jose maria wrote:
* ¿ A quien deja en bragas? no sera a iptables verdad, mania que tiene la gente con descubrir la polvora cada dos meses, OpenBSD es y lo ha sido siempre, un nucleo con una docena de paquetes en la instalacion por defecto, ni siquiera instala un servidor de correo, el hecho de que el hardware enrutador propietario incorpore derivados de estos S.O. es que su licencia permite cerrar el codigo, pero ni siquiera esta caracteristica esta pudiendo hacer frente a iptables, cada dia son mas los que incorporan linux+iptables, de hecho los que tengan adsl con routers modernos, wireless o no, es probable que el S.O. empotrado sea un linux con iptables, la mayoria de los que incorporan cortafuegos.
Psé, mania mania... Más bien es un hecho, quizá lo que más me gusta del mundillo Linux/BSD es que cada día descubres algo interesante, herramientas que realizan mejor una función, etc. No creo que sea malo el hecho de descubrir un buen programa y comentarlo aquí por si a alguien le interesa :-) Por cierto, yo en ningún momento he dicho que OpenBSD sea el modelo a seguir en lo que respecta a SSOO (personalmente prefiero FBSD), ya que la supuesta "super-seguridad" de la que presume se va al garete en el momento en que instalas un solo port, ya que estos no están soportados. Yo hablaba de su firewall, PF, el cual está disponible también en FreeBSD y me imagino que en NetBSD. Quién sabe si habrá una versión para Linux :-) Respecto a lo que comentas de los routers, no tengo ni idea... Se que Linksys mete en sus máquinas Linux, pero la verdad es que me importa poco si en lugar de Linux llevan BSD. Tampoco encuentro que la licencia BSD sea mala, aunque eso ya es otro tema.
* El asunto es al reves, iptables es la pieza de software mas importante y potente, de hay su complegidad, en materia de seguridad de todas las existentes, se puede hacer casi cualquier cosa que yo conozca y muchas mas de las que no conozco, tcp/ip, ospf, bgp y en genral los protocolos de comunicaciones en redes de area extensa son variados y complejos, muy complejos y en cuanto a la facilidad vuelvo a repetir lo mismo, para solucionar problemas complejos SOLO hay soluciones complejas, si la solucion es facil es que el problema no era complejo, otra cosa es que a ti te de esa sensacion, intenta con pf montar encaminadores para enlaces wan de sitios de respaldo con balanceo de carga por varias interfaces y colas de retrarso con prestamo de ancho de banda entre ellas, con priorizacion por pesos, origenes, destinos, protocolos, aplicaciones, etc.. y veras que risa, independientemente de esto unos toman soluciones de otros, que para eso son S.O. de codigo abierto.
Epa! Yo soy solo un estudiante, así que dudo mucho que de momento vaya a enfrentarme a algo de ese calibre... Aunque si la paga es buena juro que lo intentaré con PF ;-) Aún así no estoy conforme con lo que dices. Los problemas complejos cada vez tienen una solución más simple. Supongo que en determinados casos no hay más narices que dejarse la piel, pero a mi me da la impresión de que cada nueva versión de un programa trae caracteristicas que simplifican su manejo, y por lo tanto hacen la solución a un problema más sencilla. La informática y el mundo Linux/BSD trata cada vez más de acercarse a los usuarios, ya no es dominio de unos pocos elegidos y eso siempre está bien :-) De todas formas creo que o no me expliqué bien o no me entendiste; me refería a que me pareció más clara la sintaxis de las reglas en IPF (incluso en PF) que en iptables. Por supuesto, eso es algo totalmente subjetivo, sobre gustos...
* Para implementar un cortafuegos con media docena de reglas para una instalacion casera, o una empresa con un servidor web y un ftp, vale casi cualquier cosa, y con pf, iptables o lo que sea son media docena de lineas y para no dar ningun servicio, aparte de las lineas de definicion de la politica por defecto son dos reglas, la de reenvio si hay mas maquinas y la del trafico establecido o relacionado.
Si, algo así necesito yo. Eso e implementar colas (probablemente a base de AltQ) para ver si consigo mejorar un poco el uso de la línea, que nada más pones a descargar dos isos aquí no hay quien navegue :-)
* Si es probable que distintos bsd's incorporen iptables o derivados de hecho hay betas para algunos y lo recomendable es usar el netfilter soportado oficialmente o nativo de cada uno, en esto las pruebas con gaseosa.
En eso estamos de acuerdo... En tema de aplicaciones "serias" más vale no jugarsela demasiado.
* Para no iniciar flames, hay que informarse y leer bastante mas que un articulo u opiniones interesadas, puedes empezar por los protocolos de comunicaciones de Tanenbaun, Linux Advanced Routing and Trafic Control y algun tutorial de iptables el de Andreasson o Andrew Morton, cuando tengas eso claro, si quieres hablamos de pf, ipfilter e iptables, mientras tanto y desde la retrospectiva de 25 años, desde que empece a tratar con "cabezones" y "lavadoras" tambien conocidos como VAX, permiteme que no tome en consideracion desprenderme de iptables.
Para no iniciar flames basta con usar un poco la cabeza, ya que discutir por discutir no sirve de gran cosa (a parte de ponerte de mal humor). Tengo el Tanenbaum (el de Redes de Computadoras), me leí hace mucho parte del LARTC y tengo impreso en papel el manual de Oskar Andreasson. Todos ellos son documentos excelentes y un disfrute para la lectura (desgraciadamente tengo la memoria de una trucha y a los pocos días apenas recuerdo lo que leí :P) Mi experiencia con ordenadores se reduce a tres años si llega, quizá dos y medio con Linux y medio año con BSD, todo ello en PC's (x86). Con esto te quiero decir que soy relativamente nuevo en este mundillo y que dificilmente puedo tener tus conocimientos sobre un tema tan complejo, extenso y cambiante como son las redes. Te agradezco tu punto de vista y observaciones, ya que ese alegato en favor de iptables de una persona con tu experiencia dice mucho en su favor. Aún así, creo que no hice mal comentando aquí el descubrimiento que hice con IPF, ya que se ajusta bastante a lo que buscaba: un firewall para cualquier SO que instale. El caso es que, como dije, para gustos los colores. Charla con cualquier sysadmin de BSD (en general, no entro en cual de ellos) y estoy seguro de que te recomendarán que uses algo totalmente distinto. Basándome en mi experiencia lo que suelen recomendar es PF, quizá alguno se incline por IPFW... "Fans" de IPF conozco más bien poquitos. Eso nos lleva a las siguientes afirmaciones: - No existe el programa perfecto, sino libertad para elegir herramientas que se ajusten a lo que tratamos de hacer. - Cada uno recomienda lo que usa, es decir, lo que mejor conoce y lo que mejor le funciona *a él*. Lo que no convierte esa aplicación en la más adecuada/facil para ti. Mientras tanto, iré leyendo sobre IPF y PF. Estoy casi seguro de que los infravaloras y que tienen mucho que ofrecer. Tanto o más que iptables (huy... Eso último si que parecía el inicio de un flame ;-)) Hablando en serio, gracias por tomarte la molestia de responder. Lo realmente genial de esta cuestión/rivalidad/loquesea es que podemos elegir que aplicación usar, y todas ellas son excelentes y gratuitas. Un cordial saludo, Manuel.