On 23/07/2013 20:44, Mauro Colorio wrote:
io utilizzo entrambi con scopi diversi, concordo con Roberto per la scelta di Shorewall per il perimetrale (anche con configurazione complessa), con a monte una pianificazione fatta per bene su cosa e come deve farlo e gli alias o variabili, come preferisci, sono di grande aiuto per la leggibilità anche dopo un po' di tempo...io invece vorrei proprio valutare la sostituzione del shorewall che abbiamo da qualche anno e che ha fatto il suo dovere, però ha i suoi limiti: in primis la modifica dei file di testo nel tempo ha portato a qualche grattacapo, specie se le righe sono molte, sempre meglio di uno script di iptables si potrebbe dire ;) Devo ammettere che le premesse di pfsense sono ottime, anche su questo punto ad esempio, pfsense permette di raggruppare facilmente reti e host sotto uno stesso gruppo e poi aggiungere una singola regola per tutto il gruppo, si può fare anche con shorewall ma andando a toccare diversi file sperando di non sbagliare nella digitazione :) Quello che mi piacerebbe capire però, al di là dell'approccio alla configurazione che uno può apprezzare o meno, è se ci sono limitazioni rispetto ad un implementazione fatta con netfilter di linux rispetto al pf di bsd, un'altro aspetto è il CARP implementato in pfsense, non mi pare ci sia qualcosa di paragonabile con shorewall :(
pFsense è un oggetto molto interessante, e se utilizzato con l'hardware giusto è vincente; credo sia la scelta giusta se hai la necessità di gestire anche altri servizi p.e. di VPN o devi realizzare accessi con captive portal insieme alla classica struttura di un fw. L'interfaccia grafica aiuta anche chi non lo fa di mestiere tutti i giorni...
ciao Mauro
m2c BS -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx