Исходное сообщение
"Запрашивает Миша Рыцаревъ" Отправлено Xaionaro, 27-Сен-10 22:08
>[оверквотинг удален] >>я был вынужден полюбить сначала ipnat, а потом собственно pf. > >ng_nat действительно появился в 6.0. До этого, да, только ipnat/pf для ната >на уровне ядра. > >>Но даже данная поправка >>не меняет того, что единственным плюсом ipfw является лишь то, что >>освоиться в нём чрезвычайно просто, > >Это уже немало :-) _IMHO_, если освоиться с iptables, с ним работать намного проще. > >>Просто я не встречал более мощного firewall-а чем >>iptables, зато встречал множество людей, которые его не осилили и поэтому >>на него ругались. > >Возможно, это так... >Просто у меня пока не возникало потребностей, где бы можно было использовать >мощь iptables, а порог вхождения действительно высоковат... >Если поделитесь примерами, что на ipfw решить невозможно/сложно, а на iptables возможно/проще, >буду благодарен. Без иронии. Ну, port-knocking например. В iptables достаточно одного лишь recent для его реализации в 2 строчки, а в ipfw я могу представить его реализацию только с использованием внешних утилит. Хотя, возможно, я ещё много чего не знаю о современном ipfw, конечно... Ну или если хочется сделать VPN-роутер предоставляющий доступ в Интернет, который автоматически банит спамеров (речь про спам по SMTP инфицированными компьютерами). В iptables данная автоматика делается в 3 строки используя recent и hashlimit. Как сделать в ipfw я тоже себе не представляю. Или даже самый элементарный "ttl-set", что вообще уж проще некуда. Где это в ipfw? На самом деле, когда есть iptables, даже fail2ban нафиг не нужен, обычно :) Примеров тонны. И не просто эзотерические примеры, а тех приёмы, которые мне уже пригождались в тех или иных целях. И я не пытаюсь доказать, что iptables лучше. Просто призываю одного автора не называть iptables кривым, предлагая взамен ipfw.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>[оверквотинг удален] >>>я был вынужден полюбить сначала ipnat, а потом собственно pf. >> >>ng_nat действительно появился в 6.0. До этого, да, только ipnat/pf для ната >>на уровне ядра. >> >>>Но даже данная поправка >>>не меняет того, что единственным плюсом ipfw является лишь то, что >>>освоиться в нём чрезвычайно просто, >> >>Это уже немало :-) > _IMHO_, если освоиться с iptables, с ним работать намного проще. >> >>>Просто я не встречал более мощного firewall-а чем >>>iptables, зато встречал множество людей, которые его не осилили и поэтому >>>на него ругались. >> >>Возможно, это так... >>Просто у меня пока не возникало потребностей, где бы можно было использовать >>мощь iptables, а порог вхождения действительно высоковат... >>Если поделитесь примерами, что на ipfw решить невозможно/сложно, а на iptables возможно/проще, >>буду благодарен. Без иронии. > Ну, port-knocking например. В iptables достаточно одного лишь recent для его реализации > в 2 строчки, а в ipfw я могу представить его реализацию > только с использованием внешних утилит. Хотя, возможно, я ещё много чего > не знаю о современном ipfw, конечно... > Ну или если хочется сделать VPN-роутер предоставляющий доступ в Интернет, который автоматически > банит спамеров (речь про спам по SMTP инфицированными компьютерами). В iptables > данная автоматика делается в 3 строки используя recent и hashlimit. Как > сделать в ipfw я тоже себе не представляю. > Или даже самый элементарный "ttl-set", что вообще уж проще некуда. Где это > в ipfw? > На самом деле, когда есть iptables, даже fail2ban нафиг не нужен, обычно > :) > Примеров тонны. И не просто эзотерические примеры, а тех приёмы, которые мне > уже пригождались в тех или иных целях. > И я не пытаюсь доказать, что iptables лучше. Просто призываю одного автора > не называть iptables кривым, предлагая взамен ipfw.
	Введите код, изображенный на картинке: