Karbantartó hiányában nem kizárt, hogy eltávolításra került az ipfilter a FreeBSD jövőbeli kiadásaiból

 ( trey | 2013. április 15., hétfő - 15:12 )

A FreeBSD jelenleg három csomagszűrő rendszerrel rendelkezik. A pf és az ipfirewall (ipfw) mellett megtalálható benne a Darren Reed-féle ipfilter (ipf) is. Gleb Smirnoff (gelbius@) szerint több probléma is van a FreeBSD-s ipfilter-rel:

  • a FreeBSD-ben egy elég régi verzió van (4.1.28-as, amely 2007. október 16-án jelent meg)
  • ennek a licence csak majdnem BSDL (BSDL-szerű, némi kiegészítéssel)
  • az ipfilter szerzője licencet váltott, az utolsó BSDL alatt kiadott verzió a v4.1.34-es (2010. március 11-én jelent meg)
  • az ipfilter szerzője jelenleg a v5-ös ágon dolgozik, ennek a licence GPL
  • egy rakás ipfilter-rel kapcsolatos bug van nyitva a GNATS-ben
  • az ipfilter(4) nem kompatibilis a VIMAGE-dzsel
  • az ipfilter(4) olyan régi, elavult kernel API-kat használ, amelyeket a fejlesztők el akarnának távolítani. A probléma, hogy nincsenek olyan aktív ipfilter felhasználók, akik hajlandóak lennének tesztelni a patcheket.

Az ipfilter szerzőjének van commit joga a FreeBSD forrásfájába, de úgy tűnik, hogy nem akar részt venni a fejlesztésben és a bugok javításában. Ráadásul a licencváltás (GPL-re) arra utal, hogy nem valószínű, hogy a jövőben ez változni fog. Ezért Smirnoff szerint a FreeBSD-nek ipfilter karbantartót kell keresnie.

Smirnoff szerint, ha nem sikerül karbantartót találniuk, akkor a helyes döntés az lenne, hogy a 10.0-RELEASE kiadása előtt eltávolítják az ipfilter(4)-t az alaprendszerből.

A flam szál itt kezdődik.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Kimaradt... Egy tervezet az ipfilter kivezetésére:

http://people.freebsd.org/~rpaulo/ipf-deprecation/article.html

--
trey @ gépház

Flameszál a flameszálban:

valóban szükségünk van három csomagszűrőre?

És egy érdekesség a pf-ről:

http://marc.info/?l=freebsd-net&m=136596427025937&w=2

--
trey @ gépház

Szerencses ember ilyen csaladnevvel...

t

Esetleg emiatt gondoltál erre?

G.
============================================
"Share what you know. Learn what you don't."

Nem, a neve miatt gondoltam, de egyebkent igen, arra.

t

az semmi, en ma talalkoztam egy Troll vezeteknevu emberrel...

A'rpi

A főiskolám TO-ján volt egy Trollné.... nomen est omen, ritka nagy tapló volt... :)

Igy elso blikkre FreeBSD-bol nehezebb valamit kivezetni, mint Debianbol, pedig az sem egy egyszeru dolog neha. :)

--
|8]

afaik ez a gpl tema egy beintes volt az oracle-nek, darren regi munkaltatojanak

--
NetBSD - Simplicity is prerequisite for reliability

Ezzel gyakorlatilag aláírta, hogy szerinte a BSDL rossz választás volt. Ha egyszer a kódját kiadta BSDL alatt, azzal elfogadta, hogy azt _bárki_ (akár a munkaadója is) felhasználhatja _bármilyen_ célra, amíg a licenc feltételeit betartja.

Ezzel nem az Oracle-lel szúrt ki, hanem a BSD-s ipfilter felhasználókkal. Bár szerintem szarik rájuk. Ha nem azt tenné, akár javíthatná is a bugokat a FreeBSD-ben.

--
trey @ gépház

szerintem ha azert fizettek, hogy ezt fejlessze, akkor mindegy milyen licenc alatt tette volna
nincsenek bsd ipfilter felhasznalok :p

--
NetBSD - Simplicity is prerequisite for reliability

Te minden BSD-s felhasználónak ismered a csomagszúrőhasználati szokásait?
Egyébként pedig van aki jobb szereti az ipfilterhez tartozó NAT-ot, mint a többi megvalósítást. Szóval ne dobják ki. Sőt, rakják mellé az npf-et (vagy mi is a NetBSD új csodájának neve).

Egyszer olyan jó lenne meghallgatni egy rendes, objektív összehasonlítást attól, hogy miket tudnak/mikben térnek el az IP és TCP/UDP szinten (direkt nem mondom, hogy hányadik layer, mert már az is eltérhet, hogy ezek mely layerek) működő tűzfalak. Sokan szidják egyiket vagy másikat ("az iptables egy ...", "a pf használhatatlan" stb.), de számomra ránézésre egykutya mind, maximum másképpen kell megfogalmazni bennük a dolgokat egy kicsit...

Az egyik problémája a fejlesztőknek az, hogy egy csomó régi, elavult dolgot nem tudnak eltávolítani a kernelből az ipfilter miatt. Szóval csak akkor szeretnék benntartani, ha lenne egy karbantartója, aki vállalja, hogy a tervek szerint a jövőben gyors ütemben változó hálózati stackhez folyamatosan hozzáigazítja az ipfilter-t. Jelenleg az ipfilter gátolja a hálózati fejlesztők munkáját.

--
trey @ gépház

Nekem a szálból éppen az jött le, hogy már régen ki akarták dobni, de mindig jöttek a "felhasználók", hogy nekik mennyire kell. Ezért nem sikerült.

"This has been discussed in the past. Every time someone came up and said "I'm still using ipfilter!" and the idea to remove it dies with it. I've been saying we should remove it for 4 years now." - rpaulo@

--
trey @ gépház

Mellesleg tudtomal az ipfilter van a Solarisban és a HP-UX-ban is. Akkor azok is GPL-re váltanak?

Az érdekes volna! :-)