Re: Systemanforderungen f?r reinen Router

From: Marian Hettwer <MH(at)kernel32.de>
Date: Thu, 03 Jul 2003 14:45:05 +0200

Hi Olli,

Oliver Fromme wrote:
> Marian Hettwer <MH(at)kernel32.de> wrote:
> > Oliver Fromme wrote:
> >
> > Mag sein. Menschen sind Gewohnheitstiere :)
> > Ich benutze seit Netscape 4.x dieses "Mailinterface" und komm nicht von
> > weg. Also, leb ich halt mit Speicherfresserei ...
>
> Ich hatte nicht die geringsten Probleme, davon wegzukommen,
> im Gegenteil. :-) Es hat einfach nicht die Features, die
> ich bei einem MUA brauche und erwarte, von der Langsamkeit
> mal ganz abgesehen.
>
nuja... ich kann mir elm ja mal anschauen. Gucken schadet nix.

> > > Ich persönlich verwende seit 12 Jahren elm, aber das in-
> > > teressiert Dich vermutlich eher nicht. :-)
> >
> > as said above ...
> > Es wundert mich nicht wirklich, daß du ein 12 Jahre alten MUA nimmst ;-)
> > *scnr*
>
> Ich verwende keinen 12 Jahre alten MUA, sondern ich verwen-
> de seit 12 Jahren diesen MUA (in der jeweils aktuellen Ver-
> sion, natürlich). Das ist ein Unterschied. ;-)
>
Du weißt das die Aussage ironisch gemeint war ;-)

> Ich würde auch nicht sagen, daß ich ein 34 Jahre altes OS
> verwende, obgleich seine Historie durchaus so weit zurück-
> verfolgbar ist.
>
mist, damit hebelst du natürlich alles aus. Jajaja. hast gewonnen :-)
Ausserdem kann ich jungspund (baujahr 82) nicht bei 12 Jahre alten mua's
mitreden. Nicht so richtig zumindest ...

> > > Ich habe bei mir im Opera als Handler für mailto:-Links
> > > etc. folgendes eingetragen:
> > > xterm -geometry 80x50+256+0 -fn 9x15bold -e elm
> > > und bin damit superglücklich.
> >
> > Ich bin mit dem Opera von Hause aus nicht sehr glücklich. Meine letzte
> > Erfahrung mit dem native FreeBSD port war nicht sehr glücklich ...
>
> Falscher Ansatz. Den Native-FreeBSD-Port kann man knicken;
> der hat zahlreiche Bugs, funktioniert nicht mit den Plugins
> (z.B. Flash), und hinkt in der Version hinterher.
>
> Nimm den Linux-Port (unter Emulation). _Viel_ besser.
>
hm... und nicht so ein Speicherfresser wie Mozilla ?
Klingt interessant ...

> > [...]
> > Gutes Argument. Aber ist iptables vom Funktionsumfang/Bugs/Security
> > Gründen auch die bessere Wahl ?
>
> Äh, wie kommst Du jetzt auf iptables? Ich dachte, es ging
> Dir jetzt um IPFW vs. IPFilter.
>
Huch. Schreibfehler. iptables kommt erst weiter unten. Meine Güte
iptables, ipfilter, ipfw, ipchains. Wer soll da noch durchsehen ;)
Es war natürlich ipfilter gemeint!

> > > Meiner Meinung nach ist die Pflege von Filterregeln bei
> > > ipfilter deutlich einfacher als bei IPFW.
> >
> > Auch Syntaxseitig ?
>
> Ja, auch die Syntax ist einfacher (IMO). Das Entscheidende
> ist aber meiner Meinung nach die Pflege der Regeln. Syntax
> kann man lernen.
>
Es macht das lernen bedeutend leichter wenn der Syntax verständlich und
nicht zu kryptisch ist.

> > Ich habe mal iptables (sorry *g*) mit pf verglichen.
> > Man spart unmengen an Zeilen in pf, was in iptables deutlich schwieriger
> > gewesen wäre.
>
> Daß iptables nicht toll ist, ist klar. Das war aber jetzt
> nicht das Thema, oder?
>
Jein. Es war das thema ipfilter und ipfw zu vergleichen. Bei der
Gelegenheit hab ich einfach mal ein Statement zum Vergleich pf vs.
iptables vorgenommen.

> > Nur aus Interesse: Hast du grade ein Beginners Tutorial zur Hand ? Wenn
> > nicht google ich halt ...
>
> www.ipfilter.org
>
ich dachte es mir fast ...

> > > Naja, für FreeBSD gibt es keinen Grund, noch einen dritten
> > > Paketfilter ins Basissystem zu importieren, noch dazu einen
> > > weiteren proprietären neben IPFW.
> >
> > Man sollte denke ich nicht nur dieses eine Argument im Auge haben.
>
> Nicht nur das eine, aber es ist sicherlich eines der ent-
> scheidenden.
>
> Du hast mir noch keinen konkreten Grund _für_ einen Import
> von pf in das Basissystem genannt.
>
Zwischenfrage: Ist es Teil des Basissystems weil man es in den Kernel
einbacken kann, oder ist es Teil des Basissystems weil man in einer
default installation damit ausgerüstet wird ?
Konkret:
OpenBSD 3.3 installiert. Der kernel bringt alles für pf mit und im
userland fliegen alle Programme dafür rum.

Ich würde es nur lieber sehen wenn ich anstelle von Kernelmodulen (so
wie es bei pf jetzt der Fall ist) die optionen fest im Kernel haben könnte.

So, nun um einen Grund zu nennen. Vorsicht, ich habe mir ipfilter noch
nicht angesehen, aber ich denke, daß weder ipfw noch ipfilter Quality of
Service unterstützen. Wer das nicht braucht... praktisch bei pf ist auch
die Tatsache, daß man Listen (arrays) für ip adressen und ports anlegen
kann. Das verkürzt die Menge der zu schreibenden Zeilen ungemein.

ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.txt
<snip>
     block out on fxp0 from { 192.168.0.1, 10.5.32.6 } to any
</snip>

Aber vielleicht kann ipfilter sowas ja auch. ipfw kanns meines wissens
nicht.

> Ich bin sogar eher der Meinung, daß diverse Dinge aus dem
> Basissystem herausoperiert und in die Ports-Collection ver-
> frachtet gehören.
>
Riesenhafte Userland Programme wie BIND und Sendmail... vielleicht.

beste Grüße,
Marian

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 03 Jul 2003 - 14:46:29 CEST

search this site