El Viernes, 18 de Febrero de 2005 01:23, Manuel HA escribió:
Tras probar FreeBSD, NetBSD y Solaris (y estoy seguro de que OpenBSD también está en la lista) he observado que el cortafuegos "IPFilter" está disponible en todos ellos. De hecho, a excepción de OpenBSD que con su PF deja en bragas a cualquier bicho que se le ponga por delante, creo que IPFilter es el firewall recomendado en el resto de los SO que comento.
* ¿ A quien deja en bragas? no sera a iptables verdad, mania que tiene la gente con descubrir la polvora cada dos meses, OpenBSD es y lo ha sido siempre, un nucleo con una docena de paquetes en la instalacion por defecto, ni siquiera instala un servidor de correo, el hecho de que el hardware enrutador propietario incorpore derivados de estos S.O. es que su licencia permite cerrar el codigo, pero ni siquiera esta caracteristica esta pudiendo hacer frente a iptables, cada dia son mas los que incorporan linux+iptables, de hecho los que tengan adsl con routers modernos, wireless o no, es probable que el S.O. empotrado sea un linux con iptables, la mayoria de los que incorporan cortafuegos.
El tema es que tras leerme el howto "oficial" de IPFilter me quedé prendado de él. Es casi como hablar con el programa, no una lista de opciones como iptables. Vaya, que me pareció más potente y más sencillo e intuitivo, aunque he de confesar que hace meses que no leo la man de iptables y con cada nueva versión trae nuevas características; así que puede que las cosillas que me han llamado la atención de IPFilter ya las soporte iptables :-)
* El asunto es al reves, iptables es la pieza de software mas importante y potente, de hay su complegidad, en materia de seguridad de todas las existentes, se puede hacer casi cualquier cosa que yo conozca y muchas mas de las que no conozco, tcp/ip, ospf, bgp y en genral los protocolos de comunicaciones en redes de area extensa son variados y complejos, muy complejos y en cuanto a la facilidad vuelvo a repetir lo mismo, para solucionar problemas complejos SOLO hay soluciones complejas, si la solucion es facil es que el problema no era complejo, otra cosa es que a ti te de esa sensacion, intenta con pf montar encaminadores para enlaces wan de sitios de respaldo con balanceo de carga por varias interfaces y colas de retrarso con prestamo de ancho de banda entre ellas, con priorizacion por pesos, origenes, destinos, protocolos, aplicaciones, etc.. y veras que risa, independientemente de esto unos toman soluciones de otros, que para eso son S.O. de codigo abierto. * Para implementar un cortafuegos con media docena de reglas para una instalacion casera, o una empresa con un servidor web y un ftp, vale casi cualquier cosa, y con pf, iptables o lo que sea son media docena de lineas y para no dar ningun servicio, aparte de las lineas de definicion de la politica por defecto son dos reglas, la de reenvio si hay mas maquinas y la del trafico establecido o relacionado. * Si es probable que distintos bsd's incorporen iptables o derivados de hecho hay betas para algunos y lo recomendable es usar el netfilter soportado oficialmente o nativo de cada uno, en esto las pruebas con gaseosa. * Para no iniciar flames, hay que informarse y leer bastante mas que un articulo u opiniones interesadas, puedes empezar por los protocolos de comunicaciones de Tanenbaun, Linux Advanced Routing and Trafic Control y algun tutorial de iptables el de Andreasson o Andrew Morton, cuando tengas eso claro, si quieres hablamos de pf, ipfilter e iptables, mientras tanto y desde la retrospectiva de 25 años, desde que empece a tratar con "cabezones" y "lavadoras" tambien conocidos como VAX, permiteme que no tome en consideracion desprenderme de iptables.