The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фильтр для Linux

21.11.2005 12:45

Построенный с использованием системы HiPAC пакетный фильтр, более оптимально проверяющий условия на каждый пакет (производительность практически не зависит от числа правил).

Имеются средства для быстрого динамического обновления набора правил.

Оптимален при огромном количестве правил или при большом сетевом трафике. nf-HiPAC фильтр с 25 тысячами правил по производительности приближается к iptables c 50 правилами.

Другой высокопроизводительный вариант задания больших наборов правил - ipset + iptables.

  1. Главная ссылка к новости (http://www.netfilter.org/proje...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/6476-netfilter
Ключевые слова: netfilter, linux, firewall
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (80) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 16:44, 21/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Только пока неумеет нат и много чего ещё.
     
     
  • 2.3, злобный (?), 19:24, 21/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    разве натить - дело _фильтра_ ?
     
     
  • 3.6, bmc (??), 08:26, 22/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >разве натить - дело _фильтра_ ?

    да

     
     
  • 4.7, bat0r (??), 10:21, 22/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    а iproute2  - тоже фильтр? а он натит
     
     
  • 5.8, Аноним (1), 15:13, 22/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    что iptables, что iproute2 - это утилиты для настройки работы netfilter.
    Т.е. возможности NAT у них одинковы. Различются только методы настройки.
    nf-HiPAC - же вообще незнает, что такое NAT.
    Не факт, что после патчения ядра - можно будет настроить NAT через iproute2
     
     
  • 6.9, si (?), 15:17, 22/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    +   Basically, you can think of nf-HiPAC as an alternative, optimized
    +   iptables filter table. Note that it cannot be used for packet
    +   mangling or NAT but you can still adopt iptables' mangle or nat
    +   table for that purpose since nf-HiPAC and iptables can be used
    +   together at the same time.
     
  • 4.12, Аноним (-), 17:41, 22/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    После таких ответов идем читать мат. часть...
    Надо отделять мух от котлет (правила фильтрации от правил трансляции), одну технологию от другой, наконец!

    Ну что за тенденция: всякий, мало-мальски обученный пользоваться инструментом, пионэр тут же стремится сказать всем, что этот инструмент медленный/кривой/неправильный и вообще, что надо было все не так делать?!

    Товарищ, в действительности все не так, как на самом деле!

    Разделение логики функционирования очень полезно и удобно, и не надо говорить, что овощерезка должна картошку еще и жарить.

    По-вашему, бытовой фильтр воды должен, кроме фильтрации загрязнений, еще и воду в вино превращать? =)

     
     
  • 5.28, bmc (??), 15:42, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Разделять конечно хорошо, но связка - есть связка. Пакетный фильтр без возможности НАТ-а - баловство.

     

  • 1.2, VladimirOstrovskiy (??), 17:58, 21/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    поэтому и быстрый видимо
     
  • 1.4, dropuser (?), 20:46, 21/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    дело фильтра или не дело фильтра - неважно :-)
    а на системах с большим кол-вом трафика нафик нат в пакетном фильтре?
    зато stateful вроде есть...
     
  • 1.5, Moralez (ok), 05:00, 22/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Забавно. А что, в linuxовом нетфильтере не создаются динамические правила? То есть, неважно сколько правил мы сконфигурили, проверяться пакеты без SYN будут только по нескольким, как это сделано уже несколько лет в ipfw?
     
     
  • 2.10, Mr.Uef (??), 15:42, 22/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Забавно. А что, в linuxовом нетфильтере не создаются динамические правила?
    А что, очень хочется чтоб не-было? ;) Не повезло тебе. Есть. И тоже "уже несколько лет".


     
     
  • 3.19, Moralez (ok), 08:39, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Да мне не жалко. Но я не уверен, что оно есть. Я проверял меньше, чем "несколько лет" назад :)
     
     
  • 4.23, Mr.Uef (??), 12:16, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Значит плохо проверял.
     
  • 4.39, _Nick_ (ok), 04:43, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Да мне не жалко. Но я не уверен, что оно есть.
    если сам не уверен - спроси у того, кто более уверен.
    Я - более уверен в вопросах iptables. Ты спросил - я ответил.
    Все еще не уверен - перечитай пост еще раз :)

    > Я проверял меньше, чем "несколько лет" назад :)
    ну, как видишь, и я пару лет назад видел фрю и много чего пропустил.
    Пыталсо попиздеть, что там все так же плохо...   ну и ты попробуй ;))

     
     
  • 5.66, Moralez (ok), 10:14, 25/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    То есть, сейчас правило -j ACCEPT --state RELATED,ESTABLISHED
    на самом деле не проверяет лишь наличие флагов, а проходит по таблице динамических правил и НЕ проходит по всем правилам фаервола, по которым прошёл пакет
    -j ACCEPT --state NEW
    ?
     
     
  • 6.73, Mr.Uef (??), 16:08, 25/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Почти так.
    Вообще, если есть установленное соединение, то для него создается динамическое правило. Когда проверка доходит до правила с ESTABLISHED,RELATED - она лезет смотреть в динамические правила, и в случае, если такое находится - выполняет ассоциированное действие - в вашем случае ACCEPT.

    Установка же соединения обычно регламентируется обычными правилами, которые обычно находятся после правила с ESTABLISHED,RELATED.

     

  • 1.11, Settler (?), 16:27, 22/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    по идее - как напишешь правила - так и будет работать. "динамические" (statefull) правила в iptables даже для udp.

    а что - правда кто-то думает что iptables проще устроен, менее красиво, чем ipfw? :)

     
     
  • 2.15, Moralez (ok), 04:54, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю что такое "проще, менее красиво".

    В линухе вообще есть аналог keep-state?

    Только не надо про SETUP и ESTABLISHED. Это аналог setup,established...

     
     
  • 3.16, _Nick_ (ok), 06:31, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Не знаю что такое "проще, менее красиво".
    >
    >В линухе вообще есть аналог keep-state?
    исходя из того, что keep-state используеться в основном для ограничения количества коннектов (в еденицу времени, в/на хост и т.д., но именно для ограничения), то вот с iptables:
    man iptables (желательно >=1.3.0 version, чтоб не кричал, что "вот нету")
    и исчи там модули по таким регекспам %)
    .*conn.*
    .*limit.*
    я насчитал 7 штук. Количество конечно же ни о чем не говорит. Поэтому давай приводи проблему, которую, по твоему мнению, не может решить iptables, но может твой keep-state в ipfw - и я буду тебя порвать.

    >Только не надо про SETUP и ESTABLISHED. Это аналог setup,established...
    да, не буду. реально разные вещи.

     
     
  • 4.18, Moralez (ok), 08:36, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    "keep-state используеться".... бульк, раздалось из лужи.

    "желательно >=1.3.0 version". опять напильник?! а без напильника смогёте? :)

     
     
  • 5.26, si (?), 13:20, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    [root@mysql] #>iptables --version                                                                                                        
    iptables v1.3.3
    [root@mysql] #>uname -a                                                                                                                  
    Linux mysql 2.6.13-15-smp #1 SMP Tue Sep 13 14:56:15 UTC 2005 x86_64 x86_64 x86_64 GNU/Linux
    [root@mysql] #>cat /etc/SuSE-release                                                                                                    
    SUSE LINUX 10.0 (X86-64)
    VERSION = 10.0
    все их коробки, ни какого напильника ...
     
     
  • 6.55, Moralez (ok), 12:33, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Как вы можете сравнивать FreeBSD и десктопный дистрибчик? production - это в лучшем случае SLES и RHAS/RHEL... хотя там столько недочётов, что я бы и из не отнёс. Но остальное вообще шансов не имеет...
     
     
  • 7.56, dimus (??), 14:48, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Как вы можете сравнивать FreeBSD и десктопный дистрибчик? production - это в
    >лучшем случае SLES и RHAS/RHEL... хотя там столько недочётов, что я
    >бы и из не отнёс. Но остальное вообще шансов не имеет...
    >

    Детский лепет. Вы, похоже, совершенно не в курсе дела.

     
  • 7.61, _Nick_ (ok), 22:49, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Как вы можете сравнивать FreeBSD и десктопный дистрибчик?

    да, чел реально влез неясно откуда со своим АЛЬТом.
    Но, спорим то мы о фаерволах.
    И будь то трижды "десктопный" Линух, он такое уммеет, а "раскошная" фря - нет.

     
     
  • 8.63, Moralez (ok), 06:16, 25/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Дорогой мой ОСь роскошной делает не какая-то невнятная фича фаервола, а совокуп... текст свёрнут, показать
     
     
  • 9.64, Mr.Uef (??), 09:43, 25/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    По этой причине я и слез с фрюхи Т к линух сейчас активно продвигают мощные ко... текст свёрнут, показать
     
     
  • 10.65, Moralez (ok), 09:53, 25/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Популяризируя линукс они делают его хуже Это на взгляд половозрелого админа ... текст свёрнут, показать
     
     
  • 11.72, Mr.Uef (??), 15:24, 25/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Пусть хуже, но более боеспособным перед нашествием Винды Т е агонизировать буд... текст свёрнут, показать
     
  • 9.74, _Nick_ (ok), 20:03, 25/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    кто мешает апдейтиццо версионные - перманентно и эротически А про генту уже з... большой текст свёрнут, показать
     
  • 7.68, capt (??), 10:40, 25/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >production - это в лучшем случае SLES и RHAS/RHEL...

    Стоят 2 SLES'a, ждут, когда снесу и поставлю SuSE, как на остальных серверах :)

     
     
  • 8.70, Moralez (ok), 14:02, 25/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Capt, потому что софт в SLES9 протух, а SLES10 всё не рожают Это повод поставит... текст свёрнут, показать
     
  • 5.27, Settler (?), 13:21, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >"keep-state используеться".... бульк, раздалось из лужи.
    >
    >"желательно >=1.3.0 version". опять напильник?! а без напильника смогёте? :)

    Вперед. Покажи мне как на ipfw делать вот это:

    http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-5.html

    (да, я знаю что НИКАК, но вдруг ты знаешь, что чудо бывает) :)

     
     
  • 6.44, nobody (??), 09:30, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    IIRC netfilter/iptables understands stuff like the in-kernel ftp
    proxy as 'connection tracking'.

    pf(4) doesnt do this directly, use ftp-proxy(8).

    (c) http://www.monkey.org/openbsd/archive/misc/0211/msg01079.html

    в принципе как и в netfilter, требуется дополнительные модули. В случае нетфильтер - ip_conntrack, insmod ip_conntrack_ftp (судя по ссыке), в случае pf - ftp-proxy(8).

    Там kernel level, здесь user level.

    PS. на топик все забили :)

     
  • 5.38, _Nick_ (ok), 04:29, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >"keep-state используеться".... бульк, раздалось из лужи.
    т.е. это НЕ используеться??
    ок. А нах оно тогда?
    Или чего именно нужно?? Хотелось аналогов?? Есть
    Или именно "keep-state"?? Так может тогда мы дружно поищем именно vserver под бздей??? Или именно UML (несмотря на то, что это юзер моде ЛИНУКС).
    Нужна фича - она есть. А как называется - давайте это уж будет проблема авторов.

    >"желательно >=1.3.0 version". опять напильник?! а без напильника смогёте?
    >:)

    ok. Давай мне NAT в ядре в 3.5 бзде. Фонарь?? Напильник??
    Иди в лес.

     

  • 1.13, DmA (?), 22:33, 22/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >а что - правда кто-то думает что iptables проще устроен, менее красиво, чем ipfw? :)'

    помоему все FreeBSВшники так думают к сожалению

     
     
  • 2.14, Settler (?), 23:56, 22/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    да и пусть думают, почему к сожалению :) я надеюсь что "все фри-бсдшники" - это не разработчики ядра freebsd - и они таки когда-нибудь, напишут что-нибудь напоминающее по нормальности использования netfilter/iptables.

    пока-же ipfw просто убогий. ipfilter/pf - тем более.

     
     
  • 3.20, nobody (??), 09:25, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    а если конкретно?
    Как долго ты пользовал ipfw/ipfilter/pf ?
     
     
  • 4.24, Settler (?), 13:14, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >а если конкретно?
    >Как долго ты пользовал ipfw/ipfilter/pf ?

    зачем вам статистика? :)
    iptables - столько, сколько он существует (лет 5)
    ipfw - весь этот год

    мне от ipfw много не нужно. на сегодня, я знаю, что ipfw не может реализовать вот это:

    #!/bin/sh
    #eth0 - внешний интерфейс, смотрящий "в интернет"
    #
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT                                
    iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT                                      
    iptables -A INPUT -j DROP                                                                        
                                                                                                        
    с аналогичной функциональностью (я про RELATED/conntrack_ftp например).

     
     
  • 5.30, odip (?), 18:03, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >мне от ipfw много не нужно. на сегодня, я знаю, что ipfw
    >не может реализовать вот это:
    >
    >#!/bin/sh
    >#eth0 - внешний интерфейс, смотрящий "в интернет"
    >#
    >iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    >iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
    >
    >iptables -A INPUT -j DROP
    >
    >с аналогичной функциональностью (я про RELATED/conntrack_ftp например).

    ты сначала расскажи что это

     
     
  • 6.31, Settler (?), 18:41, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    разрешены все исходящие соеденения, запрещены все входящие.
    принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать активный и пассивный ftp.
     
     
  • 7.32, Egor (??), 20:13, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >разрешены все исходящие соеденения, запрещены все входящие.
    >принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
    >активный и пассивный ftp.

    а keep-state как раз применить?
    Вообще, оба файрвола умеют все, что разумному человеку надо. Тут уж у кого к какому файрволу или системе душа лежит.

     
     
  • 8.42, _Nick_ (ok), 05:13, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    примени Возьми и напиши полный набор правил на IPFW для реализации этого Докаж... текст свёрнут, показать
     
  • 7.35, BB (??), 21:52, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >разрешены все исходящие соеденения, запрещены все входящие.
    >принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
    >активный и пассивный ftp.

    И еще раз ой мне :) если по тупому и на pf то это выглядит след образом, к примеру если fxp0 внешний интерфейс:

    block log all #все заблокированые пакеты отразятся в pflog0
    pass out on fxp0 inet proto {tcp,udp,icmp} from (fxp0) to any keep state

    если хочешь что-бы вооще все красиво было то вот так:

    block log all #все заблокированые пакеты отразятся в pflog0
    pass out on fxp0 inet proto tcp from (fxp0) port>1023 to any flags S/SAFR keep state
    pass out on fxp0 inet proto udp from (fxp0) port>1023 to any keep state
    pass out on fxp0 inet proto icmp from (fxp0) keep state

     
     
  • 8.36, Settler (?), 23:16, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    да нет в pf ipfw коннекшен-трекинга, ну что-вы как маленький я полгода копал - ... текст свёрнут, показать
     
     
  • 9.45, BB (??), 10:35, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Эта, все пингвиноиды такие зануды ты спрашивал русским языком как в pf реализо... текст свёрнут, показать
     
     
  • 10.57, _Nick_ (ok), 22:36, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    ты нерусский тебе нормально сказали и показали элегантность реалиции в iptable... текст свёрнут, показать
     
  • 9.52, Осторожный (?), 11:32, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    keep-state в ipfw - это разъве не коннекшен-трекинг там правда icmp на tcp udp... текст свёрнут, показать
     
     
  • 10.54, Settler (?), 11:56, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    это stateful про это никто не говорит не знаю зачем версию указали на iptab... текст свёрнут, показать
     
  • 8.43, _Nick_ (ok), 05:16, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    ГЫ А где разрешить коннект от FTP сервака по активному сценарию FTP сессии ... текст свёрнут, показать
     
     
  • 9.47, BB (??), 11:03, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Да правильно, в данном примере коннект с активным ftp отсутствует Но не потому ... текст свёрнут, показать
     
     
  • 10.50, Settler (?), 11:17, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    ну а по моему - это не работает и это плохо и это тоже не обсуждается потому, ... текст свёрнут, показать
     
     
  • 11.51, BB (??), 11:28, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    ты утверждаешь что конструкция вида block log all pass out on fpx0 inet proto ... текст свёрнут, показать
     
     
  • 12.60, _Nick_ (ok), 22:47, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    ГЫ А куда АКТИВНЫЙ FTP задевал Не нуна хитрить, товарисч Подавай за... текст свёрнут, показать
     
     
  • 13.82, butcher (ok), 09:14, 28/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    В ipfw изначально не было поддержки NAT, что сейчас уже практически включено в б... текст свёрнут, показать
     
  • 11.53, Осторожный (?), 11:42, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Я тоже считаю, что активный ftp не нужен Проблемы с безопасностью - это раз Ре... текст свёрнут, показать
     
     
  • 12.62, _Nick_ (ok), 23:04, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Красноглазое высказывание кому не нужен тебе не нужен А че делать тому, кому ... текст свёрнут, показать
     
     
  • 13.71, Осторожный (?), 14:59, 25/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    А мне пофигу что будут делать то кому нужен См выше С логикой плохо у тебя - ... текст свёрнут, показать
     
     
  • 14.76, _Nick_ (ok), 04:25, 26/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    плохо мы тут общие проблемы рассматриваем из танка на урок чтения в 1-й клас... текст свёрнут, показать
     
  • 10.58, _Nick_ (ok), 22:42, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    ГДЕ я так и НЕ увидел реализацию этого приводи набор правил, если это так уж п... текст свёрнут, показать
     
     
  • 11.67, BB (??), 10:19, 25/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    когда у человека кончаются аргументы, он начинает оскорблять собеседника, это сл... текст свёрнут, показать
     
     
  • 12.75, _Nick_ (ok), 21:52, 25/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    конечно мой Что тебе еще сказать, когда мы говорим о возможностях фаервола, а т... большой текст свёрнут, показать
     
     
  • 13.78, BB (??), 23:02, 26/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Скучно с тобой Испугал ыжа голой попой тебе ip сказать что-бы ты поразвлек... текст свёрнут, показать
     
     
  • 14.79, _Nick_ (ok), 01:01, 27/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    нарисовали просто DENY для ВСЕХ входящих Тема е ли с активным FTP в PF твоем НЕ... текст свёрнут, показать
     
  • 9.48, Moralez (ok), 11:12, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Когда pf настраивается на самом ftp-сервере pass in quick proto tcp from any ... текст свёрнут, показать
     
  • 7.49, saylor_ua (??), 11:16, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    НА IPFW
    ipfw add pass ip from me to any keep-state setup
    >разрешены все исходящие соеденения, запрещены все входящие.
    >принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
    >активный и пассивный ftp.

    Насколько я понял задачу - реализуется 1 правилом


     
     
  • 8.59, _Nick_ (ok), 22:44, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    неправильно понял Входящий коннект в рамках активной FTP сессии пойдет в пеши... текст свёрнут, показать
     
     
  • 9.69, Wulf (?), 11:05, 25/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Специально для группы особо разтрындившихся флеймеров цитата из man natd от Fre... текст свёрнут, показать
     
     
  • 10.77, _Nick_ (ok), 04:37, 26/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    респект но поправка Не фильтры его поддерживают, а natd Фильтры пока что в Ж ... текст свёрнут, показать
     
  • 2.17, _Nick_ (ok), 07:36, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>а что - правда кто-то думает что iptables проще устроен, менее красиво, чем ipfw? :)'
    >помоему все FreeBSВшники так думают к сожалению

    так думают только те, кто пробовал ipfw, но в то же время толком не понял iptables. А кто не въехал - именно тот и кричит. Сам иногда такой.

     
     
  • 3.21, BB (??), 09:49, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Мда, действительно, вот я ну никак не смог въехать в логику netfilter куча каких-то левых словечек, конфиг в результате получается совсем нечитабельный. у pf синтаксис явно проще и логичнее
     
     
  • 4.25, Settler (?), 13:19, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Мда, действительно, вот я ну никак не смог въехать в логику netfilter
    >куча каких-то левых словечек, конфиг в результате получается совсем нечитабельный. у
    >pf синтаксис явно проще и логичнее

    в конечно итоге, _мне_лично_ главное что-бы работало, а не поспорить. смысл моих провокация - что-бы мне показали чудо, вдруг я просто не увидел сам, не смог понять, не так думаю, не нашел в документации/google.

    реализуйте на pf - вот это - http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-5.html

     
     
  • 5.34, BB (??), 21:29, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >реализуйте на pf - вот это - http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-5.html

    А вот можно для тупых разжевать и в рот положить - то есть ну вот нихрена я не понял что там делается с пакетами, плииииз :)

     
     
  • 6.37, Settler (?), 23:26, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>реализуйте на pf - вот это - http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-5.html
    >
    >А вот можно для тупых разжевать и в рот положить - то
    >есть ну вот нихрена я не понял что там делается с
    >пакетами, плииииз :)

    оригинал:
    http://iptables-tutorial.frozentux.net/iptables-tutorial.html

    на русском:
    http://www.opennet.ru/docs/RUS/iptables/

    картинки, подробно, доходчиво. читайте.

     
  • 4.40, _Nick_ (ok), 04:50, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Мда, действительно, вот я ну никак не смог въехать в логику netfilter
    >куча каких-то левых словечек, конфиг в результате получается совсем
    >нечитабельный.
    да, он не такой клетчатый, как ипфв. И ОЧЕНЬ тяжел для восприятия после него ;))) по себе знаю. Трудно переходить было.
    Но как только въехал - за уши не оттянешь

    >у pf синтаксис явно проще и логичнее
    да, но лучше логика в структуре и модульности, чем в конфиге

     
     
  • 5.46, BB (??), 10:53, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >да, он не такой клетчатый, как ипфв. И ОЧЕНЬ тяжел для восприятия
    >после него ;))) по себе знаю. Трудно переходить было.
    >Но как только въехал - за уши не оттянешь
    >
    >>у pf синтаксис явно проще и логичнее
    >да, но лучше логика в структуре и модульности, чем в конфиге
    Хм, фраза конечно хорошая оптикаемая да и возразить то нечего :) Но вот есть такое маленькое "но" пока для себя я не вижу приемуществ у netfiltr'а перед pf.

     

  • 1.22, 193206207206201205 (?), 11:20, 23/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    конфиг может и трудно читаемый, хотя тоже вопрос спорный, но вот с командной строки например iptables  -L -n -v все вполне логично выглядит
     
     
  • 2.29, ам (?), 17:19, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    мне недавно пришлось настраивать систему НАТ+примитивного подсчета траффика на фре..ухх ну и плевался я - после линуха, столько НЕЛОГИЧНОГО, от некоторых правил был сегфолт(!!!!!!!!! frbsd5.3), зато в плюсах - из пакаджей очень удобно поставилась ipacc и с подсчетом было очень удобно все и замечательно.
     
     
  • 3.41, _Nick_ (ok), 05:07, 24/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >мне недавно пришлось настраивать систему НАТ+примитивного подсчета траффика на фре..ухх ну и
    >плевался я - после линуха, столько НЕЛОГИЧНОГО, от некоторых правил был
    >сегфолт(!!!!!!!!! frbsd5.3), зато в плюсах - из пакаджей очень удобно поставилась ipacc

    а ты не пользовал порты на Линухе?? Не хочь попробовать? %)
    gentoo.org
    система портеждей взята у бзд и доведена до уровня комфортного использования. Про кошмар с зависимостями RPM based забудешь навсегода как страшный сон ;))

    >и с подсчетом было очень удобно все и замечательно.

     
  • 2.33, BB (??), 21:26, 23/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >конфиг может и трудно читаемый, хотя тоже вопрос спорный, но вот с
    >командной строки например iptables  -L -n -v все вполне логично
    >выглядит
    Ой мне :)
    Честно говоря ничего не имею против netfiltr'а но как-то вот криво с моей точки зрения :)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру