Opened 12 years ago
Closed 8 years ago
#193 closed enhancement (fixed)
ipfw instead of pf firewall
| Reported by: | rick | Owned by: | nobody |
|---|---|---|---|
| Priority: | major | Milestone: | WL-9.0-RELEASE |
| Keywords: | Cc: | ||
| Resource needed to fix: |
Description
Achteraf was de keuze voor pf ipv van ipfw onder FreeBSD niet zo'n gelukkige keuze:
- De FreeBSD pf versie loopt hopeloos achter op OpenBSD versie.
- Alle macro's in pf zorgen voor een heleboel gymnastiek op uberhaupt de boel leesbaar en werkend te houden, een shell script zou dit veel beter moeten kunnen oppakken.
- Features als queuing en rate limiting lijken in FreeBSD nu ook goed te werken.
Paar features die de initiele keuze zorgde:
- De dual-NAT oplossing (incoming NAT op external interface iLeiden (NAT-outgoing) voor MGNT-network) is misschien een uitdaging. Maar hier zijn misschien ook andere oplossingen voor (divert en natd bijvoorbeeld).
- Table support with expire for adding and removing entries.
Wat moet de firewall nu kunnen (aka design):
- iLeiden gebruiker een Captive Portal presenteren (rdr, blocking acl).
- Enkel maar bepaald type verkeer naar buiten toestaan (proxy setup).
- NAT voor iLeiden Proxy.
- Incoming RDR/NAT voor (webcam) services.
Extra features:
- Bandwidth limiting (FUP).
- Bad traffic detection and blocking.
Note:
See TracTickets
for help on using tickets.
Now on to-do list for Freebsd10.2-release.