Ciao, 2012/12/5 <[email protected]>
> Conosco poco BSD e quindi non mi sbilancio, ma non darei per scontato > quello che dici. Se ? come dico io, non serve un kernel hacker ma solo > conoscere gli script di boot. > ho capito il punto di vista ed incuriosito ho ricontrollando la documentazione di pf, considerando che pfsense e' pronto per usare CARP ho l'impressione che pfsense non usa il pf loadable module ma che e' direttamente compilato nel kernel, suppongo questo considerando cosa dovresti fare in freebsd o openbsd per implementarlo... ragione per cui scrivere nella lista di pfsense ha piu' senso, non ho adesso sottomano una virtual machine con pfsense ma ci daro' un'occhiata, anche perche' son curioso di vedere quando l'interfaccia di rete viene attivata, un'occhiata veloce al dmesg potrebbe dare un'idea di cosa succede. >pi? importante, ? che la sicurezza efficace ? fatta molto di applicazione rigorosa di buone pratiche valido punto di vista, ma proprio per questo se usi un firewall in ambito enterprise ne usi piu' di uno (HA o cluster che sia, non parlo di differenti layers) e finche' il firewall non e' propriamente up non dovrebbe ricevere neanche un pacchetto. Questo non per sminuire la discussione, ma considera che in pfsense per esempio se usi CARP con il failover finche' non e' up il firewall non riceve traffico. Se hai un IP pubblico bindato su di un'interfaccia del firewall che per 3 secondi risponde al ping durante il boot non sara' bello ma finche' non hai le regole caricate, per esempio il port forwarding non avviene ... sempre considerando che in ogni caso non dovrebbe accadere di ricevere traffico finche' non e' pronto, come succede in ogni cluster o HA config di ogni tipo di firewall. Take care, cheers
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
