The OpenNET Project
 
Поиск (ключи):    ПРОГРАММЫ СТАТЬИ СОВЕТЫ ФОРУМ
  WIKI НОВОСТИ (+) MAN'ы ДОКУМЕНТАЦИЯ

Порядок прохождения пакетов в пакетных фильтрах FreeBSD 
Порядок прохождения пакетов при одновременном использовании  ipfilter, pf и ipfw:
При загрузке фильтров модулями, порядок будет определяться порядком загрузки модулей. 
Причина здесь в том, что пакетные фильтры регистрируют себя в pfil(9).

При включении всех фильтров в ядро порядок будет определять SYSINIT.
Чтобы определить порядок, нужно открыть файл sys/kernel.h. 
В нём определён порядок инициализации определённых подсистем. Теперь, простейшее:

# grep DECLARE_MODULE netinet/ip_fw_pfil.c
DECLARE_MODULE(ipfw, ipfwmod, SI_SUB_PROTO_IFATTACHDOMAIN, SI_ORDER_ANY);
# grep DECLARE_MODULE contrib/pf/net/pf_ioctl.c
DECLARE_MODULE(pf, pf_mod, SI_SUB_PROTO_IFATTACHDOMAIN, SI_ORDER_FIRST);
# grep DECLARE_MODULE contrib/ipfilter/netinet/mlfk_ipl.c
DECLARE_MODULE(ipfilter, ipfiltermod, SI_SUB_PROTO_DOMAIN, SI_ORDER_ANY);

От сюда следует: первым будет ipfilter, затем pf, затем ipfw.
 
06.07.2007 , Автор: butcher , Источник: http://www.opennet.ru/openforum/vsl...
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетный фильтр в FreeBSD: ipfw, IP-Filter

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, SunTech, 16:14, 07/07/2007 [ответить] [смотреть все]
    		• +/
    вот неудобно, однако, хочется чтоб порядок прохождения на вход и на выход были обратными, т.е.:

    на вход: ipfilter, pf, ipfw
    на выход: ipfw, pf, ipfilter

    Тогда получается довольно удобно для тех, кто использует два пакетных фильтра (например я): фильтровать в ipfw, а натить в pfnat. В данном случае появится возможность дополнительно неотначеные пакеты фильтровать на внешнем интерфейсе посредством ipfw.

     
     
  • 2.3, butcher, 12:54, 23/07/2007 [^] [ответить] [смотреть все] [показать ветку]
    		• +/
    Так и есть на самом деле Регистрация хуков от пакетных фильтров происходит след... весь текст скрыт [показать] [показать ветку]
     
  • 2.4, www2, 17:38, 12/10/2007 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    Это неудобство объясняется очень просто нет у фри нормального файрвола и нормал... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.5, Аноним, 14:38, 25/05/2008 [^] [ответить] [смотреть все]  
    		• +/
    И с которым граблей ... весь текст скрыт [показать]
     
     
  • 4.6, www2, 15:47, 25/05/2008 [^] [ответить] [смотреть все]  
    		• +/
    Нисколько Со времени, прошедшего с того коммента, успел на практике настроить н... весь текст скрыт [показать]
     
     
  • 5.7, ASh, 00:34, 26/05/2008 [^] [ответить] [смотреть все]  
    		• +/
    Ну так остановитесь на каком-нибудь одном и его пользуйте Одного PF недостат... весь текст скрыт [показать]
     
     
  • 6.8, www2, 06:57, 26/05/2008 [^] [ответить] [смотреть все]  
    		• +/
    Я остановился на iptables - ... весь текст скрыт [показать]
     
  • 5.9, nuclight, 21:24, 27/05/2008 [^] [ответить] [смотреть все]  
    		• +/
    Птичий синтаксис нагляднее Не поверю Новичка ipfw можно научить за час-полтора... весь текст скрыт [показать]
     
     
  • 6.10, www2, 17:21, 28/05/2008 [^] [ответить] [смотреть все]  
    		• +/
    Новичка iptables можно научить за то-же время и на таком-же уровне При этом я н... весь текст скрыт [показать]
     
     
  • 7.11, www2, 17:47, 28/05/2008 [^] [ответить] [смотреть все]  
    		• +/
    Ещё могу добавить что из Linux ов я не считаю технологичными 1 Slackware - отс... весь текст скрыт [показать]
     
  • 7.12, nuclight, 19:55, 28/05/2008 [^] [ответить] [смотреть все]  
    		• +/
    Разумеется, о владении в совершенстве никто не говорил Да без проблем Простите... весь текст скрыт [показать]
     
     
  • 8.13, www2, 21:36, 28/05/2008 [^] [ответить] [смотреть все]  
    		• +/
    Эта уникальная заметка вышла слишком поздно для меня 20 мая 2008 - чуть больше ... весь текст скрыт [показать]
     
     
  • 9.14, nuclight, 23:30, 07/06/2008 [^] [ответить] [смотреть все]  
    		• +/
    Вы делаете некорректное сравнение Во первых, схема прохождения пакетов через ip... весь текст скрыт [показать]
     
     
  • 10.15, www2, 21:43, 08/06/2008 [^] [ответить] [смотреть все]  
    		• +/
    Но при этом вся таблица правил свалена в кучу и будет просматриваться для проход... весь текст скрыт [показать]
     
     
  • 11.16, www2, 22:15, 08/06/2008 [^] [ответить] [смотреть все]  
    		• +/
    Оффтопик Ещё раз обозначу почему я так люблю употреблять слово технологичность... весь текст скрыт [показать]
     
     
  • 12.17, Avgoor, 18:44, 24/06/2008 [^] [ответить] [смотреть все]  
    		• +/
    Это все мишура То, что кому-то там легче сложнее читать - лишь его проблемы На... весь текст скрыт [показать]
     
     
  • 13.18, www2, 07:38, 25/06/2008 [^] [ответить] [смотреть все]  
    		• +/
    Ну да, я вот о Вас забочусь, хочу чтобы Вам не достались такие же через заднее м... весь текст скрыт [показать]
     
  • 3.19, redixin, 01:44, 24/09/2008 [^] [ответить] [смотреть все]  
    		• +/
    в линухе фаервол не такой уж мощный - ему очень нехватает таблиц с 1000 правил ... весь текст скрыт [показать]
     
     
  • 4.20, www2, 07:54, 24/09/2008 [^] [ответить] [смотреть все]  
    		• +/
    Название iptables ни о чём не говорит Нечего не зеркало пенять коли рожа то ес... весь текст скрыт [показать]
     
     
  • 5.21, redixin, 16:15, 25/09/2008 [^] [ответить] [смотреть все]  
    		• +/
    вот именно что название, название новое а внутри все теже ipchains Не знаете ... весь текст скрыт [показать]
     
     
  • 6.22, www2, 10:43, 28/09/2008 [^] [ответить] [смотреть все]  
    		• +/
    Погуглил, нашёл вот такой интересный тест http bulk fefe de scalability Прав... весь текст скрыт [показать]
     
     
  • 7.23, redixin, 13:34, 24/10/2008 [^] [ответить] [смотреть все]  
    		• +/
    говорит 404 ipset это и есть тот самый левый патч который страшно ставить в пр... весь текст скрыт [показать]
     
     
  • 8.24, www2, 15:09, 24/10/2008 [^] [ответить] [смотреть все]  
    		• +/
    Это уже давно не патч, модуль ipset у меня наличествует в дистрибутиве Debian Et... весь текст скрыт [показать]
     
     
  • 9.25, redixin, 23:33, 16/04/2009 [^] [ответить] [смотреть все]  
    		• +/
    http w3dev org ua debian-guaranteed-entropy jpg ок кто повторял я разок сказа... весь текст скрыт [показать]
     
     
  • 10.26, www2, 08:12, 17/04/2009 [^] [ответить] [смотреть все]  
    		• +/
    Уступает в чём Пассивные соединения работают отменно это когда клиент сам уста... весь текст скрыт [показать]
     
     
  • 11.27, redixin, 10:52, 17/04/2009 [^] [ответить] [смотреть все]  
    		• +/
    в ipfw есть tablearg очень очень приятная вещь в ipfw есть простые шустрые шей... весь текст скрыт [показать]
     
     
  • 12.28, www2, 14:32, 17/04/2009 [^] [ответить] [смотреть все]  
    		• +/
    ipset Про imq первый раз слышу Не пробовали tc Не костыль, а штатная очень гиб... весь текст скрыт [показать]
     
     
  • 13.29, redixin, 15:14, 17/04/2009 [^] [ответить] [смотреть все]  
    		• +/
    в ipset нет tableargs, погуглите tc привязывается к интерфейсу, а если у меня ку... весь текст скрыт [показать]
     
     
  • 14.30, www2, 15:52, 17/04/2009 [^] [ответить] [смотреть все]  
    		• +/
    Погуглил Отвечу Вашими словами Фраза в духе названных мной фряшников-фанатиков... весь текст скрыт [показать]
     
     
  • 15.31, redixin, 16:00, 17/04/2009 [^] [ответить] [смотреть все]  
    		• +/
    я гдето выше говорил о шейперах вообщето FreeBSD работает на ARM - пара минут ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (29)

  • 1.2, viper, 09:20, 09/07/2007 [ответить] [смотреть все]  
    		• +/
    По опыту использованию
    на выходе ipfw ipfilter.
     
  • 1.32, unknownDaemon, 22:55, 11/06/2010 [ответить] [смотреть все]  
    		• +/
    > iptables попросту заставляет разбить огромный
    > фаервол на цепочки, каждую из которых можно
    > анализировать отдельно!

    а меня втыкает pf, который умеет и натить аж 2-мя способами у каждого по 2-ва мода, включая нат проксирование и бинат, меня втыкает теггирование пакетов и возможность рулить пакетами на основе политик  и прочее и прочее... молчу уже о том, что они iptables имеют одни корни(тем кто не знает -  разошлись из-за лицензии)... и вот когда мне чего-то не хватает в pf -  я решаю вопросы на ipfw... такие например как фильтрация на L2 уровне...

     
  • 1.33, skeletor, 22:06, 18/10/2010 [ответить] [смотреть все]  
    		• +/
    Получается, что если пакет прошёл один файервол, он не проходит остальные. Так?
     
     
  • 2.34, www2, 09:23, 19/10/2010 [^] [ответить] [смотреть все] [показать ветку]  
    		• +/
    > Получается, что если пакет прошёл один файервол, он не проходит остальные. Так?

    Нет, пакет должен получить одобрение от всех фаерволлов. Если пакет прошёл через один фаерволл, то другие могут его заблокировать, а могут и нет.

     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:
     Добавить заметку
     Версия для печати
     
     Поиск заметки:
     

    Последние заметки
    - 12.05 Организация шифрованного бэкапа с помощью rdiff-backup, encfs и Dropbox
    - 11.05 Настройка беспроводного соединения в Debian GNU/Linux
    - 07.05 Использование Google Drive в Linux
    - 18.04 Использование нескольких сетевых стеков в Linux
    - 15.04 Восстановление стандартного KDE меню после его удаления (например, wine)
    - 11.04 Настройка gmirror при использовании GPT во FreeBSD 9
    - 09.04 Маршрутизатор на базе FreeBSD с приоритизация трафика средствами PF и ALTQ
    - 02.04 Частичное восстановление данных MySQL из бэкапа, созданного с использованием LVM
    - 21.03 Настройка DNSSEC в BIND 9.9
    - 17.03 Набор номера на Cisco IP Phone 7960/7940 из скрипта
    RSS | Следующие 15 записей >>


    ПОДПИШИСЬ НА ЖУРНАЛ Linux Format 2012!

    Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи.

    Каждый, кто оформит подписку, получает бонусы и подарки- объёмные наклейки на системный блок, диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате.

    Оформить подписку на год


      Закладки на сайте
      Проследить за страницей     		Created 1996-2012 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList