Вадим Гончаров в заметке "ipfw: порядок прохождения пакетов, сложные случаи (http://nuclight.livejournal.com/124348.html)" предоставил схемы и примеры с подробным описанием процессов обработки пакетов пакетным фильтром ipfw(4) во FreeBSD. В заметке затронуты такие непростые темы, как, например, работа с динамическими правилами STATEFUL FIREWALL, взаимодействие ipfw(4) с подсистемами ipdivert(4), dummynet(4) и netgraph(4).URL: http://nuclight.livejournal.com/124348.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=16080
Нуклайт как всегда пишет хорошие статьи. Читаю с интересом.
Нуклайт решил озвучить мысли, явившиеся рабочим матерьялом при разработке модификаций к ng_ipfw? Это очень позитивно. Читал с удовольствием.
Не, не настолько. Эта схема полезна не только разработчикам, но и рядовым админам, в первую очередь. Конкретно для разработчиков когда-нибудь в другой раз :)
Думаю, разработчики сами разберутся..
Написал бы еще кто нибудь как выстраивать модули ipl, ipfw, netgraph и т.д. на интерфейсе в нужном порядке.
И как вообще узнать кто там за кем.
>Написал бы еще кто нибудь как выстраивать модули ipl, ipfw, netgraph и
>т.д. на интерфейсе в нужном порядке.
>И как вообще узнать кто там за кем.Ссылки по теме к новости, смотрим на номер два, видим: http://www.opennet.ru/tips/info/1431.shtml
Выстраиваются они в порядке загрузки, определяется очень просто экспериментальным путем: пускается пинг, в одном файрволе он разрешается, в другом запрещается, и смотрим, где растут счетчики на правилах, а до куда уже не доходит.
вопрос не в тему:
в солярке то же самое или качественно другое?
> вопрос не в тему:
> в солярке то же самое или качественно другое?Вот уж точно вопрос не в тему, что тоже самое в Solaris?? Netgraph или IPFW?? Нет, там IPFilter, первых двух нет и вообще ядра у них разные...*Solaris*