ipf a ipfw

Josef Pojsl jp at tns.cz
Tue Aug 14 13:39:02 CEST 2001


On Tue, Aug 14, 2001 at 12:59:46PM +0200, Dan Lukes wrote:
> 	Moduly jsou samy o sobe bezpecnostni riziko (i kdyz ne zas az tak o 
> tolik), to za prve,

OK, to uznavam, ale daji se udelat opatreni, ktera tu bezpecnost
priblizi, napr. naloadovat modul hned pri bootu a nasledne prejit
do securelevelu >= 1.

> za druhe, s volanim modulu se poji vetsi rezijni cas 
> nez s volanim primo zakompilovaneho kodu.

To nemam zmerene, je to skutecne podstatny rozdil? Jelikoz se
ve FreeBSD 4.x skoro vsechno presunuje do podoby modulu, ocekaval
bych, ze rychlost bude slusne odladena.

> 	A nestabilni licencni politika (nikoli konkretni licence) by mela 
> vzbuzovat nervozitu u kazdeho.

Asi ne u me prababicky, ale jinak souhlas ;-)

> 	Jestli to predevsim nebude tim, ze IPFW NENI stavovy filtr. A ackoliv 
> existuji oblasti, kde lze pouzit oboji, tam, kde staci obycejny 
> bezestavovy filtr (a to staci pomerne casto) tam je lepsi IPFW, protoze 
> ma mensi rezii, tam, kde je potreba filtr stavovy je rozhodovani dost 
> jednoduche protoze IPFW neni stavove (a dynamicke rule, nedavno pridane, 
> na to meni jen malo.

Asi nepouzivame stejnou definici stavoveho filtru. Podle te me
delaji prave nedavno pridana dynamicka pravidla z IPFW stavovy filtr.

> 	Porovnani svestek se slivami take nemuze dopadnout dobre. Kazde je 
> "lepsi" pro jinou oblast, i kdyz na kolac se da dat oboji.

Puvodni tazatel takove srovnani zadal, evidentne bez Tve jemne rozlisovaci
schopnosti.

Pepa Pojsl



More information about the Users-l mailing list