd.org/cgi/cvsweb.cgi/src/sys/contrib/pf/net/
> Vejam que no CURRENT a versão do PF que está sendo usada é do OpenBSD 4.1
>
> Agora a minha pergunta:
> Alguém ai sabe qual a versão do PF que está rodando no FreeBSD 7?
>
>
>
> Em 15/02/08, mantunes <mantunes.listas at gmail.com> escreveu:
> >
>
> > Pegando a carona, ja que vc menciona a segurança do OpenBSD em
> > relação o FreeBSD, qual seria uma implementação de um firewall em
> > OpenBSD usando PF que o FreeBSD não pode fazer usando o proprio PF ??
> > E qual seria outra configuração que tem para segurança destinado ao
> > Firewall que não tem no FreeBSD ?
> >
> > Para mim não ainda não vi, de qualquer forma, eu também gosto do OpenBSD.
> >
> >
> > Em 15/02/08, Pablo Sánchez<phackwer at gmail.com> escreveu:
> > > OpenBSD tem melhor segurança que o FreeBSD por padrão, digo,
> > out-of-the-box,
> > > passou 8 anos sem ter nenhum buraco de segurança encontrado na sua
> > > instalação padrão (que inclui o pf). Porém, seu gerenciamento de
> > memória e
> > > processos é lento (não confundir com pobre que seria ruim), por ter
> > muitas e
> > > diversas checagens de segurança no controle dos processos. Execute um
> > > comando com 10.000 ifs antes, e o comando fica lento, mesmo que fosse
> > apenas
> > > um ls. As ferramentas nativas dele são mais parrudas para segurança que
> > em
> > > outros BSDs, elas só não são muito amigáveis para o usuário, mas são
> > muito
> > > boas
> > >
> > > Já o FreeBSD é muito mais parrudo no que refere à gerenciamento de
> > processos
> > > e memória, além de ter um excelente gerenciamento tcp/ip fazendo uma
> > espécie
> > > de caching e reaproveitamento de recursos para aumento de performance,
> > sendo
> > > excelente para servidores.
> > >
> > > Enfim, o OpenBSD tem maior foco em segurança (openssl surgiu nele, pf
> > surgiu
> > > nele, e por aí vai), e o FreeBSD tem excelente performance para
> > servidores.
> > >
> > > Cada um tem seu nicho, e seu foco, e é por isso que eu usaria mais de
> > um OS
> > > na rede. Ou vai me dizer que você colocou FreeBSD para o desktop de
> > todos os
> > > usuários da sua rede? Provavelmente não, o que ilustra a questão de
> > nicho de
> > > mercado. Open para segurança, Free para servidores, Windows para
> > desktops.
> > > (quem quiser, pode colocar Linux aí tb, mas não é o meu estilo, quem me
> > > conhece sabe disso).
> > >
> > > Em 15/02/08, Cristina Fernandes Silva <cristinafs.listas at gmail.com>
> > > escreveu:
> > >
> > > >
> > > > Pablo,
> > > >
> > > > só não vejo necessidade em ter dos BSD distintos numa rede. FreeBSD e
> > > > OpenBSD está no mesmo nível de segurança. Ter mais de um BSD é querer
> > > > complicar demais.. Quais são os fatores que levaria vc colocar o
> > > > OpenBSD ao invés do FreeBSD ?
> > > >
> > > >
> > > > Em 15/02/08, Pablo Sánchez<phackwer at gmail.com> escreveu:
> > > >
> > > > > Sim, mas o pf tem alguns "plugins" - softwares externos - que atuam
> > > > > juntamente com ele de forma bastante interessante, que são os dois
> > que
> > > > citei
> > > > > no começo, o pfauth (as regras são por usuário, e não por máquina,
> > ou
> > > > seja,
> > > > > o usuário pode ir onde for da rede, ao entrar com seu login, as
> > regras
> > > > são
> > > > > aplicadas àquele IP), e o pfsync para criação de clusters, que
> > > > juntamente
> > > > > com o altq ajudam a providenciar um excelente balanceamento de
> > carga.
> > > > >
> > > > > Eu, pessoalmente, se fosse montar uma rede, colocaria um OpenBSD
> > para
> > > > isso
> > > > > no perímetro, e nos servers o FreeBSD, com desktops em Windows
> > mesmo
> > > > (para
> > > > > que forçar o usuário com o mega "amigável" Linux?). Se muito, se
> > fosse
> > > > > realmente obrigatório usar linux no desk, aí seria pelo menos um
> > Dual
> > > > OS,
> > > > > produção nacional de excelente qualidade pelas poucas 8hs que
> > deixei
> > > > > instalado no meu note (eu realmente queria colocar o Free, por
> > isso
> > > > tirei,
> > > > > mas não é que o bichim rodou várias aplicações windows sem nem
> > sentir
> > > > que
> > > > > não era windows?).
> > > > >
> > > > > Para fazer redirecionamento com o pf:
> > > > > http://www.openbsd.org/faq/pf/rdr.html#tcpproxy
> > > > >
> > > > > Em 15/02/08, Klaus Schneider <klausps at gmail.com> escreveu:
> > > > >
> > > > > >
> > > > > > O FreeBSD tem o ipfw, pf e ipfilter. Nenhum deles tem
> > arquitetura
> > > > modular,
> > > > > > que é o caso do iptables(que permite a inserção de modulos
> > externos
> > > > para
> > > > > > filtros L7). No entanto, tu pode usar o divert socket do ipfw
> > para
> > > > jogar o
> > > > > > tráfego para uma aplicação externa(escrita por ti mesmo ou usar
> > o
> > > > > > snort_inline).
> > > > > >
> > > > > >
> > > > > >
> > > > > > Em 15/02/08, Douglas Santos <dsantos at hydroxyl.org> escreveu:
> > > > > >
> > > > > > >
> > > > > > > On Feb 15, 2008, at 11:26 AM, Pablo Sánchez wrote:
> > > > > > > > O próprio nome já diz: pf = packet filter. Ele é só firewall
> > de
> > > > > > > > pacotes, não
> > > > > > > > é firewall de aplicação. :-P Mas você pode aliar ele a
> > outras
> > > > > > > > soluções para
> > > > > > > > isso. Na verdade, se bem me lembro, nenhum fw livre é fw de
> > > > > > > > aplicação...
> > > > > > >
> > > > > > >
> > > > > > > Para Linux tem o L7-filter, quem usa diz que fuciona...
> > > > > > > http://l7-filter.sourceforge.net/
> > > > > > >
> > > > > > > Tinha um patch para o netgraph (ng_tag) porem não sei o status
> > > > disso.
> > > > > > >
> > > > > > > Alguém, se não me engano do PFsense, estava escrevendo alguma
> > > > > > > coisa para o PF.
> > > > > > >
> > > > > > > Na falta de um L7, você pode usar o snort ou algo similar.
> > > > > > >
> > > > > > >
> > > > > > > -------------------------
> > > > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > > /*
> > > > > > * Klaus Schneider
> > > > > > */
> > > > > >
> > > > > > -------------------------
> > > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > > >
> > > > > -------------------------
> > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > >
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> >
> >
> > --
> >
> > Marcio Antunes
> > Powered by FreeBSD
> > ==================================
> > * Windows: "Where do you want to go tomorrow?"
> > * Linux: "Where do you want to go today?"
> > * FreeBSD: "Are you, guys, comming or what?"
> > -------------------------
> >
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
> --
> /*
> * Klaus Schneider
> */
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"
Mais detalhes sobre a lista de discussão freebsd