Optimizacion de firewall en iptables
Horst von Brand
vonbrand en inf.utfsm.cl
Jue Ene 6 09:00:44 CLST 2005
"celtita" <celtita en bonbon.net> dijo:
> >Tomando las palabras de Mr. Horst, en la lista de Linux
>
> > AFAIU, iptables es mucho mas funcional hoy que *BSD.
>
> >que opinan?
> Falso falso
> Los FW de *BSD en concreto PF, aun sige siendo mas funcional, estable y
> poderoso que iptables (netfilter).
>
> Razones:
>
> - pf es mas rapido en revision de grandes cantidades de reglas y estado
> completo (statefull inspect)
Donde hay mediciones comparativas?
> - soporte de anclajes y conjunto de reglas dinamicas.
Que es eso?
> - soporte en Kernel de QoS y ToS, sin necesidad de adicionales (modulos,
> software, demons, etc)
Irrelevante. O mas bien, es una grave _desventaja_ de BSD que no maneje
modulos y/o pueda hacer parte del procesamiento en programas externos.
Netfilter es extensible _sin_ tener que modificar el nucleo para nada.
> - Soporte Nativo de sincronizacion de estados para alta disponibilidad y
> balanceo de carga, probado en el Ministerio secretaria General de la
> Republica.
Que es eso?
> - Consume menos recursos Memoria y de la maquina en general.
Mediciones?
> Registro de paquetes nativos en binario tcpdump, mas seguro que un
> archivo de texto.
No veo cuando Netfilter registre cosas como "paquetes nativos" en archivos
de texto...
> - registro de paquetes en una Interfaz Virtual para mejor maipulacion
> para observar el rendimiento de la maquina Firewall online (trhouput,
> pequeño larousse)
Que diablos se supone sea eso? Si se refiere acceso a los paquetes en modo
usuario, hay mecanismos especiales para ello en netfilter. Si quieres saber
estadisticas, es perfectamente posible obtenerlas regla por regla.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
Más información sobre la lista de distribución BSD