tankistua
Gold Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Hi all. В очередной раз решил поиграться с фаерволами в фре и может быть найти самый лучший [ipfw] во фре именуется firewall-ом, что можно трактовать рекомендацией к выбору фаервола. Сие желание было навеяно появлением в 7-ке FIREWALL_NAT. Предназначено это, как не сложно догадаться, для нат-а средствами ipfw. Учитывая то, что ipfw работает на уровне ядра выгоды от работы нат-а на уровне ядра очевидны - скорость, меньше нагрузка - соответственно больше пропускная способность. Подозреваю, что это какая-то надстройка над нетграфом - по-мимо FIREWALL_NAT надо еще и LIBALIAS Скомпилил, поставил, настроил в соответствии с инструкцией (если скудные данные из мана можно назвать инструкцией :) . Работает в общем, нагрузку не проверял. Как работает понять можно в общих чертах. Документации практически нет, информации расширенной тоже практически нет. nat в ipfw уже ну очень давно просился, так что данная ситуация не может не радовать. Резюме: в работе ipfw ничего не изменилось - это было предсказуемо. Нат сырой - на продакшине использовать рано. [ipfilter] какое-то время держал в системе ipfw & ipfilter . Первый использовал непосредственно для фильтрации трафика , второй - от второго использовал только ipnat. Позже полностью перешел на фильтрацию трафика ipfilter-ом. Большой минус - нет шейпера. У меня иногда возникает необходимость его использовать поэтому ipfw опять оказался необходим. Понравилось, что когда перегружаешь правила в фаерволе, цепочки нат-а не обрываются, потому что нат в ipfilter-е отдельно. из минусов - у него какая-то эпопея с лицензией, очень возможно что его из фри когда-нибудь уберут. В openbsd его уже нет. [pf] был самым последним из тестируемых - оказался самым полным функционально. Внутри нат, внутри шейпер-а, причем выбор очередей просто огромен. Синтаксис очень похож на синтаксис ipfilter-а , при чем на столько, что даже особо привыкать после ipfilter-а не пришлось. На текущий момент на нем и остаюсь. Фаервол для опенбсд - самой безопасной BSD-операционки ( это не я сказал :) В общем pf самый гибкий - как на меня. Правда надо переходить на использование таблиц, потому что при перезагрузке правил сбрасываются все соединения. Вообще самый лучший принцип загрузки правил реализован в ipfw - фаервол в кернеле выключается, потом удаляются старые правила и загружаются новые, фаервол включается. З.Ы. у всех фаерволов проблемно реализуется нат для проброса gre - этот протокол используется для впн-соединения с pptp-сервером. Каждый выкручивается как может - я спрятал сервер за роутер wrt54gl c линуксом на борту . Радует только, что только в одном месте мне это понадобилось сделать и то из-за кривого клиент-банка. |