Otavio, essa alteração do PF no Openbsd tá complicado (pelo menos para mim). Tenho alguns fw para migrar e infelizmente não consegui em todos. O principal empecilho para essa migração está sendo negar um NAT.
Antes fazia no nat on $int_if proto tcp from $int_net to $int_net:network e agora não sei como faz. Se alguém da lista souber, ficaria grato em compartilhar a informação. Em 21 de março de 2014 10:27, Marcelo Gondim <gon...@bsdinfo.com.br>escreveu: > Em 21/03/14 09:58, Rodrigo Mosconi escreveu: > > Em 20 de março de 2014 18:22, Marcelo Gondim <gon...@bsdinfo.com.br > >escreveu: > > > >> Em 20/03/14 17:46, Otavio Augusto escreveu: > >>> Em 20 de março de 2014 17:09, Marcelo Gondim <gon...@bsdinfo.com.br> > >> escreveu: > >>>> Em 20/03/14 17:01, João Mancy escreveu: > >>>>> Eu uso a muitos anos o PF, mas sempre vejo pessoas falando que o > >> Firewall > >>>>> melhor adequado ao FreeBSD é o ipfw2. > >>>>> > >>>>> Inclusive que as ultimas versões são para OpenBSD, isso me faz > quebrar > >>>>> muito a cabeça em relação de qual o melhor. > >>>>> > >>>>> Por isso o debate. > >>>>> > >>>> Eu costumo usar o ipfw para filtros e o pf para fazer nat. O pf do > >>>> FreeBSD 10 foi reescrito e parece que a performance agora é tão boa > >>>> quanto à do ipfw. > >>>> Patrick pode confirmar isso? > >>>> > >>>> []'s > >>>> Gondim > >>>> > >>>> ------------------------- > >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>> Concordo que o melhor é o que vc sabe usar melhor. > >>> Semrpe usei o ipfw e raramente precisei usar o pf, normalmente quando > >>> preciso fazer alguma alteração em algum servidor > >>> que foi configurado inicialmente por outra pessoa. Antigamente eu > >>> fazia igual ao gondim, com a diferença que usa o pf também com o altq > >>> até que ipfw teve nat pelo kernel e também suporte direto ao altq. > >>> Goste de manter atualizado o conhecimento do pf para que sempre por > >>> isto vou revisar meu conhecimento dele nas novas versões do FreeBSD , > >>> mas já que não mudou a syntax, a dificuldade será pouca. > >>> > >>> > >> Pois é Otavio e nem acredito que vá mudar por causa da POLA. :) > >> Esses dias, por exemplo, houve uma mudança no openssh por causa do > >> Capsicum e gerou um desconforto porque teve gente que perdeu acesso > >> remoto ssh. Porque o default do OpenSSH passou à ser compilado com > >> sandbox e à usar privilege separation com sandbox > >> (UsePrivilegeSeparation sandbox). Como ninguém foi avisado nem mesmo > >> pelo arquivo UPDATING já jogaram a POLA como argumento. > >> > >> Pelo menos foi o que eu entendi. :) > >> > > A mudança do sandbox para default foi anunciada na verso 6.1 do openssh > > http://www.openssh.com/txt/release-6.1 > > > Opa Rodrigo, > > Lá foi mas no UPDATING do /usr/src não havia sido, ferindo a POLA. rsrsrsrs > Quando eu atualizo os meus sources eu olho é no UPDATING e não nos sites > oficiais como o do openssh. Isso que deu a treta na lista. > Mas agora já colocaram no UPDATING: > > 20140303: > OpenSSH will now ignore errors caused by kernel lacking of > Capsicum > capability mode support. Please note that enabling the feature in > kernel is still highly recommended. > > 20140227: > OpenSSH is now built with sandbox support, and will use sandbox as > the default privilege separation method. This requires Capsicum > capability mode support in kernel. > > []'s > Gondim > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd