IP Filter (http://coombs.anu.edu.au/~avalon/ip-filter.html) es
un cortafuegos disponible para muchos clones de Unix (Solaris, IRIX, FreeBSD,
NetBSD, HP-UX...); su precio (se trata de un software gratuito) y sus
excelentes características técnicas lo
han convertido en una solución muy interesante para entornos medios donde
otros cortafuegos como Firewall-1 no resultan apropiados por diferentes
razones: incluso en Solaris puede ser (>es?) en muchos casos una alternativa
más interesante que SunScreen Lite, de la propia Sun Microsystems.
Este cortafuegos permite filtrar el tráfico en función de diferentes
campos de la cabecera IP de una trama, como las clases de seguridad, las
direcciones origen y destino y el protocolo (obvio) o diferentes bits de
estado. Además es posible utilizarlo como redirector de tráfico para
configurar proxies transparentes, efectuar NAT e IP Accounting, y
ofrece también mecanismos de comunicación con el espacio de usuario; por si
todo esto fuera poco, IP Filter es stateful y soporta además
IPv6.
No obstante, no todo es positivo; el argumento más utilizado por los
detractores de IP Filter no es técnico sino jurídico, pero en
cualquier caso vale la pena comentarlo: se trata del tipo de licencia, o de la
interpretación de la misma, que hace el autor del software (el
australiano Darren Reed), y que aunque distribuye el código fuente de forma
gratuita, no permite efectuar modificaciones sobre el mismo. Aunque parezca una
tontería, esta postura choca frontalmente con la filosofía de
diferentes sistemas Unix para los que el producto está disponible, lo que
ha generado problemas de distribución y utilización del mismo; el ejemplo
más extremo es el de OpenBSD, que por indicación expresa del mismísimo
Theo de Raadt eliminó IP Filter de sus distribuciones en Mayo de 2001 y
comenzó desde entonces el desarrollo de pf, similar al anterior pero
liberado bajo otro tipo de licencia.
© 2002 Antonio Villalón Huerta