The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Построение шлюза на базе IPCop

13.02.2006 16:57

В статье "Product Review: IPCop Linux Firewall" демонстрируется как на базе устаревшего компьютера построить шлюз для небольшой локальной сети, на базе специализированного Linux дистрибутива IPCop.

  1. Главная ссылка к новости (http://www.tomsnetworking.com/...)
Лицензия: CC-BY
Тип: английский / Обобщение
Короткая ссылка: https://opennet.ru/6957-linux
Ключевые слова: linux, gate, firewall, ipcop
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (9) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, echo (??), 15:24, 14/02/2006 [ответить]  
  • +/
    Да есть уже, все пользуются.
    GateBSD. Фря подкрученная и наладенная как положено.

    Нафига париться? Прошиваешь ISOшник, загрузился - и вперёд.
    Ничего строить не надо, готовый шлюз.

    ftp://ftp.andr.ru/pub/GateBSD/releases/i386/ISO-IMAGES/4.8/

    Скоро выйдет релиз на фре 5.4 и т.д.

     
  • 1.2, Аноним (-), 16:35, 14/02/2006 [ответить]  
  • +/
    а мне NAT у NetFilter более симпатичен, чем divert и работающий в userspace natd. К тому же в IPCop squid вкручен - мелочь, а приятно.
     
     
  • 2.3, echo (??), 18:49, 14/02/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >а мне NAT у NetFilter более симпатичен, чем divert и работающий в
    >userspace natd. К тому же в IPCop squid вкручен - мелочь,
    >а приятно.

    Сделать поддержку IPFILTER не составит труда. А если вкуручен прокси - то это уже не маршрутизатор. И кто вообще сказал, что "юзерспейс" - это плохо? Про концепцию микроядра слышали?

    Хочу обратить особое внимание: GateBSD собран на девяти (9) мегабайтах. Отключен своппинг и нет почти никаких системных утилит. Коренть монтирется на ОЗУ, работает очень шустро, но никаких возможностией для расширения функционала. Это чисто роутер-фареволл без иных функций. Ни HDD, ни CD-ROM после загрузки не нужен. Дешево и сердито. На флоп можно сбросить конфиги.

    В новой версии я грохну шареные либы (я закачивал дополнительный софт) и ISOшник займёт не больше 10 мегабайт - можно будет хоть модемом качнуть.

    Скид - это уже не роутер.

     
     
  • 3.4, Ананимус (?), 21:03, 14/02/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >И кто вообще сказал, что "юзерспейс" - это плохо?
    >Про концепцию микроядра слышали?

    Да. Я, злобный ананимус, не только слышал, ковыряю исходники XOK и L4. В микроядре "серверы" - не "юзерспейс". Но и не ядро. И в "классической" терминологии нет адекватного названия. Ближе всего подходит "сервер". В целом, концепция основывается на разделении контроля (ядро) и управления ("серверы"). Извините за оффтоп.

    Хорошо, когда люди что-то делают. Но еще лучше, если это полезно кому-то еще. Надеюсь, фанатствующие БСДэшники оценят, а мы, красноглазые, так и будем делать голубым гигантам деньги и поводы для миграции. Just for fun. :)

     
     
  • 4.5, link (??), 21:53, 14/02/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >целом, концепция основывается на разделении контроля (ядро) и управления ("серверы"). Извините
    >за оффтоп.

    Почитайте Таненбауиа, у него классно разжёванна теория.

    >делать голубым гигантам деньги и поводы для миграции. Just for fun.
    >:)

    У вас опечатка. "Ананимус" следует писать через "О" первой буквой.
    Ж:-P

     
     
  • 5.6, Ананимус (?), 22:08, 14/02/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Ч_е_тал. Таненбаум в целом рулит, но в частности - что minix, что mach (в GNU/HURD, Darwin/MacOSX) слишком многое выполняют в ядре. L4 - единственное правильное микроядро из реально работающих. XOK - это вообще аццкая штука, даже не "микро", а "экзо" ядро :) , но в MIT его ниасилили до сколько-нибудь "применимого" доделать :(
     
     
  • 6.7, link (??), 22:49, 14/02/2006 [^] [^^] [^^^] [ответить]  
  • +/

    >штука, даже не "микро", а "экзо" ядро :) , но в
    >MIT его ниасилили до сколько-нибудь "применимого" доделать :(

    Правильно. И работа НАТ-демона в "юзерспейс" мне не кажется настолько ресурсоёмкой, чтобы это силько критиковать. Но сам я сокет DIVERT не использую, правило divert в ipfw-таблице очень бывает трудно правильно воткнуть. Я настраиваю IPFILTER и транслирую им. IPFW только фильтрует, а IPFILTER маскарадит. И не парюсь при редактировании ipfw, то ли ниже его, то ли выше....

     

  • 1.8, BB (??), 11:14, 15/02/2006 [ответить]  
  • +/
    http://www.mindrot.org/flashboot.html
    читаем и втыкаем :)
     
     
  • 2.9, echo (??), 12:32, 15/02/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >http://www.mindrot.org/flashboot.html
    >читаем и втыкаем :)

    Это сделать несложно. Вещь удобная и обязательно будет такая версия.
    Трабл в том, что такие дистрибы часто нужно запустить на старой
    рухляди. А не всякая старая рухлядь поддерживает загрузку с флэшки.
    Можно проапгрейдить БИОС, если производитель выложил update.

    Но нафига париться? Болванка стоит червонец.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру