forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

OpenNews: Руководство по пакетному фильтру pf, opennews (?), 03-Май-07, (0) [смотреть все]

Сообщения об опечатках высланы с помощью Орфус , glyph (?), 16:37 , 03-Май-07, (1) //

Спасибо Исправления появятся в следующем релизе , Евгений Миньковский (?), 18:24 , 03-Май-07, (6)

Что за бред собачий сам это проверял с помощью hping a - пакетного генератора Пр, zedis (?), 17:31 , 03-Май-07, (2) //

Это Вы грубо ошиблись, автор совершенно прав Комбинация S SA обозначает что про, eugene (??), 18:10 , 03-Май-07, (4)
Вот выдержка из man pf conf 5 flags a b 124 b This rule only, Евгений Миньковский (?), 18:22 , 03-Май-07, (5) //

драматически изменилось Не надо так писать Не надо засорять русский язык, это, Unknown user (?), 14:34 , 04-Май-07, (41)

Очень хотелось бы в PDF е весь документ увидеть , Alter (??), 17:59 , 03-Май-07, (3) //

Это отвлечёт меня не менее чем на месяц от написания текста Текст, для меня пре, Евгений Миньковский (?), 18:30 , 03-Май-07, (7) //

гм, вы вручную html верстаете docbook не подходит там напрягаться осбо не надо, автор (?), 20:02 , 03-Май-07, (11) //

Это вам только кажется, что в dobook так всё просто Надо вбухать в его руссифик, Евгений Миньковский (?), 20:55 , 03-Май-07, (12)

русификация занимает от силы 5 мин xml версия docbook а , проверено на собствен, nobody (??), 09:59 , 04-Май-07, (22)

Хорошо, давайте спишемся через мыло Помогите мне и будет всем PDF Моё мыло при, Евгений Миньковский (?), 10:19 , 04-Май-07, (26)

Есть стандартный формат - HTML Можете преобразовывать его во что угодно , Дмитрий Ю. Карпов (?), 16:00 , 04-Май-07, (43)

орфографическая ошибка на главной -- организовать сертификационный экзамен по, x0r (?), 18:54 , 03-Май-07, (8)
url Sgibnev-CARP-2006 2006 Сгибнев Михаил hping2 http www opennet ru, s_dog (??), 19:33 , 03-Май-07, (9) //

Спасибо Будет исправлено в следующем релизе , Евгений Миньковский (?), 21:00 , 03-Май-07, (13)

а мне в целом понравилось, хотя чувствуется некоторая незаконченность , Charon (??), 19:37 , 03-Май-07, (10)
не освещены вопросы 1 покраски трафика DSCP IP Precedence 2 пропуска через NA, Дохтур (?), 23:58 , 03-Май-07, (14)
ого вот это труд спасибо, очень кстати, zulin (??), 01:20 , 04-Май-07, (15)
2 Евгений МиньковскийХочу добавить, что непосредственно в самом учебнике основно, Аноним (-), 01:26 , 04-Май-07, (16) //

Боюсь, что это неизбежно к тому моменту, когда я всё допишу, BSD уже выкинут , Евгений Миньковский (?), 10:14 , 04-Май-07, (25)

Автору Огромное спасибо , Аноним (-), 01:32 , 04-Май-07, (17) //

да-да, за работу мегареспект, спасибо огромное, vehn (?), 05:30 , 04-Май-07, (18) //

Очень полезная работа Надеюсь, что у автора все получится Желаю ему удачи А ещ, dimus (??), 07:51 , 04-Май-07, (19) //

Это утверждение касается порядка фильтрации трафика на одном интерфейсе В твоем, northbear (??), 08:40 , 04-Май-07, (20)

По этому вопросу есть не плохая иллюстрация http homepage mac com quension pf , GreenX (??), 09:45 , 04-Май-07, (21)

Спасибо за иллюстрацию и за разъяснения Вообще, было бы здорово чтобы этот вопр, dimus (??), 10:00 , 04-Май-07, (23)

Интересно, а почему фильтрация пакета происходит в таком порядке Не лучше ли бы, mutronix (?), 10:48 , 04-Май-07, (27)

А какая разница Тогда бы точно так же возникали обратные вопросы Мне например,, northbear (??), 15:56 , 04-Май-07, (42)

Было бы странно, если бы это было невозможно ext_if rl0int_if rl1 nat on ext_, Евгений Миньковский (?), 10:07 , 04-Май-07, (24)

Уважаемые господа, я вот сижу на BSD ipfw, на Linux iptables, на Windows I, muhlik (??), 10:57 , 04-Май-07, (28) //

Лично мне тоже кажется, что такой порядок проверки не самый лучший Однако, если, dimus (??), 11:36 , 04-Май-07, (29)
Да, вы правы, такой порядок обработки правил снижает производительность брандмау, Евгений Миньковский (?), 11:47 , 04-Май-07, (30) //

Да, и ещё все пакеты всё равно сразу направляются в state-table в отличие от i, Евгений Миньковский (?), 11:51 , 04-Май-07, (31) //

При объемах среднего офиса оптимизация шибко не требуется А вот когда через роу, dimus (??), 12:04 , 04-Май-07, (33)

Которой всей срочно нужно в Интернет через единственную гигабитную кишку, вставл, Andrew Kolchoogin (?), 12:24 , 04-Май-07, (34)

а зачем тогда этот роутер нужен, если есть гигабитная кошка И имхо, на машине, Дохтур (?), 13:32 , 04-Май-07, (37)

Я не про Cisco Кишка -- это, в смысле, гигабитный канал , Andrew Kolchoogin (?), 14:13 , 04-Май-07, (39)

генерировать стейты по каждому чиху - имхо, дурной тон И кстати, заботится как , Дохтур (?), 13:22 , 04-Май-07, (35)

пересказываю чужое мнение , повидимому за счёт более грамотного проектирования к, Дохтур (?), 13:28 , 04-Май-07, (36) //

Угу, ipfw быстрее Я списался с автором теста, узнать, какие он использовал прав, nuclight (?), 21:15 , 04-Май-07, (49)

Да, мне тоже было по началу тяжеловато после ipfw Но, когда я свел три страницы, northbear (??), 16:16 , 04-Май-07, (45) //

Ох уж вы и насоветуете сначала всё разрешить Этож надо Значит так сначала чит, Евгений Миньковский (?), 09:26 , 05-Май-07, (51)
Правильный подход - это когда первое правилоblock allа дальше разрешаем что нужн, Осторожный (?), 10:09 , 07-Май-07, (52)

Золотые слова Автору респект А вот про FTP информация неполная Не хочу вмешива, Andrew Kolchoogin (?), 12:02 , 04-Май-07, (32)
Возможно ли при помощи PF nat-ить на внутреннем интерфейсе, на котором установ, proks (?), 13:55 , 04-Май-07, (38) //

Насколько я понимаю, нет Можно использовать LoopBack, на манер Cisco вских марш, Andrew Kolchoogin (?), 14:15 , 04-Май-07, (40)
А нельзя ли поподробней Что такое маршрутизируемый ip , northbear (??), 16:04 , 04-Май-07, (44) //

Видимо, не перечисленный в RFC1918 , Andrew Kolchoogin (?), 17:22 , 04-Май-07, (46) //

Имел ввиду приватные3 Private Address Space The Internet Assigned Numbers Aut, proks (?), 17:53 , 04-Май-07, (47)
Именно так, proks (?), 17:56 , 04-Май-07, (48)

В таком случае, можно Не вижу в чем тут может быть сложность , northbear (??), 21:16 , 04-Май-07, (50)

Сообщения [Сортировка по времени | RSS]

18. "Руководство по пакетному фильтру pf" +/–

Сообщение от vehn (?), 04-Май-07, 05:30

да-да, за работу мегареспект, спасибо огромное

Ответить | Правка | Наверх | Cообщить модератору

19. "Руководство по пакетному фильтру pf" +/–

Сообщение от dimus (??), 04-Май-07, 07:51

Очень полезная работа. Надеюсь, что у автора все получится. Желаю ему удачи.
А еще есть вопрос по одному скользкому моменту. Вот цитата из текста:
>Трансляция осуществляется до фильтрации. Правила фильтра увидят уже оттранслированные >пакеты.
Из этого утверждения вытекает, что на машине с NAT невозможно фильтровать трафик от внутренних хостов. Было бы неплохо, чтобы было разъяснение по этому моменту.
Допустим у нас есть сеть 192.168.1.0/24 со шлюзом на *BSD с pf, который натит в IP 1.2.3.4
Хост 192.168.1.3 не должен иметь возможность достучаться до адреса 5.6.7.8 по 80 порту. iptables делает такое одним правилом. Приведите плиз пример конфига pf, который делает то-же самое.

Ответить | Правка | Наверх | Cообщить модератору

20. "Руководство по пакетному фильтру pf" +/–

Сообщение от northbear (??), 04-Май-07, 08:40

Это утверждение касается порядка фильтрации трафика на одном интерфейсе. В твоем случае, как правило, используется такой вариант: фильтрация производится на том интерфейсе, который смотрит во внутреннюю сеть 192.168.1, а трансляция производится на внешнем интерфейсе.
Но это далеко не единственный вариант. Можно редиректить отфильтрованный траффик внутр. сети во внешний мир на дополнительный loopback-интерфейс и на нем делать трансляцию. Это по-моему самый быстрый вариант.
На худой конец, pf позволяет менять последовательность обработки. Но это крайне не рекомендуется...

Ответить | Правка | Наверх | Cообщить модератору

21. "Руководство по пакетному фильтру pf" +/–

Сообщение от GreenX (??), 04-Май-07, 09:45

По этому вопросу есть не плохая иллюстрация.
http://homepage.mac.com/quension/pf/flow.png

Ответить | Правка | Наверх | Cообщить модератору

23. "Руководство по пакетному фильтру pf" +/–

Сообщение от dimus (??), 04-Май-07, 10:00

Спасибо за иллюстрацию и за разъяснения. Вообще, было бы здорово чтобы этот вопрос более подробно освещался в руководстве. Надеюсь, что автор примет это к сведению.

Ответить | Правка | Наверх | Cообщить модератору

27. "Руководство по пакетному фильтру pf" +/–

Сообщение от mutronix (?), 04-Май-07, 10:48

>  Это утверждение касается порядка фильтрации трафика на одном интерфейсе. В твоем случае, как правило, используется такой вариант: фильтрация производится на том интерфейсе, который смотрит во внутреннюю сеть 192.168.1, а трансляция производится на внешнем интерфейсе.

Интересно, а почему фильтрация пакета происходит в таком порядке? Не лучше ли было бы как в iptables фильтровать транзитные пакеты в порядке dnat-filter-snat?

> Можно редиректить отфильтрованный траффик внутр. сети во внешний мир на дополнительный loopback-интерфейс и на нем делать трансляцию. Это по-моему самый быстрый вариант.

Может проще маркировать транслируемые пакеты для последующей фильтрации на основе значения tag? Тут главное, чтобы другие правила случайно не заменили маркер.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

42. "Руководство по пакетному фильтру pf" +/–

Сообщение от northbear (??), 04-Май-07, 15:56

>Интересно, а почему фильтрация пакета происходит в таком порядке? Не лучше ли было бы как в > iptables фильтровать транзитные пакеты в порядке dnat-filter-snat?
А какая разница? Тогда бы точно так же возникали обратные вопросы.
Мне например, такой вариант намного удобней. Я пишу правила фильтрации на внешнем интерфейсе в контексте внешних  адресов, не завязываясь на внутренее устройство сети. А фильтрация, завязанная на топологию  внутренней сети и внутренние маршруты, производится на внутренних интерфейсах. И я для себя точно знаю, что если вдруг одна внутренняя сеть переехала с одного порта на другой или маршрутизация изменилась, то в правилах на внешнем порту мне точно ничего менять не нужно. Всему свое место...

>Может проще маркировать транслируемые пакеты для последующей фильтрации на основе значения
>tag? Тут главное, чтобы другие правила случайно не заменили маркер.
Вот-вот... Чтобы, не заменили. Ты это еще должен вспомнить через полгода, когда вдруг понадобиться что-то поправить. Предложенный мною вариант чуть сложнее реализовать, но работать должно быстрее. А главное понятнее, когда через какое-то время снова залазишь в конфиг.

Ответить | Правка | Наверх | Cообщить модератору

24. "Руководство по пакетному фильтру pf" +/–

Сообщение от Евгений Миньковский (?), 04-Май-07, 10:07

Было бы странно, если бы это было невозможно.
ext_if=rl0
int_if=rl1
...
nat on $ext_if from $int_if:network to any -> $ext_if
...
block in quick on $int_if from 192.168.1.3 to 5.6.7.8 port 80
...
Секрет в том, что трансляция осуществляется на внешнем интерфейсе, а фильтрация на внутреннем

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	18. "Руководство по пакетному фильтру pf"	+/–
	Сообщение от vehn (?), 04-Май-07, 05:30
	да-да, за работу мегареспект, спасибо огромное
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Руководство по пакетному фильтру pf"	+/–
	Сообщение от dimus (??), 04-Май-07, 07:51
	Очень полезная работа. Надеюсь, что у автора все получится. Желаю ему удачи. А еще есть вопрос по одному скользкому моменту. Вот цитата из текста: >Трансляция осуществляется до фильтрации. Правила фильтра увидят уже оттранслированные >пакеты. Из этого утверждения вытекает, что на машине с NAT невозможно фильтровать трафик от внутренних хостов. Было бы неплохо, чтобы было разъяснение по этому моменту. Допустим у нас есть сеть 192.168.1.0/24 со шлюзом на *BSD с pf, который натит в IP 1.2.3.4 Хост 192.168.1.3 не должен иметь возможность достучаться до адреса 5.6.7.8 по 80 порту. iptables делает такое одним правилом. Приведите плиз пример конфига pf, который делает то-же самое.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Руководство по пакетному фильтру pf"	+/–
	Сообщение от northbear (??), 04-Май-07, 08:40
	Это утверждение касается порядка фильтрации трафика на одном интерфейсе. В твоем случае, как правило, используется такой вариант: фильтрация производится на том интерфейсе, который смотрит во внутреннюю сеть 192.168.1, а трансляция производится на внешнем интерфейсе. Но это далеко не единственный вариант. Можно редиректить отфильтрованный траффик внутр. сети во внешний мир на дополнительный loopback-интерфейс и на нем делать трансляцию. Это по-моему самый быстрый вариант. На худой конец, pf позволяет менять последовательность обработки. Но это крайне не рекомендуется...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Руководство по пакетному фильтру pf"	+/–
	Сообщение от GreenX (??), 04-Май-07, 09:45
	По этому вопросу есть не плохая иллюстрация. http://homepage.mac.com/quension/pf/flow.png
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Руководство по пакетному фильтру pf"	+/–
	Сообщение от dimus (??), 04-Май-07, 10:00
	Спасибо за иллюстрацию и за разъяснения. Вообще, было бы здорово чтобы этот вопрос более подробно освещался в руководстве. Надеюсь, что автор примет это к сведению.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Руководство по пакетному фильтру pf"	+/–
	Сообщение от mutronix (?), 04-Май-07, 10:48
	> Это утверждение касается порядка фильтрации трафика на одном интерфейсе. В твоем случае, как правило, используется такой вариант: фильтрация производится на том интерфейсе, который смотрит во внутреннюю сеть 192.168.1, а трансляция производится на внешнем интерфейсе. Интересно, а почему фильтрация пакета происходит в таком порядке? Не лучше ли было бы как в iptables фильтровать транзитные пакеты в порядке dnat-filter-snat? > Можно редиректить отфильтрованный траффик внутр. сети во внешний мир на дополнительный loopback-интерфейс и на нем делать трансляцию. Это по-моему самый быстрый вариант. Может проще маркировать транслируемые пакеты для последующей фильтрации на основе значения tag? Тут главное, чтобы другие правила случайно не заменили маркер.
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору


	42. "Руководство по пакетному фильтру pf"	+/–
	Сообщение от northbear (??), 04-Май-07, 15:56
	>Интересно, а почему фильтрация пакета происходит в таком порядке? Не лучше ли было бы как в > iptables фильтровать транзитные пакеты в порядке dnat-filter-snat? А какая разница? Тогда бы точно так же возникали обратные вопросы. Мне например, такой вариант намного удобней. Я пишу правила фильтрации на внешнем интерфейсе в контексте внешних адресов, не завязываясь на внутренее устройство сети. А фильтрация, завязанная на топологию внутренней сети и внутренние маршруты, производится на внутренних интерфейсах. И я для себя точно знаю, что если вдруг одна внутренняя сеть переехала с одного порта на другой или маршрутизация изменилась, то в правилах на внешнем порту мне точно ничего менять не нужно. Всему свое место... >Может проще маркировать транслируемые пакеты для последующей фильтрации на основе значения >tag? Тут главное, чтобы другие правила случайно не заменили маркер. Вот-вот... Чтобы, не заменили. Ты это еще должен вспомнить через полгода, когда вдруг понадобиться что-то поправить. Предложенный мною вариант чуть сложнее реализовать, но работать должно быстрее. А главное понятнее, когда через какое-то время снова залазишь в конфиг.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Руководство по пакетному фильтру pf"	+/–
	Сообщение от Евгений Миньковский (?), 04-Май-07, 10:07
	Было бы странно, если бы это было невозможно. ext_if=rl0 int_if=rl1 ... nat on $ext_if from $int_if:network to any -> $ext_if ... block in quick on $int_if from 192.168.1.3 to 5.6.7.8 port 80 ... Секрет в том, что трансляция осуществляется на внешнем интерфейсе, а фильтрация на внутреннем
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору