"ah e pf tambem nao filtra metade dos ipoptions e tcpoptions que o ipfw filtra entao como firewall propriamente dito pf eh mediocre perto do ipfw"
relevante o dito. para mim que estou apreendendo PF e ja implementei bem basicao em my home, my network, le isso, é constrangedor. sei la... talvez pegou pesado um tiquim, ou tem um pouco de veracidade nos fatos. para eu opinar fica mais dificil, sei muito pouco de openbsd, free e menos ainda de PF e others firewall. deixo os comentarios a quem ja tem conhecimentos de causa. abraços a lista. ate. Em 16/10/07, Evandro Nunes<[EMAIL PROTECTED]> escreveu: > irmão pode usar sem problemas > > so se lembre que o pf é processado primeiro e depois o ipfw entao por > exemplo se bloqueou no ipfw nao adianta ter liberado no pf > > outra coisa que voce tem que lembra irmão é que pelo motivo do pf ser > processado primeiro quando voce chegar no ipfw o nat do pf ja vai ter > acontecido, então os IPs ja vao tar traduzido, beleza? > > no mais pode usar os dois sem problema > > eu uso motivado pela mesma coisa que voce, porque o altq é muito > bonzinho pra quem meche com poucas filas, pra ter dezenas, centenas de > filhas tem q configurar uma por uma na mão, com ipfw tem pipe e queue > dinamico que é uma maravilha do outro mundo (ha ha exagero? sai de um > background com Linux e TC onde voce tem 4 arquivos de configuracao por > HOST pra fazer o que no ipfw agora eu faco "dinamico" com mask e voce > vai ve que nao eh exagero nao) > > alias irmao ve direito pra que voce precisa de pf > > pf so vale a pena se voce tem que fazer balanceamento de saida com > multiplos links, que no ipfw ate faz mas nao tem stick address entao > fode o esquema, alem disso no ipfw e muito dificil e confuso, no pf > faz sozinho > > se nao for isso, ou se nao for a necessidade nat-pool que o natd > tambem nao faz, se for um nat normal ou so saida por multiplos links > sem balancear dai o PF e so pra criar confusao ele e dispensavel > totalmente > > ah e pf tambem nao filtra metade dos ipoptions e tcpoptions que o ipfw > filtra entao como firewall propriamente dito pf eh mediocre perto do > ipfw > > mas tem umas feature mo bacana como nao matar state no reload das > regras, poder adicionar e remover um ip do pool, essas coisas. ah mas > pool volta no nat, e nisso, pf é impecavel, se voce precisa de coisa > avancada no nat > > On 10/15/07, João Paulo Just <[EMAIL PROTECTED]> wrote: > > Olá, pessoal. > > > > Gostaria de misturar o IPFW com o PF da seguinte forma: IPFW fazendo > > controle de banda e PF fazendo NAT. > > > > Porque isso? Porque não fazer tudo no PF? > > > > O problema é que uso controle de banda dinâmico no IPFW da seguinte forma: > > > > -- ipfw.rules -- > > # Download > > ipfw pipe 1 config bw 150Kbit/s mask dst-ip 0xffffffff > > # Upload > > ipfw pipe 2 config bw 150Kbit/s mask src-ip 0xffffffff > > > > ipfw add pipe 1 ip from not me to 172.16.16.0/20 in via rl0 > > ipfw add pipe 2 ip from 172.16.16.0/20 to not me in via tun* > > ---------------- > > > > E não sei como fazer isso no PF, não consegui achar como fazer, e até já > > pedi auxílio à lista há um tempo atrás e ninguém pôde me ajudar (se > > alguém tiver a solução, me ajude). > > > > Então, pra continuar com o controle de banda do IPFW, qual seria a > > melhor forma de misturar os dois? Se eu tirar a NAT do IPFW e botar no > > PF direto vai funcionar tranquilo? > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd