UnderLinux: Poderia nos dar alguns breves dizeres sobre você, seu país, trabalho e atividades relacionadas a Informática e Software Livre. :)

Harald: Eu sou um geek de 22 anos nascido na Alemanha. O começo da minha 'carreira linux' surgiu da necessidade de rodar um gateway entre FIDO, UseNet e ZConnect (alguns formatos proprietários de mensagens da Alemanha usados na chamada Z-Netz). Eu tentei usar KA9Q no DOS mas não tive sucesso então procurei pelo linux. Eu não tinha nenhuma experiencia anterior com sistemas operacionais unix-like. Depois de aprender sobre administração, shell scripts, programação em perl e C no unix, eu gastei alguns anos instalando, configurando e customizando serviços baseados no linux como email,news,servidores web e servidores de arquivos. Mais tarde, eu fui contratado para o desenvolvimento de software sob o linux e solaris. Durante algum tempo eu sempre procurei contribuir com correções de bugs e novos recursos para os projetos de software livre com os quais estive trabalhando. Sou um membro bastante religioso da comunidade do software livre (veja gnumonks.org).

Meu assunto preferido nos computadores sempre foi firewalls. Considerando isso, não é surpresa que eu me envolvi durante o 'novo' código do netfilter/iptables no seu estágio de desenvolvimento durante os kernels 2.3.x. Haviam algumas características perdidas, e eu comecei a implementar algumas delas. Eu fui ficando cada vez mais envolvido com o projeto resultando em me tornar o quarto membro do core team do netfilter/iptables em Outubro de 2000.

Para lhes dar alguns fatos não-Tecnológicos sobre mim : Eu sou politicamente interessando, membro do movimento Attac contra a globalização neoliberal (www.attac.org) e membro também do greenpeace (www.greenpeace.org). Eu tenho acompanhado também as manifestações contra a guerra do Estados Unidos no Afeganistão. É muito importante não esquecer o mundo real.

UnderLinux: Você esteve alguns meses trabalhando na Conectiva em Curitiba/PR, correto? Qual foi sua impressão em relação a área tecnologica atualmente implantada no Brasil? Acredita que o GNU/Linux e software livre possam cada vez mais incentivar o avanço dessa área?

Harald: Sim, estive trabalhando no setor de desenvovimentdo da Conectiva durante aproximadamente meio ano. E gostei muito, e foi interessante aprender sobre como as pessoas lidam com software livre no Brasil. No meu ponto de vista o Linux é muito bem aceito no Brasil. Não sei como comparar a utilização no Linux entre o Brasil e Alemanha - talvez seja igual. Mas parece que a aceitação do Linux para aplicações profissionais é bem maior nas duas nações se comparada com a américa do norte. Minha impressão geral sobre a tecnologina no Brasil é que ela está sofrendo por causa das altas taxas de importação (60%) para equipamentos de informática. As altas taxas importação paracem ser para proteger o mercado interno, desde que os produtos em questão podem ser produzidos no país, mas ninguém no Brazil irá produzir algo como o NIC's Gigabit por exemplo. Todos os produtos de alta tecnologia tendem a vir do sudeste da asia, o governo brasileiro não irá mudar este fato.

UnderLinux: Considerando a evolução de seu conhecimento e metodologia no decorrer do projeto iptables/netfilter, caso fosse começar do "zero" o desenvolvimento de um filtro de pacotes, qual seria sua posição para evitar outros erros e perda de tempo com o desenvolvimento, comparando com alguns que vieram a aconteecer no iptables?

Harald: Em primeiro lugar : Eu não sou o autor inicial do projeto netfilter/iptables. Rusty Russell é o fundador do projeto, talvez vocês devessem peguntar pra ele ;) Considerando o tempo que eu acompachei o desenvolvimento do projeto, eu não acho que houve alguma grande perda tempo. Algumas coisas, que nós podíamos ter econimizado algum tempo indo por um caminho diferente desde o inicio foram :

ipnatctl: Rusty desenhou duas ferramentas diferentes para a manipulação das tables e do nat. Marc propôs integrar ambas em uma unica ferramenta. Isto foi durante o desenvolvimento da série 2.3.x, então a maioria das pessoas nem mesmo conhece esta parte da história.

conntrack/nat helper: O design inicial fixou o limite de uma(conexão) esperada por conexão principal. Isso funcionava para FTP, mas não para IRC, H.323, RealAudio e outros. Estamos trabalhando na chamada newnat API, a qual logo será submetida aos kernel 2.4.x

monolithic ip tables structure: A atual estrutura in-memory de uma ip table é monolítica. É um grande bloco de memória contendo todas as regras de todas as chains de uma tabela. Isso começou a ser um problema quando se tem regras dinâmicas. Isso será corrigido com o iptables2.

userspace iptables: Atualmente o iptables possui plugins para suas extensões. Ao invés de serem parte da ferramenta de linha de comando iptables elas deverão ser parte de uma biblioteca genérica, independente do iptables linha de comando. Novamente, isso será corrigido no iptables2.

Resumindo, eu estou muito feliz com o maneira com que o netfilter/iptables flui. Eu não teria ido em caminhos diferentes se eu tivesse que iniciar um novo firewall do zero.

UnderLinux: Como está a perspectiva do iptables para a família 2.5/2.6 do Kernel? Teremos muitas novidades? Mudanças drásticas em relação aos "chains" de filtragem?

Harald: Teremos várias mudanças no iptables para os kernels 2.5.x/2.6.x. No nosso primeiro workshop de desenvolvimento que ocorreu em Novembro de 2001 nós discutimos nossos planos. A primeira grande mudança será invisível para o usuário : A estrutura monolítica de uma IP Table vai ser divida numa lista ligada as chains, as quais será ligada a uma lista de entradas. Isto deve aumentar a performance para regras dinâmicas. Adicionalmente, a interface kernel-userspace irá mudar. Agora as diferentes partes do netfilter farão uso de diferentes facilidades. Especialmente o iptables que ainda está usando primitiva interface setsockopt(). Nós teremos o nfnetlink (netfilter netlink), que se compara com a atual interface rtnetlink usada para a manipulação da tabela de rotas. Como terceira grande mudança temos que iptables2 vai ter um userspace do iptables-1.x reescrito. O iptables2 será baseado na libiptables, que é uma biblioteca que proverá uma API genérica para todas as aplicacões que desejarem monitorar ou manipular as regras de firewall. Isto irá facilitar bastante sistemas de deteccão de intrusos e configuração de firewall baseado em interfaces gráficas. Outro tópico importante é alta escalabilidade e os firewalls. Não posso prometer nada, mas atualmente parece ser bastante promissor haver disponibilidade para connection tracking state synchronization, a qual é necessária se você deseja recuperação a falhas entre firewalls state-tracking redudantes.

UnderLinux: Tens acompanhado o desenvolvimento do GNU/HURD? Acredita que ele vem a somar em relação a expansão do Kernel Linux, ou apenas mais uma boa opção, porém em confronto a Kernel Linux?

Harald: Alguns anos atrás eu instalei a distribuição expertimental Debian HURD e fiz alguns testes. Fiquei mais interessado após assistir um dos famosos discursos do Richard Stallman. O Gnu/Hurd é ótimo para um divertimento acadêmico, outras direções em sistemas operacionais, mas nada para uso prático. Infelizmente não existem desenvolvedores suficientes trabalhando nele. Eu acho que a maioria das pessoas está ocupada providenciando melhoras nos kernels livres mais avançados como o Linux e *BSD e não teem tempo para o GNU/Hurd.

A tradução foi feita de modo a transmitir o máximo de clareza possível para quem efetuar a leiutura em português. Dúvidas sobre palavras e termos que podem não estar de acordo com o original devem ser encaminhadas para o e-mail bit@underlinux.com.br.