ページ内ジャンプ:
スラッシュドット・ジャパン 全文検索

アレゲなニュースと雑談サイト

FreeBSD に pf が組み込まれる

Oliverによる 2004年03月09日 17時42分の掲載
選べる自由と選ぶ悩み部門より。
セキュリティ BSD

BSD 曰く、 "Max Laierが 関係者にあてたメールによると、OpenBSD によって開発されているpf(Packet Filter)が、FreeBSD のベースシステムに移植されたとのことだ。-CURRENT を再構築すると、カーネルに必要なコードが埋め込まれ、ツール類がインストールされる。また、mergemaster を起動すれば、/etc/master.passwd と /etc/group の追加修正を求められ、必要なアカウント情報が組み込まれる。これで、FreeBSDには IPFW2、ipfilter、pf と3つのパケットフィルタが利用できるようになった。さて、どれが一番使いやすいだろうか。"

この議論は賞味期限が過ぎたので、保存されている。 新たにコメントを書くことはできない。
FreeBSD に pf が組み込まれる | ログイン/アカウントの作成 | 26 個のコメント | コメント検索
表示オプション しきい値:

  • 商用ファイアウォールとの比較 (スコア:3, 興味深い)

    fil (17752) : 2004年03月09日 20時26分 (#510947)
    若干ストーリーにそぐわないかも知れませんが、商用ファイアウォールではアプリケーションレベルまで見る FireWall-1 と ASIC の NetScreen が戦っていますが、とかく高価な商用ファイアウォールに匹敵するオープンソースのパケットフィルタってありますか?

    昔は ipfw のルールをガリガリ書いたりしましたが、UDP 関連のルールが煩雑になるし、スプーフィング対策でインタフェースレベルまでフィルタを記述するとテストが大変だったりします。

    だから、以下のような機能を実装していたら費用が限られる場合に、一つの候補になるかなと思います。

    ・UDP 疑似セッションを実装している ※これは ipfw でできますね
    ・セッションテーブルに基づく TCP の確立した通信のチェックができる
    ・許可と拒否のログが記録できる
    ・非パッシブのFTPを簡単に許可できる
    ・ネットワーク構成の設定か、ルーティングに基づくスプーフィングの検出ができる
    • Re: 商用ファイアウォールとの比較 by xinu (スコア:1) 2004年03月09日 22時41分

      • Re: 商用ファイアウォールとの比較 (スコア:2, 参考になる)

        fil (17752) : 2004年03月09日 23時22分 (#511051)
        短くいえば FTP と UDP を含むステートフルインスペクションが可能で、スプーフィング対策のルールが自動的に生成されるパケットフィルタがあったら嬉しいという意味です。

        セッションテーブルと疑似セッションはほぼ keep-state で実現しているとは思います。ただ、ipfw しか知りませんが、割と皆さんやっている established な通信は ALL ALL で許可は開けすぎなので、keep-state するルールとセットで establlished な通信は通過させるルールが必要になり全部 2 行ずつ書くことになり面倒。しかも性能的に established を許可する行は上の方に持って行く必要がある。商用ファイアウォールならセッションテーブルに基づく処理は最上位に自動的に配置される。

        ipfw だと内部にあるセグメントをソースとする通信が、外部のインタフェースから到達した場合に drop することでスプーフィングを防止すると思います。

        商用ファイアウォールの場合は、どのインタフェース側にどのネットワークが存在するかという設定を登録してスプーフィングを判定したり、ルーティングテーブルから想定されるネットワーク(通信するホストは当然ルーティングテーブルに乗っているので必然的に配置がわかる)に基づいて自動的にスプーフィングを判定します。これは製品によって違います。
    • Re:商用ファイアウォールとの比較 by Anonymous Coward (スコア:1) 2004年03月09日 21時44分
    • 1個のコメント が現在のしきい値以下です。

  • FYI (スコア:3, 参考になる)

    Anonymous Coward : 2004年03月09日 22時10分 (#510998)
    pfは、OpenBSDのサイトで解説文書の日本語訳 [openbsd.org]が公開されています。

    実装されている機能の詳細は上掲の文書を見ればわかるのですが、パケットフィルタリングの一般的な機能に加えて、
    • NAT、RDR
    • パケットの優先制御・帯域制御(ALTQをマージ)
    • アドレスプールを利用した負荷分散
    • nmapのようなOS識別機能
    などの機能も含まれています。まぁ、結構キッチンシンク的アプローチなのですが。

    あと、ロギング専用のネットワークインタフェース(pflog)があり、ロギングルールにマッチしたパケットはこのインタフェースを通じて記録したり、tcpdumpを用いて調査したりできます。

  • ipfilterは (スコア:2, 興味深い)

    oddmake (1445) : 2004年03月09日 18時02分 (#510848) 日記
    ライセンス上のごたごたが以前あった [allbsd.org](今どうなったかはわかんない(ぉ)りして、それでPFの開発がはじまった経緯があって。
    ipfilterはBSD的にステなのかな・・・・・・と思っていたのですが。

    # 教えてBSDのえらいひと
    --
    /.configure;oddmake;oddmake install

  • Re:リナックスも (スコア:1, 参考になる)

    Anonymous Coward : 2004年03月09日 21時40分 (#510983)
    この話 [linux.or.jp]がそうですかね?

  • Re:僕の思う BSD (スコア:3, 参考になる)

    Anonymous Coward : 2004年03月10日 13時56分 (#511406)

    ま、車輪の再発明ってのは別に目新しい話でもない罠。portsを詳細に見ていくと、機能的にかぶっているモノなんていくらでもあるし、今のFreeBSDはスケジューラーとかスレッドライブラリなど複数の実装が混在しているのが現状。ゆくゆくは1つに収斂していくのかもしれないけど、今はそういう時期なんだとあきらめてる。

    個人的なイメージとしては

    • ipfw2:NATするにはnatdと組み合わせる必要がある
    • IPFilter:FreeBSD標準だと帯域制限機能が使えない
      (つーか、FreeBSDのdummynet(4)がほぼipfw決め打ちなだけ)
    • pf:なんでもあり(帯域制限はALTQを使うらしい)。ただし、世に出てまだ日が浅い
    という感じ。

    パフォーマンスはルール設定にもよるだろうから、自分の欲しい環境で比較しないと無理。とりあえず、市販の安いルータレベルの機能はどれだって持ってるから、あとは設定するのに必要な事前情報の量じゃないの?pfの日本語訳の存在は大きいよね。

    #「素直に格安ルータ買っとけ」という突っ込みはあると思うが(w

  • 2個のコメント が現在のしきい値以下です。

このページのすべての商標と著作権はそれぞれの所有者が有します。 コメントやユーザ日記に関しては投稿者が有します。
のこりのものは、© 2001-2010 OSDN です。