>>Да причем тут Микрософт? К чему ты его сюда приплел? С чем
>>именно ты не согласен в моем утверждении?
>С подходом "мне не надо - никому не надо" И еще раз... Где я говорил, что мне не надо?
>см. выше. нонче заюзать сокет не столь уж и накладно.
Угу. В ненагруженных системах да хоть десять сокетов.
Но в серьезных системах каждый открытый сокет это время отобранное у контекста приложения. Очевидно, тебе не приходилось сталкиваться с тяжелонагруженными ftp-серверами. На них все еле ворочается.
>>Ха! Не умеет работать через файрволы со стандартным функционалом,
>1. не стоить судить по PF о фаерволе
>2. читай определение фаервола на Вике - трекинг соединений весьма базовая функциональность,
>входит в определение.
>
Ты точно не путаешь tracking со stateful?
>Терь понятно почему функционал бздевых ядер столь скромен....
Дык и стабильность соответственно...
>ICMP - обычный? нет?
>тоже требует "додобных извратов". ну надо же... странно....
...
>Оправданного. Смотри об ICMP. (кста, PF ваш так умеет) ?
>По исходящему TCP коннекту пропустить назад ICMP port unreach например?
>А раз есть одна подсистема - другие протоколы - уже мелочь.
У меня такое очущение, что ты не совсем понимаешь в чем разница между FTP и ICMP в контексте файрвола и что именно делает conntrack_ftp.
Информация на какой хост пропускать обратный icmp-пакет берется из заголовка tcp пакета.
А для FTP, чтобы узнать какой именно порт нужно открыть, откуда, куда и когда закрыть, файрволу приходится отслеживать обмен по 21 порту. А течении сессии может быть открыто и закрыто несколько соединений. Причем они могут быть закрыты не только по команде в символьном канале , но и по таймауту, а может и вообще не быть корректного завершения (например клиентская машина ушла в голубой экран). И т.д. и т.п...
И все это файрвол должен отследить и правильно обработать. То есть чтобы надежно защитить систему, файрвол вынужден подняться на уровень приложения и знать систему команд и логику обмена. Вот это я называю гиморрой...
>>Нет. Это проблема популяризации и широты использования этого продукта.
>>На FreeBSD, если я правильно помню, iptables не поддерживает ftр и соответственно
>>основное его достоинство сходит на нет.
>ты ниче не путаешь? iptables на FreeBSD?? ;)))
Хм. Да, действительно. Я почему-то думал, что ipfilter во FreeBSD это порт iptables или ipchains'а на худой конец. Извиняюсь за невежество...
>Не люблю просто это выражение про отсутсвие универсального инструмента.
А что разве есть? Тогда расскажи нам про универсальный инструмент, который и летает, и стирает, и удовлетворяет...
Я знаю только один такой. Это моя жена...
>Т.е. функционал скорости и броневой мощи - взаимоисключающие.
>От количества функционала фаервола его скорость не меняеться.
Э-э... Я аж дар речи потерял. А от чего тогда меняется-то? И меняется ли скорость вообще по твоей теории?
С уважением...