forum.opennet.ru

Составление сообщения

Исходное сообщение

"Вышел iptables 1.3.8"
Отправлено northbear, 27-Июн-07 07:44

>>Да причем тут Микрософт? К чему ты его сюда приплел? С чем
>>именно ты не согласен в моем утверждении?
>С подходом "мне не надо - никому не надо"
И еще раз... Где я говорил, что мне не надо?
>см. выше. нонче заюзать сокет не столь уж и накладно.
Угу. В ненагруженных системах да хоть десять сокетов.
Но в серьезных системах каждый открытый сокет это время отобранное у контекста приложения. Очевидно, тебе не приходилось сталкиваться с тяжелонагруженными ftp-серверами. На них все еле ворочается.
>>Ха! Не умеет работать через файрволы со стандартным функционалом,
>1. не стоить судить по PF о фаерволе
>2. читай определение фаервола на Вике - трекинг соединений весьма базовая функциональность,
>входит в определение.
>
Ты точно не путаешь tracking со stateful?
>Терь понятно почему функционал бздевых ядер столь скромен....
Дык и стабильность соответственно...
>ICMP - обычный? нет?
>тоже требует "додобных извратов". ну надо же... странно....
...
>Оправданного. Смотри об ICMP. (кста, PF ваш так умеет) ?
>По исходящему TCP коннекту пропустить назад ICMP port unreach например?
>А раз есть одна подсистема - другие протоколы - уже мелочь.
У меня такое очущение, что ты не совсем понимаешь в чем разница между FTP и ICMP в контексте файрвола и что именно делает conntrack_ftp.
Информация на какой хост пропускать обратный icmp-пакет берется из заголовка tcp пакета.
А для FTP, чтобы узнать какой именно порт нужно открыть, откуда, куда и когда закрыть, файрволу приходится отслеживать обмен по 21 порту. А течении сессии может быть открыто и закрыто несколько соединений. Причем они могут быть закрыты не только по команде в символьном канале , но и по таймауту, а может и вообще не быть корректного завершения (например клиентская машина ушла в голубой экран). И т.д. и т.п...
И все это файрвол должен отследить и правильно обработать. То есть чтобы надежно защитить систему, файрвол вынужден подняться на уровень приложения и знать систему команд и логику обмена. Вот это я называю гиморрой...

>>Нет. Это проблема популяризации и широты использования этого продукта.
>>На FreeBSD, если я правильно помню, iptables не поддерживает ftр и соответственно
>>основное его достоинство сходит на нет.
>ты ниче не путаешь? iptables на FreeBSD?? ;)))
Хм. Да, действительно. Я почему-то думал, что ipfilter во FreeBSD это порт iptables или ipchains'а на худой конец. Извиняюсь за невежество...
>Не люблю просто это выражение про отсутсвие универсального инструмента.
А что разве есть? Тогда расскажи нам про универсальный инструмент, который и летает, и стирает, и удовлетворяет...
Я знаю только один такой. Это моя жена...
>Т.е. функционал скорости и броневой мощи - взаимоисключающие.
>От количества функционала фаервола его скорость не меняеться.
Э-э... Я аж дар речи потерял. А от чего тогда меняется-то? И меняется ли скорость вообще по твоей теории?
С уважением...

Исходное сообщение
"Вышел iptables 1.3.8" Отправлено northbear, 27-Июн-07 07:44
>>Да причем тут Микрософт? К чему ты его сюда приплел? С чем >>именно ты не согласен в моем утверждении? >С подходом "мне не надо - никому не надо" И еще раз... Где я говорил, что мне не надо? >см. выше. нонче заюзать сокет не столь уж и накладно. Угу. В ненагруженных системах да хоть десять сокетов. Но в серьезных системах каждый открытый сокет это время отобранное у контекста приложения. Очевидно, тебе не приходилось сталкиваться с тяжелонагруженными ftp-серверами. На них все еле ворочается. >>Ха! Не умеет работать через файрволы со стандартным функционалом, >1. не стоить судить по PF о фаерволе >2. читай определение фаервола на Вике - трекинг соединений весьма базовая функциональность, >входит в определение. > Ты точно не путаешь tracking со stateful? >Терь понятно почему функционал бздевых ядер столь скромен.... Дык и стабильность соответственно... >ICMP - обычный? нет? >тоже требует "додобных извратов". ну надо же... странно.... ... >Оправданного. Смотри об ICMP. (кста, PF ваш так умеет) ? >По исходящему TCP коннекту пропустить назад ICMP port unreach например? >А раз есть одна подсистема - другие протоколы - уже мелочь. У меня такое очущение, что ты не совсем понимаешь в чем разница между FTP и ICMP в контексте файрвола и что именно делает conntrack_ftp. Информация на какой хост пропускать обратный icmp-пакет берется из заголовка tcp пакета. А для FTP, чтобы узнать какой именно порт нужно открыть, откуда, куда и когда закрыть, файрволу приходится отслеживать обмен по 21 порту. А течении сессии может быть открыто и закрыто несколько соединений. Причем они могут быть закрыты не только по команде в символьном канале , но и по таймауту, а может и вообще не быть корректного завершения (например клиентская машина ушла в голубой экран). И т.д. и т.п... И все это файрвол должен отследить и правильно обработать. То есть чтобы надежно защитить систему, файрвол вынужден подняться на уровень приложения и знать систему команд и логику обмена. Вот это я называю гиморрой... >>Нет. Это проблема популяризации и широты использования этого продукта. >>На FreeBSD, если я правильно помню, iptables не поддерживает ftр и соответственно >>основное его достоинство сходит на нет. >ты ниче не путаешь? iptables на FreeBSD?? ;))) Хм. Да, действительно. Я почему-то думал, что ipfilter во FreeBSD это порт iptables или ipchains'а на худой конец. Извиняюсь за невежество... >Не люблю просто это выражение про отсутсвие универсального инструмента. А что разве есть? Тогда расскажи нам про универсальный инструмент, который и летает, и стирает, и удовлетворяет... Я знаю только один такой. Это моя жена... >Т.е. функционал скорости и броневой мощи - взаимоисключающие. >От количества функционала фаервола его скорость не меняеться. Э-э... Я аж дар речи потерял. А от чего тогда меняется-то? И меняется ли скорость вообще по твоей теории? С уважением...

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>>Да причем тут Микрософт? К чему ты его сюда приплел? С чем >>>именно ты не согласен в моем утверждении? >>С подходом "мне не надо - никому не надо" > И еще раз... Где я говорил, что мне не надо? >>см. выше. нонче заюзать сокет не столь уж и накладно. > Угу. В ненагруженных системах да хоть десять сокетов. > Но в серьезных системах каждый открытый сокет это время отобранное у контекста > приложения. Очевидно, тебе не приходилось сталкиваться с тяжелонагруженными ftp-серверами. > На них все еле ворочается. >>>Ха! Не умеет работать через файрволы со стандартным функционалом, >>1. не стоить судить по PF о фаерволе >>2. читай определение фаервола на Вике - трекинг соединений весьма базовая функциональность, >>входит в определение. >> > Ты точно не путаешь tracking со stateful? >>Терь понятно почему функционал бздевых ядер столь скромен.... > Дык и стабильность соответственно... >>ICMP - обычный? нет? >>тоже требует "додобных извратов". ну надо же... странно.... > ... >>Оправданного. Смотри об ICMP. (кста, PF ваш так умеет) ? >>По исходящему TCP коннекту пропустить назад ICMP port unreach например? >>А раз есть одна подсистема - другие протоколы - уже мелочь. > У меня такое очущение, что ты не совсем понимаешь в чем разница > между FTP и ICMP в контексте файрвола и что именно делает > conntrack_ftp. > Информация на какой хост пропускать обратный icmp-пакет берется из заголовка tcp пакета. > А для FTP, чтобы узнать какой именно порт нужно открыть, откуда, куда > и когда закрыть, файрволу приходится отслеживать обмен по 21 порту. А > течении сессии может быть открыто и закрыто несколько соединений. Причем они > могут быть закрыты не только по команде в символьном канале , > но и по таймауту, а может и вообще не быть корректного > завершения (например клиентская машина ушла в голубой экран). И т.д. и > т.п... > И все это файрвол должен отследить и правильно обработать. То есть чтобы > надежно защитить систему, файрвол вынужден подняться на уровень приложения и знать > систему команд и логику обмена. Вот это я называю гиморрой... >>>Нет. Это проблема популяризации и широты использования этого продукта. >>>На FreeBSD, если я правильно помню, iptables не поддерживает ftр и соответственно >>>основное его достоинство сходит на нет. >>ты ниче не путаешь? iptables на FreeBSD?? ;))) > Хм. Да, действительно. Я почему-то думал, что ipfilter во FreeBSD это порт > iptables или ipchains'а на худой конец. Извиняюсь за невежество... >>Не люблю просто это выражение про отсутсвие универсального инструмента. > А что разве есть? Тогда расскажи нам про универсальный инструмент, который и > летает, и стирает, и удовлетворяет... > Я знаю только один такой. Это моя жена... >>Т.е. функционал скорости и броневой мощи - взаимоисключающие. >>От количества функционала фаервола его скорость не меняеться. > Э-э... Я аж дар речи потерял. А от чего тогда меняется-то? И > меняется ли скорость вообще по твоей теории? > С уважением...
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру