So basically, you're saying you'd want to allow or disallow traffic based on mac address?  Seems like you could put mac filters on a number switches, Cisco being the most easily documented by Mr. Google.<br><br>Be a lot faster than any kernel, and a total waste of BSD.  If you can do it on Linux via some other mechanism, go for it.<br>
<br>The fact is, PF will do line rate layer 3 packet filtering if you've got the hardware to support it.  Try and and see.<br><br>Peter<br><br><br><br><div class="gmail_quote">On Fri, Dec 18, 2009 at 10:49 PM, sadas sadas <span dir="ltr"><<a href="mailto:mailrc@abv.bg">mailrc@abv.bg</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div>
 The syntax is not a problem. The problem is in the performance. I suppose that if I configure OpenBSD to process the in/out packets only to layer 2 the performance will be much more than linux with iptables. <br><div class="im">
<br><br><br> >>  I don't know jack about IPSet, but I know enabling or disabling hosts in<br> >>  bare stock PF without the gui in front of it is about as easy as it gets.<br> ><br> >IPTALES is the same;<br>
 ><br></div> >iptables -A [INPUT/FORWARD] -d  -j [REJECT/DROP]<div class="im"><br> ><br> >>  The PF configuration file syntax was designed from the ground up to be<br> >> sane, unlike iptables, which typically needs some decent sysadmin scripting<br>
 >> or using fwbuilder to make any good sense of.<br> ><br> >I beg to differ here.  IPTABLES is not that hard when you understand it.  Like <br> >anything else, once you know what you are doing it isn't that hard.  And no, <br>
 >I have never used any GUI program to configure my firewalls.<br> ><br> >> There is no finer opensource firewall product on the market, in terms of <br> >> performance, ease of  configuration and use, and other issues.<br>
 ><br> >This is all subjective to the user.  I would say that PF is a nightmare and <br> >IPTABLES is easier to use.<br> ><br> >>  If you're not opposed to vi, for what you're looking to accomplish, moving<br>
 >>  to BSD and pf is a no-brainer.  PF can definitely handle a list of 500<br> >> hosts and anything else you've mentioned.  It's absolutely capable, easier,<br> >> and in general, for anything that involves packet filtering at all, about<br>
 >> as good as it gets.<br> ><br> >Again this is all subjective to the user.<br> ><br> ><br> >-- <br> ><br> >Regards<br> >Robert<br> ><br> >Linux User #296285<br> ><a href="http://counter.li.org" target="_blank">http://counter.li.org</a><br>
 >_______________________________________________<br> >CentOS mailing list<br> ><a href="mailto:CentOS@centos.org" target="_blank">CentOS@centos.org</a><br> ><a href="http://lists.centos.org/mailman/listinfo/centos" target="_blank">http://lists.centos.org/mailman/listinfo/centos</a><br>
 > </div></div>
<br>_______________________________________________<br>
CentOS mailing list<br>
<a href="mailto:CentOS@centos.org">CentOS@centos.org</a><br>
<a href="http://lists.centos.org/mailman/listinfo/centos" target="_blank">http://lists.centos.org/mailman/listinfo/centos</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br>Peter Serwe<br><a href="http://truthlightway.blogspot.com/">http://truthlightway.blogspot.com/</a><br>