Vlákno názorů k článku Začínáme bezpečně s FreeBSD (9) od jam - ipf jsem nikdy neprisel na chut, prilis mi...

ipf jsem nikdy neprisel na chut, prilis mi pripomina ten bastl z linuxu (ipchains | iptable) a co mi schazi absolutne nejvic je cislovani pravidel, ktere ma ipfw.

naprosto dokonala vec... potrebuju neco vyzkouset a bojim se ze si pod sebou uriznu vetev:

shutdown -r +10
ipfw add 405 deny ip from any to any
pockam deset minut a muzu laborovat dal na stroji kterej je 100vky kilometru zvdalen.

Uznavam, ze to neni totez, ale treba

sudo sh -c "pfctl -f /etc/pf.test && sleep 10 && pfctl -f /etc/pf.conf"

Pokud pravidla chodi, tak sleep prerusim a je to. Pokud ne, tak se znovu nahodi puvodni ruleset.
Existuji ale jeste elegantnejsi reseni pomoci napr. tables nebo anchors.
A jde to i bez restartu :o]

ale ano, samozdrejme (ani u ipfw nezbytne nepotrebuji restart, staci 'at cas sh /etc/rc.firewall' ci 'at cas ipfw delete num'... to jsem uvedl pouze jako trivialni priklad) vadi mi ze nemuzu "vkladat" pravidla rucne mezi jiz stavajici.

ipfw add num ...
mi prijde jednodusi a rychlejsi, jez editovat /etc/ipf.rule.test_to_jsem_udelal_dneska a ten pak spustit. navic zmenu v shellovsky historii budu jen velmi tezko hledat

nerikam ze ipfw je vselek a ze ipf sux. nekomu zas nemusi vyhovovat ipfw.

Tak já to říkám: ipfw rulez, ipf sux!

Číslování, goto - v tom se tak skvěle píše i ladí.

goto? ja znam akorat skipto a to pouzivam velmi opatrne...

obecne mam v algoritmu radeji neveru (gosub), nez rozvod (goto)

Jasny, kazdemu co jeho jest, kazdemu vyhovuje neco jineho.