Mailinglist Archive: opensuse-es (1350 mails)

< Previous Next >
Re: [suse-linux-s] IPFilter en SuSE
  • From: jose maria <letrados@xxxxxxxxxxx>
  • Date: Fri, 18 Feb 2005 18:43:30 +0100
  • Message-id: <200502181843.42046.letrados@xxxxxxxxxxx>
El Viernes, 18 de Febrero de 2005 01:23, Manuel HA escribió:

> Tras probar FreeBSD, NetBSD y Solaris (y estoy seguro de que OpenBSD
> también está en la lista) he observado que el cortafuegos "IPFilter" está
> disponible en todos ellos. De hecho, a excepción de OpenBSD que con su PF
> deja en bragas a cualquier bicho que se le ponga por delante, creo que
> IPFilter es el firewall recomendado en el resto de los SO que comento.
>

* ¿ A quien deja en bragas? no sera a iptables verdad, mania que tiene la
gente con descubrir la polvora cada dos meses, OpenBSD es y lo ha sido
siempre, un nucleo con una docena de paquetes en la instalacion por defecto,
ni siquiera instala un servidor de correo, el hecho de que el hardware
enrutador propietario incorpore derivados de estos S.O. es que su licencia
permite cerrar el codigo, pero ni siquiera esta caracteristica esta pudiendo
hacer frente a iptables, cada dia son mas los que incorporan linux+iptables,
de hecho los que tengan adsl con routers modernos, wireless o no, es probable
que el S.O. empotrado sea un linux con iptables, la mayoria de los que
incorporan cortafuegos.

> El tema es que tras leerme el howto "oficial" de IPFilter me quedé prendado
> de él. Es casi como hablar con el programa, no una lista de opciones como
> iptables. Vaya, que me pareció más potente y más sencillo e intuitivo,
> aunque he de confesar que hace meses que no leo la man de iptables y con
> cada nueva versión trae nuevas características; así que puede que las
> cosillas que me han llamado la atención de IPFilter ya las soporte iptables
> :-)

* El asunto es al reves, iptables es la pieza de software mas importante y
potente, de hay su complegidad, en materia de seguridad de todas las
existentes, se puede hacer casi cualquier cosa que yo conozca y muchas mas de
las que no conozco, tcp/ip, ospf, bgp y en genral los protocolos de
comunicaciones en redes de area extensa son variados y complejos, muy
complejos y en cuanto a la facilidad vuelvo a repetir lo mismo, para
solucionar problemas complejos SOLO hay soluciones complejas, si la solucion
es facil es que el problema no era complejo, otra cosa es que a ti te de esa
sensacion, intenta con pf montar encaminadores para enlaces wan de sitios de
respaldo con balanceo de carga por varias interfaces y colas de retrarso con
prestamo de ancho de banda entre ellas, con priorizacion por pesos, origenes,
destinos, protocolos, aplicaciones, etc.. y veras que risa,
independientemente de esto unos toman soluciones de otros, que para eso son
S.O. de codigo abierto.

* Para implementar un cortafuegos con media docena de reglas para una
instalacion casera, o una empresa con un servidor web y un ftp, vale casi
cualquier cosa, y con pf, iptables o lo que sea son media docena de lineas y
para no dar ningun servicio, aparte de las lineas de definicion de la
politica por defecto son dos reglas, la de reenvio si hay mas maquinas y la
del trafico establecido o relacionado.

* Si es probable que distintos bsd's incorporen iptables o derivados de hecho
hay betas para algunos y lo recomendable es usar el netfilter soportado
oficialmente o nativo de cada uno, en esto las pruebas con gaseosa.

* Para no iniciar flames, hay que informarse y leer bastante mas que un
articulo u opiniones interesadas, puedes empezar por los protocolos de
comunicaciones de Tanenbaun, Linux Advanced Routing and Trafic Control y
algun tutorial de iptables el de Andreasson o Andrew Morton, cuando tengas
eso claro, si quieres hablamos de pf, ipfilter e iptables, mientras tanto y
desde la retrospectiva de 25 años, desde que empece a tratar con "cabezones"
y "lavadoras" tambien conocidos como VAX, permiteme que no tome en
consideracion desprenderme de iptables.




< Previous Next >
Follow Ups
References