Ipfw - это то же самое, что и pf во FreeBSD?

2

Мне интересно, если ссылки ссылаются на pf в FreeBSD применимы к ipfw в Mac OS X Snow Leopard? Я хотел бы знать, стоит ли консультироваться с книгами по pf для использования с Mac OS.

snow-leopard firewall ipfw Scott Davies
источник

Ответы:

2

ipfw похож на ipfw на freebsd. :)

ipfw и pf - совершенно разные системы фильтрации пакетов. ipfw - это старый BSD (межсетевой экран Internet Protocol), а pf (фильтр пакетов) поставляется из OpenBSD.

pf намного более мощный, чем ipfw. По факту, pf гораздо мощнее, чем все остальное. Здесь слишком много различий, но главный «философский» таков:

  • В IPFW первое правило в наборе правил, совпадающее с пакетом, «выигрывает», а следующие наборы правил не оцениваются
  • В OF-пакете сопоставляются все правила, и последнее правило, совпадающее с пакетом, «выигрывает».

Вам следует консультироваться с книгами, руководствами о «ipfw», а не с pf.

Кстати, вот два хороших бесплатных приложения: NoobProof и WaterRoof - оба являются помощниками для OSX ipfw. http://www.hanynet.com/noobproof/

jm666
источник
Не могли бы вы пояснить, почему метод ПФ лучше?
Peter Štibraný
PF - это совершенно другая подсистема. PF имеет встроенный NAT, QoS и многое другое. С ipfw для них необходимо установить дополнительные пакеты, что не составляет особого труда, но это всегда хорошо, когда все пакеты находятся в одном согласованном месте. Наборы правил PF короче и мощнее. PF обычно быстрее, чем IPFW. Вот несколько мелких вещей, которые вызывают больше, чем использование PF, как IPFW. (Например, pfsync с ведьмой вы можете синхронизировать несколько брандмауэров гораздо больше.) Но не поймите меня неправильно: IPFW - это отлично пакетный фильтр. Просто ПФ в другой лиге. (Stačí? :-) - не осталось символов).
jm666
1
Дики :-) Меня больше всего интересовало различие между «победами в первом правиле» и «победами в последнем правиле». Я прочитал ваш ответ, как будто это большая разница, но я не понимал, почему это будет. Теперь я вижу, что вы предпочитаете PF из-за других вещей, а не только из-за оценки правил. Благодарю.
Peter Štibraný
Ааа, понимаю. Это тоже имеет преимущество. Представьте себе: в PF состояние по умолчанию - «отрицать все». Итак, вы в безопасности. И вы со следующими правилами пошагово позволяете пропускать несколько пакетов. В отличие от IPFW, состояние по умолчанию открыто, и «отрицать все, как правило, последнее правило». Это тоже нормально, но проще ошибиться и немного сложнее настроить.
jm666
@Peter - Спасибо за ваши подробные ответы! Можно ли запустить pf на Mac OS X 10.6.7?
Scott Davies