Firewall su freebsd

Giulio Ferro auryn a zirakzigil.org
Ven 3 Feb 2006 20:39:59 CET


Ho letto qui recentemente qualche discussione su quello
che sia il firewall migliore su fbsd. Premetto che io ho sempre
e solo usato ipfw, non conosco quindi altro, e ci ho fatto un po'
di tutto.

Vorrei sapere a livello di funzionalità cos'è che si può fare con
altri prodotti che non si può fare con ipfw.

Una cosa che a _me_ piacerebbe fare sarebbe un cluster firewall
(e fin qui non dovrebbe essere difficile con ipfw e carp)
che però tenga traccia delle connessioni attive, in modo che per
esempio se uno sta facendo un ftp e cade un firewall, l'altro in
maniera trasparente gli mantiene la connessione e non deve far
riiniziare la connessione tcp.

Cosa brutta in ipfw è appunto la gestione dell'ftp. Infatti tramite
natd con la direttiva punch_fw è possibile fare ftp attivo, ma non
c'è modo di gestire quello passivo (che è quello più usato dai browser).
Sempre parlando di questo tipo di protocolli, che iniziano più connessioni
su porte scelte dinamicamente, è anche impossibile gestire il cvsup.

L'unico modo per ovviare a quanto sopra è tenere le porte alte aperte in
uscita, ma è tutt'altro che elegante e intelletualmente onesto.


Maggiori informazioni sulla lista varie