パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

FreeBSD に pf が組み込まれる」記事へのコメント

  • 若干ストーリーにそぐわないかも知れませんが、商用ファイアウォールではアプリケーションレベルまで見る FireWall-1 と ASIC の NetScreen が戦っていますが、とかく高価な商用ファイアウォールに匹敵するオープンソースのパケットフィルタってありますか?

    昔は ipfw のルールをガリガリ書いたりしましたが、UDP 関連のルールが煩雑になるし、スプーフィング対策でインタフェースレベルまでフィルタを記述するとテストが大変だったりします。

    だから、以下のような機能を実装して
    • IP Filterの場合ですが、

      • UDP疑似セッション:
        udpに対するkeep state指定のこと?

      • セッションテーブルに基づくTCPの確立した通信のチェック:
        セッションテーブルってTCPのレベルのこと? keep state指定のこと?

      • 許可と拒否のログ
        ログ自体が記録だと思うんですが、それはさておき可能です。

      • 非passiveなFTPの許可:
        NATのftp proxyを用意すればOKかな。

      • スプーフィングの検出:
        機能の意味がよ

      • 短くいえば FTP と UDP を含むステートフルインスペクションが可能で、スプーフィング対策のルールが自動的に生成されるパケットフィルタがあったら嬉しいという意味です。

        セッションテーブルと疑似セッションはほぼ keep-state で実現しているとは思います。ただ、ipfw しか知りませんが、割と皆さんやっている established な通信は ALL ALL で許可は開けすぎなので、keep-state するルールとセットで establlished な通信は通過させるルールが必要になり全部 2 行ずつ書くことになり面倒。しかも性能的に established を許可する行は上の方に持って行く必要がある
        • ipfilterのkeep stateでは、
          コネクション確立パケットを通せば、あとはセッションテーブル
          に基づいてよきにはからってくれますよ。また、こちらは聞いた
          だけなので不確かですが、シーケンスナンバーとかもしっかり
          見ているみたいです。ただ、単体ではアプリケーション層まで
          はカバーしてくれないので、適宜Proxyと組み合わせる必要が
          ありますね(FTP等)。
          親コメント

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...