Il giorno 23/lug/2013 20:44, "Mauro Colorio" <mauro.colorio@xxxxxxxxx> ha scritto: > > io invece vorrei proprio valutare la sostituzione del shorewall che abbiamo da qualche anno e che ha fatto il suo dovere, > però ha i suoi limiti: in primis la modifica dei file di testo nel tempo ha portato a qualche grattacapo, specie se le righe sono molte, Credimi, è tutta questione di buona organizzazione dei files, e per le reti si possono creare delle variabili che aiutano moltissimo a migliorare la leggibilità. Qui ci troviamo veramente bene. Se vuoi entriamo più nello specifico. > sempre meglio di uno script di iptables si potrebbe dire ;) Mah. Noi abbiamo fatto il percorso inverso a quello che prospetti: da GUI (checkpoint) a shorewall, e non torneremmo indietro nemmeno se i costi fossero lontanamente paragonabili. > Devo ammettere che le premesse di pfsense sono ottime, anche su questo punto ad esempio, > pfsense permette di raggruppare facilmente reti e host sotto uno stesso gruppo e poi aggiungere una singola regola per tutto il gruppo, > si può fare anche con shorewall ma andando a toccare diversi file sperando di non sbagliare nella digitazione :) Rimah ... Vorrei dare un'occhiata alla strutturazione del tutto. > Quello che mi piacerebbe capire però, al di là dell'approccio alla configurazione che uno può apprezzare o meno, > è se ci sono limitazioni rispetto ad un implementazione fatta con netfilter di linux rispetto al pf di bsd, > un'altro aspetto è il CARP implementato in pfsense, non mi pare ci sia qualcosa di paragonabile con shorewall :( Qui purttropo non ho esperienza che possa esseri d'aiuto. rob > ciao > Mauro