pf - warum?

marzl

Well-Known Member
hi,

alle machen so ein riesen brummbrumm um dieses pf von netbsd.... ok.
was ist daran denn besser, toller, schneller, anders als bei den sachen, die ich bei freebsd schon lange dabei hab, und dementsprechend stabil laufen?
kann ir das jemand beantworten? würde mich mal interessieren :D
 
PF warum?

Hi marzl

Ich muss dir erst mal sagen, dass deine Frage derart allgemein gehalten worden ist, dass ich locker die Bibel selbst um ca 1.000 Seiten dichtgeschriebenen Textes übertreffen könnte, wenn ich wirklich alles über PF schreiben müsste.

Ausserdem, empfehle ich dir, bevor du schon NetBSD mit OpenBSD verwechselst (gilt auch für alle anderen Verwechslungen), dass du dich wenigstens ein bisschen mit dem jeweligen Softwarepaket beschäftigst, bevor du solche Fragen stellst.

Denn wie soll ich dir z.B. klarmachen, warum "modulate state" bei PF besser ist als nur "keep state" bei IPF?

Oder wo man lieber "tables" statt "macros" benutzen sollte?

Und was sollte ich denn tun, um dir "spamd" zu erklären?

Woher soll ich (und alle anderen), denn wissen, wie hoch dein Wissensstand ist, bevor du dich "zugequatscht mit alle-wissen-es-schon Infos" fühlst.

Ich könnte dir schlimmstenfalls sagen: PF gehört zu dem am strengsten sicherheitsüberprüften Open-Source-Betriebssystem auf diesem Planeten als In-Kernel-PacketFilter.

Wärest du damit zufrieden?

Hört sich eher nach Werbung an und ich werbe hier um nichts, denn FreeBSD und NetBSD finde ich auch spitze und benutze die trotz meiner Addicted-to-OpenBSD-Infektion :) auch.

Also bitte, beschäftige dich wenigstens ein bisschen mit PF und poste dann etwas hier hinein, denn es gibt auch Leute, die sich dann, aus welchen Gründen auch immer, "falsch" angesprochen fühlen und dann womöglich ein Flame starten.

Wir wollen dies doch hier nicht haben.

Daher poste ich dir folgende Links in der Hoffnung, dass du eines Tages hier reinschreibst, dass man doch nicht alles wissen kann und selbst das "stabilste" System nicht dazu berechtigt, nichts Neues mehr lernen zu wollen.

PF-FAQ: http://www.openbsd.org/faq/pf/

OpenBSD-FAQ (für alle Fälle): http://www.openbsd.org/faq/de/index.html

Manpage von PF: http://www.openbsd.org/cgi-bin/man....manpath=OpenBSD+Current&arch=i386&format=html

Manpage von pf.conf (der Config-Datei des PF): http://www.openbsd.org/cgi-bin/man....manpath=OpenBSD+Current&arch=i386&format=html


Regards

ColdWisdom
 
Zuletzt bearbeitet:
whupps. erwischt...
japp, ich meinte eigentlich OpenBSD, schrieb aber Net BSD. Sorry.

...und ich dachte das pf "just another funckin'" ipfw ist.
mein irrtum. bitte verzeiht mir :D
es ist mehr als das.

danke für die links, ich werde sie mir reinpfeifen.
 
PF

Original geschrieben von marzl
whupps. erwischt...
japp, ich meinte eigentlich OpenBSD, schrieb aber Net BSD. Sorry.

...und ich dachte das pf "just another funckin'" ipfw ist.
mein irrtum. bitte verzeiht mir :D
es ist mehr als das.

danke für die links, ich werde sie mir reinpfeifen.

Keine Ursache :)

Und falls du zu neuen Erkenntnissen gelangst, so scheue dich nicht, diese mitzuteilen, damit wir alle was davon haben.

Regards

ColdWisdom
 
Re: PF warum?

Original geschrieben von ColdWisdom


Denn wie soll ich dir z.B. klarmachen, warum "modulate state" bei PF besser ist als nur "keep state" bei IPF?

Oder wo man lieber "tables" statt "macros" benutzen sollte?

Und was sollte ich denn tun, um dir "spamd" zu erklären?

Hi!

also ich wäre Dir dankbar, wenn Du diese Dinge doch ein wenig ausweiten kannst. ich wüsste schon gerne die vorteile von pf, besondern im vergleich zu iptables.

danke
 
zu spät

Super, jetzt hab ich hier gerade ipf am laufen und jetzt sowas.... :)
Aber mich würde mal interessieren,
warum "modulate state" bei PF besser ist als nur "keep state" bei IPF

Zitat aus der Deutschen Übersetzung des ipf-Howtos:
"Nun, im Gegensatz zu anderen Firewalls kann IPF herausfinden, ob ein Paket "established" ist oder eben nicht. Und es macht das mit TCP, UDP und ICMP, nicht nur mit TCP."

Ja was denn nun? :?
 
Modulate State

@XpectIt

Unter Zustandsmodulation (Erweiterung der stateful inspectuin) versteht man das "bessere" generieren der sogenannten ISN.
Das sind Sequenznummern die bei jeder Verbindung zwischen zwei Hosts für die einzelenen Datenpakete generiert werden.

D.h. jedes Datenpaket wird anhand dieser ISNs erkannt, denn sonst gäbe es ein heilloses Durcheinander, wenn der Rechner die einzelnen Datenpakete nicht zuordnen könnte.

Die ältere keep-state Option bringt den PaketFilter, sich die einzelenen Verbindungs-Zustände "zu merken" und überprüft sozusagen nicht jedes einzelne Paket, ob es jetzt zu einer Session gehört oder nicht, sondern "weißt es" aufgrund der Kennezechnung der Datenpakete.

Bei einigen Betriebssystemen werden diese ISNs aber derart schwach generiert, dass ein hack-Angriff über die Packet-ISN-Prediction (also Vorhersage, welche Nummern folgen werden) einfacher ausfällt, als einem lieb ist :)

Und da greift Zustandsmodulation ein.

Sie generiert qualitativ höherwertige ISNs und erschwert somit das Vorhersagen der ISNs.

Das sollte dich aber nicht dazu verleiten, zu denken, dass damit alles abgeschlossen ist. Es gibt noch viele Mittel und Wege, die Connection zu hacken.

Aber ich hoffe, dir hiermit etwas geholfen zu haben

Alles weitere unter: http://www.openbsd.org/faq/pf

Regards

ColdWisdom
 
re: pf warum?

Danke für die Info.
Ist das in etwa gleich zu setzen mit der option RANDOM_IP_ID aus dem Kernel, oder hat es damit wenigstens was zu tun?

--
XPectIT
 
Random IP_ID

Ich muss hier passen, da es sich wohl um FreeBSD Eigenschaften handelt.

Hört sich aber so an :)

Regards

ColdWisdom
 
Antwort gefunden :)

Folgendes habe ich rausgegoogelt:

# RANDOM_IP_ID causes the ID field in IP packets to be randomized
# instead of incremented by 1 with each packet generated. This
# option closes a minor information leak which allows remote
# observers to determine the rate of packet generation on the
# machine by watching the counter.
options RANDOM_IP_ID


Hier die URL: http://www.isber.ucsb.edu/~randall/firewall/firewall.html

Regards:

ColdWisdom
 
Re: Re: PF warum?

Original geschrieben von Tomonage
Hi!

also ich wäre Dir dankbar, wenn Du diese Dinge doch ein wenig ausweiten kannst. ich wüsste schon gerne die vorteile von pf, besondern im vergleich zu iptables.

danke


Hi Tomonage

Weiter oben habe ich bereits eine Sache beschrieben, aber die beste Info-Quelle für dich bzw. uns alle ist immer noch diese URL: http://www.openbsd.org/faq/pf

Regards

ColdWisdom
 
Re: Antwort gefunden :)

Original geschrieben von ColdWisdom
Folgendes habe ich rausgegoogelt:

# RANDOM_IP_ID causes the ID field in IP packets to be randomized
# instead of incremented by 1 with each packet generated. This
# option closes a minor information leak which allows remote
# observers to determine the rate of packet generation on the
# machine by watching the counter.
options RANDOM_IP_ID


Hier die URL: http://www.isber.ucsb.edu/~randall/firewall/firewall.html

Regards:

ColdWisdom

Auf http://www.jimi.dk/freebsd/NAT-Firewall.php steht das aller gleiche, das hab ich vor mir liegen :-)
Mir gings eben drum, ob das annähernd das selbe ist wie modulate state, ... hm, generell sollten Kernel optionen doch "besser" sein als z.B. "modulate state" in den pf-rules ;-)

Nur sehe ich gerade das ich die option nicht im Kernel hab (vergessen), jetzt darf ich auf dem P90 hier 2.5 Stunden compilieren... Hab ich wenigstens einen Grund um ins Bett zu gehen.

Gute Nacht
 
Modulate State

Modulate State Optionen werden im Kernel ausgeführt sodass es nicht von Bedeutung ist, ob du jetzt Kernel-Config damit editierst oder aber so einen In-Kernel-Paketfilter wie PF benutzt.

Es kommt dasselbe raus: qualitativ hochwertige ISNs. :)

Regards

ColdWisdom
 
Re: Re: Re: PF warum?

Original geschrieben von ColdWisdom
Hi Tomonage

Weiter oben habe ich bereits eine Sache beschrieben, aber die beste Info-Quelle für dich bzw. uns alle ist immer noch diese URL: http://www.openbsd.org/faq/pf

Regards

ColdWisdom

hi!


ich habe mir die ersten paar kapitel durchgelesen, wäre dir aber trotzdem dankbar, wenn du die wichtigsten unterschiede/vorteile nennen könntest. in den ersten paar kapiteln steht da nichts und da ich nur die unterschiede wissen wollte, wäre es etwas übertrieben, die ganze doku zu lesen. danke
 
PF Unterschiede & Eigenschaften

@Tomonage

Hi

Original geschrieben von Tomonage
hi!


ich habe mir die ersten paar kapitel durchgelesen, wäre dir aber trotzdem dankbar, wenn du die wichtigsten unterschiede/vorteile nennen könntest. in den ersten paar kapiteln steht da nichts und da ich nur die unterschiede wissen wollte, wäre es etwas übertrieben, die ganze doku zu lesen. danke

Da ich mich mit IPtables nicht auskenne, beschreibe ich einige Unterschiede zwischen PF und IPF:

1.) Makros & Tables sind in PF vorhanden und IPF nicht.

2.) Zustandsmodulation (modulate state also) gibts nur in PF

3.) Fake-Sendmail-Daemon (spamd) ist auch mit dabeit (damit kannst du den Spam-Lieferern den Hals zudrücken). Diesen Daemon fütterst du mit unerwünschten IP-Adresse und PF leitet den Traffic an diesen Daemon weiter, wo er (am Port 8025 lauernd) sich die Connections schnappt und die Ressourcen der Spammer verbraucht ;) (fast so böse wie ich, nicht wahr?)

4.) ALTQ ist fester Bestandteil von PF bei IPF gibts sowas nicht. Zu Alternate Queuing (ALTQ also) am besten hier schauen: http://www.muine.org/~hoang/openpf.html

Es gibt da ein paar schöne Beispiele :)

5.) PF ist ein fester Bestandteil des OpenBSD und wird somit wie alles andere im Source-Code auf Sicherheitslücken überprüft, während IPF (nicht mehr) zu OpenBSD gehört.

6.) PF ist performanter. Hier kannst du es nachsehen: http://www.benzedrine.cx/pf-paper.html

Zu allen anderen Punkten natürlich die Homepage des PF selbst: http.www.benzedrine.cx und um gute Beispiele zu holen, empfehle ich folgende Links:

http://www.wittmayer.at (hier berichtet einer von seinen Erfahrungen mit OpenBSD & PF)

http://www.bsd-pool.de.vu/ (meine eigene, kleine Website - die ich bald erweitern werde ;)

http://cfm.gs.washington.edu/security/firewall/pf-bridge/ (hier siehst du PF in Action in der Uni-Washington .... mit PF-Quellcode)

http://klake.org/~jt/tips/80211.html (hier sichert man ein WLAN mit PF)

Das PF-HOWTO findest du hier: http://www.deadly.org/pf-howto/

Und hier findest du immer die frischesten Nachrichten aus dem OpenBSD lager: http://www.deadly.org (eine Suchfunktion ist auch mit dabei ;)


Und bei allen anderen (technischen) Fragen dieses Forum natürlich :D

Gruß

CW
 
Zuletzt bearbeitet:
ALTQ.... unter FBSD?

Morgen!

Raptor hat vor ein Paar Tagen geschrieben:
Das einzig ärgerliche ist der AltQ port, den man per Hand reinpatchen muss, und dann nur eine sehr begrenzte auswahl an devices supported. tun gehört nicht dazu, ist also für Traffic Shapping auf einem DSL Router ungeeignet
Sollte das stimmen, ist AltQ doch recht sinnlos auf FBSD mit DSL / ISDN / MODEM. :(

Guss
 
auch bei all den ohrfeigen, die ich für diese frage erhalten habe, muss ich feststellen (anhand der zugriffe), das die frage wohl auch bei anderen aufgekommen war.
hat sich also doch gelohnt :)
 
Zurück
Oben