forum.opennet.ru

"OpenNews: Руководство по пакетному фильтру pf"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Руководство по пакетному фильтру pf"	+/–
Сообщение от dimus (??), 04-Май-07, 07:51
Очень полезная работа. Надеюсь, что у автора все получится. Желаю ему удачи. А еще есть вопрос по одному скользкому моменту. Вот цитата из текста: >Трансляция осуществляется до фильтрации. Правила фильтра увидят уже оттранслированные >пакеты. Из этого утверждения вытекает, что на машине с NAT невозможно фильтровать трафик от внутренних хостов. Было бы неплохо, чтобы было разъяснение по этому моменту. Допустим у нас есть сеть 192.168.1.0/24 со шлюзом на *BSD с pf, который натит в IP 1.2.3.4 Хост 192.168.1.3 не должен иметь возможность достучаться до адреса 5.6.7.8 по 80 порту. iptables делает такое одним правилом. Приведите плиз пример конфига pf, который делает то-же самое.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

OpenNews: Руководство по пакетному фильтру pf, opennews, 03-Май-07, 16:37 [смотреть все]

Сообщения об опечатках высланы с помощью Орфус , glyph, 03-Май-07, 16:37 (1) //
- Спасибо Исправления появятся в следующем релизе , Евгений Миньковский, 03-Май-07, 18:24 (6)
Что за бред собачий сам это проверял с помощью hping a - пакетного генератора Пр, zedis, 03-Май-07, 17:31 (2) //
- Это Вы грубо ошиблись, автор совершенно прав Комбинация S SA обозначает что про, eugene, 03-Май-07, 18:10 (4)
- Вот выдержка из man pf conf 5 flags a b 124 b This rule only, Евгений Миньковский, 03-Май-07, 18:22 (5) //
  - драматически изменилось Не надо так писать Не надо засорять русский язык, это, Unknown user, 04-Май-07, 14:34 (41)
Очень хотелось бы в PDF е весь документ увидеть , Alter, 03-Май-07, 17:59 (3) //
- Это отвлечёт меня не менее чем на месяц от написания текста Текст, для меня пре, Евгений Миньковский, 03-Май-07, 18:30 (7) //
  - гм, вы вручную html верстаете docbook не подходит там напрягаться осбо не надо, автор, 03-Май-07, 20:02 (11) //
    - Это вам только кажется, что в dobook так всё просто Надо вбухать в его руссифик, Евгений Миньковский, 03-Май-07, 20:55 (12)
      - русификация занимает от силы 5 мин xml версия docbook а , проверено на собствен, nobody, 04-Май-07, 09:59 (22)
        
        Хорошо, давайте спишемся через мыло Помогите мне и будет всем PDF Моё мыло при, Евгений Миньковский, 04-Май-07, 10:19 (26)
- Есть стандартный формат - HTML Можете преобразовывать его во что угодно , Дмитрий Ю. Карпов, 04-Май-07, 16:00 (43)
орфографическая ошибка на главной -- организовать сертификационный экзамен по, x0r, 03-Май-07, 18:54 (8)
url Sgibnev-CARP-2006 2006 Сгибнев Михаил hping2 http www opennet ru, s_dog, 03-Май-07, 19:33 (9) //
- Спасибо Будет исправлено в следующем релизе , Евгений Миньковский, 03-Май-07, 21:00 (13)
а мне в целом понравилось, хотя чувствуется некоторая незаконченность , Charon, 03-Май-07, 19:37 (10)
не освещены вопросы 1 покраски трафика DSCP IP Precedence 2 пропуска через NA, Дохтур, 03-Май-07, 23:58 (14)
ого вот это труд спасибо, очень кстати, zulin, 04-Май-07, 01:20 (15)
2 Евгений МиньковскийХочу добавить, что непосредственно в самом учебнике основно, Аноним, 04-Май-07, 01:26 (16) //
- Боюсь, что это неизбежно к тому моменту, когда я всё допишу, BSD уже выкинут , Евгений Миньковский, 04-Май-07, 10:14 (25)
Автору Огромное спасибо , Аноним, 04-Май-07, 01:32 (17) //
- да-да, за работу мегареспект, спасибо огромное, vehn, 04-Май-07, 05:30 (18) //
  - Очень полезная работа Надеюсь, что у автора все получится Желаю ему удачи А ещ , dimus, 04-Май-07, 07:51 (19) //
    - Это утверждение касается порядка фильтрации трафика на одном интерфейсе В твоем, northbear, 04-Май-07, 08:40 (20)
      - По этому вопросу есть не плохая иллюстрация http homepage mac com quension pf , GreenX, 04-Май-07, 09:45 (21)
        
        Спасибо за иллюстрацию и за разъяснения Вообще, было бы здорово чтобы этот вопр, dimus, 04-Май-07, 10:00 (23)
      - Интересно, а почему фильтрация пакета происходит в таком порядке Не лучше ли бы, mutronix, 04-Май-07, 10:48 (27)
        
        А какая разница Тогда бы точно так же возникали обратные вопросы Мне например,, northbear, 04-Май-07, 15:56 (42)
    - Было бы странно, если бы это было невозможно ext_if rl0int_if rl1 nat on ext_, Евгений Миньковский, 04-Май-07, 10:07 (24)
Уважаемые господа, я вот сижу на BSD ipfw, на Linux iptables, на Windows I, muhlik, 04-Май-07, 10:57 (28) //
- Лично мне тоже кажется, что такой порядок проверки не самый лучший Однако, если, dimus, 04-Май-07, 11:36 (29)
- Да, вы правы, такой порядок обработки правил снижает производительность брандмау, Евгений Миньковский, 04-Май-07, 11:47 (30) //
  - Да, и ещё все пакеты всё равно сразу направляются в state-table в отличие от i, Евгений Миньковский, 04-Май-07, 11:51 (31) //
    - При объемах среднего офиса оптимизация шибко не требуется А вот когда через роу, dimus, 04-Май-07, 12:04 (33)
      - Которой всей срочно нужно в Интернет через единственную гигабитную кишку, вставл, Andrew Kolchoogin, 04-Май-07, 12:24 (34)
        
        а зачем тогда этот роутер нужен, если есть гигабитная кошка И имхо, на машине, Дохтур, 04-Май-07, 13:32 (37)
        
        Я не про Cisco Кишка -- это, в смысле, гигабитный канал , Andrew Kolchoogin, 04-Май-07, 14:13 (39)
    - генерировать стейты по каждому чиху - имхо, дурной тон И кстати, заботится как , Дохтур, 04-Май-07, 13:22 (35)
  - пересказываю чужое мнение , повидимому за счёт более грамотного проектирования к, Дохтур, 04-Май-07, 13:28 (36) //
    - Угу, ipfw быстрее Я списался с автором теста, узнать, какие он использовал прав, nuclight, 04-Май-07, 21:15 (49)
- Да, мне тоже было по началу тяжеловато после ipfw Но, когда я свел три страницы, northbear, 04-Май-07, 16:16 (45) //
  - Ох уж вы и насоветуете сначала всё разрешить Этож надо Значит так сначала чит, Евгений Миньковский, 05-Май-07, 09:26 (51)
  - Правильный подход - это когда первое правилоblock allа дальше разрешаем что нужн, Осторожный, 07-Май-07, 10:09 (52)
Золотые слова Автору респект А вот про FTP информация неполная Не хочу вмешива, Andrew Kolchoogin, 04-Май-07, 12:02 (32)
Возможно ли при помощи PF nat-ить на внутреннем интерфейсе, на котором установ, proks, 04-Май-07, 13:55 (38) //
- Насколько я понимаю, нет Можно использовать LoopBack, на манер Cisco вских марш, Andrew Kolchoogin, 04-Май-07, 14:15 (40)
- А нельзя ли поподробней Что такое маршрутизируемый ip , northbear, 04-Май-07, 16:04 (44) //
  - Видимо, не перечисленный в RFC1918 , Andrew Kolchoogin, 04-Май-07, 17:22 (46) //
    - Имел ввиду приватные3 Private Address Space The Internet Assigned Numbers Aut, proks, 04-Май-07, 17:53 (47)
    - Именно так, proks, 04-Май-07, 17:56 (48)
      - В таком случае, можно Не вижу в чем тут может быть сложность , northbear, 04-Май-07, 21:16 (50)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру