firewally- který používáte a proč -pro a proti

[Dan Lukes]

Jaroslav Votruba napsal/wrote, On 04/24/06 09:16:
> ted používám IPFW ,přimo z upravenýho jádra
> 1. pokud bych jej používal přes #kldload ipfw -má to nějakou výhodu? 

	Pokud mate maly pocet spravovanych serveru, tak je IMHO vhodnejsi mit 
trvale pouzivane moduly pevne zakompilovane. Jednak mam dojem, ze 
overhead volani je v pripade zakompilovaneho kodu mensi nez u kodu 
dynamicky linkovaneho, za vetsi vyhodu ale povazuji to, ze s kazdym 
zvlastnim souborem se zvysuje pravdepodobnost chyby - at uz chyby lidske 
(updatovany kernel, ale zapomelo se na moduly ; nebo obracene) nebo 
strojove (po havarii dojde k poskozeni filesystemu a nasledny fsck 
nektere soubory odstrani).

	Dynamicky loadovane moduly maji smysl pokud je nepouzivate trvale (i 
kdyz je otazka, zda ta trocha usetrene pameti za to stoji) - a pak u 
velkeho poctu stroju, pokud mate jejich system spravy takovy, ze je pro 
vas vyhodnejsi mit vsude stejny kernel a diference mezi nimi resite 
naloadovanim ruznych modulu.

> 3.jakej FW používáte a z jakýho důvodu zrovna ten váš? 

	Myslim si, ze nejdulezitejsi kriterium je "pouzivat takovy firewall, 
ktery chapu a umim dobre ovladat". System s firewallem, kteremu 
nerozumim a tedy ho nejsem schopen bezpecne konfigurovat je snad jeste 
ohrozenejsi nez system uplne bez firewallu.

	Pokud vas tedy zadny objektivni duvod nenuti ke zmene toho, co 
pouzivate dosud, rozhodne pouzivejte to, na co jste zvykly.

	Duvodem pro zmenu muze byt predevsim to, ze favorizovany firewall nema 
jakousi funkci/vlastnost, kterou potrebujete (a nema ji opravdu ? neni 
to tak, ze jste o ni jen dosud nevedel ?)

	Druhym duvodem by mohl byt duvody "vykonostni". Nikdy jsem ale zadne 
srovnavaci testy nedelal ani nevidel. Jiste je jen to, ze tam, kde je 
kriticka otazka vykonosti jsou daleko lepsi ty, kde o osudu paketu 
rozhoduje prvni rule, ktera "matchne" nez ty, kde o tom rozhoduje 
posledni. Na druhou stranu, i u tech firewallu, kde defaultne rozhoduje 
rule posledni lze obvykle vhodnymi optiony vyprovokovat opacne chovani. 
V kazdem pripade se mi zda, ze na pruchodnost firewallu ma podstatne 
vyznamejsi vliv to, s jakym rozmyslem byl navrzen nez to, jaky firewall 
byl konkretne pouzit.

	It's my $0,02

						Dan


-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz