The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Интересное ПО: nf-HiPAC - высокопроизводительный п..."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Интересное ПО: nf-HiPAC - высокопроизводительный п..."
Сообщение от opennews on 21-Ноя-05, 16:44 
Построенный с использованием системы HiPAC (http://www.hipac.org/) пакетный фильтр, более оптимально проверяющий условия на каждый пакет (производительность практически не зависит от числа правил).

Имеются средства для быстрого динамического обновления набора правил.


Оптимален  при огромном количестве правил или при большом сетевом трафике. nf-HiPAC фильтр с  25 тысячами правил по производительности приближается (http://www.hipac.org/performance_tests/overview.html) к iptables c 50 правилами.


Другой высокопроизводительный вариант задания больших наборов правил - ipset (http://ipset.netfilter.org/) + iptables.

URL: http://www.netfilter.org/projects/hipac/index.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=6476

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Аноним email on 21-Ноя-05, 16:44 
Только пока неумеет нат и много чего ещё.
Cообщить модератору | Наверх | ^

3. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от злобный on 21-Ноя-05, 19:24 
разве натить - дело _фильтра_ ?
Cообщить модератору | Наверх | ^

6. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от bmc email(??) on 22-Ноя-05, 08:26 
>разве натить - дело _фильтра_ ?

да

Cообщить модератору | Наверх | ^

7. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от bat0r (??) on 22-Ноя-05, 10:21 
а iproute2  - тоже фильтр? а он натит
Cообщить модератору | Наверх | ^

8. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Аноним email on 22-Ноя-05, 15:13 
что iptables, что iproute2 - это утилиты для настройки работы netfilter.
Т.е. возможности NAT у них одинковы. Различются только методы настройки.
nf-HiPAC - же вообще незнает, что такое NAT.
Не факт, что после патчения ядра - можно будет настроить NAT через iproute2
Cообщить модератору | Наверх | ^

9. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от si on 22-Ноя-05, 15:17 
+   Basically, you can think of nf-HiPAC as an alternative, optimized
+   iptables filter table. Note that it cannot be used for packet
+   mangling or NAT but you can still adopt iptables' mangle or nat
+   table for that purpose since nf-HiPAC and iptables can be used
+   together at the same time.
Cообщить модератору | Наверх | ^

12. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Аноним on 22-Ноя-05, 17:41 
После таких ответов идем читать мат. часть...
Надо отделять мух от котлет (правила фильтрации от правил трансляции), одну технологию от другой, наконец!

Ну что за тенденция: всякий, мало-мальски обученный пользоваться инструментом, пионэр тут же стремится сказать всем, что этот инструмент медленный/кривой/неправильный и вообще, что надо было все не так делать?!

Товарищ, в действительности все не так, как на самом деле!

Разделение логики функционирования очень полезно и удобно, и не надо говорить, что овощерезка должна картошку еще и жарить.

По-вашему, бытовой фильтр воды должен, кроме фильтрации загрязнений, еще и воду в вино превращать? =)

Cообщить модератору | Наверх | ^

28. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от bmc email(??) on 23-Ноя-05, 15:42 
Разделять конечно хорошо, но связка - есть связка. Пакетный фильтр без возможности НАТ-а - баловство.

Cообщить модератору | Наверх | ^

2. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от VladimirOstrovskiy (??) on 21-Ноя-05, 17:58 
поэтому и быстрый видимо
Cообщить модератору | Наверх | ^

4. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от dropuser on 21-Ноя-05, 20:46 
дело фильтра или не дело фильтра - неважно :-)
а на системах с большим кол-вом трафика нафик нат в пакетном фильтре?
зато stateful вроде есть...
Cообщить модератору | Наверх | ^

5. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Moralez email(ok) on 22-Ноя-05, 05:00 
Забавно. А что, в linuxовом нетфильтере не создаются динамические правила? То есть, неважно сколько правил мы сконфигурили, проверяться пакеты без SYN будут только по нескольким, как это сделано уже несколько лет в ipfw?
Cообщить модератору | Наверх | ^

10. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Mr.Uef (??) on 22-Ноя-05, 15:42 
>Забавно. А что, в linuxовом нетфильтере не создаются динамические правила?
А что, очень хочется чтоб не-было? ;) Не повезло тебе. Есть. И тоже "уже несколько лет".


Cообщить модератору | Наверх | ^

19. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Moralez email(ok) on 23-Ноя-05, 08:39 
Да мне не жалко. Но я не уверен, что оно есть. Я проверял меньше, чем "несколько лет" назад :)
Cообщить модератору | Наверх | ^

23. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Mr.Uef (??) on 23-Ноя-05, 12:16 
Значит плохо проверял.
Cообщить модератору | Наверх | ^

39. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от _Nick_ (ok) on 24-Ноя-05, 04:43 
>Да мне не жалко. Но я не уверен, что оно есть.
если сам не уверен - спроси у того, кто более уверен.
Я - более уверен в вопросах iptables. Ты спросил - я ответил.
Все еще не уверен - перечитай пост еще раз :)

> Я проверял меньше, чем "несколько лет" назад :)
ну, как видишь, и я пару лет назад видел фрю и много чего пропустил.
Пыталсо попиздеть, что там все так же плохо...   ну и ты попробуй ;))

Cообщить модератору | Наверх | ^

66. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Moralez email(ok) on 25-Ноя-05, 10:14 
То есть, сейчас правило -j ACCEPT --state RELATED,ESTABLISHED
на самом деле не проверяет лишь наличие флагов, а проходит по таблице динамических правил и НЕ проходит по всем правилам фаервола, по которым прошёл пакет
-j ACCEPT --state NEW
?
Cообщить модератору | Наверх | ^

73. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Mr.Uef (??) on 25-Ноя-05, 16:08 
Почти так.
Вообще, если есть установленное соединение, то для него создается динамическое правило. Когда проверка доходит до правила с ESTABLISHED,RELATED - она лезет смотреть в динамические правила, и в случае, если такое находится - выполняет ассоциированное действие - в вашем случае ACCEPT.

Установка же соединения обычно регламентируется обычными правилами, которые обычно находятся после правила с ESTABLISHED,RELATED.

Cообщить модератору | Наверх | ^

11. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Settler email on 22-Ноя-05, 16:27 
по идее - как напишешь правила - так и будет работать. "динамические" (statefull) правила в iptables даже для udp.

а что - правда кто-то думает что iptables проще устроен, менее красиво, чем ipfw? :)

Cообщить модератору | Наверх | ^

15. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Moralez email(ok) on 23-Ноя-05, 04:54 
Не знаю что такое "проще, менее красиво".

В линухе вообще есть аналог keep-state?

Только не надо про SETUP и ESTABLISHED. Это аналог setup,established...

Cообщить модератору | Наверх | ^

16. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от _Nick_ (ok) on 23-Ноя-05, 06:31 
>Не знаю что такое "проще, менее красиво".
>
>В линухе вообще есть аналог keep-state?
исходя из того, что keep-state используеться в основном для ограничения количества коннектов (в еденицу времени, в/на хост и т.д., но именно для ограничения), то вот с iptables:
man iptables (желательно >=1.3.0 version, чтоб не кричал, что "вот нету")
и исчи там модули по таким регекспам %)
.*conn.*
.*limit.*
я насчитал 7 штук. Количество конечно же ни о чем не говорит. Поэтому давай приводи проблему, которую, по твоему мнению, не может решить iptables, но может твой keep-state в ipfw - и я буду тебя порвать.

>Только не надо про SETUP и ESTABLISHED. Это аналог setup,established...
да, не буду. реально разные вещи.

Cообщить модератору | Наверх | ^

18. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Moralez email(ok) on 23-Ноя-05, 08:36 
"keep-state используеться".... бульк, раздалось из лужи.

"желательно >=1.3.0 version". опять напильник?! а без напильника смогёте? :)

Cообщить модератору | Наверх | ^

26. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от si on 23-Ноя-05, 13:20 
[root@mysql] #>iptables --version                                                                                                        
iptables v1.3.3
[root@mysql] #>uname -a                                                                                                                  
Linux mysql 2.6.13-15-smp #1 SMP Tue Sep 13 14:56:15 UTC 2005 x86_64 x86_64 x86_64 GNU/Linux
[root@mysql] #>cat /etc/SuSE-release                                                                                                    
SUSE LINUX 10.0 (X86-64)
VERSION = 10.0
все их коробки, ни какого напильника ...
Cообщить модератору | Наверх | ^

55. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Moralez email(ok) on 24-Ноя-05, 12:33 
Как вы можете сравнивать FreeBSD и десктопный дистрибчик? production - это в лучшем случае SLES и RHAS/RHEL... хотя там столько недочётов, что я бы и из не отнёс. Но остальное вообще шансов не имеет...
Cообщить модератору | Наверх | ^

56. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от dimus (??) on 24-Ноя-05, 14:48 
>Как вы можете сравнивать FreeBSD и десктопный дистрибчик? production - это в
>лучшем случае SLES и RHAS/RHEL... хотя там столько недочётов, что я
>бы и из не отнёс. Но остальное вообще шансов не имеет...
>

Детский лепет. Вы, похоже, совершенно не в курсе дела.

Cообщить модератору | Наверх | ^

61. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от _Nick_ (ok) on 24-Ноя-05, 22:49 
>Как вы можете сравнивать FreeBSD и десктопный дистрибчик?

да, чел реально влез неясно откуда со своим АЛЬТом.
Но, спорим то мы о фаерволах.
И будь то трижды "десктопный" Линух, он такое уммеет, а "раскошная" фря - нет.

Cообщить модератору | Наверх | ^

63. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Moralez email(ok) on 25-Ноя-05, 06:16 
Дорогой мой! ОСь роскошной делает не какая-то невнятная фича фаервола, а совокупность параметров. Где-то там, в сферическом офисе, где надо разрешить активный ftp, я б поставил linux (RHAS/RHEL/SLES). Но в реальной жизни мне это НЕ надо. Мне надо, чтобы админить было легко и простоев не было, но при этом софт был не протухшим. Поэтому все версионные линуксы идут пешим строем. В том числе и gentoo, который сегодня есть, а завтра ХЗ, т.к. всех главарей микрософт скупил... :-)
Cообщить модератору | Наверх | ^

64. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Mr.Uef (??) on 25-Ноя-05, 09:43 
>ОСь роскошной делает не какая-то невнятная фича фаервола, а совокупность
>параметров.

По этой причине я и слез с фрюхи. Т.к. линух сейчас активно продвигают мощные компании типа МежДелМаша и Новела. И, главное для меня, он поддерживается Ораклом. А Фря - нет. Вот тебе и совокупность.
За Фрей остаются только фаерволы в небольших организациях
и, конечно, www пока мелкомягкие не пересадили всех на ИИС.

ЗЫ Искренне жаль, т.к. на мой взгляд Фря красивее Линуха.

Cообщить модератору | Наверх | ^

65. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Moralez email(ok) on 25-Ноя-05, 09:53 
Популяризируя линукс они делают его хуже. Это на взгляд половозрелого админа. :)

Сколько лично под вами серверов и на скольких стоит Oracle?
У меня 15 и только на одном БД, где более, чем хватает PostgreSQL. Что вам мешает поставить на сервере DB linux, а на остальных нормальную операционку? :)

Я не наблюдаю тенденции "пересаживания всех на ИИС". Как было решето для внутренних, изолированных от инета, сеток, так им и остаётся...

Cообщить модератору | Наверх | ^

72. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Mr.Uef (??) on 25-Ноя-05, 15:24 
>Популяризируя линукс они делают его хуже. Это на взгляд половозрелого админа. :)

Пусть хуже, но более боеспособным перед нашествием Винды. Т.е. агонизировать будет дольше. Тоже вобщем-то не девственник. :)

>Сколько лично под вами серверов и на скольких стоит Oracle?
Тоже 15 , но Оракл стоит только на трех.

>Что вам мешает поставить на сервере DB linux, а на
>остальных нормальную операционку? :)
Так и сделано. Где не стоит по долгу службы соляра или линукс стоит виндовс ;)

>Я не наблюдаю тенденции "пересаживания всех на ИИС". Как было решето для
>внутренних, изолированных от инета, сеток, так им и остаётся...
Я говорю о далекой перспективе,  когда останется одна винда.

Cообщить модератору | Наверх | ^

74. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от _Nick_ (ok) on 25-Ноя-05, 20:03 
>Мне надо, чтобы админить было легко и простоев не
>было, но при этом софт был не протухшим.
кто мешает апдейтиццо?

>Поэтому все версионные линуксы идут пешим строем.
>В том числе и gentoo, который сегодня
>есть, а завтра ХЗ, т.к. всех главарей микрософт скупил... :-)

версионные - перманентно и эротически.
А про генту (уже запомнил, что я юзаю ;) РЕСПЕКТ!) ты, вообще-то, просто так притулил :) Что значит завтра его не будет?? Думай что говоришь. Кто бы чего не скупил - GPL'd софт легко перехватиться другими активистами (как видишь, их хватает). Не всем что-то ТОЛЬКО НУЖНО ("Мне надо, чтобы админить было легко и простоев не было..."), но кое-то может также ДАТЬ что-то ОС, которую любит. Так что товарисч, расслабь булки. Кто кого скупил - их дело. А дело остальных гентушников делать бздю с их устаревшыми в принципах портами по всем параметрам.

Cообщить модератору | Наверх | ^

68. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от capt (??) on 25-Ноя-05, 10:40 
>production - это в лучшем случае SLES и RHAS/RHEL...

Стоят 2 SLES'a, ждут, когда снесу и поставлю SuSE, как на остальных серверах :)

Cообщить модератору | Наверх | ^

70. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Moralez email(ok) on 25-Ноя-05, 14:02 
Capt, потому что софт в SLES9 протух, а SLES10 всё не рожают? Это повод поставить недодистриб на ядре 2.6 и поддержкой в 6 (емнип) месяцев?
Cообщить модератору | Наверх | ^

27. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Settler email on 23-Ноя-05, 13:21 
>"keep-state используеться".... бульк, раздалось из лужи.
>
>"желательно >=1.3.0 version". опять напильник?! а без напильника смогёте? :)

Вперед. Покажи мне как на ipfw делать вот это:

http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-5.html

(да, я знаю что НИКАК, но вдруг ты знаешь, что чудо бывает) :)

Cообщить модератору | Наверх | ^

44. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от nobody email(??) on 24-Ноя-05, 09:30 
IIRC netfilter/iptables understands stuff like the in-kernel ftp
proxy as 'connection tracking'.

pf(4) doesnt do this directly, use ftp-proxy(8).

(c) http://www.monkey.org/openbsd/archive/misc/0211/msg01079.html

в принципе как и в netfilter, требуется дополнительные модули. В случае нетфильтер - ip_conntrack, insmod ip_conntrack_ftp (судя по ссыке), в случае pf - ftp-proxy(8).

Там kernel level, здесь user level.

PS. на топик все забили :)

Cообщить модератору | Наверх | ^

38. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от _Nick_ (ok) on 24-Ноя-05, 04:29 
>"keep-state используеться".... бульк, раздалось из лужи.
т.е. это НЕ используеться??
ок. А нах оно тогда?
Или чего именно нужно?? Хотелось аналогов?? Есть
Или именно "keep-state"?? Так может тогда мы дружно поищем именно vserver под бздей??? Или именно UML (несмотря на то, что это юзер моде ЛИНУКС).
Нужна фича - она есть. А как называется - давайте это уж будет проблема авторов.

>"желательно >=1.3.0 version". опять напильник?! а без напильника смогёте?
>:)

ok. Давай мне NAT в ядре в 3.5 бзде. Фонарь?? Напильник??
Иди в лес.

Cообщить модератору | Наверх | ^

13. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от DmA on 22-Ноя-05, 22:33 
>а что - правда кто-то думает что iptables проще устроен, менее красиво, чем ipfw? :)'

помоему все FreeBSВшники так думают к сожалению

Cообщить модератору | Наверх | ^

14. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Settler email on 22-Ноя-05, 23:56 
да и пусть думают, почему к сожалению :) я надеюсь что "все фри-бсдшники" - это не разработчики ядра freebsd - и они таки когда-нибудь, напишут что-нибудь напоминающее по нормальности использования netfilter/iptables.

пока-же ipfw просто убогий. ipfilter/pf - тем более.

Cообщить модератору | Наверх | ^

20. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от nobody email(??) on 23-Ноя-05, 09:25 
а если конкретно?
Как долго ты пользовал ipfw/ipfilter/pf ?
Cообщить модератору | Наверх | ^

24. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Settler email on 23-Ноя-05, 13:14 
>а если конкретно?
>Как долго ты пользовал ipfw/ipfilter/pf ?

зачем вам статистика? :)
iptables - столько, сколько он существует (лет 5)
ipfw - весь этот год

мне от ipfw много не нужно. на сегодня, я знаю, что ipfw не может реализовать вот это:

#!/bin/sh
#eth0 - внешний интерфейс, смотрящий "в интернет"
#
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT                                
iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT                                      
iptables -A INPUT -j DROP                                                                        
                                                                                                    
с аналогичной функциональностью (я про RELATED/conntrack_ftp например).

Cообщить модератору | Наверх | ^

30. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от odip on 23-Ноя-05, 18:03 
>мне от ipfw много не нужно. на сегодня, я знаю, что ipfw
>не может реализовать вот это:
>
>#!/bin/sh
>#eth0 - внешний интерфейс, смотрящий "в интернет"
>#
>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
>
>iptables -A INPUT -j DROP
>
>с аналогичной функциональностью (я про RELATED/conntrack_ftp например).

ты сначала расскажи что это

Cообщить модератору | Наверх | ^

31. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Settler email on 23-Ноя-05, 18:41 
разрешены все исходящие соеденения, запрещены все входящие.
принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать активный и пассивный ftp.
Cообщить модератору | Наверх | ^

32. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Egor (??) on 23-Ноя-05, 20:13 
>разрешены все исходящие соеденения, запрещены все входящие.
>принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
>активный и пассивный ftp.

а keep-state как раз применить?
Вообще, оба файрвола умеют все, что разумному человеку надо. Тут уж у кого к какому файрволу или системе душа лежит.

Cообщить модератору | Наверх | ^

42. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от _Nick_ (ok) on 24-Ноя-05, 05:13 
>>разрешены все исходящие соеденения, запрещены все входящие.
>>принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
>>активный и пассивный ftp.


>а keep-state как раз применить?
примени. Возьми и напиши полный набор правил на IPFW для реализации этого.
Докажи, что ты понял задачу и умеешь ответить за свои слова.

>Вообще, оба файрвола умеют все, что разумному человеку надо.
как видишь, не все и не всё.

> Тут уж у кого к какому файрволу или системе душа лежит.
иногда нужно работать, а не пальцо гнуть. И ipfw - древность прошлого.
А душа лежит к тому, что работает.

Cообщить модератору | Наверх | ^

35. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от BB (??) on 23-Ноя-05, 21:52 
>разрешены все исходящие соеденения, запрещены все входящие.
>принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
>активный и пассивный ftp.

И еще раз ой мне :) если по тупому и на pf то это выглядит след образом, к примеру если fxp0 внешний интерфейс:

block log all #все заблокированые пакеты отразятся в pflog0
pass out on fxp0 inet proto {tcp,udp,icmp} from (fxp0) to any keep state

если хочешь что-бы вооще все красиво было то вот так:

block log all #все заблокированые пакеты отразятся в pflog0
pass out on fxp0 inet proto tcp from (fxp0) port>1023 to any flags S/SAFR keep state
pass out on fxp0 inet proto udp from (fxp0) port>1023 to any keep state
pass out on fxp0 inet proto icmp from (fxp0) keep state

Cообщить модератору | Наверх | ^

36. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Settler email on 23-Ноя-05, 23:16 
да нет в pf/ipfw коннекшен-трекинга, ну что-вы как маленький.
я полгода копал - думал, что что-то не понимаю... нету :(
Cообщить модератору | Наверх | ^

45. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от BB (??) on 24-Ноя-05, 10:35 
>да нет в pf/ipfw коннекшен-трекинга, ну что-вы как маленький.
>я полгода копал - думал, что что-то не понимаю... нету :(

Эта, все пингвиноиды такие зануды ? ты спрашивал русским языком как в pf реализовать вот такую вещь : " разрешены все исходящие соеденения, запрещены все входящие.
принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать активный и пассивный ftp."

Я тебе написал реализацию на pf (правда без поддержки активного ftp) что тебя не устраивает???

Cообщить модератору | Наверх | ^

57. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от _Nick_ (ok) on 24-Ноя-05, 22:36 
>Эта, все пингвиноиды такие зануды ? ты спрашивал русским языком как в
>pf реализовать вот такую вещь : " разрешены все исходящие соеденения,
>запрещены все входящие.
>принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
>активный и пассивный ftp."
>
>Я тебе написал реализацию на pf (правда без поддержки активного ftp) что
>тебя не устраивает???

ты нерусский? тебе нормально сказали (и показали элегантность реалиции в iptables), что нужно не просто запретить входящие коннекты (это ЛЮБОЙ фаерволл умеет), но при этом еще и разрешать входящие с FTP сервера.
В этом то и фича, а ты "правда без поддержки активного ftp".
Вот именно, что БЕЗ поддержки.
Вот именно поэтому iptables мощнее ipfw, что и требовалось доказать.

Cообщить модератору | Наверх | ^

52. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Осторожный email on 24-Ноя-05, 11:32 
>да нет в pf/ipfw коннекшен-трекинга, ну что-вы как маленький.
>я полгода копал - думал, что что-то не понимаю... нету :(

keep-state в ipfw - это разъве не коннекшен-трекинг ?
там правда icmp на tcp/udp не обрабатываются :(

а вот в pf ICMP обратываются - чем не коннекшен-трекинг ?

Насколько я понял в Linux нужен iptables >= 1.3.0 ?
Скажем в AltLinux Master 2.4 его нет - а ему всего год

Cообщить модератору | Наверх | ^

54. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Settler email on 24-Ноя-05, 11:56 
>keep-state в ipfw - это разъве не коннекшен-трекинг ?
>там правда icmp на tcp/udp не обрабатываются :(
>
>а вот в pf ICMP обратываются - чем не коннекшен-трекинг ?

это stateful. про это никто не говорит :)

>
>Насколько я понял в Linux нужен iptables >= 1.3.0 ?
>Скажем в AltLinux Master 2.4 его нет - а ему всего год

не знаю зачем версию указали. на iptables 1.2.* по моему все работает как надо. может что-то и добавили ценного в 1.3, я не смотрел.

Cообщить модератору | Наверх | ^

43. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от _Nick_ (ok) on 24-Ноя-05, 05:16 
>block log all #все заблокированые пакеты отразятся в pflog0
>pass out on fxp0 inet proto {tcp,udp,icmp} from (fxp0) to any keep
>state
>
>если хочешь что-бы вооще все красиво было то вот так:
>
>block log all #все заблокированые пакеты отразятся в pflog0
>pass out on fxp0 inet proto tcp from (fxp0) port>1023 to any flags S/SAFR keep state
>pass out on fxp0 inet proto udp from (fxp0) port>1023 to any keep state
>pass out on fxp0 inet proto icmp from (fxp0) keep state


ГЫ. А где разрешить коннект от FTP сервака по активному сценарию FTP сессии?? ;))

Cообщить модератору | Наверх | ^

47. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от BB (??) on 24-Ноя-05, 11:03 
>ГЫ. А где разрешить коннект от FTP сервака по активному сценарию FTP
>сессии?? ;))
Да правильно, в данном примере коннект с активным ftp отсутствует. Но не потому что он не реализуем - лехко
просто с моей точки зрения - активный ftp это потенциальная дыра. И это не обсуждается.
Все остальные требования в моем примере реализованы, как в сокращенном виде так и в расширеном.

Cообщить модератору | Наверх | ^

50. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Settler email on 24-Ноя-05, 11:17 
>>ГЫ. А где разрешить коннект от FTP сервака по активному сценарию FTP
>>сессии?? ;))
>Да правильно, в данном примере коннект с активным ftp отсутствует. Но не
>потому что он не реализуем - лехко
>просто с моей точки зрения - активный ftp это потенциальная дыра. И
>это не обсуждается.
>Все остальные требования в моем примере реализованы, как в сокращенном виде так
>и в расширеном.


ну а по моему - это не работает и это плохо. и это тоже не обсуждается. потому, что МНЕ это НУЖНО.

Cообщить модератору | Наверх | ^

51. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от BB (??) on 24-Ноя-05, 11:28 
>ну а по моему - это не работает и это плохо. и
>это тоже не обсуждается. потому, что МНЕ это НУЖНО.

ты утверждаешь что конструкция вида:

block log all
pass out on fpx0 inet proto {tcp,udp,icmp} from (fxp0} to any keep state

не отвечает критерию "разрешены все исходящие соеденения, запрещены все входящие. принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). Будет работать пассивный ftp"
????

Cообщить модератору | Наверх | ^

60. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от _Nick_ (ok) on 24-Ноя-05, 22:47 
>ты утверждаешь что конструкция вида:
>
>block log all
>pass out on fpx0 inet proto {tcp,udp,icmp} from (fxp0} to any keep
>state
>
>не отвечает критерию "разрешены все исходящие соеденения, запрещены все входящие. принимаются ответы
>на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). Будет работать пассивный
>ftp"
>????

ГЫ. А куда АКТИВНЫЙ FTP задевал?? ;)))))))
Не нуна хитрить, товарисч.
Подавай закрытый ФВ с возможностью активного FTP.

Cообщить модератору | Наверх | ^

82. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от butcher (ok) on 28-Ноя-05, 09:14 
>ГЫ. А куда АКТИВНЫЙ FTP задевал?? ;)))))))
>Не нуна хитрить, товарисч.
>Подавай закрытый ФВ с возможностью активного FTP.

В ipfw изначально не было поддержки NAT, что сейчас уже практически включено в базовую систему.
Для активного FTP - читайте natd(8) на предмет -punch_fw.

Cообщить модератору | Наверх | ^

53. "Активный FTP"
Сообщение от Осторожный email on 24-Ноя-05, 11:42 
>>>ГЫ. А где разрешить коннект от FTP сервака по активному сценарию FTP
>>>сессии?? ;))
>>Да правильно, в данном примере коннект с активным ftp отсутствует. Но не
>>потому что он не реализуем - лехко
>>просто с моей точки зрения - активный ftp это потенциальная дыра. И
>>это не обсуждается.
>>Все остальные требования в моем примере реализованы, как в сокращенном виде так
>>и в расширеном.

Я тоже считаю, что активный ftp не нужен.
Проблемы с безопасностью - это раз.

Реально использование обламывается:
Допустим я настроил что мой ftp-сервер можно использовать с активными соединениям.
Приходит ко мне какой-нибудь удаленный клиент из-под Нат - естественно у него активный ftp обламывается - если не применять специальных ухищрений
на той стороне (!!!). Заставлять же настраивать каждый маршрутизатор каждого клиента - нет уж. Проще перейти на пассивный ftp.
Есть правда поделия Microsoft - ftp-сервер который не поддерживает passive, их остается только выкинуть.

Cообщить модератору | Наверх | ^

62. "Активный FTP"
Сообщение от _Nick_ (ok) on 24-Ноя-05, 23:04 
>Я тоже считаю, что активный ftp не нужен.
Красноглазое высказывание.
кому не нужен? тебе не нужен.
А че делать тому, кому НУЖЕН?

Мне он тоже до лампочки.
А вдруг понадобиться, то срочно ОС менять?

>Проблемы с безопасностью - это раз.
два. Безопасность - это проблема FTP клиента.
Что-то с логикой у бсдшников плохо. Свихнулись все на секурити.
Даже не понимают что ИМЕННО отвечает за нее при активной FTP сессии.


>Реально использование обламывается:
>Допустим я настроил что мой ftp-сервер можно использовать с активными соединениям.
>Приходит ко мне какой-нибудь удаленный клиент из-под Нат - естественно у него
>активный ftp обламывается - если не применять специальных ухищрений
>на той стороне (!!!). Заставлять же настраивать каждый маршрутизатор каждого клиента -
>нет уж. Проще перейти на пассивный ftp.

и твоя обязанность не зарубить активный режим на серваке, а сказать клиенту о необходимости использовать passive FTP если он за натом.
Тяжело?

>Есть правда поделия Microsoft - ftp-сервер который не поддерживает
>passive, их остается только выкинуть.

да все от мс лучше выкинуть


Cообщить модератору | Наверх | ^

71. "Активный FTP"
Сообщение от Осторожный email on 25-Ноя-05, 14:59 
>>Я тоже считаю, что активный ftp не нужен.
>Красноглазое высказывание.
>кому не нужен? тебе не нужен.
>А че делать тому, кому НУЖЕН?

А мне пофигу что будут делать то кому нужен ;)

>
>Мне он тоже до лампочки.
>А вдруг понадобиться, то срочно ОС менять?

См выше

>
>>Проблемы с безопасностью - это раз.
>два. Безопасность - это проблема FTP клиента.
>Что-то с логикой у бсдшников плохо. Свихнулись все на секурити.
>Даже не понимают что ИМЕННО отвечает за нее при активной FTP сессии.

С логикой плохо у тебя - речь про безопасность на стороне клиента

>
>
>
>>Реально использование обламывается:
>>Допустим я настроил что мой ftp-сервер можно использовать с активными соединениям.
>>Приходит ко мне какой-нибудь удаленный клиент из-под Нат - естественно у него
>>активный ftp обламывается - если не применять специальных ухищрений
>>на той стороне (!!!). Заставлять же настраивать каждый маршрутизатор каждого клиента -
>>нет уж. Проще перейти на пассивный ftp.
>
>и твоя обязанность не зарубить активный режим на серваке, а сказать клиенту
>о необходимости использовать passive FTP если он за натом.
>Тяжело?

А зачем - клиент и так не зайдет с активным ftp,
помается и включит пассивный

>
>>Есть правда поделия Microsoft - ftp-сервер который не поддерживает
>>passive, их остается только выкинуть.
>
>да все от мс лучше выкинуть

Насчет все - это ты явно загнул

Cообщить модератору | Наверх | ^

76. "Активный FTP"
Сообщение от _Nick_ (ok) on 26-Ноя-05, 04:25 
>>Мне он тоже до лампочки.
>>А вдруг понадобиться, то срочно ОС менять?
>См выше
плохо. мы тут общие проблемы рассматриваем...


>>>Проблемы с безопасностью - это раз.
>>два. Безопасность - это проблема FTP клиента.
>>Что-то с логикой у бсдшников плохо. Свихнулись все на секурити.
>>Даже не понимают что ИМЕННО отвечает за нее при активной FTP сессии.
>
>С логикой плохо у тебя - речь про безопасность на стороне клиента

из танка на урок чтения в 1-й класс ШАГООООм....
мои слова: "это проблема FTP клиента".
Клиенты _обычно_ на стороне клиента запускают :)
Именно о клиенте я и говорил. Мой руки перед тем как ответ писать.

(хотя и сервер при дата коннекте в активной FTP сессии не застрахован от проблем в ДНК афтора. Если он крив, то и _ответ_ FTP клиента может быть для него _проблемным_)

Cообщить модератору | Наверх | ^

58. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от _Nick_ (ok) on 24-Ноя-05, 22:42 
>Да правильно, в данном примере коннект с активным ftp отсутствует. Но не
>потому что он не реализуем - лехко
ГДЕ? я так и НЕ увидел реализацию этого. приводи набор правил, если это так уж просто.

>просто с моей точки зрения - активный ftp это потенциальная
дыра.

Ты идиот? Броузинг - это тоже потенциальная дыра. Давай не будем броузить ВООБЩЕ. Свихнулсо??

Блин. Ну опять бсдшные съезды.
Нет фичи - то "она не нужна, имхо", то "этого нет, потому что лично я думаю, что это несекурно".

Ну как можно с такими спорить?!!!!


> И это не обсуждается.
Обсуждается. Но в топике о FTP клиентах.

> Все остальные требования в моем примере реализованы, как в сокращенном
> виде так и в расширеном.

так и просили тебя ИМЕННО ЭТО и реализовать. остальное - это все фигня.
Кичься обычным фильтрованием перед молодежью

Cообщить модератору | Наверх | ^

67. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от BB (??) on 25-Ноя-05, 10:19 
>>Да правильно, в данном примере коннект с активным ftp отсутствует. Но не
>>потому что он не реализуем - лехко
>Ты идиот? Броузинг - это тоже потенциальная дыра. Давай не будем броузить
когда у человека кончаются аргументы, он начинает оскорблять собеседника, это случайно не твой случай ?

дополнительное правило для активного ftp пакетного фильтра PF OpenBSD

rdr on $int_if proto tcp from any to any port ftp -> 127.0.0.1 port 8021
pass in on $ext_if inet proto tcp from port ftp-data to ($ext_if) user proxy flags S/SAFR keep state
>так и просили тебя ИМЕННО ЭТО и реализовать. остальное - это все
>фигня.
>Кичься обычным фильтрованием перед молодежью
Слышь старичок, ты мне лучше напиши для нетфильтра, реализацию якорей, динамических поднаборов правил, аутентификацию пользователей, натирование не только tcp/udp/icmp а и других протоколов семейства IP. затем раскажешь про реализацию очередей, про реализацию транспарент FW, аналоги carp и pfsync, да и многое что еще.
Слушай, старичок, а может ты просто ничего кроме active-ftp и не знаешь, а ?
Вот и носишься с ним как с яйцом, попустно поливая остальных калом ???


Cообщить модератору | Наверх | ^

75. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от _Nick_ (ok) on 25-Ноя-05, 21:52 
>>>Да правильно, в данном примере коннект с активным ftp отсутствует. Но не
>>>потому что он не реализуем - лехко
>>Ты идиот? Броузинг - это тоже потенциальная дыра. Давай не будем броузить
>когда у человека кончаются аргументы, он начинает оскорблять собеседника, это случайно не
>твой случай ?
конечно мой. Что тебе еще сказать, когда мы говорим о возможностях фаервола, а ты съежаешь на секурность FTP клиентов. Это назвать нормальным ходом мышления я не моуг - поэтому назвал тебя идиотом. Это, правда, высшая степень сумашествия. Посему, да, я пергнул. С тебя и шизофреника хватит.

>дополнительное правило для активного ftp пакетного фильтра PF OpenBSD
>
>rdr on $int_if proto tcp from any to any port ftp -> 127.0.0.1 port 8021
>pass in on $ext_if inet proto tcp from port ftp-data to ($ext_if)
>user proxy flags S/SAFR keep state

"pass .... from port ftp-data" - в сад. Я тебя с таким фв просканю с 20 порта КАК угодно, а ты и п...ть не успеешь.

>Слышь старичок, ты мне лучше напиши для нетфильтра, реализацию якорей,
какую возможность реализует сия фича? приведу аналоги.

>динамических поднаборов правил
аналог:
man iptables |egrep "limit|conn" -A 20

>аутентификацию пользователей,
модуль owner. Если что другое хочешь - проясни вопрос.

>натирование не только tcp/udp/icmp а и других протоколов
>семейства IP.
iptables -t nat -I POSTROUTING -d 3.4.5.6 -p <PROTO_NUM> -j SNAT --to-source 4.5.6.7

в PROTO_NUM пихай че хочешь.
# iptables -t nat -L -nv| grep 3.4.5.6 -B 1
  pkts bytes target     prot opt in     out     source               destination
    0     0 SNAT       3    --  *      *       0.0.0.0/0            3.4.5.6             to:4.5.6.7


>затем раскажешь про реализацию очередей
мы о шейпере?? или о шейпере в ipfw :) который рулиццо by queue и pipe'ами?
фсад. HTB для этого мы раскурили ранее.

>про реализацию транспарент FW
bridge+Bridged IP/ARP packets filtering
Спросил бы че-нить посложнее ;))

>аналоги carp и pfsync
linux-ha.org
и
pkttables

>да и многое что еще.
что именно? %)

>Слушай, старичок, а может ты просто ничего кроме active-ftp и не знаешь,
>а ?
знаю ;)
просто вот товарищи отличный пример запостили. Мне он понравилсо - и все.
Мечтаю увидеть аналог такого дела на IFPW/PF или че там еще вы пользуете.

>Вот и носишься с ним как с яйцом, попустно поливая остальных калом
>???

а че б не полить, если вам прикрыцца нечем? ;)

Cообщить модератору | Наверх | ^

78. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от BB (??) on 26-Ноя-05, 23:02 
>>твой случай ?
>конечно мой. Что тебе еще сказать, когда мы говорим о возможностях фаервола,
>а ты съежаешь на секурность FTP клиентов. Это назвать нормальным ходом
>мышления я не моуг - поэтому назвал тебя идиотом. Это, правда,
>высшая степень сумашествия. Посему, да, я пергнул. С тебя и шизофреника
>хватит.

Скучно с тобой :(

>"pass .... from port ftp-data" - в сад. Я тебя с таким
>фв просканю с 20 порта КАК угодно, а ты и п...ть
>не успеешь.

Испугал ыжа голой попой :) тебе ip сказать что-бы ты поразвлекался ?:))
>>затем раскажешь про реализацию очередей
>мы о шейпере?? или о шейпере в ipfw :) который рулиццо by
>queue и pipe'ами?
>фсад. HTB для этого мы раскурили ранее.

Читаем внимательно: речь идет об PF

>Мечтаю увидеть аналог такого дела на IFPW/PF или че там еще вы
>пользуете.
А тебе нарисовали его для PF, или ты только свои посты читаешь?  

Cообщить модератору | Наверх | ^

79. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от _Nick_ (ok) on 27-Ноя-05, 01:01 
>>Мечтаю увидеть аналог такого дела на IFPW/PF или че там еще вы
>>пользуете.
>А тебе нарисовали его для PF, или ты только свои посты читаешь?
>
нарисовали просто DENY для ВСЕХ входящих. Тема е%ли с активным FTP в PF твоем НЕ раскрыта.
Cообщить модератору | Наверх | ^

48. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Moralez email(ok) on 24-Ноя-05, 11:12 
Когда pf настраивается на самом ftp-сервере:

pass  in  quick proto tcp from any to self user ftp flags S/SA keep state

если не на нём, man ftp-proxy

Cообщить модератору | Наверх | ^

49. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от saylor_ua (??) on 24-Ноя-05, 11:16 
НА IPFW
ipfw add pass ip from me to any keep-state setup
>разрешены все исходящие соеденения, запрещены все входящие.
>принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
>активный и пассивный ftp.

Насколько я понял задачу - реализуется 1 правилом


Cообщить модератору | Наверх | ^

59. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от _Nick_ (ok) on 24-Ноя-05, 22:44 
>НА IPFW
>ipfw add pass ip from me to any keep-state setup
>>разрешены все исходящие соеденения, запрещены все входящие.
>>принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
>>активный и пассивный ftp.
>
>Насколько я понял задачу - реализуется 1 правилом

неправильно понял. Входящий коннект (в рамках активной FTP сессии) пойдет в пеший эротический поход (c) ???
Не нужно от этого съежжать. Именно ЭТО и хочеца увидеть в ipfw.

Cообщить модератору | Наверх | ^

69. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Wulf on 25-Ноя-05, 11:05 
Специально для группы особо разтрындившихся флеймеров:
цитата из man natd от FreeBSD 5.4 по поводу опции -punch_fw:
-punch_fw basenumber:count
            This option directs natd to ``punch holes'' in an
            ipfirewall(4) based firewall for FTP/IRC DCC connections.
            This is done dynamically by installing temporary firewall
            rules which allow a particular connection (and only that con-
            nection) to go through the firewall.  The rules are removed
            once the corresponding connection terminates.

цитата из "FAQ по пакетным фильтрам и NAT":
natd поддерживает transparent proxy для протоколов FTP, IRC, ICMP, PPTP, RTSP, PNA, NetBios over TCP/IP и Cisco Skinny Station protocol

Так-что, активный FTP поддерживают все 3 пакетных фильтра FreeBSD

Cообщить модератору | Наверх | ^

77. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от _Nick_ (ok) on 26-Ноя-05, 04:37 
>Так-что, активный FTP поддерживают все 3 пакетных фильтра FreeBSD
респект.
но поправка. Не фильтры его поддерживают, а natd.
Фильтры пока что в Ж...

Но, исходя из бздевого натинга на юзерлевеле, можно с натяжкой считать
что бздя умеет активный FTP в закрытым ФВ.
зачет.

Cообщить модератору | Наверх | ^

17. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от _Nick_ (ok) on 23-Ноя-05, 07:36 
>>а что - правда кто-то думает что iptables проще устроен, менее красиво, чем ipfw? :)'
>помоему все FreeBSВшники так думают к сожалению

так думают только те, кто пробовал ipfw, но в то же время толком не понял iptables. А кто не въехал - именно тот и кричит. Сам иногда такой.

Cообщить модератору | Наверх | ^

21. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от BB (??) on 23-Ноя-05, 09:49 
Мда, действительно, вот я ну никак не смог въехать в логику netfilter куча каких-то левых словечек, конфиг в результате получается совсем нечитабельный. у pf синтаксис явно проще и логичнее
Cообщить модератору | Наверх | ^

25. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Settler email on 23-Ноя-05, 13:19 
>Мда, действительно, вот я ну никак не смог въехать в логику netfilter
>куча каких-то левых словечек, конфиг в результате получается совсем нечитабельный. у
>pf синтаксис явно проще и логичнее

в конечно итоге, _мне_лично_ главное что-бы работало, а не поспорить. смысл моих провокация - что-бы мне показали чудо, вдруг я просто не увидел сам, не смог понять, не так думаю, не нашел в документации/google.

реализуйте на pf - вот это - http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-5.html

Cообщить модератору | Наверх | ^

34. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от BB (??) on 23-Ноя-05, 21:29 
>реализуйте на pf - вот это - http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-5.html

А вот можно для тупых разжевать и в рот положить - то есть ну вот нихрена я не понял что там делается с пакетами, плииииз :)

Cообщить модератору | Наверх | ^

37. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от Settler email on 23-Ноя-05, 23:26 
>>реализуйте на pf - вот это - http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-5.html
>
>А вот можно для тупых разжевать и в рот положить - то
>есть ну вот нихрена я не понял что там делается с
>пакетами, плииииз :)

оригинал:
http://iptables-tutorial.frozentux.net/iptables-tutorial.html

на русском:
https://www.opennet.ru/docs/RUS/iptables/

картинки, подробно, доходчиво. читайте.

Cообщить модератору | Наверх | ^

40. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от _Nick_ (ok) on 24-Ноя-05, 04:50 
>Мда, действительно, вот я ну никак не смог въехать в логику netfilter
>куча каких-то левых словечек, конфиг в результате получается совсем
>нечитабельный.
да, он не такой клетчатый, как ипфв. И ОЧЕНЬ тяжел для восприятия после него ;))) по себе знаю. Трудно переходить было.
Но как только въехал - за уши не оттянешь

>у pf синтаксис явно проще и логичнее
да, но лучше логика в структуре и модульности, чем в конфиге

Cообщить модератору | Наверх | ^

46. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от BB (??) on 24-Ноя-05, 10:53 
>да, он не такой клетчатый, как ипфв. И ОЧЕНЬ тяжел для восприятия
>после него ;))) по себе знаю. Трудно переходить было.
>Но как только въехал - за уши не оттянешь
>
>>у pf синтаксис явно проще и логичнее
>да, но лучше логика в структуре и модульности, чем в конфиге
Хм, фраза конечно хорошая оптикаемая да и возразить то нечего :) Но вот есть такое маленькое "но" пока для себя я не вижу приемуществ у netfiltr'а перед pf.

Cообщить модератору | Наверх | ^

22. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от 193206207206201205 on 23-Ноя-05, 11:20 
конфиг может и трудно читаемый, хотя тоже вопрос спорный, но вот с командной строки например iptables  -L -n -v все вполне логично выглядит
Cообщить модератору | Наверх | ^

29. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от ам on 23-Ноя-05, 17:19 
мне недавно пришлось настраивать систему НАТ+примитивного подсчета траффика на фре..ухх ну и плевался я - после линуха, столько НЕЛОГИЧНОГО, от некоторых правил был сегфолт(!!!!!!!!! frbsd5.3), зато в плюсах - из пакаджей очень удобно поставилась ipacc и с подсчетом было очень удобно все и замечательно.
Cообщить модератору | Наверх | ^

41. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от _Nick_ (ok) on 24-Ноя-05, 05:07 
>мне недавно пришлось настраивать систему НАТ+примитивного подсчета траффика на фре..ухх ну и
>плевался я - после линуха, столько НЕЛОГИЧНОГО, от некоторых правил был
>сегфолт(!!!!!!!!! frbsd5.3), зато в плюсах - из пакаджей очень удобно поставилась ipacc

а ты не пользовал порты на Линухе?? Не хочь попробовать? %)
gentoo.org
система портеждей взята у бзд и доведена до уровня комфортного использования. Про кошмар с зависимостями RPM based забудешь навсегода как страшный сон ;))

>и с подсчетом было очень удобно все и замечательно.

Cообщить модератору | Наверх | ^

33. "Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Сообщение от BB (??) on 23-Ноя-05, 21:26 
>конфиг может и трудно читаемый, хотя тоже вопрос спорный, но вот с
>командной строки например iptables  -L -n -v все вполне логично
>выглядит
Ой мне :)
Честно говоря ничего не имею против netfiltr`а но как-то вот криво с моей точки зрения :)

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру