Firewall-Wirrwarr

N

Nite

Happy BSD User :)
Nabend, mehr oder weniger. :)

Ich bin schon seit einigen Stunden über BSD am lesen. Nun habe ich etwas über BSD-Firewalls gelesen und habe 3 Namen bis jetzt gelesen: PF, IPFilter und IPFW.
Sind sie im Grunde die gleichen Progs -- klar, alle 3 haben sicher ein paar bestimmte Features, aber ich mein so im Groben.

Was sind die großen Unterschiede? Welche verwendet ihr und warum?



Danke.
 
Ich verwende PF. Es ist das erste, dass ich kennengelernt habe und ziemlich einfach zu konfigurieren. Es gibt in der Konfigurationsdatei Beispiele für so ziemlich alles was man braucht und man muss nur noch die IPs anpassen. Mit den Beispielen begreift man recht schnell wie das alles funktioniert und kann so ziemlich alles machen was eben technisch auf Layer 3 und 4 machbar ist.
 
Ich hatte früher ipfw am Laufen. Es war einfach und verständlich (es liest sich so wie man es verstehen sollte).

Als pf neu war und von OpenBSD portiert wurde, bin ich auf pf umgestiegen. pf ist sehr angenehm zu bedienen und hat sehr nette Features (ALTQ, State-Tabellen mit welchen man Hämmern auf den Port unterbinden kann, NAT kann man in einer Zeile machen, guter IPv6-Support).
 
IPFilter ist vor allem vorhanden, da es unter anderen Unix-Dialekten sehr weit verbreitet ist und man den Anwendern den Umstieg erleichtern will. Neue Systeme darauf aufbauen würde ich im Jahr 2008 nicht mehr, hat sich von seiner Konzeption einfach überlebt.

IPFW2 ist FreeBSDs eigene Firewall, sie kann zusammen mit den Traficshapern ALTQ und Dummynet eingesetzt werden. Sie wird seit ca. 10 Jahren aktiv entwickelt, ist von den Möglichkeiten her der umfangreichste Paketfilter. Viele auf FreeBSD basierende, professionelle Netzwerkgeräte nutzen IPFW2, ihre Herstellern sponsern die Weiterentwicklung. Aber IPFW2 ist - gerade wenn du statefull (also dir Verbindungen merken willst) filter möchtest - nicht gerade einfach im Aufbau.

pf stammt aus OpenBSD und der jüngste der Drei. pf hat alle wichtigen Features, es ist ausreichend schnell und vor allem einfach. Das Risiko ein Loch in das Regelwerk zu reißen ist geringer als bei IPFW und IPFilter, außerdem ist das Ding das am besten dokumentierte der Drei. Mit ALTQ steht ein Trafficshaper zur Verfügung, der für den Heimeinsatz mehr als außreichend ist, dazu kommen Möglichkeiten wie mehrere Paketfilter miteinander zu synchronieren und dadruch per CARP eine ausfallsichere Lösung zu bauen. Ergänzt wird dies durch eine Menge externer Tools wie pftop, den FTP-Proxie und Dienste für "Universal Plug and Play".

==> Im Zweifel würde ich pf nehmen, als Anfänger fährst du damit - auch durch die Doku - am besten, sie ist wenig frustrierend und mehr als ausreichend für die allermeisten Netzwerke. Es gibt nur ein Argument gegen pf und das ist "Netgraph". Sagt dir das nun nichts, vergiss es einfach :)
 
Vielen Dank für eure Antworten.
Ich werde zuerst einmal pf ausprobieren und mich später, sollte ich Zeit finden, mal an ipfw wagen. :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben