FreeBSD 防火墙问题？IPFW/IPfilter

hbird390

各位，请问在哪里可以找到IPFW的详细安装、设置说明，最好是中文的。我看了Freebsd中文手册的IPFW部份，看得是觉不明不白。
还有两点疑问：
1、ipfilter/ipfw的语法哪个与PF更相近；因为我想等熟悉简单设置后可过度到PF；
2、看之前的回复说ipfilter的速度要快ipfw很多，不知现在情况如何；

剑心通明

http://bbs.chinaunix.net/viewthread.php?tid=592467

hbird390

谢谢。
相比之下，我更想知道后面两个问题，可否赐教。

HonestQiao

原帖由 hbird390 于 2007-1-31 15:14 发表
各位，请问在哪里可以找到IPFW的详细安装、设置说明，最好是中文的。我看了Freebsd中文手册的IPFW部份，看得是觉不明不白。
还有两点疑问：
1、ipfilter/ipfw的语法哪个与PF更相近；因为我想等熟悉简单设置后可 ...

1、ipfilter/ipfw的语法哪个与PF更相近；因为我想等熟悉简单设置后可过度到PF；
这个相近可不好比啊。

2、看之前的回复说ipfilter的速度要快ipfw很多，不知现在情况如何；
谁说的？一般可能说ipnat要比natd快。

hbird390

2002年，台湾同志的文章
http://phorum.study-area.org/vie ... ;highlight=ipfilter

[ 本帖最后由 hbird390 于 2007-1-31 18:45 编辑 ]

hbird390

非常感谢，剑心通明的回复，及感谢linuxbao3的文章。写得十分到位。回头再看“Freebsd中文手册”时也觉得豁然开朗。
可我觉得好象Iptable的结构比BSD的防火墙更好理解，iptable包括表、链，而在NAT表中进行NAT设置也十分方便，理解起来挺清楚的。因为我是初学者，所以理解有限，请大家多指导说错或不全的地方。
同时，怎么BSD的人气都不旺，怎么回事？!

colddawn

1，个人以为ipfilter与pf语法相近，并且逻辑结构的组织形式也类似，ipfw则比较独特。
2，有这种认识大多是隐含了一个前提：NAT应用。因为ipfw自身没有实现nat，是通过用户级的natd来配合ipfw divert实现，因此效率缺失低下一些。非nat应用个人感觉纯粹包过滤ipfw最高效，state-firewall则ipfilter占优，策略路由pf无出其右。

colddawn

原帖由 hbird390 于 2007-2-1 10:59 发表
非常感谢，剑心通明的回复，及感谢linuxbao3的文章。写得十分到位。回头再看“Freebsd中文手册”时也觉得豁然开朗。
可我觉得好象Iptable的结构比BSD的防火墙更好理解，iptable包括表、链，而在NAT表中进行NAT设 ...

iptables只是用户端工具，其内核底层架构是netfilter，确实这个架构的设计思想十分优秀，非常便于扩充和修改，但如此复杂的结构带来的弱点就是性能低下，尤其是状态防火墙的基础--conntrack，同时也就意味着Nat性能同样不高。

hbird390

那colddawn 兄是否推荐使用Ipfilter呢？freebsd手册也是这样推荐的。
因为我公司有两条Internet出口，一条是直接路由到香港，另一条是ADSL(备用)；前段时间网通国际有问题及1月份台湾地震都对国内的Internet通讯产生了影响，所以就想把Freebsd接上ADSL做个GW+Squid来应急(当然必须NAT了)。我想就算哪天把ADSL换成5M城域网，Ipfilter做防火墙也够抵挡Internet攻击了吧？不知行不行？

[ 本帖最后由 hbird390 于 2007-2-1 14:40 编辑 ]

hbird390

只有自己顶一下了。