Szevasztok
Elnézést hogy beleszólok, de én egy tűzfal/proxy készítésnél nem ilyen szempontok szerint döntenék, hogy kódfrissesség, meg bináris frissítés, meg nem kell hozzányúlni, meg stb...
- Én a következő szempontokat nézném meg elsősorban:
- Vannak -e szolgáltatások belül, amiket védeni kell:
( web, ftp, mail, stb ).
Melyik rendszerrel tudod jobban megoldani a DMZ védelmét. ( Ha van egyáltalán DMZ ).
Netfilter szabályok, vagy synproxy state, stb...
Melyikkel vannak jó tapasztalataid? - A belső hálón mennyien vannak, akarod -e szabályozni, tiltani a kifele menő forgalmat alkalmazásszinten.
( layer7, stb. ).
Érdemes azt megnézni, kellenek -e ezek a szolgáltatások.
Igaz, elérhető ipfw -ben is ilyenfajta program, de Linux -on jobban támogatott, több lehetőséged van.
( l7filter, ipp2p ).
Pf -ben nem tudok ilyen dolgokról.
Ez szempont lehet, ha választasz.
Akarsz -e netfilter kiegészítéseket használni?
( CHAOS, portscan, TARPIT stb... ).
Melyikhez értesz jobban, melyik telepíthető könnyebben, stb... - Van -e olyan szolgáltatás belül, aminek kell -e a HA.
( Kell -e carp, ucarp esetleg).
Melyiket használtad, melyiket tartod jobbnak, pl:
CARP+pfsync, vagy ucarp+conntrack-tools. - Forgalomkorlátozás lesz -e?
Melyik fekszik jobban?
netfilter tc -vel, vagy pf ALTQ, stb... - Távoli elérés lesz -e a belső hálózat gépeihez.
( sftp, vpn, pptp, stb ).
Ha csak egy kis iroda 8-10 géppel, akkor is mást tennék, mint pl. egy iskolában, ahol van 70 gép, stb...
>>...akkor bináris frissítés, egy friss forráskód esetleg tartalmazhat bugokat.
Ha olyan hibát találnak, akkor ígyis-úgyis frissítened, javítanod kell, tökmindegy melyik rendszert választod.
Szóval én ezek alapján választanék.
Persze, nem vagyok szakértő, ez csak szigorúan magánvélemény.
Szevasztok