https://www.opennet.me/openforum/vsluhforumID3/42568.html В статье (http://kes.net.ua/softdev/advanced_firewall.html) рассказано как упростить настройку межсетевого экрана на базе ipfw.<br>Затронуты темы настройки пайпов и очередей.<br><br>URL: http://kes.net.ua/softdev/advanced_firewall.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=16676<br> https://www.opennet.me/openforum/vsluhforumID3/42568.html#41 Fri, 08 May 2009 21:46:08 GMT &gt; управлять можно <br>&gt;только _своим_ трафиком. То есть, исходом. На вход повлиять нельзя _никак_. <br>&gt;Под входящим тут имеется в виду не тот трафик, который идет в интерфейс, а тот, который &gt;пришел, но еще не передан на обработку. Почему его "_нельзя_" зашейпить? Можно. Только &gt;криво это и с трудом можно придумать этому оправдание. О чем и речь.<br><br>Речь идёт о проходящем трафике, который пришел на интерфейс, и в скором времени уйдет через какой-то другой интерфейс.<br><br>В 99% случаев говоря "хочу зашейпить вход" кому-то, имеют ввиду "проходящий трафик" мимо роутера.<br><br>т.е. зашейпить вход клиенту - это означает зашейпить на выходе из роутера или на входе в роутер.<br>ipfw может шейпить этот трафик без проблем, а ALTQ только на выходе.<br><br>ситуация есть LAN 192.168.1.0/24, 192.168.2.0/24 которые доступны через rl1 и rl2 роутера.<br>На роутере запущен OSPF и трафик к этим сетям динамически уходит через rl1 или через rl2 в зависимости он загрузки каналов или друхих прочих факторов, которые нам не известны.<br><br>ipfw легко м https://www.opennet.me/openforum/vsluhforumID3/42568.html#39 Fri, 04 Jul 2008 07:49:18 GMT &gt;тем не менее твои входящие ping можно ограничить по скорости <br>&gt;- с какой скоростью они будут попадать на мой интерфейс <br>&gt;<br><br>Бгы гы<br>Ограничивать можно только то что УЖЕ пришло.<br>Ограничивать "скорость попадания на твой интерфейс" можно только на вышестоящем роутере.<br>Почитал бы ты что-нибудь о защите от DDOS-атак что ли.<br> https://www.opennet.me/openforum/vsluhforumID3/42568.html#38 Thu, 03 Jul 2008 18:08:00 GMT &gt;в статье анахронизмы вперемешку с откровенными ошибками. <br>&gt;<br>&gt;&gt;Некоторые могут возразить что мол мы не можем контролировать входящий поток.<br>&gt;&gt;Я отвечу что можем! Наверное Вы просто ребята не читали работу протокола TCP/IP.<br>&gt;<br>&gt;это вообще шедевр. <br><br>Криво выражено, но по сути верно. Вешать шейпинг на вход - полностью логически эквивалентно поставить перед входом еще один роутер, на исходе которого к нам шейпить. Да, это никак не повлияет на забитость канала теми пакетами, которые уже пришли (особенно если флуд какой). Но в случае конкнетно tcp, составляющего обычно бОльшую часть трафика - скорость выровняется спустя некоторое время, по подстройке отправителя к скорости возвращаемых ACK'ов.<br><br>&gt;&gt;То что можно сделать, так это перенаправлять входящий трафик клиентам по очереди, таким образом разделив канал поровну между ними. Также можно ограничить потребление некоторым клиентом не более K% трафика.<br>&gt;<br>&gt;браво. а повесить шейпер исходящего трафика на интерсфейс, смотрящий в сторону клиента <br>&gt;никак? <br><br>Это чи https://www.opennet.me/openforum/vsluhforumID3/42568.html#37 Thu, 03 Jul 2008 18:01:37 GMT &gt;Единственное, что не смог сделать с natd - keep-state правило. <br><br>http://nuclight.livejournal.com/124348.html (http://www.opennet.ru/opennews/art.shtml?num=16080)<br> https://www.opennet.me/openforum/vsluhforumID3/42568.html#36 Sat, 28 Jun 2008 13:33:42 GMT &gt;&gt;5) И потом давать клиенту слать ключ открытым текстом - явно ведет к нарушению security.<br>&gt;&gt;У меня postfix настроен так, что фича SMTP AUTH работает ТОЛЬКО если соединение ведется &gt;через SSL !<br>&gt;&gt;Обычный SMTP не сможет сделать SMTP AUTH.<br>&gt;<br>&gt;Тут вы, скорее всего, недоконца сами понимаете о чем говорите. <br><br>1) SMTP AUTH шлет пароль открытым текстом. Это опасно.<br>Насчет этого надеюсь вопросов нет ? :)<br><br>2) man posfix<br><br># When TLS encryption is optional in the Postfix SMTP server,<br># do not announce or accept SASL authentication over unencrypted connections.<br>#<br>smtpd_tls_auth_only = yes<br><br>Клиент подключается к серверу и делает EHLO/HELO.<br>В ответ получает список фич сервера.<br>Если соединение ведется без SSL, то сервер не сообщает что есть SMTP AUTH.<br>Если соединение ведется через SSL, то сервер сообщает что есть SMTP AUTH.<br><br>И чего я тут не понимаю ? ;)<br> https://www.opennet.me/openforum/vsluhforumID3/42568.html#35 Sat, 28 Jun 2008 13:29:03 GMT &gt;[оверквотинг удален]<br>&gt;другие порты никак не обрабатываются, метод аутентификации выбирает сам клиент - <br>&gt;клиенту, в случае, если у него ноутбук нет необходимости постоянно перепрописывать <br>&gt;сервера. за год работы ниодной жалобы от клиентов и на abuse@, <br>&gt;- а все потому-что нет спамботов поддерживающих ssl. <br>&gt;<br>&gt;&gt;5) И потом давать клиенту слать ключ открытым текстом - явно ведет к нарушению security.<br>&gt;&gt;У меня postfix настроен так, что фича SMTP AUTH работает ТОЛЬКО если соединение ведется &gt;через SSL !<br>&gt;&gt;Обычный SMTP не сможет сделать SMTP AUTH.<br>&gt;<br>&gt;Тут вы, скорее всего, недоконца сами понимаете о чем говорите. <br><br> https://www.opennet.me/openforum/vsluhforumID3/42568.html#34 Sat, 28 Jun 2008 09:38:04 GMT так сделано у 90% провайдеров. START TLS приравнивается к прохождению аутентификации, а другие порты никак не обрабатываются, метод аутентификации выбирает сам клиент - клиенту, в случае, если у него ноутбук нет необходимости постоянно перепрописывать сервера. за год работы ниодной жалобы от клиентов и на abuse@, - а все потому-что нет спамботов поддерживающих ssl.<br><br>&gt;5) И потом давать клиенту слать ключ открытым текстом - явно ведет к нарушению security.<br>&gt;У меня postfix настроен так, что фича SMTP AUTH работает ТОЛЬКО если соединение ведется &gt;через SSL !<br>&gt;Обычный SMTP не сможет сделать SMTP AUTH.<br><br>Тут вы, скорее всего, недоконца сами понимаете о чем говорите.<br> https://www.opennet.me/openforum/vsluhforumID3/42568.html#33 Fri, 27 Jun 2008 19:50:54 GMT Ну почему для простых-то ?<br>Хоть в pf, хоть в ipfw написать можно ЛЮБЫЕ правила !<br>Вопрос в том, где проще будет скрипт для управления.<br>Но пока неизвестно какую задачу решает скрипт спорить можно бесконечно.<br>Вот если будет конкретная задача - там можно предметно говорить.<br>Я не вижу проблем - скрипт можно сделать для ipfw и для pf.<br><br>1)<br>Якорь создается один раз в файле pf.conf<br>Потом все нужные правила добавляются в этот один якорь.<br>Правила записанные в якорь храним в файле myrule.conf<br>Правим скриптом файл, потом перегружаем якорь.<br><br>Можно без якоря - править файл pf.conf<br>Но скорее все этого не нужно.<br><br>Я понимаю, что в ipfw подкупает наличие номеров.<br>Можно вставлять куда угодно что угодно.<br><br>Насчет мусора - а что если в ipfw добавлять правила, то со временем мусор там не образуется ? Следить надо в любом случаа за тем что добавляется и для чего,<br>а также процедуру удаления предусмотреть.<br>Какая конкретная задача решается ?<br>Или это большой секрет ?<br><br>2)<br>С шейпером не знаю как, ибо в pf с ним не https://www.opennet.me/openforum/vsluhforumID3/42568.html#32 Fri, 27 Jun 2008 19:39:51 GMT Я делаю проще и тупее<br>1) 25 порт наружу запрещен (только mailserver может слать почту на 25-ый порт)<br>2) А клиенты шлют на smtps или submission<br> Или еще лучше - через mailserver, который еще и проверит почту<br><br><br>3) В вашем случае клиент не сможет сделать START TLS на 25 порту<br>Это как-то обрабатывается ?<br><br>4) Если уже клиент может слать почту с помощью SMTP AUTH на удаленный сервер<br>то кто ему мешает сделать это через SSL ?<br><br>5) И потом давать клиенту слать ключ открытым текстом - явно ведет к нарушению security.<br>У меня postfix настроен так, что фича SMTP AUTH работает ТОЛЬКО если соединение ведется через SSL !<br>Обычный SMTP не сможет сделать SMTP AUTH.<br>