Optimizacion de firewall en iptables

[Horst von Brand]

"celtita" <celtita en bonbon.net> dijo:
> >Tomando las palabras de Mr. Horst, en la lista de Linux
> 
> > AFAIU, iptables es mucho mas funcional hoy que *BSD.
> 
> >que opinan?

> Falso falso
> Los FW de *BSD en concreto PF, aun sige siendo mas funcional, estable y
> poderoso que iptables (netfilter).
> 
> Razones:
> 
> - pf es mas rapido en revision de grandes cantidades de reglas y estado
> completo (statefull inspect)

Donde hay mediciones comparativas?

> - soporte de anclajes y conjunto de reglas dinamicas.

Que es eso?

> - soporte en Kernel de QoS y ToS, sin necesidad de adicionales (modulos,
> software, demons, etc)

Irrelevante. O mas bien, es una grave _desventaja_ de BSD que no maneje
modulos y/o pueda hacer parte del procesamiento en programas externos.
Netfilter es extensible _sin_ tener que modificar el nucleo para nada.

> - Soporte Nativo de sincronizacion de estados para alta disponibilidad y
> balanceo de carga, probado en el Ministerio secretaria General de la
> Republica.

Que es eso?

> - Consume menos recursos Memoria y de la maquina en general.

Mediciones?

> Registro de paquetes nativos en binario tcpdump, mas seguro que un
> archivo de texto.

No veo cuando Netfilter registre cosas como "paquetes nativos" en archivos
de texto...

> - registro de paquetes en una Interfaz Virtual para mejor maipulacion
> para observar el rendimiento de la maquina Firewall online (trhouput,
> pequeño larousse)

Que diablos se supone sea eso? Si se refiere acceso a los paquetes en modo
usuario, hay mecanismos especiales para ello en netfilter. Si quieres saber
estadisticas, es perfectamente posible obtenerlas regla por regla.
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                     Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria              +56 32 654239
Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513