desafio firewall

Horst von Brand vonbrand en inf.utfsm.cl
Vie Jul 22 20:53:13 CLT 2005 

<#part sign=pgpmime>
Jorge M. Niedbalski R. <jorge.niedbalski en moptt.gov.cl> wrote:
> On jue, 2005-07-21 at 20:58 -0400, Horst von Brand wrote:
> > "Jorge M. Niedbalski R." <jorge.niedbalski en moptt.gov.cl> dijo:

> > > No entiendo nada de lo que han planteado en threads y threads.

> > > On jue, 2005-07-21 at 17:34 -0400, Horst von Brand wrote:
> > > > Phillip Neumann <bob en sofsis.cl> wrote:

> > > > [...]

> > > > > quieren comparar netfilter con pf?

> > > No creo que sean comparables , y por lo demas, vale la pena ?????
> > > 
> > > http://bulk.fefe.de/scalability/
> > 
> > Y que relevancia tienen datos de linux-2.6.0-pre7 hoy?

> Mucha

Estan comparando una version de prueba de Linux (despues de la que han
pasado /muchas/ cosas) con versiones no actuales de *BSD en maquinas que ya
nadie compraria. Con cargas irracionales. Que tiene eso de relevante?

> > Y ademas, que me interesa como se comporta un proceso con mas de 3500 (!)
> > archivos abiertos, cuando con mala suerte llegare a 100?

> La idea es hacer pruebas en condiciones extremas , esa es la idea de un
> benchmarking no?

De <http://en.wikipedia.org/wiki/Benchmark>:

-> A benchmark is a point of reference for a measurement. The term originates
-> from the chiseled horizontal marks that surveyors made into which an
-> angle-iron could be placed to bracket (bench) a levelling rod, thus
-> ensuring that the levelling rod can be repositioned in the exact same place
-> in the future.

Respecto de computacion, en particular:

-> In computing, a benchmark is the result of running a computer program, or a
-> set of programs, in order to assess the relative performance of an object,
-> by running a number of standard tests and trials against it. The term,
-> benchmark, is also commonly used for specially-designed benchmarking
-> programs themselves. Benchmarking is usually associated with assessing
-> performance characteristics of computer hardware, for example, the floating
-> point operation performance of a CPU, but there are circumstances when the
-> technique is also applicable to software. Software benchmarks are, for
-> example, run against compilers or database management systems.

Nada dice de reventar el objeto bajo estudio.

[...]

> > > Creo que no cabe duda cual es el stack TCP/IP mejor implementado

Sip, *BSD solia ser algo mejor. Pero de eso hacen muchos an~os, en los
cuales Linux avanzo rapidamente mientras los BSD se estancaron
relativamente.

> > >                                                                  y por
> > > ende, no vale la pena realizar pruebas de estress ni cargas. Ya sabemos
> > > que ocurrira.


Es /tan/ confortable saber exactamente como resultaran las cosas...

> > Sabemos que /ocurria/ hace dos an~os... Linux ha cambiado fuertemente desde
> > entonces (no el area red, especificamente, pero si de infrasestructura
> > general) con /una/ configuracion de hardware especifica. No mala, pero
> > tampoco necesariamente lo que yo elegiria si anduviera tras maximo
> > rendimiento.

> Sysadmin??, NETWORKING!!! , me interesa eso, no me interesa si el kernel
> de linux ahora sabe manejar sistemas de ficheros ntfs de manera nativa o
> si el soporte para controladoras de video o audio esta mejorado!!!!!.

Y? La administracion de memoria cambio, hay cambios substanciales en
scheduling, hay cambios en el manejo de dispositivos en general, ...

Claro, tambien hay cambios en las areas que mencionas. Pero /no/ es lo que
estaba pensando.

> > [...]
> > 
> > > Como se expresan las reglas ???

> > > La sintaxis de PF se basa en los ultimos estandares internacionales para
> > > lograr claridad y universalidad.

> > Referencias?

> Existen muchos rfc que utiliza openbsd para hacer algo estandar 
> 
> http://rfc.sunsite.dk/rfc/rfc2979.html

Una recomendacion (es un FYI), no un standard. Interesante, pero bastante
general. No es algo que determine calidad de la implementacion, habla de
como debe configurarse, en todo caso.

> Otros Ejemplos seguidos por OBSD:
> 
> http://www.rfc-editor.org/rfc/rfc1579.txt

Otro FYI. Sobre /clientes/ FTP. Que relevancia tiene eso para el
cortafuegos (fuera de tratar de simplificarle la vida a cortafuegos
tontos)?

Y FTP sin "trampitas" lo maneja Linux desde la epoca de ipchains (me
consta) y me parece que ipfw tambien lo hacia ya.

> http://www.ietf.org/rfc/rfc3093.txt

Perfecto. Un RFC del dia de los inocentes como guinda de la torta.

> > >                                  Por lo demas esta de mas decir que
> > > Netfilter es otro muy bueno ejemplar pero lamentablemente no tan
> > > "Moderno" y agil.

> > Segun quien?

> Segun Yo, sisi, ahi hay subjetividad y eso esta mal?

O sea, hay que multiplicarlo por cero. Eso es lo que queria saber.

> > PS: El HTML es feazo de manejar aca.
> 
> Donde esta el HTML?

En el mensaje anterior... ahora ya no (gracias!).
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                     Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria              +56 32 654239
Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513

Más información sobre la lista de distribución BSD