The OpenNET Project: Порядок прохождения пакетов в пакетных фильтрах FreeBSD

Порядок прохождения пакетов в пакетных фильтрах FreeBSD	[исправить]
Порядок прохождения пакетов при одновременном использовании ipfilter, pf и ipfw: При загрузке фильтров модулями, порядок будет определяться порядком загрузки модулей. Причина здесь в том, что пакетные фильтры регистрируют себя в pfil(9). При включении всех фильтров в ядро порядок будет определять SYSINIT. Чтобы определить порядок, нужно открыть файл sys/kernel.h. В нём определён порядок инициализации определённых подсистем. Теперь, простейшее: # grep DECLARE_MODULE netinet/ip_fw_pfil.c DECLARE_MODULE(ipfw, ipfwmod, SI_SUB_PROTO_IFATTACHDOMAIN, SI_ORDER_ANY); # grep DECLARE_MODULE contrib/pf/net/pf_ioctl.c DECLARE_MODULE(pf, pf_mod, SI_SUB_PROTO_IFATTACHDOMAIN, SI_ORDER_FIRST); # grep DECLARE_MODULE contrib/ipfilter/netinet/mlfk_ipl.c DECLARE_MODULE(ipfilter, ipfiltermod, SI_SUB_PROTO_DOMAIN, SI_ORDER_ANY); От сюда следует: первым будет ipfilter, затем pf, затем ipfw.

06.07.2007, Автор: butcher , Источник: http://www.opennet.ru/openforum/vsl... Ключи: ipfw, firwall, pf, freebsd, (найти похожие документы)
Раздел: Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетный фильтр в FreeBSD: ipfw, IP-Filter

Обсуждение

[ Ajax режим | Смотреть все | RSS ]

Порядок прохождения пакетов в пакетных ф, SunTech, 16:14, 07/07/2007 [ответить] (1)

+/–

вот неудобно, однако, хочется чтоб порядок прохождения на вход и на выход были обратными, т.е.:

на вход: ipfilter, pf, ipfw
на выход: ipfw, pf, ipfilter

Тогда получается довольно удобно для тех, кто использует два пакетных фильтра (например я): фильтровать в ipfw, а натить в pfnat. В данном случае появится возможность дополнительно неотначеные пакеты фильтровать на внешнем интерфейсе посредством ipfw.

Так и есть на самом деле Регистрация хуков от пакетных..., butcher, 12:54, 23/07/2007 [ответить] (3)	+/–
текст скрыт [посмотреть] [смотреть все]

Это неудобство объясняется очень просто нет у фри норм..., www2, 17:38, 12/10/2007 [ответить] (4)	+/–
текст скрыт [посмотреть] [смотреть все]

И с которым граблей ..., Аноним, 14:38, 25/05/2008 [ответить] (5)	+/–
текст скрыт [посмотреть] [смотреть все]

Нисколько Со времени, прошедшего с того коммента, успе..., www2, 15:47, 25/05/2008 [ответить] (6)	+/–
текст скрыт [посмотреть] [смотреть все]

Ну так остановитесь на каком-нибудь одном и его пользуй..., ASh, 00:34, 26/05/2008 [ответить] (7)	+/–
текст скрыт [посмотреть] [смотреть все]

Я остановился на iptables - ..., www2, 06:57, 26/05/2008 [ответить] (8)	+/–
текст скрыт [посмотреть] [смотреть все]

Птичий синтаксис нагляднее Не поверю Новичка ipfw мож..., nuclight, 21:24, 27/05/2008 [ответить] (9)	+/–
текст скрыт [посмотреть] [смотреть все]

Новичка iptables можно научить за то-же время и на тако..., www2, 17:21, 28/05/2008 [ответить] (10)	+/–
текст скрыт [посмотреть] [смотреть все]

Ещё могу добавить что из Linux ов я не считаю технологи..., www2, 17:47, 28/05/2008 [ответить] (11)	+/–
текст скрыт [посмотреть] [смотреть все]

Разумеется, о владении в совершенстве никто не говорил ..., nuclight, 19:55, 28/05/2008 [ответить] (12)	+/–
текст скрыт [посмотреть] [смотреть все]

Эта уникальная заметка вышла слишком поздно для меня 2..., www2, 21:36, 28/05/2008 [ответить] (13)	+/–
текст скрыт [посмотреть] [смотреть все]

Вы делаете некорректное сравнение Во первых, схема про..., nuclight, 23:30, 07/06/2008 [ответить] (14)	+/–
текст скрыт [посмотреть] [смотреть все]

Но при этом вся таблица правил свалена в кучу и будет п..., www2, 21:43, 08/06/2008 [ответить] (15)	+/–
текст скрыт [посмотреть] [смотреть все]

Оффтопик Ещё раз обозначу почему я так люблю употребля..., www2, 22:15, 08/06/2008 [ответить] (16)	+/–
текст скрыт [посмотреть] [смотреть все]

Это все мишура То, что кому-то там легче сложнее читат..., Avgoor, 18:44, 24/06/2008 [ответить] (17)	+/–
текст скрыт [посмотреть] [смотреть все]

Ну да, я вот о Вас забочусь, хочу чтобы Вам не досталис..., www2, 07:38, 25/06/2008 [ответить] (18)	+/–
текст скрыт [посмотреть] [смотреть все]

в линухе фаервол не такой уж мощный - ему очень нехвата..., redixin, 01:44, 24/09/2008 [ответить] (19)	+/–
текст скрыт [посмотреть] [смотреть все]

Название iptables ни о чём не говорит Нечего не зеркал..., www2, 07:54, 24/09/2008 [ответить] (20)	+/–
текст скрыт [посмотреть] [смотреть все]

вот именно что название, название новое а внутри все те..., redixin, 16:15, 25/09/2008 [ответить] (21)	+/–
текст скрыт [посмотреть] [смотреть все]

Погуглил, нашёл вот такой интересный тест http bulk ..., www2, 10:43, 28/09/2008 [ответить] (22)	+/–
текст скрыт [посмотреть] [смотреть все]

говорит 404 ipset это и есть тот самый левый патч кот..., redixin, 13:34, 24/10/2008 [ответить] (23)	+/–
текст скрыт [посмотреть] [смотреть все]

Это уже давно не патч, модуль ipset у меня наличествует..., www2, 15:09, 24/10/2008 [ответить] (24)	+/–
текст скрыт [посмотреть] [смотреть все]

http w3dev org ua debian-guaranteed-entropy jpg ок кт..., redixin, 23:33, 16/04/2009 [ответить] (25)	+/–
текст скрыт [посмотреть] [смотреть все]

Уступает в чём Пассивные соединения работают отменно ..., www2, 08:12, 17/04/2009 [ответить] (26)	+/–
текст скрыт [посмотреть] [смотреть все]

в ipfw есть tablearg очень очень приятная вещь в ipfw..., redixin, 10:52, 17/04/2009 [ответить] (27)	+/–
текст скрыт [посмотреть] [смотреть все]

ipset Про imq первый раз слышу Не пробовали tc Не кос..., www2, 14:32, 17/04/2009 [ответить] (28)	+/–
текст скрыт [посмотреть] [смотреть все]

в ipset нет tableargs, погуглите tc привязывается к инт..., redixin, 15:14, 17/04/2009 [ответить] (29)	+/–
текст скрыт [посмотреть] [смотреть все]

Погуглил Отвечу Вашими словами Фраза в духе названных..., www2, 15:52, 17/04/2009 [ответить] (30)	+/–
текст скрыт [посмотреть] [смотреть все]

я гдето выше говорил о шейперах вообщето FreeBSD работа..., redixin, 16:00, 17/04/2009 [ответить] (31)	+/–
текст скрыт [посмотреть] [смотреть все]

Порядок прохождения пакетов в пакетных ф, viper, 09:20, 09/07/2007 [ответить] (2)	+/–
По опыту использованию на выходе ipfw ipfilter.

Ваш комментарий

Добавить заметку

Версия для печати

Последние заметки

- 17.03 Упрощение тестирования экспериментальных версий Ubuntu при помощи TestDrive

- 16.03 Создание масштабируемого хранилища с использованием WD MyBook NAS + FreeBSD + ZFS

- 15.03 Наблюдение за трафиком на удаленном хосте через GUI-интерфейс Wireshark

- 12.03 Организация приема SNMP trap’ов и их отправки на коммутаторах DLink

- 11.03 Создание шаблонов блоков конфигурации samba при помощи опции "copy"

- 10.03 Включение и настройка LLDP на коммутаторах Linksys / Cisco серий SPS и SRW средствами SNMP

- 09.03 Использование протокола CDP (Cisco Discovery Protocol) в Linux

- 08.03 Решение проблемы с индексацией данных в связке Samba и LDAP

- 04.03 Превращение Cisco Catalyst 6500 в кабельный тестер

- 03.03 Решение проблемы с uTP-протоколом uTorrent

RSS | Следующие 15 записей >>

Подпишись на Linux Format и получи один из 3 ценных призов!

Началась подписка на журнал Linux Format на 2010 год. Спешите оформить подписку на единственный в России ежемесячный журнал о Linux!

Все, оформившие подписку на печатную версию журнала, получают диск с архивом журнала Linux Format за 2005-2009г. в подарок. Также в подарок вы получаете именную электронную версию в формате PDF. Теперь вы можете приступить к чтению журнала сразу в момент выхода свежего номера, не дожидаясь, пока вам доставят бумажную версию.

Кроме того, все, оформившие подписку на первую половину или весь 2010 год в интернет-магазине ГНУ/Линуксцентра, автоматически становятся участниками розыгрыша ценных призов: Ноутбук DELL VOSTRO A860

Закладки на сайте
Проследить за страницей

Created 1996-2010 by Maxim Chirkov
Добавить, Реклама, Вебмастеру, ГИД