The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Во FreeBSD устранены удалённо эксплуатируемые уязвимости в ipfw

21.04.2020 22:39

В пакетном фильтре ipfw устранены две уязвимости в коде разбора опций TCP, вызванные некорректной проверкой данных в обрабатываемых сетевых пакетах. Первая уязвимость (CVE-2019-5614) при обработке определённым образом оформленных TCP-пакетов может привести к доступу к памяти вне выделенного буфера mbuf, а вторая (CVE-2019-15874) к обращению к уже освобождённым областям памяти (use-after-free).

Анализ пригодности выявленных проблем для эксплуатации, способной инициировать выполнение кода злоумышленника, не производился, но не исключается, что уязвимости могут не ограничиться вызовом краха ядра. Проблемы исправлены в обновлениях FreeBSD 11.3-RELEASE-p8 и 12.1-RELEASE-p4 (в stable-ветки исправления были внесены ещё в декабре прошлого года, но о том, что эти исправления связаны с устранением уязвимости стало известно только сейчас).

  1. Главная ссылка к новости (https://lists.freebsd.org/pipe...)
  2. OpenNews: В ZFS on Linux добавлена поддержка FreeBSD
  3. OpenNews: Отчёт о развитии FreeBSD за первый квартал 2020 года
  4. OpenNews: Во FreeBSD устранено 6 уязвимостей
  5. OpenNews: Во FreeBSD устранены три уязвимости
  6. OpenNews: Удалённая DoS-уязвимость в IPv6-стеке FreeBSD
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/52783-freebsd
Ключевые слова: freebsd, ipfw
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (109) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 23:01, 21/04/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +7 +/
     
  • 1.3, Grunman (ok), 23:04, 21/04/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –14 +/
     
  • 1.5, Deanon (?), 23:48, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Как всегда оперативно. Молодцы.
     
     
  • 2.86, ананим.orig (?), 01:54, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > CVE-2019-5614
    > 2019

    .

     
     
  • 3.105, Аноним (105), 15:37, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чем Вы читаете?
    "...(в stable-ветки исправления были внесены ещё в декабре прошлого года, но о том, что эти исправления связаны с устранением уязвимости стало известно только сейчас)..."
     

  • 1.6, Аноним (6), 23:51, 21/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    Уязвимости находятся и устраняются, потому что хороших людей в мире больше, чем плохих. Идет медленный, но созидательный процесс. Многим плохишам это не по нраву, ведь уязвимости позволяют вредить, шантажировать и эксплуатировать людей. Здесь все как в реале, только тоньше, изощренней и порой не так заметно. В отличии от реала, цифровой коммунизм вполне происходит на наших глазах и однажды полностью победит, закопав вонючих корпорастов и их кандалы.
     
     
  • 2.9, Аноним (9), 00:14, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ох, хотелось бы верить в эту утопию...
     
     
  • 3.13, Аноним (13), 01:11, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Чем верить, лучше творить. Начни творить своими руками, расскажи ближнему о трудах твоих, и пусть он присоединится к тебе!
     
  • 3.44, Sw00p aka Jerom (?), 12:07, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Утопия - не создание идеального мира, утопия - убить волю человека. С убитой волей человек был бы подобен алгоритму. Воля человека не подвластна человеку, её нельзя заставить или попросить что либо сотворить или разрушить.
     
  • 2.10, Аноним (10), 01:00, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >закопав вонючих корпорастов и их кандалы.

    Корпорациям в первую очередь выгодно развивать и улучшать, т.к. используют в работе. Анонимусы не обладают деньгами и компетенциями.

     
     
  • 3.12, Аноним (-), 01:08, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Выгодно далеко не всем.
     
     
  • 4.14, Аноним (10), 01:19, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Выгодно далеко не всем.

    Можно список корпораций, которым не выгодно?

     
     
  • 5.16, zzz (??), 01:41, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Открой список фаундеров линукса - все там. Себе-то они напишут как надо, а все остальные путь довольствуются отрыжкой с барского стола. Сустемды плопали. ГТК3 слопали. nftables слопали. Какие еще вопросы.
     
     
  • 6.32, нах. (?), 09:04, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вы это так говорите, как будто застрявший в середине XX века пакетный фильтр во фре - не по той же самой причине?

    У всяких нетфликсов периметр очевидно не на фре, а жунипер шкурно заинтересован не в том чтобы во фре был работающий файрвол, а ровно в обратном.

     
     
  • 7.34, anonymous (??), 09:55, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > жунипер шкурно заинтересован не в том чтобы во фре был работающий файрвол, а ровно в обратном

    Juniper продаёт железо (с ПО внутри), а не само ПО. И Juniper заинтересован, чтобы их ПО работало хорошо (иначе никто не будет покупать железо). Таким образом они заинтересованы, чтобы с FreeBSD всё было хорошо)

     
     
  • 8.36, нах. (?), 11:05, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так его ПО - работает хорошо А от фри ему нужен загрузчик и, возможно я свечку... текст свёрнут, показать
     
     
  • 9.80, zzz (??), 23:07, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты путаешь жунипер с циской, это как раз в последней линукс используется как зап... текст свёрнут, показать
     
     
  • 10.82, нах. (?), 00:15, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ну да, ты-то лично свечку держал asa как раз - вполне себе полноценный линух з... текст свёрнут, показать
     
     
  • 11.87, G0Dzilla (ok), 04:23, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Из-за используемых для дистрибуции архивов вытекает, что дистр - Linux Серьезно... текст свёрнут, показать
     
     
  • 12.88, zanswer (?), 09:09, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    IOS-XR использует ядро Linux, как в прочем и все остальные ОС Cisco, кроме Async... текст свёрнут, показать
     
     
  • 13.112, нах. (?), 23:02, 24/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    он не только ведро использует, там пол-редхата теперь поселилось, вместе с rpm ... текст свёрнут, показать
     
     
  • 14.114, Michael Shigorin (ok), 23:20, 24/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да ладно Мне достоверно известно, что русскиехакеры с kpda ru умеют заводить ... текст свёрнут, показать
     
  • 14.117, zanswer (?), 05:52, 25/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Классический IOS да, но его в расчёт я не брал, всё таки его постепенно сворачив... текст свёрнут, показать
     
  • 7.38, Аноним (38), 11:18, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > застрявший в середине XX века пакетный фильтр во фре

    это вы про како из трех фаерволов? или про все?

     
     
  • 8.39, Аноним (39), 11:32, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Эк ты категорично Пингвинчика опустил-то https www kernel org doc Documentatio... текст свёрнут, показать
     
     
  • 9.41, нах. (?), 11:41, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    я конечно понимаю,что у глупых религиозных фанатиков не принято разбираться ни в... большой текст свёрнут, показать
     
     
  • 10.52, Аноним (-), 14:23, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Я конечно понимаю, что у умных и все-все-все знающих похов не принято разбиратьс... большой текст свёрнут, показать
     
     
  • 11.54, Michael Shigorin (ok), 15:45, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вас, если что, матёрый в т ч бздишник ткнул носом в Ваше непонимание И то, чт... текст свёрнут, показать
     
     
  • 12.55, Аноним (55), 17:20, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Придумав и оспорив по ходу чуть ли не 2 3 ткнутого Это да, это он может Да и... большой текст свёрнут, показать
     
     
  • 13.63, Аноним (63), 18:52, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Небольшое дополнение и объяснение к бонусному материалу первый листинг - из со... большой текст свёрнут, показать
     
     
  • 14.70, тигар (ok), 20:33, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да неудобненько получилось Мишенька, тред снесешь или как поступишь - ... текст свёрнут, показать
     
     
  • 15.79, нах. (?), 22:41, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Скажи, ты тоже разницу между мягким и теплым осилить не в состоянии Мда я-т... текст свёрнут, показать
     
     
  • 16.81, zzz (??), 23:13, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сеанс переобувания в прыжке cспустя 6 сообщений ... текст свёрнут, показать
     
     
  • 17.106, тигарэтоя (?), 17:36, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    как будто бы наху впервой такое проворачивать ... текст свёрнут, показать
     
  • 11.78, нах. (?), 22:30, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не выпилили, валяется в дальнем темном углу - никем не используется, и не будет,... текст свёрнут, показать
     
     
  • 12.93, Аноним (93), 11:01, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Мальчик, тебя кто к компьютеру допустил ... текст свёрнут, показать
     
  • 8.40, нах. (?), 11:34, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    нет, ну зачем же все - ipf это не середина, это первая треть - На самом деле д... текст свёрнут, показать
     
  • 2.57, Аноним (57), 17:54, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    С юбилеем )
     

  • 1.11, анонимуслинус (?), 01:03, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    т.е. в файрволле фряхи такие дыры? возникает вопрос о том , что за профи его писали и не проверили свой же код(ну тут известно кто). тут скорее  вопрос о их компетентности в сфере той самой безопасности.
     
     
  • 2.17, zzz (??), 01:44, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Удивляться "дырам" во фрюхе, закрывая глаза на девляпиксовый nftables, в котором баги находят каждую неделю. Ок. Сколько там, кстати, лет прошло перед тем, как iptables стал стронг?
     
     
  • 3.29, нах. (?), 08:53, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Сколько там, кстати, лет прошло перед тем, как iptables стал стронг?

    после того как перестал, ты хотел сказать? Да лет десять уже как.

    iptables был изначально написан не так уж плохо, я не помню в нем, а не в самом tcp-стеке удаленно-используемых уязвимостей. Но тогда в нем не было прекрасного sctp, dccp и кучи другого вредного корявого мусора.
    Правда, попутно в нем не было много чего другого, что было в ipchains, и что обещали как-только-так-сразу. Но что-то сперва все было недосуг, а потом и вовсе некому.

     
     
  • 4.51, имя (ok), 13:58, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Правда, попутно в нем не было много чего другого, что было в ipchains

    А чего именно, кстати? Ты столько раз ipchains уже вспомнил, что мне любопытно стало, но я не настолько сетевик и перечитывать весь tldp двадцатилетней давности явно не осилю.

     
     
  • 5.66, нах. (?), 19:11, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    прежде всего, вот этого ipchains -v -b -C input -p tcp -f -s 192 168 1 1 -d 1... большой текст свёрнут, показать
     

  • 1.18, Вася (??), 04:13, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Фуу то в чём фряха была авторитет - такой зашквар... Тьюринг всем дыр оставил ))
     
  • 1.23, КО (?), 07:15, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    "2019"
    Ауч!
     
  • 1.24, Ivan_83 (ok), 07:16, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Значит все кто хотел имели возможность обновится уже в течении 5 месяцев.
    Мне даже когда лень и то раз в 1-3 месяца всё обновляется :)
     
     
  • 2.26, нах. (?), 08:03, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Значит все кто хотел имели возможность обновится уже в течении 5 месяцев.

    все кто хотели обновляться ради обновления - имели.
    Кто верили в сказочку про штабильность - сколько ни обновляйся, в релизную ветку ничего не попадало.

    А stable может иногда просто не собираться вообще - такая вот шта6ильность.

     
     
  • 3.28, Ivan_83 (ok), 08:49, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я на стабле сижу, она бывает не собирается 1-2 дня в году и чинится это очень быстро.
     
     
  • 4.30, нах. (?), 08:55, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну не все же наслаждаются страданием. Кому-то (наивному) хочется чтоб работало, а не пересобирать без конца. А оно - вот.

     
     
  • 5.50, Ivan_83 (ok), 13:10, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Приключения - в карренте.
    В релизах - застой совсем, оно может для ленивого продакта годится, где полтора админа и те калеки.
    Продакт который могёт - он на каретне сидит и контрибутит.
     
     
  • 6.71, тигар (ok), 20:39, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    с карентом тоже не все просто на самом деле:) у меня вот 2 стойки карентов есть с zfs-on-root и от 4 Тб данных на каждом сервере в raid10. Но сетапил крайне давно, пихая диски целиком. а потом рраз и переделали поиск загрузчика(?), теперь оно весь диск не taste'д. разделы подавай, коих нет. какое-то время жил, ревертя 2 коммита, но потом и это отломали, а разбираться уже лень, сейчас вот любовно, по 1 хосту, обновляю до r360004 (вот на нем решил заморозиться пока что) :-)
     
     
  • 7.103, Ivan_83 (ok), 14:33, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ССЗБ :)
    Плохая идея юзать ZFS для загрузки и вообще для системы, ИМХО.
     
     
  • 8.104, тигар (ok), 15:15, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    чем она плохая ... текст свёрнут, показать
     
     
  • 9.110, Ivan_83 (ok), 21:34, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Переусложнение на ровном месте без каких либо профитов UFS основная система и л... текст свёрнут, показать
     
     
  • 10.111, тигар (ok), 22:32, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    т е предлагаешь на UFS городить raid10 объемом от 4Тб самое мелкое что есть ... текст свёрнут, показать
     
     
  • 11.113, нах. (?), 23:04, 24/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    wokrs as intended c МакКузик, а не какой лох с полки Но верующие все равно в... текст свёрнут, показать
     
  • 11.116, Ivan_83 (ok), 04:33, 25/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Для системы 4тб не нужно, а про хранение данных на зфс я ничего не говорил SU р... текст свёрнут, показать
     
     
  • 12.118, Michael Shigorin (ok), 11:33, 25/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы же в курсе, что такая ФС в общем случае не может быть быстрой Где-то после 9... текст свёрнут, показать
     
  • 12.121, тигар (ok), 13:22, 29/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален ну, если иметь отдельный девайс для бута то и пофиг что ... текст свёрнут, показать
     
  • 7.115, Michael Shigorin (ok), 23:23, 24/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > сейчас вот любовно, по 1 хосту, обновляю до r360004 (вот на
    > нем решил заморозиться пока что) :-)

    ...из жизни крупных коша^Wбездельников... :-)

    (не, реально, местами сочувствую, но Вы ж помните тот анекдот про летать и выпендриваться)

     
     
  • 8.119, тигар (ok), 13:18, 29/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    так а сказать-то ты чего хотел я пытался понять, но не смог ... текст свёрнут, показать
     
     
  • 9.120, Michael Shigorin (ok), 13:22, 29/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Надо же так себе проблемы на пятую точку умудряться находить ... текст свёрнут, показать
     
     
  • 10.122, тигар (ok), 13:23, 29/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    какими будут твои, конструктивные, предложения ... текст свёрнут, показать
     
     
  • 11.123, Michael Shigorin (ok), 13:27, 29/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сам стараюсь сочетать задачи и инструменты подходящим образом В частности, не п... текст свёрнут, показать
     
     
  • 12.124, тигар (ok), 14:01, 29/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    но пройти мимо просто так не смог, правда окей вот тебе задача хранить мног... текст свёрнут, показать
     
     
  • 13.125, Michael Shigorin (ok), 14:09, 29/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да я же практиццки дружжски Если несколько терабайт куда регулярно пишут rsy... большой текст свёрнут, показать
     
     
  • 14.126, тигар (ok), 16:29, 29/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В частности, не пихать любимые инструменты вообще везде С во всей красе, чо... большой текст свёрнут, показать
     
  • 2.37, анонн (ok), 11:14, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Значит все кто хотел имели возможность обновится уже в течении 5 месяцев.
    > Мне даже когда лень и то раз в 1-3 месяца всё обновляется :)

    https://svnweb.freebsd.org/base/releng/11.3/sys/netpfil/ipfw/ip_fw2.c?view=log

    Revision 360149 - (view) (download) (annotate) - [select for diffs]
    Modified Tue Apr 21 15:52:22 2020 UTC (16 hours, 20 minutes ago) by gordon
    File length: 91348 byte(s)
    Diff to previous 349026
    Fix ipfw invalid mbuf handling.

     
     
  • 3.42, нах. (?), 11:44, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Значит все кто хотел имели возможность обновится уже в течении 5 месяцев.
    >> Мне даже когда лень и то раз в 1-3 месяца всё обновляется :)
    > https://svnweb.freebsd.org/base/releng/11.3/

    тебе чего неясно-то сказали "не сиди на releng" ?

    "кто хотел", использует stable.

     

  • 1.27, Аноним (-), 08:43, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Разве при наличии pf кто-то в своём уме всё ещё использует ipfw?

    Помнится, даже во времена, когда Макс ещё не портанул pf - на большинстве продакшнов люди использовали Дарреновский ipf... Что уже про наши дни говорить...

     
     
  • 2.31, нах. (?), 09:01, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Разве при наличии pf кто-то в своём уме всё ещё использует ipfw?

    например те, кому нужны fibers.

    То есть, видимо, все, у кого фря таки используется именно в сетевой инфраструктуре, а не голую оппу кое-как прикрыть убогим фильтром.

    Нет, понятно, сами виноваты, нехрен было жмотиться и экономить на циске.

    > когда Макс ещё не портанул pf - на большинстве продакшнов люди использовали Дарреновский ipf...
    > Что уже про наши дни говорить...

    что в ваши дни ipf доломали, а с тех пор как портанули pf - прошло много-много лет, и сетевой стек изрядно изменился за это время, а pf и ныне там - переделывать его некому.

     
     
  • 3.43, xm (ok), 11:57, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > pf и ныне там - переделывать его некому.

    Там даже всё ещё хуже. pf настолько стал завязан на ABI "безопасной" OpenBSD что его стало проще переписать с 0, чем портировать.

     
     
  • 4.45, нах. (?), 12:22, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    блин, а что - САМИМ-то дописать уже спортированный - некому, да? Пусть бы впопенбесдешники мучались, пытаясь сделать обратный мерж.

    В безопастной fiber'ов-то, по-моему, даже в дальних планах нет.

    Ну и на самом деле чего дописывать и так полно. Начиная с полной бесполезности для ipsec.

     
     
  • 5.46, xm (ok), 12:35, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Насколько я понимаю, там вообще планов по pf нет.
    Ну, разве что, кто-то сильно заинтересованный профинансирует работы.
     
     
  • 6.47, нах. (?), 12:45, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Там теперь разработчиков нет, которым был бы нужен pf. Впрочем, там вообще уже никаких скоро не останется, а от комитеров в .md очень мало пользы.

    > Ну, разве что, кто-то сильно заинтересованный профинансирует работы.

    не, брателло, так не бывает. Финансируют только тем, кто подтвердил что на самом деле способен сделать работу. А такие будут работать и без финансирования. Просто потому что не могут иначе.

    А когда пишут "sponsored by ..." - это значит что в ... был чувак, который в это ... притащил freebsd, лично подписавшись что "все будет работать хорошо". А не что ему отвалили кус монет просто на то чтобы он что-то поулучшал где-то.

     
     
  • 7.64, oopssss (?), 19:08, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Впрочем, там вообще уже никаких скоро не останется

    Писать, конечно :(

     
     
  • 8.65, oopssss (?), 19:09, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пичаль, чёртово автоисправление... текст свёрнут, показать
     
  • 5.56, Forth (ok), 17:43, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что за fiber ты упоминаешь? Это netgraph имеется в виду?
     
     
  • 6.58, нах. (?), 18:00, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    FIB - это приблизительный аналог ip rule в твоем линуксе - независимые наборы таблиц маршрутизации. (полагаю, будь у тебя под рукой фря, ты бы и так знал, что это ;)

    Насколько я знаю, pf им так и не научился, и не планирует, а другого способа переложить пакет из одной нитки в другую, кроме пакетного фильтра как-то и не намечалось.

    Впрочем, про netgraf-то я и забыл, в open же ж нет никакого netgraf - вот и в pf тоже нет.

    И так у нас примерно всьо.

     
     
  • 7.60, Forth (ok), 18:15, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Такты писал бы FIB, было бы понятно. Я уж думал что-то новое придумали, с 9 версии (последняя которой пользовался).
     
     
  • 8.67, нах. (?), 19:12, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    фак, а они что, уже в девятой были Нда в каком годе, говоришь, застрял pf ... текст свёрнут, показать
     
     
  • 9.69, Forth (ok), 20:27, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я не припоминаю существенных изменений в PF между 4-ой версией FreeBSD и 9-ой Н... текст свёрнут, показать
     
     
  • 10.73, нах. (?), 21:00, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    мне от них в общем-то уже в 2008м было особенно ничего не нужно - все что мне на... текст свёрнут, показать
     
     
  • 11.76, Forth (ok), 21:16, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Каких умений от файрволла ты ждешь, которые есть в ASA, но нет в том же PF P S ... текст свёрнут, показать
     
     
  • 12.77, нах. (?), 22:17, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    тебе список fixup ов из даже не асы, а pix 2004го года процитировать В PF до си... текст свёрнут, показать
     
     
  • 13.92, Forth (ok), 09:48, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    С протоколами беда, не спорю Это наверное от желания сделать файрволы красиво ... текст свёрнут, показать
     
     
  • 14.96, нах. (?), 12:16, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    да, divert sockets - это п-ц какой-то представь что у тебя не один внешний инте... текст свёрнут, показать
     
     
  • 15.100, Forth (ok), 13:49, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Про netgraph Думаю нет в нем нормального фильтра потому что Netgraph возник как... текст свёрнут, показать
     
  • 10.89, zanswer (?), 09:13, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы спутали, PF появился в FreeBSD 5 2, в FreeBSD 4 11 его не было ... текст свёрнут, показать
     
     
  • 11.90, Forth (ok), 09:41, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Немудрено, давно это было ... текст свёрнут, показать
     
     
  • 12.91, zanswer (?), 09:46, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен, сам с FreeBSD 4 11 на 5 1 переходил и помню, как впервые появился PF в... текст свёрнут, показать
     
  • 3.101, Ананимас008 (?), 14:08, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ipf поломали при переходе на 10ку. по-крайней мере поломан мой любимый ipnat в котором было очень удобно мониторить текущие соединения.

    вот это печаль, хотя мшжет в 12.1 уже починили, не слежу уже, перешел на нат средствами ipfw.

     
     
  • 4.107, нах. (?), 18:00, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > вот это печаль, хотя мшжет в 12.1 уже починили

    его вроде не собирались чинить - еще тогда сказали "в морг!"

    типа как всегда - "поддерживать некому, тормозитразвитие, этофресофтваре, тут вам никтонеобязан" и т д.

     
  • 2.48, Ivan_83 (ok), 13:00, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Функционалы заметно разные.
    ipfw просто не возможно заменить в ряде usecase на PF.
    Но лично я почти никогда ipfw не пользовался, с одной стороны мне ничего не требовалось из его уникальных возможностей, с другой в PF мне нравится принцип что оно грузит правила с файла как то более человечно :)
     
     
  • 3.59, нах. (?), 18:06, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > мне нравится принцип что оно грузит правила с файла как то
    > более человечно :)

    каждый раз лезть в редактор, когда понадобилось поменять или добавить одно-единственное правило - совершенно бесчеловечно.

    Но я от этих странных из openbsd ничего хорошего и не ждал.

    С другой стороны, читать pf.conf все же проще чем тот омерзительный бейсик, поэтому я ipfw тоже стараюсь не пользоваться.

    Немного жаль что операционных систем с хорошими пакетными фильтрами больше не существует, но, с другой стороны, в эпоху единственного порта 443 они свое, в общем, отжили.

     
     
  • 4.61, привет (ok), 18:31, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    по динамике ipfw рулит

    PF не пользуюсь именно по причине того, что нужно каждый раз
    перезагружать файл, заместо логичного add/del/change, ну и flush если припрет

     

  • 1.62, привет (ok), 18:33, 22/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вообще новость меня сильно расстроила и удивила
    неповерил, что нет решения и стал гуглить
    вот что пишут:

    > On Tue, 21 Apr 2020 at 18:50, Eugene Grosbein <eu...@grosbein.net> wrote:
    >>
    >>> I believe this is correct; what about this statement:
    >>>
    >>> No workaround is available.  Systems not using the ipfw firewall, and
    >>> systems that use the ipfw firewall but without any rules using "tcpoptions"
    >>> or "tcpmss" keywords, are not affected.
    >>

    ..........
    > So perhaps:
    > Systems not using the ipfw firewall, and systems that use the ipfw firewall
    > but with no rules using "tcpoptions" or "tcpmss" keywords, are not affected.

    I like it.

    источник https://www.mail-archive.com/freebsd-security@freebsd.org/msg07477.html

     
     
  • 2.68, нах. (?), 19:15, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > неповерил, что нет решения и стал гуглить

    и выяснилось, что, как обычно, баг проявлялся только у Жени, потому что только ему понадобились совсем уж покрытые пылью веков tcpoptions в правилах фильтра.

     
     
  • 3.72, тигар (ok), 20:45, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Женя только года 4 назад закопал последний джейл с 4.11, с фидософтом. ну, может 5 лет назад, ок.
    в определенных кругах даже термин был - GrosBSD.
     
     
  • 4.74, нах. (?), 21:06, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    так то jail.
    Мой патч для freebsd8 в э... 2017м ему нифига не показался.

    У меня эта 8 жива до сих пор, и вряд ли я стану ее апгрейдить.

     
     
  • 5.75, тигар (ok), 21:15, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > так то jail.
    > Мой патч для freebsd8 в э... 2017м ему нифига не показался.
    > У меня эта 8 жива до сих пор, и вряд ли я
    > стану ее апгрейдить.

    ну stable/8 у него еще года 3 назад были вширь и ввысь

     

  • 1.84, riokor (?), 00:55, 23/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    давно ждал
     
  • 1.85, riokor (?), 01:00, 23/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На том и стоим, защита наше всё.
     
  • 1.94, привет (ok), 11:24, 23/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    если кто то вроде меня наткнется на новость - проблема
    отсутствует если не используется tcpoptions, лично я его
    видел только в мане, когда что то другое искал.

    расходимся ;)

     
     
  • 2.97, нах. (?), 12:22, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > если кто то вроде меня наткнется на новость - проблема

    мы уже тут жевали эту булочку.

    > отсутствует если не используется tcpoptions, лично я его
    > видел только в мане, когда что то другое искал.

    ну вот представь что ты оператор связи, и начальство повелело косплеить мегафон - резать нахрен юзеров использующих больше одного устройства. Денег на оборудование, как обычно, не дали. ;-)

    > расходимся ;)

    В целом, да, такие должны страдать ;-)

    P.S. приятно отметить что ajust-mss с этой проблемой не связан. Те кто, наоборот, обманывают мегафона - не пострадают ;-)

     
     
  • 3.99, привет (ok), 13:00, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> если кто то вроде меня наткнется на новость - проблема
    > мы уже тут жевали эту булочку.

    уточнил, что для таких, как я- не гуру/не умеющих|имеющих
    возможности вдумчиво все коменты прочесть и объеденить в единое целое

    лично был бы рад увидеть такой комент в самом начале, например,
    глянул бы быстро патч и все.

    >> отсутствует если не используется tcpoptions, лично я его
    >> видел только в мане, когда что то другое искал.
    > ну вот представь что ты оператор связи, и начальство повелело косплеить мегафон
    > - резать нахрен юзеров использующих больше одного устройства. Денег на оборудование,
    > как обычно, не дали. ;-)

    тут хз полностью зависящие от ИТ конторы врядли будут жалеть деньги на
    ИТ (если только на персонал :))

     
     
  • 4.109, нах. (?), 18:05, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > тут хз полностью зависящие от ИТ конторы врядли будут жалеть деньги на
    > ИТ (если только на персонал :))

    еще как будут.
    Потому что для них это операционные расходы, и их инвестор постоянно плющит. Чтобы корова меньше жрала и больше давала молока - ее надо просто меньше кормить и больше доить.

    А для не-ИТ это так, мелочь, они сейчас больше об аренде пустующих офисов плачут. Поскольку доят совершенно другую корову, и расходы жмут именно на нее.


     
  • 3.102, Ананимас008 (?), 14:17, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    уже давно не занимаюсь сетями, но разве проблему косплееров не решили еще лет 10-15 назад махинацией с ттл на шлюзе?
     
     
  • 4.108, нах. (?), 18:02, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    не у всех взломанный хуавеевский свисток, некоторым негде подменять ttl, а некоторые просто не знают как это делается.

    У Гроссбейна видимо именно такие клиенты - раз ему оно зачем-то было надо ;-)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру