форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Сравнение пакетных фильтров доступных для FreeBSD ..."

Сообщение от opennews (??) on 21-Фев-05, 18:53

Станислав Китанин подготовил детальный обзор (https://www.opennet.ru/docs/RUS/ipfw_pf_ipfilter/index.html) особенностей пакетных фильтров IPFW, PF (OpenBSD) и IPFILTER. Руководство содержит множество практических примеров и итоговую сравнительную таблицу. URL: https://www.opennet.ru/docs/RUS/ipfw_pf_ipfilter/index.html Новость: https://www.opennet.ru/opennews/art.shtml?num=5098

Cообщить модератору | Наверх | ^

Сообщения по теме

[Сортировка по времени, UBB]

1. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Vadim (??) on 21-Фев-05, 18:53

Автор наврал по поводу перенаправления пакетов. В pf совершенно точно есть и прекрасно работают конструкции с route-to, reply-to, dup-to. Сам на 5.3-s таким пользуюсь. Также почему ни слова о счётчиках пакетов, хотя в самом начале упомято, что фаирвол замечательно посчитает ваш трафик по любым разумным правилам. И слово "ретронсляция", видимо, от "ретро"?;)

Cообщить модератору | Наверх | ^

	2. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от Garry (??) on 21-Фев-05, 19:08
	согласен на 100 процентов да и статейка сомнительная - как то поверзностно всё и приблизетльно у него - без route-to вообще носенс получается
	Cообщить модератору | Наверх | ^

3. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от sds on 21-Фев-05, 19:09

покажите реализацию на pf такой пример а то что-то не догоняю ipfw add fwd 1.1.1.1 ip from 2.2.2.2 to any via internal_int

Cообщить модератору | Наверх | ^

	4. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от Garry (??) on 21-Фев-05, 19:16
	pass in on $internal_int route-to ($internal_int 1.1.1.1) from 2.2.2.2 to any pass out on $external_int route-to ($external_int 1.1.1.1) from  $external_int to any
	Cообщить модератору | Наверх | ^

	6. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от Garry (??) on 21-Фев-05, 19:22
	точнее в первом правиле - там где 2.2.2.2 должен быть адрес с локалки
	Cообщить модератору | Наверх | ^

5. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от sds on 21-Фев-05, 19:20

ok спасибо

Cообщить модератору | Наверх | ^

7. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от sds on 21-Фев-05, 19:24

еще в довесок как в pf посмотреть кол-во пакетов попавших под каждое правило как например в ipfw sh?

Cообщить модератору | Наверх | ^

	8. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от Garry (??) on 21-Фев-05, 19:29
	>еще в довесок >как в pf посмотреть кол-во пакетов попавших под каждое правило >как например в ipfw sh? pfctl -s labels
	Cообщить модератору | Наверх | ^

9. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от sds on 21-Фев-05, 19:40

ага понял но это что-ж на каждое првало надо метку вешать а сразу скопом все показать можно?

Cообщить модератору | Наверх | ^

10. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Jelis (??) on 21-Фев-05, 20:25

pfctl -vvs r

Cообщить модератору | Наверх | ^

11. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Dorlas (??) on 21-Фев-05, 20:30

А все таки что ни говорите - статья хорошая. Спасибо автору.

Cообщить модератору | Наверх | ^

12. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от robin zlobin on 21-Фев-05, 20:41

"В этом реферате я хочу расматреть 3 пакетных фильтра самых популярных в мире UNIX систем IPFW,IP-FILTER,PF(openbsd) на операционной системе FreeBSD 5.3." дальше читать не стал.

Cообщить модератору | Наверх | ^

13. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Станислав Китанин on 21-Фев-05, 21:01

Народ говорить что статья лажа проще всего а поповоду того что чего-то нет то тема файрвола не вписываица в размеры статьи по поводу того что там реферат да действительно я защетил реферат по ней и колбасил я под кофем 2 недели без передышки сказать что снифер крутил трафик у меня 24 часа в сутки значит не сказать не чего да сначало я там страниц 13 много воды лил но после я собрал такие вещи которых просто так не найдёшь почитайте по внимательней со странице 14 и потом критекуйте

Cообщить модератору | Наверх | ^

14. "Детский сад, блин."

Сообщение от dawnshade on 21-Фев-05, 21:09

Не судьба орфографию вордом тем же проверить??? В 99% предложений содержатся ошибки. Читаешь, блин, как udaff.com. P.S. Максим, не думал, что _такое_ ты пропустишь.

Cообщить модератору | Наверх | ^

15. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Станислав Китанин on 21-Фев-05, 21:18

к сожелению это факт орфаграфия у меня страдает

Cообщить модератору | Наверх | ^

16. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Станислав Китанин on 21-Фев-05, 21:19

прошу не венить за орфографию

Cообщить модератору | Наверх | ^

17. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от dawnshade on 21-Фев-05, 21:21

Дальше, еще круче: цитата: "Ipfw add deny tcp from any to any in tcpflags syn" - одно правило "block in quick on rl0 proto tcp from any to any flags S" - второе. По мнению автора, они эквивалентны. 10 баллов. Про первое я вообще молчу, ибо как не будет оно работать: ipfw пишется с маленькой буквы. "Тут есть одно и очень простое правило: располагать правила для IPFW в следующем порядке:" - по фигу как их располагать, ибо как нет четкого различия, достаточно прочесть когда заканчивается поиск по правилам. А вот в pf - там очень четко распределен порядок правил: The pf.conf file has seven parts: Macros: User-defined variables that can hold IP addresses, interface names, etc. Tables: A structure used to hold lists of IP addresses. Options: Various options to control how PF works. Scrub: Reprocessing packets to normalize and defragment them. Queueing: Provides bandwidth control and packet prioritization. Translation: Controls Network Address Translation and packet redirection. Filter Rules: Allows the selective filtering or blocking of packets as they pass through any of the interfaces. И не надо никакой отсебятины. бред, короче. не надо писать о том, в чем Вы не разбираетесь

Cообщить модератору | Наверх | ^

	25. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от DEC on 21-Фев-05, 23:41
	>IPFW в следующем порядке:" - по фигу как их располагать, ибо как >нет четкого различия, достаточно прочесть когда заканчивается поиск по правилам. Что за бред? С каких это пор порядок правил пошёл по боку? Думайте что говорите, уважаемый. Автору Респект! (Но русский язык забывать - нехорошо)
	Cообщить модератору | Наверх | ^

18. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Станислав Китанин on 21-Фев-05, 22:29

Знаете Вы сначало напешите что нибудь похожее проведите анализ, а потом посмотрим сколько у вас будет не точностей в стате подумаешь к чему нашол придратся что Ipfw пишется с маленькой буквы ты не мог что нибудь по оригинальней найти, Я ПИСАЛ про Unix В Word'e  который к сожелению при переносе делает большую Букву, критику я люблю спроведливую например " route-to, reply-to, dup-to" согласен прогядел спасибо Vadim'u по поводу того что счетчики знаете тогда бы я написал бы книгу об этом если бы всё пытался расмотреть но даже это не беря в расчёт орфаграфию не на мало тянет.

Cообщить модератору | Наверх | ^

	20. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от dawnshade on 21-Фев-05, 22:39
	>Знаете Вы сначало напешите что нибудь похожее проведите анализ, а потом посмотрим >сколько у вас будет не точностей в стате Достаточно? http://void.ru/content/1138 >подумаешь к чему >нашол придратся что Ipfw пишется с маленькой буквы ты не мог >что нибудь по оригинальней найти, Я ПИСАЛ про Unix В Word'e > который к сожелению при переносе делает большую Букву, Целиком и полностью Ваши проблемы. > критику я >люблю спроведливую например " route-to, reply-to, dup-to" согласен прогядел спасибо Vadim'u Уже писал про критику - читайте внимательнее. Если вы думаете, что приведенные мной примеры идентичны...
	Cообщить модератору | Наверх | ^

	31. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от nobody (??) on 22-Фев-05, 03:25
	Есть "неточность" ;) "...объединенными потоками, азделяющими..." так что попроще нужно...
	Cообщить модератору | Наверх | ^

	32. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от nobody (??) on 22-Фев-05, 03:29
	Но статейка на войде неплоха.
	Cообщить модератору | Наверх | ^

	43. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от mac on 22-Фев-05, 13:22
	>Но статейка на войде неплоха. "Перевод с английского."
	Cообщить модератору | Наверх | ^

	66. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от Денис (??) on 25-Фев-05, 00:42
	>подумаешь к чему нашол придратся что Ipfw пишется с маленькой буквы >ты не мог что нибудь по оригинальней найти Да не обращай ты внимания на "придерастов" :)) для вузовского реферата работа очень хороша. "Придерастам" следует задуматься над тем, что мало кто будет на голом энтузиазме писать для сайта такую объёмную статью, тщательно выверяя её на фактическую точность...
	Cообщить модератору | Наверх | ^

19. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Станислав Китанинс on 21-Фев-05, 22:30

А всё что там написано я реально сам проверял всё работает. ipfw add fwd 1.1.1.1 ip from 2.2.2.2 to any via internal_int я писал систему для рабочего сервера а потом IP-адресса заменил с помощью дебильного Word'a который сделал не то что надо.

Cообщить модератору | Наверх | ^

21. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Аноним on 21-Фев-05, 22:44

Большое спасибо автору за работу, а от критиков ждем не реферат, но полноценный научный опус. И за ваш труд будет вам большой респект. В нашей стране слишком много говорят, но мало делают :(

Cообщить модератору | Наверх | ^

22. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Mentat on 21-Фев-05, 23:05

Ага. Недостатки есть, но респект за сам факт создания. Критиковтаь можно, только создав лучше чем ...

Cообщить модератору | Наверх | ^

23. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от bash (??) on 21-Фев-05, 23:32

На каждую статью свой читатель. Кому водичка - а кому хлеб насущный. Потому не ругайте, многим начинающим в хозяйстве пригодится. P.S. Word не дибильный, в орфографии мог бы здорово помочь :)))

Cообщить модератору | Наверх | ^

24. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Станислав Китанин on 21-Фев-05, 23:39

Спасибо за подержку и за спроведливую критику, а то что я не COPY+PASTE стотью создавал это главное а 90% ручками писал да это и так понятно

Cообщить модератору | Наверх | ^

26. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Аноним on 21-Фев-05, 23:41

Предлагать на чтение статью, даже не потрудившись проверить орфографию, - верх неуважения к читателю. С.К., может, стоит сделать выводы?

Cообщить модератору | Наверх | ^

27. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Станислав Китанин on 21-Фев-05, 23:54

Обсолютно с тобой согласен но я живу не в России к сожелению... Я собираюсь писать диплом на тему Solaris 10x платформа x86 буду разрабатывать систему Postfix+Sasl2+Mysql+Courier, Mandatory access control, Chroot, Clamav защита стэка в деталях распишу всё если защищу диплом выставлю на OPENNET.RU полностью как есть и там гарантирую ошибок не будет.

Cообщить модератору | Наверх | ^

	38. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от rsl (ok) on 22-Фев-05, 09:00
	Когда думаешь опубликовать свою работу, очень инетересная для меня тема. А на критику не реагируй, этого дерьма везде хватает. Литературный критик это неудавшийся писатель.
	Cообщить модератору | Наверх | ^

	46. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от Станислав Китанин on 22-Фев-05, 15:11
	Через 2 месяца я даже дам все реальные IP сервера если кто-то не поверит, что такое существует.
	Cообщить модератору | Наверх | ^

33. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от blackpepper on 22-Фев-05, 06:20

FIREWALL -"огнеупорная прокладка", а не "..огненная стена...", термин взят у пожарников.Это просто так ,к сведению.

Cообщить модератору | Наверх | ^

	41. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от DEC on 22-Фев-05, 10:31
	А если совсем точно - то это "огнеупорная прокладка" между двигателем и салоном автомобиля. ;-)
	Cообщить модератору | Наверх | ^

	63. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от Sem (??) on 24-Фев-05, 02:46
	>FIREWALL -"огнеупорная прокладка", а не "..огненная стена...", термин взят у пожарников.Это просто >так ,к сведению. Сам ты прокладка. Firewall - брандмауэр. Очень точное и емкое слово. Жаль только, что мало у нас кто помнит, что это означает. "Огненная стана" - это кончено ужасный перевод. Но все равно автору респект, не смотря на его ужасный русский :)
	Cообщить модератору | Наверх | ^

	64. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от uldus (ok) on 24-Фев-05, 09:22
	>Сам ты прокладка. >Firewall - брандмауэр. Очень точное и емкое слово. Жаль только, что мало >у нас кто помнит, что это означает. Переводим с английского на немецкий ? Какой-такой брэндмауер ? Не лучше-ли использоввать "межсетевой экран"  ?
	Cообщить модератору | Наверх | ^

36. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от dav (??) on 22-Фев-05, 08:49

Интересно, как человек, который не может грамотно написать на родном языке пишет на чужом? Я имею ввиду кодирование при написании программ.

Cообщить модератору | Наверх | ^

	37. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от Грамотный on 22-Фев-05, 08:56
	У Вас у самого, Уважаемый, и запятая пропущена, и слово одно неправиьно написано. Прежде чем осуждать кого-то, сначала лучше на себя посмотрите.
	Cообщить модератору | Наверх | ^

39. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от fresco on 22-Фев-05, 09:27

Занятно. Но читать трудно. Я же, все-таки, русский :)

Cообщить модератору | Наверх | ^

40. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Аноним on 22-Фев-05, 10:23

Орфографические ошибки - это фигня.. гораздо интереснее ошибки технические. Например в следующем случае: Block in quick on rl0 proto all from any to any pass in quick on rl0 proto tcp from 195.195.195.195 to any port = 22 keep state Автор наивно полагает, что pass правило разрешит хождение пакетов. Советую ему хотя бы раз прочитать мануал по pf.conf или хотя бы следующее:      quick            If a packet matches a rule which has the quick option set, this            rule is considered the last matching rule, and evaluation of subse-            quent rules is skipped. остальные ошибки мне влом вытаскивать и приводить. Эта уже характеризует уровень компетенции.

Cообщить модератору | Наверх | ^

42. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от scum (??) on 22-Фев-05, 11:29

Очень много неточностей и технических ошибок, навскидку - про работу FTP и т.д. Если это реферат для учебного заведения, тогда сойдет. В остальном, как мне кажется, очень и очень достойно. Так держать.

Cообщить модератору | Наверх | ^

44. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Kreg on 22-Фев-05, 14:27

Статья хорошая слов нету видно автор провёл большой аналитический труд собрал и соеденил много вещей, и главное расказал доходчивым языком доступный даже начинающему админу, то что есть граматические ошибки и не точности в Ipfw с большой буквы, не правильно расмотрен FORWARD. Так знаете если за это судить автора так можно большую часть Рунета растрелять.... Молодец..

Cообщить модератору | Наверх | ^

45. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Unikof on 22-Фев-05, 14:33

Стас хорошо что смог поделится такой статьёй я узнал несколько интерестных вещей... На таких и держится opensource. То что грамматика стродает я слышал у вас в Латвии СС лигионеры маршируют. Да и русских при равнивают к 3 сорту так, что вы хотите чтоб вам сочинение Достоевского писали или рассматривали Пакетные фильтры

Cообщить модератору | Наверх | ^

47. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Saint on 22-Фев-05, 16:59

Крайне "грамотная" фильтрация ICMP. Станислав, вдумчивое чтение RFC вам не повредит.

Cообщить модератору | Наверх | ^

	51. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от Станислав Китанин on 22-Фев-05, 18:24
	Если вы говорите про ICMP я согласен что необхадим код для фрагментации и для много друго но это моё мнение что нужен пинг и всё да комуто хочется Traceroute кому. Понемаете это моя позиция я гнался за защищоностью а то что некоторые хосты не откроются так может всёд киш пожертвовать ими во благо безопастности ведь идея была в следующем чтобы закрыть всё что не нужно
	Cообщить модератору | Наверх | ^

48. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от anonim on 22-Фев-05, 17:51

horoshaja statja Stanislav dlja kogogo u4ebnogo zavidenija vi ejo pisali ? p.s prostite za translit ja toze iz Latvii :)

Cообщить модератору | Наверх | ^

	50. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от Станислав Китанин on 22-Фев-05, 18:19
	институт транспорта и связи
	Cообщить модератору | Наверх | ^

49. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от rsl (??) on 22-Фев-05, 18:16

Давайте на форуме примем правила обсуждения статей. Здесь присутствуют достаточно взрослые люди. Почему бы критику не писать в следующем ключе: "Коллега в вашей статье присутствуют следующие недостатки ...". Ведь у многих людей после ваших высказываний пропадает желание писать свои статьи, а без них не было бы самого форума, который очень помогает в нашей работе. Ребята давайте жить дружно.

Cообщить модератору | Наверх | ^

	52. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от DEC on 22-Фев-05, 19:29
	Целиком и плоностью согласен. Такое ощущение что кому-то надоело на ЛОРе флеймить, надо и здесь напаскудить.
	Cообщить модератору | Наверх | ^

	53. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от arif on 22-Фев-05, 20:37
	Станислав, Спасибо за труд! Но статью все же следует через Word прогнать и запостить снова... Глаз режет, действительно, все же Opennet не ЛОР.
	Cообщить модератору | Наверх | ^

	54. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от Maxim Chirkov (ok) on 22-Фев-05, 21:41
	>Спасибо за труд! Но статью все же следует через Word прогнать и >запостить снова... Кстати, присланную статью я прогонял через ispell, не думаю, что word больше ошибок найдет.
	Cообщить модератору | Наверх | ^

	56. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от Станислав Китанин on 22-Фев-05, 23:57
	Спасибо Максим за исправление ошибок ведь на этом и держится OPENNET что друг другу помогаем чем можем. На будующее буду более граммотным. Ведь статья действительно хорошая, но не хватило у меня сил и времени на граматику, и ёщо раз спасибо....
	Cообщить модератору | Наверх | ^

	60. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от HFSC (??) on 23-Фев-05, 16:42
	После таких "статей" пропадает желание читать эти самые статьи...позорище
	Cообщить модератору | Наверх | ^

55. "OpenNews: Сравнение пакетных фильтров доступных для FreeBSD ..."

Сообщение от kotiki on 22-Фев-05, 22:53

В сводной таблице в конец, imho есть неточность: ipfw умеет работать с syslogd, однако довольно однобоко, пишет только в facility LOG_SECURITY. ---выдержка из man ipfw(8)------- log [logamount number]   When a packet matches a rule with the log keyword, a message will   be logged to syslogd(8) with a LOG_SECURITY facility.... ---------------------------------- А статья найдет своих читателей.

Cообщить модератору | Наверх | ^

	57. "OpenNews: Сравнение пакетных фильтров доступных для FreeBSD ..."
	Сообщение от Станислав Китанин on 22-Фев-05, 23:59
	Согласен только в Syslog Facility Security
	Cообщить модератору | Наверх | ^

58. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Rulf on 23-Фев-05, 00:22

Я как раз пишу дипломную работу на тему Firewall я думаю взять за основу эту статью и дополнить ёщо больше если конечно автор не подаст на меня в суд за плагиат. Знаете Статья диствительно Класс я ещо не встречал не чего подобного. Написана понятным языком с небольшой эронией: "В системе FreeBSD firewall - это гораздо больше, чем просто турникет в метро " :))) настальгия автора по метро в латвии нет метро....

Cообщить модератору | Наверх | ^

59. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Аноним on 23-Фев-05, 16:33

"Ни внутренняя машина, ни главный компьютер Internet не знают об этих шагах трансляции." Работа проделана огромная, а результат - ... Максимум тянет на реферат, но уж никак не на статью

Cообщить модератору | Наверх | ^

61. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от SunTech on 23-Фев-05, 18:02

Интересная статья в том плане, что интересно глянуть как набирают правила в файрволл другие люди, ведь набрать можно по-разному. Еще хотел бы уточнить. В статье написано, что у PF новшество - это наличие списков. Так вот они и в ipfw есть. Использую их достаточно активно. Хотелось бы, чтоб статью также доработали слегка, в частности осветили NAT более детально. Например, возможность преобразовывать адреса в зависимости от пункта назначения. В ipnat это есть, но как-то очень слабо исполнено, в конструкции from ip ! to ip не удается добавить несколько условий. Автору спасибо.

Cообщить модератору | Наверх | ^

	62. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от DEC on 23-Фев-05, 20:32
	>В ipnat это есть, но как-то очень слабо исполнено, в конструкции >from ip ! to ip не удается добавить несколько условий. Я тоже столкнулся с такой проблемой. Решением стало использование NAT из PF, там конструкция "no nat" работает на ура.
	Cообщить модератору | Наверх | ^

	65. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от Денис (??) on 25-Фев-05, 00:34
	>>В ipnat это есть, но как-то очень слабо исполнено, в конструкции >>from ip ! to ip не удается добавить несколько условий. > >Я тоже столкнулся с такой проблемой. Решением стало использование NAT из PF, >там конструкция "no nat" работает на ура. кстати, раз уж речь зашла про NAT... имеем: ipnat - вроде как ядерный, но под нагрузкой (несколько сот пользователей одновременно, несколько десятков тысяч соединений) проц грузится огого как. один юзер его нагрузить вряд ли сможет любым потоком. пробовал крутить таймауты, помогает, но не особо. natd (точнее libalias) - хорошо оптимизирован по нагрузке, размер таблицы его не смущает, но даже один юзер может здорово прогрузить машину жирным kpps. есть ли какие-то решения, свободные от этих недостатков? стоит попробовать погонять nat от pf под той же нагрузкой?
	Cообщить модератору | Наверх | ^

	67. "вдогонку"
	Сообщение от Денис (??) on 25-Фев-05, 00:47
	>ipnat - вроде как ядерный, но под нагрузкой (несколько сот пользователей >одновременно, несколько десятков тысяч соединений) проц грузится огого как. >один юзер его нагрузить вряд ли сможет любым потоком. пробовал крутить >таймауты, помогает, но не особо. вдогонку - нагрузкой тут является кол-во соединений. некоторые юзеры их плодят тысячами, судя по всему p2p клиентами. в итоге более половины соединений создаются всего несколькими человеками. попытки лимитировать количество вызывают немедленные жалобы и вопли. но natd-то это явление не смущает...
	Cообщить модератору | Наверх | ^

	68. "вдогонку"
	Сообщение от DEC on 25-Фев-05, 02:50
	У ipnat по умолчанию соединение живёт !240 часов net.inet.ipf.fr_tcpidletimeout: 864000 Лимитирование, и правда, на клиентов нехорошо действует :-) Я поднял NAT на PF, поиграл с некоторыми настройками, и сейчас всё нормально.
	Cообщить модератору | Наверх | ^

69. "В догонку "

Сообщение от Станислав Китанин on 25-Фев-05, 15:46

если заговорили об тестировании НАТА на количество соединений не льзя не упоменуть пакетный генератор Hping который может с любого внутренего IP генерировать соединение вот shell код на установку соединения если кому то поможет: " #!/bin/sh #client -eto ja #server eto atakuemj komp clientseq=91923333 serverseq=0 i=3 colich=100 otporta=2333 naport=80 ipadress=192.168.0.1 serverseq=0 server=0 echo $serverseq > seq while [ $i -le $colich ]; do echo "#########################################################################" serverseq=`hping -Q -L 0 -M $clientseq -i u50 -s $otporta -S $ipadress -p $naport -c 1 | sed -n 2'p'| awk '{print $1}' | tr -cs "[:digit:]"` serverseq=`expr -e $serverseq '+' 1` echo "server sequences number:"$serverseq clientseq=`expr -e $clientseq '+' 1` echo "client sequences number:"$clientseq hping -L $serverseq -M $clientseq -i u50 -s $otporta -A $ipadress -p $naport -c 1 i=$(($i+1)) otporta=$(($otporta+1)) clientseq=`expr -e $clientseq '+' 10` echo "--------------------------------------------------------------------------" done"

Cообщить модератору | Наверх | ^

	70. "В догонку "
	Сообщение от nnmd on 26-Фев-05, 04:02
	Взяли бы да доработали статью до авторитетного уровня и сами бы что-то узнали и другим рассказали не на пальцах. (которые, как известно, не от большого ума) Сил на обсуждение положили немерянно, тыкали мордой и в RFC и по мелочам в статью - нет такого человека который знает всё, а тот кто и так все знает вряд ли будет говорить из-за таких мелочей. И ещё раз - толку от коментариев мало, документ нужно приводить к читаемому виду, иначе, чем проделывать работу по чтению оригинала плюс наложение на него "патчей" от комментаторов.. проще уж в самом деле начать читать man и RFC - там из первого источника, как должно быть, а не каша из мыслей разных людей которые зачастую близко не понимают как обсуждаемый механизм работает. Без обид.
	Cообщить модератору | Наверх | ^

71. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"

Сообщение от Аноним on 11-Мрт-05, 10:57

а правилах куча ошибок Пример "1.Правило разрешающее любые соединения любых протоколов на сетевом интерфейсе rl0 pass in on rl0 from any to any неправильно (только входящие а не все) pass in on rl0 from any to any неправильно (только входящие а не все) /sbin/ipfw add pass all from any to any via rl0 правильно" в тексте куча неточностей: "IPDIVERT означает включение демона маскарадинга natd" - ничего подобного добавляет в ядро функциональность - "работа с сокетами DIVERT" и мескарадинг какойто тут вообще не причем ДАЛЕЕ "IPFIREWALL_VERBOSE_LIMIT=10 ограничивает максимальное число записей, которые  могут быть сделаны в секунду" - ГОНИВО не в секунду а до resetlog options IPFIREWALL_VERBOSE_LIMIT=500 Limits the number of times a matching entry may be logged. This allows you to log firewall activity without the risk of syslog flooding in the event of a denial of service attack. 500 is a reasonable number to use, but may be adjusted based on your requirements. уважаемый, не вводите "детей" в заблуждение, и прежде чем советовать комулибо использовать default_to_accept - ознакомьтесь с аспектами безопасности информационных систем напишите как правильно построить ipfw statefull firewall + natd + default_to_deny вот это будет интересно

Cообщить модератору | Наверх | ^

	72. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от LuckyBird (??) on 15-Мрт-05, 12:42
	Большое спасибо,  статья действительно нелоха - думаю многим могла-бы пригодится. Есть только пара вопросов 1) Зачем везде используются физические адреса, ведь удобнее альясы external_addr="195.195.195.1" 2)Разве в pf нет маршрутизации правилами ? а rdr  ? 3)Можно сюда дописать про antispoof, сдесь не рассмотрен
	Cообщить модератору | Наверх | ^

	73. "Сравнение пакетных фильтров доступных для FreeBSD 5.3"
	Сообщение от LuckyBird (??) on 15-Мрт-05, 12:50
	Да, и вопрос - почему так построены правила ? Вроде надёжнее сначала сделать # setup a default deny policy block in  all block out all а потом уже разрешить что нужно ?
	Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема