FreeBSD alapú rendszeremben ... tűzfalat használok.

Címkék

A FreeBSD-ben van 3-féle csomagszűrő:

  • ipfw - ez az "övék", a saját fejlesztésű
  • ipf (a Darren Reed-féle ipfilter - bottal se piszkálják 10 éve)
  • pf (egy régi OpenBSD-ből portolt verzió, saját fejlesztésekkel - és nem csak saját - bugokkal)

Vajon a FreeBSD-t - és az azon alapuló rendszereket - használó, ha bekonfigurál rajta valamit mert kell neki ez a funkció, akkor melyiket választja?

ipfw
11% (59 szavazat)
ipf
1% (7 szavazat)
pf
16% (90 szavazat)
tűzfal minek? semmit
9% (52 szavazat)
mijaza a FreeBSD?
11% (62 szavazat)
csakalinux
36% (202 szavazat)
mennyetek a ...-ba, a válasz se érdekel!
15% (85 szavazat)
Összes szavazat: 557

Hozzászólások

Szerkesztve: 2023. 12. 07., cs – 13:34

Kiderül, hogy mi, mind a 10-en, akik FreeBSD-t használunk, mind pf-ezünk ...

Lusta vagyok megnézni, de nyakam rá, hogy a pfSense, a OPNsense is a pf-et használja a legtöbb esetben.

And yes, pfsense is normally using pf for most of its functionalities (traffic shaper/ firewall/NAT, etc....) but it has been decided to use ipfw for this specific feature

trey @ gépház

Ebben a pillanatban épp nem így áll a szavazás, de a lényeg, valami majd kiderül.

Én egyébként pont azt akartam volt javasolni, de végül nem tettem, hogy simán az is egy lehetőség, hogy az ember többet is használ ugyanazon a gépen, mindegyiket arra, amelyikben azt a legkönnyebb megcsinálni. Kb az egyetlen odafigyelést igénylő rész, hogy megfelelő sorrendbe töltse be őket a kld_list-ben (vagy épp loader.conf-ban), és a háromból az első kettőn default allow szabály legyen és csak az utolsóban legyen default deny. (Mondjuk fenti teszt szerint akkor erre lehetne használni az ipfiltert.) És mondjuk stateless ipfw-t stateful pf-fel :-) Vagy fordítva. Vagy mit tudom én.

Azért nem kell teljesen kétségbe esni. A pf hibája pontosan:

An attacker can, with relatively little effort, inject packets into a
TCP stream destined to a host behind a pf firewall.  This could be used
to implement a denial-of-service attack for hosts behind the firewall,
for example by sending TCP RST packets to the host.

A pfsense pedig minden csomagot a saját képére faragott, nem tudom eldönteni, hogy érintettek voltak e.
Az ipfw-t nehézkes forwarding kezelése miatt hagytam el és tértem át a pf-re, amely a jailek és vm-ek kezelésében kézreálló.

Szerkesztve: 2023. 12. 07., cs – 14:43

pf-re szavarztam, de csak mert trey kiguglizta, hogy a pfSense ezt használja :D

(egyébként a fogalmam sincs lett volna a válasz)

Mondjuk, aki pfSense-t használ captive portállal, az bajban lehet a szavazásnál :D

  • ipfw a captive portálhoz
  • kb. minden másra pf

That's correct, pfSense is using ipfw as backend for the captive portal

And yes, pfsense is normally using pf for most of its functionalities (traffic shaper/ firewall/NAT, etc....) but it has been decided to use ipfw for this specific feature

It may seems odd at first....but in fact it make some sense : it help to split the firewall and cp modules

trey @ gépház

Szerkesztve: 2023. 12. 07., cs – 15:20

Aki makkon van, azok pf-et használnak, a régebbiek ipfw-t.

Csakalinux. Pedig nincs bajom a FreeBSD-vel sem, időről-időre bepróbálkozok vele, hogy átálljak rá, karácsonykor újra sort kerítek a 14.0-ásra. Viszont akkor ha épp fent van valamelyik tesztgépen vagy virtuális gépen, akkor sem használok rajta csomagszűrést, nem telepítek fel rá semmi extrát ebben a tekintetben, csak a default telepített megoldás van fent rajta (ipfw azt hiszem), és abban sincs bekapcsolva semmilyen szűrési szabály. Linuxon sem szűrök semmit, azon is a beépített nftables van fent, de nincs bekapcsolva, anno az iptables-t sem használtam. Az nyilván más lenne, ha tűzfalnak használt gépről lenne szó, ott a beépített megoldást használnám, amivel a rendszer jön. Nincs nagyon preferenciám ebben a tekintetben, hacsak meg nem győztök, hogy az egyik megoldás annyival jobb lenne.

A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)

Nem kell meggyőzni, de ha most a témában kérnék segítséget, tegyük fel, és valaki meggyőzne, hogy x megoldás sokkal jobban csinál valamit, mint az előtelepített y, akkor felraknám az x-et, egyébként maradnék az y-nál. Szerintem egykutyák ezek, csomagot szűrnek szabály alapján, reálisan nincs rá alap, hogy egyik annyival jobb legyen, mint a másik.

A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)

Semmire szavaztam.

Két BSD-t használok élesben. Egyik FreeBSD. Ezen épp nincs semmiféle firewall.

A másik core router szerepet tölt be, ez OpenBSD és pf van rajta.

Csak érdeklődés: mi az amit az "arcodba tolnak" alapból?

És mivel a gyári telepített rendszerben a szabálynyelv ismerete nélkül egyes egyedül az ipfw-vel tudsz működő tűzfalat bekapcsolni, szerintem meg ezt tolja az arcodba. Szóval ez itt most két darab tény és két darab egymásnak ellentmondó *vélemény* az adott témában ...

a gyári telepített rendszerben a szabálynyelv ismerete nélkül egyes egyedül az ipfw-vel tudsz működő tűzfalat bekapcsolni

A szabálynyelv ismerete nélkül egyik tűzfalmegoldással sem tudok működő tűzfalat bekapcsolni. Sem ipfw, sem pf, sem firewalld, sem ufw, sem netsh nem használható a saját szabály nyelvezetének ismerete nélkül.

Hát pedig FreeBSD-n szerintem de. Konkrétan a gyári alaptelepítés részét képező /etc/rc.firewall egy shell-script, aminek első oldala egy szép (C),  a második oldal pedig egy fél oldalnyi kommentben elárulja, hogy mely értékek beállítása esetén kapsz működő ipfw alapű tűzfalat. A működő nem egyenlő azzal, hogy azt csinálja, amit én hiszek, hogy csinál.

Jelzem, mint azt minden bizonnyal te is látod, én nem azt mondtam, hogy egy tűzfal nem *használható* a szabály nyelvezetének ismerete nélkül, hanem hogy FreeBSD-n ipfw-nél be tudsz kapcsolni *valamilyen* működő tűzfalat a nyelv ismerete nélkül. Az, hogy javasolt-e tűzfalat konfigurálni alapvető hálózati ismeretek ÉS alapvető szabálynyelv ismeret nélkül, azt meg helyettünk eldöntötte az idő, hisz ma már nagyon sok OS települ úgy, hogy 1 kattintásra bekapcsol egy valamilyen tűzfalat. Sokan egy webes felületen kattintanak valamiket, ami aztán a háttérben csinál valamit egy valamilyen szoftverrel (lásd itt is a "nem tudom és nem is érdekel, hogy mi van a háttérben" ).

Na de ezzel csak azt mondod, hogy csak ipfw-re készítette el a FreeBSD a könnyen használható, beépített szabályrendszert előre.

A kérdés: miért csak erre, ha mindhárom elérhető?

Más platformokon is igaz, hogy van előre csomagolt szabályrendszer, ez azért nem egy nagy újdonság.

Stimmel, én ezzel az egésszel csak azt akartam jelezni, hogy szerintem ezt tartják az övéknek, a használatra javasoltnak. (Ellenben trey felvetésével, hogy a pf van elől a Handbookban, tehát azt tartják javasoltnak.)