Názory k článku
Vyšlo OpenBSD 6.2

Packet Filter furt sto let za IPTables.

Spravne je:
IPTables furt sto let za Packet Filter!

PF je viac intuitivne a rychlejsie. Pri vacsich projektoch s tisickami pravidiel je rozdiel citit, kde Packet Filter(pf) pri jeho jednoduchosti je menej nachylny na chybovost a lahsie sa dohladava ake pravidlo sa pouzilo a preco.

>>Zkuste mi popsat, v čem vidíte výhody IP-tables nad Packet Filterem
extensions, především limit, který funguje také pro UDP

>>jak hodnotíte vývoj packet filteru za poslední 4 roky
nijak, PF ve FreeBSD se nijak nezměnilo od převzětí ze OBSD 4.5

PF = packet filter. pokud Vam to docvakne, tak Vam bude jasne na jake vrstve to funguje. Duvod je prosty, delat inspekci dat je problematicke z ohledem na bezpecnost. Staci prozkoumat bugy na iptables na L7, tcpdump ci wireshark a uvidite, ze bezpecne prohlizet data neni jen tak. V OpenBSD se rozhodli, ze to proste do nastroje, ktery je v kernelu nepatri. Kdo chce delat L7 filtering, muze vyuzit divert sockets a zkoumat to v user-spacu, coz samozrejme bude pomalejsi. Mozna neni na skodu precist si neco o orientaci projektu a pochopit "politicke" rozhodnuti v OpenBSD.

Odkdy sa pps rate-limiting dělá na L7? Já psal, že PF doteď neumí limitování UDP packet-per-second.
Údajně [1] ipfw to umí.

[1] https://forums.freebsd.org/threads/42933/