Autor: Pawel Krawczyk (anti_kravietz_at_ceti.pl)
Data: Sat 07 Jul 2001 - 13:06:51 MET DST
Marcin Jurczuk <spock_at_stars.eu.org> wrote:
> Co do netfilter to nadal nie jest to jescze stabilna platforma do
> zastosowań typu firewall. Mam zarówno systemu OpenBSD+ipf jak i
> Linux+netfilter i pierwsza jest wyraźnie stabilniejsza.
> Mówie tu o stabilności w stylu ciągłej pracy bez restartów itp po
> kilkadziesiąt-kilkaset dni w krytycznych miejscach sieci.
Mam dwie takie instalacje, jedna działa na OpenBSD, druga na Linuxie
2.4 z iptables. W obu przypadkach wykorzystane są maksymalne możliwości
obu filtrów, tzn. NAT, NAT aplikacyjny (FTP) i stateful inspection.
Obie instalacje działają bez przerwy i bez restartowania filtrów w skali
tygodni i miesięcy. IMHO w tym momencie z punktu widzenia stabilności nie
ma praktycznych różnic pomiędzy OpenBSD 2.8 i Linuxem 2.4, ale iptables
mają funkcjonalną przewagę - np. rate limiting, dokładniejsza kontrola
stateful inspection, moduł unclean. Jedyne co ma naprawdę lepsze BSD to
KAME, czyli IPv6 i IPSec (w szczególności ten ostatni).
-- Paweł Krawczyk *** home: <http://ceti.pl/~kravietz/> security: <http://ipsec.pl/> *** fidonet: 2:486/23
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:51:55 MET DST