PF raus aus FreeBSD

minimike · 20 Mai 2011

Hi

Also ich wollte die Tage beantragen das man mittelfristig PF aus dem FreeBSD Kernel entfernt. FreeBSD ist ohne PF besser dran. Beziehungsweise PF ist bei einigen sehr wichtigen Projekten der Klotz am Bein.

Auf dem Linuxtag in Berlin war die Meinung bei den FreeBSD'lern auch vertreten.

PF in FreeBSD ist veraltet. So richtig gepflegt wird es auch nicht wirklich gut

PF hemmt die Entwicklung von zwei Projekten die es am Ende ermöglichen FreeBSD als Basis-Plattform in der Cloud zu verwenden.

Wie sieht ihr das? Ich denke wenn jemand den Antrag stellt und sofort anschliesend mehrere dies unterstützen kann das nicht so einfach mehr ignoriert werden.

nakal · 20 Mai 2011

Kannst Du Deine Aussagen auch belegen? Höre ich zum ersten Mal, so eine harte Kritik.

solarix · 20 Mai 2011

minimike schrieb:
Hi

Also ich wollte die Tage beantragen das man mittelfristig PF aus dem FreeBSD Kernel entfernt. FreeBSD ist ohne PF besser dran. Beziehungsweise PF ist bei einigen sehr wichtigen Projekten der Klotz am Bein.

Auf dem Linuxtag in Berlin war die Meinung bei den FreeBSD'lern auch vertreten.

PF in FreeBSD ist veraltet. So richtig gepflegt wird es auch nicht wirklich gut

PF hemmt die Entwicklung von zwei Projekten die es am Ende ermöglichen FreeBSD als Basis-Plattform in der Cloud zu verwenden.

Wie sieht ihr das? Ich denke wenn jemand den Antrag stellt und sofort anschliesend mehrere dies unterstützen kann das nicht so einfach mehr ignoriert werden.

Hoere ich auch zum ersten mal.
Soll man HAST dann wieder mit ucarp betreiben?
Also wirklich grandios ist das jetzt nicht unbedingt, außerdem halt ich PF immer noch für einen grandiosen Paketfilter. Außerdem frage ich mich gerade, was das jetzt mit Cloud zu tun hat??

Wie definiert sich Cloud in diesem Fall überhaupt?
Welche Projekte sollen das den sein?
Kann man das Kind vielleicht mal beim Namen nennen?
Dankeschön.

Hardliner · 20 Mai 2011

öhm PF raus aus FBSD? Nicht mit mir.
nönönö. Werd da mal gleich den Scheck beiseite legen, und gucken, was kommt.
Was so an Messen gelabert wird, lol.

metro · 20 Mai 2011

Das ist ja mal was ganz neues. Ein wirklich beeindruckender Verbesserungsvorschlag.
Wo ist denn da die Beschwerdestelle ?
Gut getrollt !

Yamagi · 20 Mai 2011

Und Ermal Luci hat sich die Arbeit mit dem Update dann ganz umsonst gemacht?

Flex6 · 20 Mai 2011

Ich wäre auch dafür das PF rausfliegt, ipfw ist gut und es gibt gute Projekte für ipfw die ohne pf und ipfilter auch mal in eine Release schaffen würden. FreeBSD-Firewall ist nun mal ipfw.

metro · 20 Mai 2011

Nimm doch ipfw(8). Steht jedem frei. Wie bei Freibier.
Aber warum sollte deswegen pf(4), das andere gerne nehmen aus dem System genommen werden ??
Welche allgemeinnützigen zukunftsträchtigen Profjekte sind mir (uns) denn da bisher entgangen ?

solarix · 20 Mai 2011

metro schrieb:
Nimm doch ipfw(8). Steht jedem frei. Wie bei Freibier.
Aber warum sollte deswegen pf(4), das andere gerne nehmen aus dem System genommen werden ??
Welche allgemeinnützigen zukunftsträchtigen Profjekte sind mir (uns) denn da bisher entgangen ?

Die Frage stell ich mir auch gerade.....

Hardliner · 20 Mai 2011

Flex6 schrieb:
FreeBSD-Firewall ist nun mal ipfw.

Ja, und Filesystem ist ufs.
Ich bin nicht uptodate, weis von keinem Problem, das PF den BSD Entwickler Kopfzerbrechen gibt. Die PF Syntax ist Oberfein, rennt hier alleine in der Famillie auf 5 Rechner einwandfrei, (aus Anwendersicht). Genau das hass ich in der Opensourcewelt, man liest und frickelt paar Tage, nach nem Jahr kannst es knicken. Überspitzt formuliert.

oenone · 20 Mai 2011

Ja! Raus aus FreeBSD damit!

Alle, die PF wollen, sollen dann zu OpenBSD wechseln

Ist eh die bessere Firewall.

metro · 20 Mai 2011

Ich werde meine Bäcker per Beschwerdeformular mitteilen, dass er mittelfristig alles ausser Croissants rausschmeissen soll....

alastor · 20 Mai 2011

Habe grad gedacht ich lese versehentlich heise Kommentare.

solarix · 20 Mai 2011

alastor schrieb:
Habe grad gedacht ich lese versehentlich heise Kommentare.

Es ist Freitag, was erwartest Du, vor allem bei so einem Eröffnungsposting.
:huth:

alastor · 20 Mai 2011

Freitag schon ... War doch gerade erst Montag.

solarix · 20 Mai 2011

metro schrieb:
Ich werde meine Bäcker per Beschwerdeformular mitteilen, dass er mittelfristig alles ausser Croissants rausschmeissen soll....

Ok wenn Dein Bäcker das macht, versprech ich DIR hoch und Heilig, das ich bei Larry Ellison anrufe... und ihm befehle Oracle einzustampfen, Solaris , Sun Cluster und alles andere brauchbare aus dem Solaris Stack unter die BSD Lizenz zu stellen. :ugly:

metro · 20 Mai 2011

solarix schrieb:
Ok wenn Dein Bäcker das macht, versprech ich DIR hoch und Heilig, das ich bei Larry Ellison anrufe... und ihm befehle Oracle einzustampfen, Solaris , Sun Cluster und alles andere brauchbare aus dem Solaris Stack unter die BSD Lizenz zu stellen.

Ich sags ihm ( wenn ich noch dazu komme bevor er mich kriegt ).

Aber abgesehen davon TOPIC:
Es ist schon klar, dass man das System ohne PF bauen kann ?

Kamikaze · 20 Mai 2011

Hmm, dann müsste ich eine neue Syntax lernen. Ich habe eigentlich keine Lust von PF zu einer anderen Firewall zu wechseln.

xcvb · 21 Mai 2011

Ich hab da jetzt nicht so die Meinung zum Thema. pf ist auf jeden fall ein ein schöner Paketfilter, der einfach zu erlernen ist. Zudem ist die Doku in der OpenBSD FAQ natürlich klasse. Ob 3 Firewalls im Basissystem nötig sind lass ich mal dahingestellt, ich bin kein Programmierer und habe auch nicht so den Einblick wie die Developer. Es wird ja immer wieder über fehlende Manpower genörgelt und das will ja auch alles gepflegt werden. Whatever....

Vor ein paar Monten habe ich aber auch von pf auf ipfw umgestellt und bin auch sehr zufrieden. Die Syntax ist nicht ganz so schön wie in pf, aber auch relativ simpel zu verstehen und erlernen. Den Nachteil sehe ich persönlich mit dem Umgang von großen Listen, wo pf klar im Vorteil ist. Aber sonst bietet ipfw eigentlich auch alles was man braucht. Aufpassen sollte man aber bei der Erstkonfiguration von ipfw, da kann man sich schnell mal ins Bein schießen und sich selbst vom System ausschließen. Ein simples "kldload ipfw" reicht da schon und schon ist man weg vom Fenster.

PatTheMav hat hier aber mal ein sehr cooles Regelwerk gepostet, da kann man sich schon mal ein bisschen vertraut machen: http://www.bsdforen.de/showthread.php?t=20338

@Kamikaze: Wenn ich sehe wie du mit der Shell spielst und mit awk + sed und Konsorten benötigst du 15 Minuten für die Syntax

Gute Nacht

troll · 21 Mai 2011

xcvb schrieb:
Es wird ja immer wieder über fehlende Manpower genörgelt und das will ja auch alles gepflegt werden.

Sowas wird gern mal angeführt, aber es hinkt. Die Frickelbande sind keine Angestellten, denen man sagt, dass jetzt dies zu lassen haben und dafür jenes zu machen haben.
Sie hängen an ihren Projekten.

Die andern auf der Messe mit der Meinung - die üblichen Verdächtigen?

Bummibaer · 21 Mai 2011

Hi,

PF soll drin bleiben - wenn dann sollten wir das lediglich aktualisieren um auf einen aktuellen Stand zu kommen. Es gibt genug Gründe warum PF da drin gut ist und seine Berechtigung hat.

Gruß Bummibär

solarix · 21 Mai 2011

Bummibaer schrieb:
Hi,

PF soll drin bleiben - wenn dann sollten wir das lediglich aktualisieren um auf einen aktuellen Stand zu kommen. Es gibt genug Gründe warum PF da drin gut ist und seine Berechtigung hat.

Gruß Bummibär

Vor allem würde mich interessieren, was das ganze mit Cloubblabla zu tun hat?
Darauf gab es noch keine aussagekräftige Antwort.

Flex6 · 21 Mai 2011

troll

Das was xvcb geschrieben hat ist schon ein Stück Wahrheit, es gibt für ipfw ein Paket um sie auf Layer7 zu bringen, das Ding ist 3 oder 4 Jahre alt und ist nie in die Release gekommen. Uni-Projekte belaufen sich hauptsächlich auf ipfw, weil ipfw die FreeBSD Firewall ist.

Crest · 21 Mai 2011

Über die unschöne ipfw Syntax kann man hinweg kommen. Ich bin zwar auch der Meinung das PF die schönere Syntax hat allerdings ist das alleine für mich nicht ausschlaggebend. Schlimmer finde ich das ipfw von IPv6 noch immer nur am Rande gehört hat. Ich die Tage feststellen müssen, das Dummynet nicht nur keine IPv6 link-local Adressen unterstützt sondern IPv6 Packets schreddert.

solarix · 21 Mai 2011

Flex6 schrieb:
troll

Das was xvcb geschrieben hat ist schon ein Stück Wahrheit, es gibt für ipfw ein Paket um sie auf Layer7 zu bringen, das Ding ist 3 oder 4 Jahre alt und ist nie in die Release gekommen. Uni-Projekte belaufen sich hauptsächlich auf ipfw, weil ipfw die FreeBSD Firewall ist.

Das ist natürlich unschön, wenn ein Paket mehrere Jahre vor sich hin gammelt.
Aber man sollte auch über den akademischen Tellerrand $BSD werden auch gewerblich eingesetzt und PF ist nun mal ein Standard der funktioniert außerdem ist die Notation sehr schön und wer von ipfilter kommt, hat kaum Umgewöhnungsprobleme.

Mit ipfw hab ich mich nie auseinandergesetzt, weil die Notation genauso ätzend ist wie die Iptables Notation auf Linux. Nix was man haben will.

Abgesehen davon, würde ich gern verstehen und einen echten Grund erfahren wieso PF raus soll. Bisher gab es da keine Antwort, welches Projekt dadurch behindert wird.

Auch Metro hat es ja schon angemerkt das man sich einen Custom Kernel ohne PF bauen kann. So wirklich verstehe ich das Problem nicht.

Außerdem habe ich den Eindruck das es dringendere Probleme gibt, als PF.
Das Kapitel Hochverfügbarkeit, würde mir persönlich bei $BSD mehr am Herzen liegen, dort gibts einiges wo man richtige Schmerzen hat.

PF raus aus FreeBSD

Berufsrevolutionär

Anfänger

Konsolenpenner

Well-Known Member

i² = -1

Possessed With Psi Powers

Well-Known Member

i² = -1

Konsolenpenner

Well-Known Member

Well-Known Member

i² = -1

Well-Known Member

Konsolenpenner

Well-Known Member

Konsolenpenner

i² = -1

Warrior of Sunlight

Well-Known Member

Well-Known Member

Registered Schwarzbär

Konsolenpenner

Well-Known Member

rm -rf /*

Konsolenpenner

Wir schützen deine Privatsphäre