Re: [FUG-BR] RES: Famoso firewall do BSD
Em 08/02/07, irado furioso com tudo[EMAIL PROTECTED] escreveu: Em Thu, 8 Feb 2007 13:39:31 -0200 Lutieri G. [EMAIL PROTECTED] escreveu: Vou fazer o seguinte, vou aprender a usar o IPFW e depois eu volto e conto minha experiência de vida! Dou meu testemunho!!! hehe Serei sincero... não deixe de ver o PF.. eu usei os três e, embora a curva de aprendizado seja mais íngreme, não tem comparação com a confusão do iptables.. básico: em 30 regras vc tem MAIS do que em 130 do iptables.. e mais eficiente, uma vez que roteamento, balanceamento de links, QoS (é assim que chamam, lá?) é indolor.. completamnete indolor -- flames /dev/null Comecei meus estudos pelo PF. Uso muito NAT e como já estavam me assutando quanto a NAT no IPFW eu resolvi começar pelo PF. To curtindo o modo como ele funciona. Mas ainda tá muito cedo pra falar sobre ele... vou esperar mais um pouco =) Vlw galera! To curtindo a lista... -- Att. Lutieri G. B. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Famoso firewall do BSD
Você está fazendo errado. Eu coloco no arquivo de regras e depois faço copypaste para executar o comando instalando as novas regras. Eu uso todas as regras numeradas, segundo um contexto, para que eu possa inserir regras no meio das regras sem qualquer dificuldade. root:maquina[3081] ipfw show | wc 1106 16347 107991 Sim, eu tenho muitas regras, sendo que mais de de 800 delas são geradas por um script. Elas são as regras de estatística por usuário. Eu acrescento regras no meio destas sem qualquer dificuldade. No outro dia tive que fazer uma mudança média. EU tive que deletar 4 regras, colocá-las de novo com números novos, colocar mais uma count, para servir de regra inócua, e depois colocar 2 regras que eram para lidar com uma exceção. Fiz isto com tudo no ar e sem reiniciar nada. Eu coloquei as 4 regras com número novo, deletei as suas versões com números antigos, criei a count e coloquei as exceções. E tudo no ar. Fiz a mudança no arquivo antes. João Rocha, heheheheheheheh Mas é justamente *todo* esse processo que considero nada prático no IPFW. No pf vc mexe somento com o arquivo de configuração. Adiciona, altera ou elimina uma(s) regra(s) e manda um pfctl -f /etc/pf.conf. Pronto. Opcionalmente voce pode trabalhar apenas com alguns objetos na memória, mas o mais simples (e prático) é default no PF. Não precisa verificar numero de regra, trocar numero de regra (até pq o PF não trabalha com esse conceito o q considero uma vantagem) ... bem mais simples, pelo menos ao meu ver. Quanto ao NAT, acho bem mais confortável manipular isso em uma regra no próprio firewall (que no final das contas é quem faz tudo mesmo) do que ter q mexer em um outro arquivo de configuração, com um outro processo trabalhando com essas regras de NAT. Mas enfim, cada um tem sua ferramenta preferida e o ipfw é um firewall muito bom também. Quanto ao iptables, me desculpe o pessoal do linux, mas é uma ferramenta inviável de se usar de forma eficitente no dia a dia. []'s -- No stupid signatures here. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Famoso firewall do BSD
c0re dumped escreveu: Você está fazendo errado. Eu coloco no arquivo de regras e depois faço copypaste para executar o comando instalando as novas regras. Eu uso todas as regras numeradas, segundo um contexto, para que eu possa inserir regras no meio das regras sem qualquer dificuldade. root:maquina[3081] ipfw show | wc 1106 16347 107991 Sim, eu tenho muitas regras, sendo que mais de de 800 delas são geradas por um script. Elas são as regras de estatística por usuário. Eu acrescento regras no meio destas sem qualquer dificuldade. No outro dia tive que fazer uma mudança média. EU tive que deletar 4 regras, colocá-las de novo com números novos, colocar mais uma count, para servir de regra inócua, e depois colocar 2 regras que eram para lidar com uma exceção. Fiz isto com tudo no ar e sem reiniciar nada. Eu coloquei as 4 regras com número novo, deletei as suas versões com números antigos, criei a count e coloquei as exceções. E tudo no ar. Fiz a mudança no arquivo antes. João Rocha, heheheheheheheh Mas é justamente *todo* esse processo que considero nada prático no IPFW. No pf vc mexe somento com o arquivo de configuração. Adiciona, altera ou elimina uma(s) regra(s) e manda um pfctl -f /etc/pf.conf. Pronto. Opcionalmente voce pode trabalhar apenas com alguns objetos na memória, mas o mais simples (e prático) é default no PF. Não precisa verificar numero de regra, trocar numero de regra (até pq o PF não trabalha com esse conceito o q considero uma vantagem) ... bem mais simples, pelo menos ao meu ver. Quanto ao NAT, acho bem mais confortável manipular isso em uma regra no próprio firewall (que no final das contas é quem faz tudo mesmo) do que ter q mexer em um outro arquivo de configuração, com um outro processo trabalhando com essas regras de NAT. Mas enfim, cada um tem sua ferramenta preferida e o ipfw é um firewall muito bom também. Quanto ao iptables, me desculpe o pessoal do linux, mas é uma ferramenta inviável de se usar de forma eficitente no dia a dia. []'s O que eu vejo no PF que é, me desculpem a palavra, um cocô é ter que utilizar ftp proxy ... Nunca consegui colocar para funcionar o modo passivo e ativo simultaneamente, tanto com o ftp-proxy, pftpx, etc ... []s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Famoso firewall do BSD
O que eu vejo no PF que é, me desculpem a palavra, um cocô é ter que utilizar ftp proxy ... Nunca consegui colocar para funcionar o modo passivo e ativo simultaneamente, tanto com o ftp-proxy, pftpx, etc ... []s Sim, é um saco, mas é bem mais seguro que abrir portas altas pra permitir conexoes tcp de clientes atras do firewall. Além disso o ftp-proxy é na verdade, o próprio pftpx. Mas isso não é uma limitação de firewalls, é uma limitação do protocolo, que já deveria ter sumido há muito tempo da internet moderna. []'s -- No stupid signatures here. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Famoso firewall do BSD
Acho que deveria ter sido atualizado. O FTP é um protocolo muito interessante para se trabalhar, apesar das inconveniências (duas portas de conexão, dois modos de operação...). Com o HTTP/1.1 a coisa melhorou bastante como alternativa, mas ainda há muitos clientes que não suportam o protocolo ou não tratam as extensões corretamente (sem falar em servidores HTTP que não implementam a versão 1.1 do protocolo -- e olha que isso vem desde julho de 1999...). Pois é... a IEEE e o IETF fazem tantas frentes de trabalho e até agora não vi nenhum esforço sincero pra mudar essa situação. Daqui a pouco a gente vai estar usando IPV6 com FTP ! =D -- No stupid signatures here. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Famoso firewall do BSD
On 2/9/07, c0re dumped [EMAIL PROTECTED] wrote: Você está fazendo errado. Eu coloco no arquivo de regras e depois faço copypaste para executar o comando instalando as novas regras. Eu uso todas as regras numeradas, segundo um contexto, para que eu possa inserir regras no meio das regras sem qualquer dificuldade. root:maquina[3081] ipfw show | wc 1106 16347 107991 Sim, eu tenho muitas regras, sendo que mais de de 800 delas são geradas por um script. Elas são as regras de estatística por usuário. Eu acrescento regras no meio destas sem qualquer dificuldade. No outro dia tive que fazer uma mudança média. EU tive que deletar 4 regras, colocá-las de novo com números novos, colocar mais uma count, para servir de regra inócua, e depois colocar 2 regras que eram para lidar com uma exceção. Fiz isto com tudo no ar e sem reiniciar nada. Eu coloquei as 4 regras com número novo, deletei as suas versões com números antigos, criei a count e coloquei as exceções. E tudo no ar. Fiz a mudança no arquivo antes. João Rocha, heheheheheheheh Mas é justamente *todo* esse processo que considero nada prático no IPFW. No pf vc mexe somento com o arquivo de configuração. Adiciona, altera ou elimina uma(s) regra(s) e manda um pfctl -f /etc/pf.conf. Pronto. Opcionalmente voce pode trabalhar apenas com alguns objetos na memória, mas o mais simples (e prático) é default no PF. Não precisa verificar numero de regra, trocar numero de regra (até pq o PF não trabalha com esse conceito o q considero uma vantagem) ... bem mais simples, pelo menos ao meu ver. Quanto ao NAT, acho bem mais confortável manipular isso em uma regra no próprio firewall (que no final das contas é quem faz tudo mesmo) do que ter q mexer em um outro arquivo de configuração, com um outro processo trabalhando com essas regras de NAT. root:maquina[3104] wc natd.conf 21379296 89295 natd.conf Este é o tamanho do meu natd.conf. E boa parte dele é gerada por scripts que rodam no boot. Cada cliente do provedor, exceto discado, tem um IP externo. A minha principal queixa é nao poder fazer um kill -1 nele para reler o arquivo de configuração. João Rocha. Mas enfim, cada um tem sua ferramenta preferida e o ipfw é um firewall muito bom também. Quanto ao iptables, me desculpe o pessoal do linux, mas é uma ferramenta inviável de se usar de forma eficitente no dia a dia. []'s -- No stupid signatures here. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Sempre se apanha mais com as menores besteiras. Experiência própria. [EMAIL PROTECTED] [EMAIL PROTECTED] http://www.goffredo.eti.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Famoso firewall do BSD
Eu gostaria de colocar uma opnião sobre PF + ftp. Vejo muita gente tendo dificuldades para acessar ftp usando o nat do PF. Eu tenho um servidor ftp (rodando proftp) em um ambiente DMZ, para esse ftp funcionar em modo passivo, eu somente adicionei uma configuração no proftp e para meus clientes acessarem ftps externo usando nat, não tive NENHUM problema, todos usam em modo passivo e não utilizo ftp-proxy ou qualquer outra coisa. Gosto muito do PF, fácil de usar e tem um controle de banda (altq) maravilhoso. Abraços -- Gilberto Villani Brito System Administrator Londrina - PR gilbertovb(a)gmail.com On 09/02/07, c0re dumped [EMAIL PROTECTED] wrote: O que eu vejo no PF que é, me desculpem a palavra, um cocô é ter que utilizar ftp proxy ... Nunca consegui colocar para funcionar o modo passivo e ativo simultaneamente, tanto com o ftp-proxy, pftpx, etc ... []s Sim, é um saco, mas é bem mais seguro que abrir portas altas pra permitir conexoes tcp de clientes atras do firewall. Além disso o ftp-proxy é na verdade, o próprio pftpx. Mas isso não é uma limitação de firewalls, é uma limitação do protocolo, que já deveria ter sumido há muito tempo da internet moderna. []'s -- No stupid signatures here. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Famoso firewall do BSD
O trem é tão doido Que se vc tem 3 placas de rede E mandar o iptables fazer o tal do Nat (sei La o que -J DNAT) Ele simplesmente ignora o roteamento e soca um nat em tudo... :| A sintaxe não irei comentar... depois dizem que fzer acl em cisco é difícil... Concordo em genero, numero e grau contigo. Tentei aprender a lógica, mas é incrivel, o pessoal do netfilter consegue complicar o que é simples de se entender. Já ouvi falar que tinha alguém querendo migrar o iptables para o FreeBSD, mas não sei como está o projeto, e isto faz alguns anos. espero que jamais aconteça uma atrocidade dessas.. a sintaxe daquilo lá (no linux) é o próprio c* do peru.. não dá pra entender como alguém gosta daquilo. Apesar que, pensando bem, besouros comem o que comem e gostam, então pra quem gosta, um prato cheio. Colocando em execussao um plano pra popularizacao do Linux na asia, a sintaxe do netfilter esta sendo alterada. Um exemplo de como sera uma regra avancada usando mangle e mark com chains personalizadas: iptables -를 3 -한 NAT -후 20 -컴 90 --파일을=2139 -하면 $my_chain -t 軋布機 --集合-標記 1 Decidiram por essa nova sintaxe porque (1) nao faria diferença para os usuários atuais, já que caracter é caracter, e (2) o uso de alfabetos orientais mixtos encorajaria (psicológicamente) a popularização da ferramenta na ásia, em especial Korea e China. Dizem alguns que o motivo verdadeiro é que o autor do iptables/netfilter, Rusty Russell, arrumou uma (sua primeira) namorada, e ela eh a korena Cho: http://www.dahl.com/weblog/images/cho.jpg gatissima... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Famoso firewall do BSD
Em 09/02/07, Eduardo Meyer[EMAIL PROTECTED] escreveu: O trem é tão doido Que se vc tem 3 placas de rede E mandar o iptables fazer o tal do Nat (sei La o que -J DNAT) Ele simplesmente ignora o roteamento e soca um nat em tudo... :| A sintaxe não irei comentar... depois dizem que fzer acl em cisco é difícil... Concordo em genero, numero e grau contigo. Tentei aprender a lógica, mas é incrivel, o pessoal do netfilter consegue complicar o que é simples de se entender. Já ouvi falar que tinha alguém querendo migrar o iptables para o FreeBSD, mas não sei como está o projeto, e isto faz alguns anos. espero que jamais aconteça uma atrocidade dessas.. a sintaxe daquilo lá (no linux) é o próprio c* do peru.. não dá pra entender como alguém gosta daquilo. Apesar que, pensando bem, besouros comem o que comem e gostam, então pra quem gosta, um prato cheio. Colocando em execussao um plano pra popularizacao do Linux na asia, a sintaxe do netfilter esta sendo alterada. Um exemplo de como sera uma regra avancada usando mangle e mark com chains personalizadas: iptables -를 3 -한 NAT -후 20 -컴 90 --파일을=2139 -하면 $my_chain -t 軋布機 --集合-標記 1 Decidiram por essa nova sintaxe porque (1) nao faria diferença para os usuários atuais, já que caracter é caracter, e (2) o uso de alfabetos orientais mixtos encorajaria (psicológicamente) a popularização da ferramenta na ásia, em especial Korea e China. Dizem alguns que o motivo verdadeiro é que o autor do iptables/netfilter, Rusty Russell, arrumou uma (sua primeira) namorada, e ela eh a korena Cho: http://www.dahl.com/weblog/images/cho.jpg gatissima... - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd iptables pra mim e monte de lixo coom aqueleas regras cheia de frescura que lixo. uma coisa mais chique ipfw+pf. -- Alessandro de Souza Rocha Administrador de Redes e Sistemas Freebsd-BR User #117 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Famoso firewall do BSD
Sabe o que eu acho mais engraçado no iptables O trem é tão doido Que se vc tem 3 placas de rede E mandar o iptables fazer o tal do Nat (sei La o que -J DNAT) Ele simplesmente ignora o roteamento e soca um nat em tudo... :| Já passei raiva com isto Do tipo um proxy com placa 200.x.x.x e rede interna 10.0.0.0/24 Daí colocava uma 3a placa com ip 10.0.1.0/24 Misteriosamente a rede 0.0/24 não via a 1.0/24, as vezes só o ping funcionava... Depois de muito apanhar fui descobrir que o tal iptables manipulava os pacotes mesmo tendo uma rota antes, que teoricamente deveria ser respeitada. Ou seja, não tem o conceieto ipfw add divert Nat all from any to any via interface_externa Ele joga tudo no nat Isto é terrível :| A sintaxe não irei comentar... depois dizem que fzer acl em cisco é difícil... Quem entender COMPLETAMENTE a sintaxe dessa ferramenta exótica é capaz de compilar em assembly o Windows vista com os olhos vendados :) -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Matheus Lamberti Enviada em: quinta-feira, 8 de fevereiro de 2007 11:49 Para: Lista Brasileira de Discussão sobre FreeBSD Assunto: Re: [FUG-BR] Famoso firewall do BSD Concordo em genero, numero e grau contigo. Tentei aprender a lógica, mas é incrivel, o pessoal do netfilter consegue complicar o que é simples de se entender. --- irado furioso com tudo [EMAIL PROTECTED] wrote: Em Thu, 8 Feb 2007 11:14:32 -0200 Joao Rocha Braga Filho [EMAIL PROTECTED] escreveu: Já ouvi falar que tinha alguém querendo migrar o iptables para o FreeBSD, mas não sei como está o projeto, e isto faz alguns anos. espero que jamais aconteça uma atrocidade dessas.. a sintaxe daquilo lá (no linux) é o próprio c* do peru.. não dá pra entender como alguém gosta daquilo. Apesar que, pensando bem, besouros comem o que comem e gostam, então pra quem gosta, um prato cheio. -- flames /dev/null saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free ou locupletamo-nos todos ou instaure-se a moralidade (barão de itararé) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Matheus Lamberti de Abreu http://matheuslamberti.blogspot.com (novo blog!) Viver é algo tão espantoso que sobra pouco tempo para qualquer outra coisa. (Emily Dickinson) ___ _ The fish are biting. Get more visitors on your site using Yahoo! Search Marketing. http://searchmarketing.yahoo.com/arp/sponsoredsearch_v2.php - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Famoso firewall do BSD
Ola, No FreeBSD voce pode usar tres firewalls: ipfw: o nativo pf: portado do OpenBSD ipfilter: Ja' trabalhei com os tres. Pela experiencia que tive, jamais voltarei o usar o ipfilter. Por que o pf e' um ipfilter muito melhor. Minha sugestao e' voce comparar as funcionalidades do ipfw e do pf. Ambos tem vantagens e desvantagens. Dependendo da aplicacao um deles vai ser a melhor escolha. Durante muito tempo trabalhei com o ipfw. Mas, como nao consegui resolver alguns problemas com nat, larguei mao e sinceramente nao estava com disposicao para descobrir o problema. Atualmente uso somente o pf porque ele faz tudo que eu preciso, sintaxe muito simples, nat excelente, controle de banda embutido (ou seja, voce nao precisa de adicionais para fazer isto), com anchor, macros, tabelas e listas voce faz a festa, posso trabalhar com OpenBSD e FreeBSD usando o mesmo firewall, ainda tem o suporte do fwbuilder para quem gosta de mouse. Como ve a lista e' longa. Mas, como eu disse depende do que voce vai fazer e de como se adapta. Eu me adaptei muito bem ao pf, assim como outros se adaptam ou preferem o ipfw. flames /dev/null (by irado) Boa sorte Dilson ___ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Famoso firewall do BSD
por acaso vc estava adicionando a regra na tabela PREROUTING? ehehhe On 2/8/07, Renato Frederick [EMAIL PROTECTED] wrote: Sabe o que eu acho mais engraçado no iptables O trem é tão doido Que se vc tem 3 placas de rede E mandar o iptables fazer o tal do Nat (sei La o que -J DNAT) Ele simplesmente ignora o roteamento e soca um nat em tudo... :| Já passei raiva com isto Do tipo um proxy com placa 200.x.x.x e rede interna 10.0.0.0/24 Daí colocava uma 3a placa com ip 10.0.1.0/24 Misteriosamente a rede 0.0/24 não via a 1.0/24, as vezes só o ping funcionava... Depois de muito apanhar fui descobrir que o tal iptables manipulava os pacotes mesmo tendo uma rota antes, que teoricamente deveria ser respeitada. Ou seja, não tem o conceieto ipfw add divert Nat all from any to any via interface_externa Ele joga tudo no nat Isto é terrível :| A sintaxe não irei comentar... depois dizem que fzer acl em cisco é difícil... Quem entender COMPLETAMENTE a sintaxe dessa ferramenta exótica é capaz de compilar em assembly o Windows vista com os olhos vendados :) -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Matheus Lamberti Enviada em: quinta-feira, 8 de fevereiro de 2007 11:49 Para: Lista Brasileira de Discussão sobre FreeBSD Assunto: Re: [FUG-BR] Famoso firewall do BSD Concordo em genero, numero e grau contigo. Tentei aprender a lógica, mas é incrivel, o pessoal do netfilter consegue complicar o que é simples de se entender. --- irado furioso com tudo [EMAIL PROTECTED] wrote: Em Thu, 8 Feb 2007 11:14:32 -0200 Joao Rocha Braga Filho [EMAIL PROTECTED] escreveu: Já ouvi falar que tinha alguém querendo migrar o iptables para o FreeBSD, mas não sei como está o projeto, e isto faz alguns anos. espero que jamais aconteça uma atrocidade dessas.. a sintaxe daquilo lá (no linux) é o próprio c* do peru.. não dá pra entender como alguém gosta daquilo. Apesar que, pensando bem, besouros comem o que comem e gostam, então pra quem gosta, um prato cheio. -- flames /dev/null saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free ou locupletamo-nos todos ou instaure-se a moralidade (barão de itararé) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Matheus Lamberti de Abreu http://matheuslamberti.blogspot.com (novo blog!) Viver é algo tão espantoso que sobra pouco tempo para qualquer outra coisa. (Emily Dickinson) ___ _ The fish are biting. Get more visitors on your site using Yahoo! Search Marketing. http://searchmarketing.yahoo.com/arp/sponsoredsearch_v2.php - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- André Sencioles [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Famoso firewall do BSD
Em 08/02/07, Renato Frederick[EMAIL PROTECTED] escreveu: Sabe o que eu acho mais engraçado no iptables O trem é tão doido Que se vc tem 3 placas de rede E mandar o iptables fazer o tal do Nat (sei La o que -J DNAT) Ele simplesmente ignora o roteamento e soca um nat em tudo... :| Já passei raiva com isto Do tipo um proxy com placa 200.x.x.x e rede interna 10.0.0.0/24 Daí colocava uma 3a placa com ip 10.0.1.0/24 Misteriosamente a rede 0.0/24 não via a 1.0/24, as vezes só o ping funcionava... Depois de muito apanhar fui descobrir que o tal iptables manipulava os pacotes mesmo tendo uma rota antes, que teoricamente deveria ser respeitada. Ou seja, não tem o conceieto ipfw add divert Nat all from any to any via interface_externa Ele joga tudo no nat Isto é terrível :| A sintaxe não irei comentar... depois dizem que fzer acl em cisco é difícil... Quem entender COMPLETAMENTE a sintaxe dessa ferramenta exótica é capaz de compilar em assembly o Windows vista com os olhos vendados :) -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Matheus Lamberti Enviada em: quinta-feira, 8 de fevereiro de 2007 11:49 Para: Lista Brasileira de Discussão sobre FreeBSD Assunto: Re: [FUG-BR] Famoso firewall do BSD Concordo em genero, numero e grau contigo. Tentei aprender a lógica, mas é incrivel, o pessoal do netfilter consegue complicar o que é simples de se entender. --- irado furioso com tudo [EMAIL PROTECTED] wrote: Em Thu, 8 Feb 2007 11:14:32 -0200 Joao Rocha Braga Filho [EMAIL PROTECTED] escreveu: Já ouvi falar que tinha alguém querendo migrar o iptables para o FreeBSD, mas não sei como está o projeto, e isto faz alguns anos. espero que jamais aconteça uma atrocidade dessas.. a sintaxe daquilo lá (no linux) é o próprio c* do peru.. não dá pra entender como alguém gosta daquilo. Apesar que, pensando bem, besouros comem o que comem e gostam, então pra quem gosta, um prato cheio. -- flames /dev/null Tá bem vou me arriscar a falar... heuaheua Aqui na empresa tem um firewall rodando com o netfilter. To projetando uma DMZ pra cá... Montei toda ela em iptables. Mesmo que a sintaxe dele seja ruim, péssima, terrível eu to habituado.. estou até pensando em compilar o Vista em assembly, =) nem eu sabia q tinha pontecial pra tanto =) E eu até gostava dele... mas assim... sabe quando você só conhece uma ferramenta e acha ela boa? se adapata com ela, por mais ruim que ela seja?! pois é.. por não conhecer outra coisa acabei aprendendo... Vou fazer o seguinte, vou aprender a usar o IPFW e depois eu volto e conto minha experiência de vida! Dou meu testemunho!!! hehe Serei sincero... Sobre o BSD ser usado pela nasa está no link abaixo. Encontrei quando estava procurando motivos pra mudar: http://www.4linux.com.br/treinamento/texto_mkt_439.php e http://www.4linux.com.br/noticias/detalheNoticia.php?id=138 Att. Lutieri G. B. Assessoria de TI - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Famoso firewall do BSD
Em 08/02/07, Lutieri G.[EMAIL PROTECTED] escreveu: Em 08/02/07, Renato Frederick[EMAIL PROTECTED] escreveu: Sabe o que eu acho mais engraçado no iptables O trem é tão doido Que se vc tem 3 placas de rede E mandar o iptables fazer o tal do Nat (sei La o que -J DNAT) Ele simplesmente ignora o roteamento e soca um nat em tudo... :| Já passei raiva com isto Do tipo um proxy com placa 200.x.x.x e rede interna 10.0.0.0/24 Daí colocava uma 3a placa com ip 10.0.1.0/24 Misteriosamente a rede 0.0/24 não via a 1.0/24, as vezes só o ping funcionava... Depois de muito apanhar fui descobrir que o tal iptables manipulava os pacotes mesmo tendo uma rota antes, que teoricamente deveria ser respeitada. Ou seja, não tem o conceieto ipfw add divert Nat all from any to any via interface_externa Ele joga tudo no nat Isto é terrível :| A sintaxe não irei comentar... depois dizem que fzer acl em cisco é difícil... Quem entender COMPLETAMENTE a sintaxe dessa ferramenta exótica é capaz de compilar em assembly o Windows vista com os olhos vendados :) -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Matheus Lamberti Enviada em: quinta-feira, 8 de fevereiro de 2007 11:49 Para: Lista Brasileira de Discussão sobre FreeBSD Assunto: Re: [FUG-BR] Famoso firewall do BSD Concordo em genero, numero e grau contigo. Tentei aprender a lógica, mas é incrivel, o pessoal do netfilter consegue complicar o que é simples de se entender. --- irado furioso com tudo [EMAIL PROTECTED] wrote: Em Thu, 8 Feb 2007 11:14:32 -0200 Joao Rocha Braga Filho [EMAIL PROTECTED] escreveu: Já ouvi falar que tinha alguém querendo migrar o iptables para o FreeBSD, mas não sei como está o projeto, e isto faz alguns anos. espero que jamais aconteça uma atrocidade dessas.. a sintaxe daquilo lá (no linux) é o próprio c* do peru.. não dá pra entender como alguém gosta daquilo. Apesar que, pensando bem, besouros comem o que comem e gostam, então pra quem gosta, um prato cheio. -- flames /dev/null Tá bem vou me arriscar a falar... heuaheua Aqui na empresa tem um firewall rodando com o netfilter. To projetando uma DMZ pra cá... Montei toda ela em iptables. Mesmo que a sintaxe dele seja ruim, péssima, terrível eu to habituado.. estou até pensando em compilar o Vista em assembly, =) nem eu sabia q tinha pontecial pra tanto =) E eu até gostava dele... mas assim... sabe quando você só conhece uma ferramenta e acha ela boa? se adapata com ela, por mais ruim que ela seja?! pois é.. por não conhecer outra coisa acabei aprendendo... Vou fazer o seguinte, vou aprender a usar o IPFW e depois eu volto e conto minha experiência de vida! Dou meu testemunho!!! hehe Serei sincero... Sobre o BSD ser usado pela nasa está no link abaixo. Encontrei quando estava procurando motivos pra mudar: http://www.4linux.com.br/treinamento/texto_mkt_439.php e http://www.4linux.com.br/noticias/detalheNoticia.php?id=138 Att. Lutieri G. B. Assessoria de TI - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Aproveitando este topico e tambem a dica de um de nossos colegas falando sobre o PF, alguem ai sabe se tem algum tutorial/livro/qualquer coisa, em Portugues na Internet ou para comprar em algum lugar? Ja me falaram muito bem mesmo do PF, mas estive vendo alguns exemplos de configuracao e fiquei meio assustado com o que vi!!! hehehe Se alguem souber de algo. Abracao a todos... Bertolim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Famoso firewall do BSD
On 2/8/07, Cleyton Bertolim [EMAIL PROTECTED] wrote: falando sobre o PF, alguem ai sabe se tem algum tutorial/livro/qualquer coisa, em Portugues na Internet ou para comprar em algum lugar? Serve online? http://www.openbsd.org/faq/pf/pt/index.html - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Famoso firewall do BSD
Em Thu, 8 Feb 2007 13:39:31 -0200 Lutieri G. [EMAIL PROTECTED] escreveu: Vou fazer o seguinte, vou aprender a usar o IPFW e depois eu volto e conto minha experiência de vida! Dou meu testemunho!!! hehe Serei sincero... não deixe de ver o PF.. eu usei os três e, embora a curva de aprendizado seja mais íngreme, não tem comparação com a confusão do iptables.. básico: em 30 regras vc tem MAIS do que em 130 do iptables.. e mais eficiente, uma vez que roteamento, balanceamento de links, QoS (é assim que chamam, lá?) é indolor.. completamnete indolor -- flames /dev/null saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free ou locupletamo-nos todos ou instaure-se a moralidade (barão de itararé) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Famoso firewall do BSD
Em minha humilde opinião: OpenBSD + PF. Trabalhei com o ipfw e sinceramente, você ter que usar divert pras regras de nat é muito chato. No PF o nat é feito dentro dele mesmo, ao invés de direcioná-lo a um processo externo. Outra, quando você tem que carregar uma regra nova no ipfw, todas as regras são descarregadas e carregadas novamente, o que, dependendo to tamanho dos arquivos de regra do teu firewall, pode ser bem chato. No PF você pode manipular objetos (adicionar, remover, alterar) on the fly. ;) Sem contar que a sintaxe do PF é, em minha opinião, a mais elegante, clara e fácil de entender. Tentei estudar iptables, mas a sintaxe é muito complicada... se você ficar um dia sem mexer nas regras de um firewall com iptables, quando tem que trabalhar com ele vem sempre a pergunta O que que isso faz mesmo? heheheheh. Uma das coisas que mais prezo em ferramentas que lidam com segurança é a facilidade de uso. Quando o negócio é muito complicado pras coisas simples, os erros tendem a surgir logo. Atualmente estou começando a mexer com FW-1 (comercial). Ele tem muitas características boas, mas - como quase todo produto comercial - tem umas coisas que achei desnecessariamente complicadas, mas no geral é um bom firewall. []'s -- No stupid signatures here. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
