firewally- který používáte a proč -pro a proti
Dan Lukes
dan at obluda.cz
Mon Apr 24 09:56:49 CEST 2006
Jaroslav Votruba napsal/wrote, On 04/24/06 09:16:
> ted používám IPFW ,přimo z upravenýho jádra
> 1. pokud bych jej používal přes #kldload ipfw -má to nějakou výhodu?
Pokud mate maly pocet spravovanych serveru, tak je IMHO vhodnejsi mit
trvale pouzivane moduly pevne zakompilovane. Jednak mam dojem, ze
overhead volani je v pripade zakompilovaneho kodu mensi nez u kodu
dynamicky linkovaneho, za vetsi vyhodu ale povazuji to, ze s kazdym
zvlastnim souborem se zvysuje pravdepodobnost chyby - at uz chyby lidske
(updatovany kernel, ale zapomelo se na moduly ; nebo obracene) nebo
strojove (po havarii dojde k poskozeni filesystemu a nasledny fsck
nektere soubory odstrani).
Dynamicky loadovane moduly maji smysl pokud je nepouzivate trvale (i
kdyz je otazka, zda ta trocha usetrene pameti za to stoji) - a pak u
velkeho poctu stroju, pokud mate jejich system spravy takovy, ze je pro
vas vyhodnejsi mit vsude stejny kernel a diference mezi nimi resite
naloadovanim ruznych modulu.
> 3.jakej FW používáte a z jakýho důvodu zrovna ten váš?
Myslim si, ze nejdulezitejsi kriterium je "pouzivat takovy firewall,
ktery chapu a umim dobre ovladat". System s firewallem, kteremu
nerozumim a tedy ho nejsem schopen bezpecne konfigurovat je snad jeste
ohrozenejsi nez system uplne bez firewallu.
Pokud vas tedy zadny objektivni duvod nenuti ke zmene toho, co
pouzivate dosud, rozhodne pouzivejte to, na co jste zvykly.
Duvodem pro zmenu muze byt predevsim to, ze favorizovany firewall nema
jakousi funkci/vlastnost, kterou potrebujete (a nema ji opravdu ? neni
to tak, ze jste o ni jen dosud nevedel ?)
Druhym duvodem by mohl byt duvody "vykonostni". Nikdy jsem ale zadne
srovnavaci testy nedelal ani nevidel. Jiste je jen to, ze tam, kde je
kriticka otazka vykonosti jsou daleko lepsi ty, kde o osudu paketu
rozhoduje prvni rule, ktera "matchne" nez ty, kde o tom rozhoduje
posledni. Na druhou stranu, i u tech firewallu, kde defaultne rozhoduje
rule posledni lze obvykle vhodnymi optiony vyprovokovat opacne chovani.
V kazdem pripade se mi zda, ze na pruchodnost firewallu ma podstatne
vyznamejsi vliv to, s jakym rozmyslem byl navrzen nez to, jaky firewall
byl konkretne pouzit.
It's my $0,02
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list