El Lunes, 21 de Febrero de 2005 04:32, miausX escribió:
El caso es que, como dije, para gustos los colores. Charla con cualquier sysadmin de BSD (en general, no entro en cual de ellos) y estoy seguro de que te recomendarán que uses algo totalmente distinto. Basándome en mi experiencia lo que suelen recomendar es PF, quizá alguno se incline por IPFW... "Fans" de IPF conozco más bien poquitos.
* Estas hablando con un sysadmin de BSD, participo en varias listas de BSD y recomiendo que en cada sistema se use el netfilter nativo, pero hay cosas que no se pueden hacer con el netfilter de OpenBSD ni con el de Free, por que sencillamente aun no estan implementadas, ya lo estaran o no, depende de sus desarrolladores y es probable que se implementen cosas en ellos antes que en iptables aunque lo dudo por su desarrollo, si vas a hacer colas y balanceo ya te daras cuenta que solo pueden ser colas estaticas, iptables recibe no menos de decena de contribuciones mensuales, lease la lista de netfilter.
- Cada uno recomienda lo que usa, es decir, lo que mejor conoce y lo que mejor le funciona *a él*. Lo que no convierte esa aplicación en la más adecuada/facil para ti.
* En las recomendaciones tecnicas no tienen cabida los gustos personales, si tienes una maquina antigua y quieres que ejerza de router o gateway, te recomiendo openBSD, si tienes un servidor publico ftp con miles de conexiones concurrentes, te recomiendo un FreeBSD por mejor performance, para otras muchas cosas te recomendare linux y en todos los casos, se pueden sustituir para cualquier funcion unos con otros de forma digna.
Mientras tanto, iré leyendo sobre IPF y PF. Estoy casi seguro de que los infravaloras y que tienen mucho que ofrecer. Tanto o más que iptables (huy... Eso último si que parecía el inicio de un flame ;-))
* No estoy infravalorando, te estoy diciendo que pf y menos ipf no pintan nada actualmente en linux, y si en BSD. * En cuanto a lo de la complejidad, tampoco estoy de acuerdo con tendencias, un cortafuegos con filtrado inteligente de paquetes y su contenido a nivel de kernel tiene un manejo complejo, no puede ser de otra manera, has de auditar, cabeceras, contenidos, tamaños, etc, o sabes esto o no, o lo auditas o no, una interfaz grafica solo te servira, para cierro-abro y redirijo puertos, para una red minimamente compleja no te sirve para nada, tendras que mojarte. * Si a alguien le preguntan si es facil encender la luz te dira que si, dara al interruptor y se encendera la bombilla, este problema es complejo y se ha resuelto "estaticamente" de forma compleja, se ha contruido un pantano, se han diseñado unas turbinas, se ha tendido un red de miles de kilometros de alta tension, subestaciones, transformadores, lineas de baja tension, se ha tendido una red electrica por tu casa, ¿se ha resuelto el problema? NO por que sigue siendo complejo, si vas al campo o te llevas una linterna o no veras, por que alli no hay ni lineas ni interruptor. * Y por cierto para interfaz simple y bastante potente SuSEfirewall2, mirate el fichero de configuracion /etc/sysconfig/SuSEfirewall2 y veras que es el mecanismo de un botijo.