https://www.opennet.ru/openforum/vsluhforumID3/56111.html Луиджи Риццо (Luigi Rizzo) сообщил (http://lists.freebsd.org/pipermail/freebsd-ipfw/2009-June/003916.html) в списке рассылки freebsd-ipfw о том, что им совместно с Мартой Карбоне (Marta Carbone) было выполнено портирование пакетного фильтра ipfw и системы для ограничения пропускной способности dummynet на платформу Linux. Для загрузки доступны (http://info.iet.unipi.it/~luigi/dummynet/) как исходные тексты, так и готовые модули для Linux ядра 2.6.28, Ubuntu 9.04 и дистрибутива OpenWRT (для Broadcom BCM947xx/953xx ASUS WL-500g Premium).<br><br><br>Марта Карбоне - участница программы Google SoC 2009 работающая (http://socghop.appspot.com/student_project/show/google/gsoc2009/freebsd/t124022319291) под руководством Luigi Rizzo над улучшениями в ipfw и dummynet. <br><br><br>URL: http://lists.freebsd.org/pipermail/freebsd-ipfw/2009-June/003916.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=22266<br> https://www.opennet.ru/openforum/vsluhforumID3/56111.html#262 Sun, 24 Oct 2010 19:24:00 GMT &gt;&gt;tc хоть и умеет разные дисциплины обслуживания у шейпера - но работает только для исходящего<br>&gt;&gt;трафика (не надо мне рассказывать о ingress фильтрах - которые делаются через задний проход).<br>&gt; Уважаемый _umka_, мне кажется вы че то напутали, шейпинг имеет смысл только<br>&gt; на исходящем трафике и безразници где это в фряшном dummynet или<br>&gt; линуксовый iproute.<br>&gt; Да да именно для вас tc входит в состав пакета iproute.<br><br>Если машина - только роутер, и всё - то да.<br>Но ipfw может защищать и регулировать саму машину.<br><br>Например, на ваш сервер нападают DDOS-атакой TCP-SYN на 22й порт. Машина в трауре, и Вы даже ничего не можете с эти сделать, т.к. Ваши попытки попасть на 22й порт пропадают в туче аналогичных.<br><br>шейпинг входящего дает нам решение:<br><br>ipfw pipe 99 config delay 1000 queue 1 mask src-ip 0xFFFFFFFF buckets 1024<br>ipfw add 100 pipe 99 tcp from any to me 22 setup <br><br>В результате до обработки доберется не более 1 TCP-SYN пакета от каждого атакующего в секунду, и чтобы завалить ваш сервер понадобится не https://www.opennet.ru/openforum/vsluhforumID3/56111.html#261 Sat, 04 Jul 2009 04:57:58 GMT Вопрос к знатокам ipfw. Можно ли в нем реализовать нечто подобное?<br><br>$IPTABLES -A INPUT -p TCP --dport 22 -m state --state NEW -m recent --name SSHR --set<br>$IPTABLES -A INPUT -p TCP --dport 22 -m state --state NEW -m recent --name SSHR --update --seconds 60 --hitcount 4 -j DROP<br>$IPTABLES -A INPUT -p TCP --dport 22 -m state --state NEW -j ACCEPT<br><br>p.s. Вопрос не флэйма ради, а чисто из практической необходимости использовать аналогичную штуку под фрей.<br> https://www.opennet.ru/openforum/vsluhforumID3/56111.html#260 Tue, 30 Jun 2009 08:48:07 GMT &gt;http://www.rootconf.ru/papers2009/12352.html <br>&gt;Интересная инфа по ipfw <br>&gt;Думаю ng пока непортирован под linux так что линуксоидам остается ждать ... <br><br>Чего ждать-то? Каких-то абстрактных вкусностей?<br><br>Линуксоиды решают конкретные практические задачи. В том числе с помощью Xen (полноценной поддержки которого во FreeBSD нет), OpenVZ (аналога которому во FreeBSD вообще нет). Наслаждаются полноценной работой системы на архитектурах MIPS и ARM, гоняют без геморроя Oracle, пользуются полноценными системами пакетного менеджмента, которые позволяют не пересобирать программу на каждый чих.<br><br>А вы о каком-то NetGraph и ipfw, который NAT на уровне ядра только-только научился (и до сих пор не позволяет несколько PPTP-подключений из-за NAT'а).<br> https://www.opennet.ru/openforum/vsluhforumID3/56111.html#259 Tue, 30 Jun 2009 06:09:35 GMT http://www.rootconf.ru/papers2009/12352.html<br>Интересная инфа по ipfw<br>Думаю ng пока непортирован под linux так что линуксоидам остается ждать ...<br> https://www.opennet.ru/openforum/vsluhforumID3/56111.html#257 Sat, 27 Jun 2009 13:25:09 GMT &gt;Т.е. предполагается что для майнтайнера включить мозг при пересборке пакета и провести <br>&gt;минимальное изучение ченжлога и т.п. - непосильная задача, а уж тесты <br>&gt;и вовсе придумал трус?Или WTF?<br><br>Предполагается что пользователи Debian должны быть на 100% уверены, что изменения в дистрибутиве не зависят от желания левой пятки мэнтейнера. Оттестировать на всех возможных конфигурациях пакет невозможно. Для тестирования есть ветка с таким же названием - testing.<br><br>&gt;Да, я так смотрю - кормят какой-то полутухлой фигней.<br><br>Не ешь, тебе в рот это не суют.<br><br>&gt;&gt;Вам на CentOS (http://wiki.centos.org/Manuals/ReleaseNotes/CentOS5.3/Russian#head-<br>&gt;&gt;2f3c83399b8430f0b35eb6405c6447352259ec7d).<br>&gt;<br>&gt;Это у которого вообще софта с гулькин нос?Я его пробовал.<br><br>Суть в том, что там в стабильной ветке версии программ иногда меняются, в отличие от Debian. И срок поддержки значительно дольше.<br><br>&gt;&gt;Или организуйте свой Debian, с блэк-джеком и шлюхами.<br>&gt;Погодите, что-то я такое припоминаю.А разве не так появилась Убунту?<br><br>Х.з. мн https://www.opennet.ru/openforum/vsluhforumID3/56111.html#256 Fri, 26 Jun 2009 23:58:39 GMT 1. Под Windows есть<br>2. но только для до Windows XP включительно:<br> на Vista не работает<br><br>хуже того: похоже и не будет его под вистой: Microsoft поменяла ядро, и сняла все те механизмы.<br> https://www.opennet.ru/openforum/vsluhforumID3/56111.html#255 Fri, 26 Jun 2009 13:55:26 GMT &gt;Если _обычно_ - это уже не подходит. <br><br>Т.е. предполагается что для майнтайнера включить мозг при пересборке пакета и провести минимальное изучение ченжлога и т.п. - непосильная задача, а уж тесты и вовсе придумал трус?Или WTF?<br><br>&gt;гадливое чувство, поэтому буду обращаться на ты.) <br><br>А мне пофиг :P.Более того - в фидохе например обращение на "вы" вообще считалось формой наезда.В итоге очень трудно понять - что же по факту следует считать наездом.Иногда например подчеркнутая вежливость - это не супер-культура а наезд.Такие вот чудеса общения :)<br><br>&gt;Если такой умный, может перестанешь на время флудить и пойдёшь сделаешь бэкпорт? <br><br>Это я так понимаю предложение в стиле "если гора не идет к Магомеду"?Ну ладно, тогда см.ниже вопрос про репы :)<br><br>&gt;Всё свободное ПО держится на тихих и скромных людях, которые просто <br>&gt;делают своё дело, а не на таких крикунах-потребителях как ты. Только <br>&gt;такие как ты могут плеваться в кормящую их руку. <br><br>Да, я так смотрю - кормят какой-то полутухлой фигней.А за попытку посовето https://www.opennet.ru/openforum/vsluhforumID3/56111.html#254 Fri, 26 Jun 2009 04:15:31 GMT &gt;Да я и своих проблем честно говоря в дебиане вижу.Думаете, у них <br>&gt;только с нжинксом кривизна?Например если взять lighttpd 1.4.х который стабильный и <br>&gt;формат конфига обычно не ломается<br><br>Если _обычно_ - это уже не подходит.<br><br>&gt;&gt;Если выбрали недоделку (nginx), то уж тогда будьте добры, ловите ваши шишки <br>&gt;&gt;по полной программе и не говорите, что в этом виноват кто-то <br>&gt;&gt;кроме вас. <br>&gt;<br>&gt;Эээ ну если они недоделку засунули в реп и что-то такое втирают <br>&gt;про стабильность - пусть тогда бэкпортят фиксы крэшей, раз такие умные?<br><br>(На брудершафт не пили, но Вы вызываете у меня своими криками очень гадливое чувство, поэтому буду обращаться на ты.)<br><br>Если такой умный, может перестанешь на время флудить и пойдёшь сделаешь бэкпорт? Всё свободное ПО держится на тихих и скромных людях, которые просто делают своё дело, а не на таких крикунах-потребителях как ты. Только такие как ты могут плеваться в кормящую их руку.<br><br>&gt;Зачем <br>&gt;же пичкать нестабильной недоделкой с багами и втирать про стабильность?Это попахивает https://www.opennet.ru/openforum/vsluhforumID3/56111.html#253 Fri, 26 Jun 2009 00:08:43 GMT &gt;если вы намекаете на то что без запроса нет и ответа, <br>&gt;то могу привести несколько примеров, начиная с впн клиентов, кончая почтовиком.<br><br>Это вы о чем, мы с вами говорим совершенно о разных вещах, не поленитесь перечетайте еще раз топик. <br><br>&gt;Да и в ТСП не предусмотрено <br>&gt;"сам выравняет" , посему и рекомендую, лучшую на мой взгляд, книгу <br><br>Я бы вам посоветовал перечитать рекоминдованную вами книгу еще раз да повнимательней.<br><br>Вы меня конечно извените за прямоту, но я просил афторитетный источник коим вы не являетесь.<br>