Problem s modulem pf.ko

[Dan Lukes]

Divacky Roman wrote:
> mimochodem - proc musim mit fw na ip6? nejak mi nedochazi jak mi muze
> pritomnost ipv6 v kernelu narusit bezpecnost atd.

	Protoze bez ohledu na to, jestli IPv6 v siti mas nebo ne, jakmile ho 
jednou mas v kernelu, tak pri defaultnim nastaveni take dostanes 
(link-local) adresu. To znamena, ze kterykoliv stroj v siti je schopen 
na tvuj server IPv6 mluvit - staci, kdyz i taky nainstaluje IPv6 (a tim 
padem take dostane IPv6 adresu).

	A pokud to nejak neomezis, tak je to proste neomezene. Uvazim-li, 
navic, ze lecktere daemony se proste bindnou na vsechny adresy vsech 
interfacu (tedy vcetne tech link-local IPv6) tak je IPv6 pomern eslusna 
dira do systemu, pokud si nezpomenes, ze ji musis zacpat (coz si muzes 
nevzpomenout, kdyz si o IPv6 konektivite cetl jen v odbornych 
casopisech, ale k vam na sit se ani priblizne neblizi).

	Tak nam to tak nejak Windowsovati. Po instalaci nam pobezi lecos, bez 
toho, ze si to explicitne objednam, naopak, pokud by mi to vadilo, tak 
se musim posnazit, abych to zakazal. Ovsem, vyvojovy team si da zalezet, 
aby i veci, ktere driv zakazat sly uz zakazat nesly (tedy, pokud je 
pravda, co tvrdis).

	Me to jako dobra zprava nepripada (vsak i Microsoft tuhle politiku 
opustil, protoze mu nasledne problemy ale opravdu vazne kazily povest).

	No, uvidime jak se to vyvine. Jestli z FreeBSD 4.x zmigruju na 5.x nebo 
se poohlednu po OpenBSD ci NetBSD, to uz je skoro za jedny prachy. 
FreeBSD jsem si kdysi vybral, mimo jine, proto, ze to byl bezpecny 
system. Chapu ale, ze masa uzivatelu touzi po systemu, ktery jim bude 
fungovat "sam" (a o bezpecnosti slyseli nejspis jen v televizi a 
stabilita je taky tolik nepali) a vyvojarsky team se prizpusobuje 
poptavce. Jak se mi zda, stabilita a bezpecnost uz proste nejsou v 
hodnotovem zebricku dostatecne vysoko ...

	It's my $0.02 - nikomu svuj pohled nenutim ...

						Dan