Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

OpenNews: Руководство по пакетному фильтру pf, opennews (?), 03-Май-07, (0) [смотреть все] Сообщения об опечатках высланы с помощью Орфус , glyph (?), 16:37 , 03-Май-07, (1) // Спасибо Исправления появятся в следующем релизе , Евгений Миньковский (?), 18:24 , 03-Май-07, (6) Что за бред собачий сам это проверял с помощью hping a - пакетного генератора Пр, zedis (?), 17:31 , 03-Май-07, (2) // Это Вы грубо ошиблись, автор совершенно прав Комбинация S SA обозначает что про, eugene (??), 18:10 , 03-Май-07, (4) Вот выдержка из man pf conf 5 flags a b 124 b This rule only, Евгений Миньковский (?), 18:22 , 03-Май-07, (5) // драматически изменилось Не надо так писать Не надо засорять русский язык, это, Unknown user (?), 14:34 , 04-Май-07, (41) Очень хотелось бы в PDF е весь документ увидеть , Alter (??), 17:59 , 03-Май-07, (3) // Это отвлечёт меня не менее чем на месяц от написания текста Текст, для меня пре, Евгений Миньковский (?), 18:30 , 03-Май-07, (7) // гм, вы вручную html верстаете docbook не подходит там напрягаться осбо не надо, автор (?), 20:02 , 03-Май-07, (11) // Это вам только кажется, что в dobook так всё просто Надо вбухать в его руссифик, Евгений Миньковский (?), 20:55 , 03-Май-07, (12) русификация занимает от силы 5 мин xml версия docbook а , проверено на собствен, nobody (??), 09:59 , 04-Май-07, (22) Хорошо, давайте спишемся через мыло Помогите мне и будет всем PDF Моё мыло при, Евгений Миньковский (?), 10:19 , 04-Май-07, (26) Есть стандартный формат - HTML Можете преобразовывать его во что угодно , Дмитрий Ю. Карпов (?), 16:00 , 04-Май-07, (43) орфографическая ошибка на главной -- организовать сертификационный экзамен по, x0r (?), 18:54 , 03-Май-07, (8) url Sgibnev-CARP-2006 2006 Сгибнев Михаил hping2 http www opennet ru, s_dog (??), 19:33 , 03-Май-07, (9) // Спасибо Будет исправлено в следующем релизе , Евгений Миньковский (?), 21:00 , 03-Май-07, (13) а мне в целом понравилось, хотя чувствуется некоторая незаконченность , Charon (??), 19:37 , 03-Май-07, (10) не освещены вопросы 1 покраски трафика DSCP IP Precedence 2 пропуска через NA, Дохтур (?), 23:58 , 03-Май-07, (14) ого вот это труд спасибо, очень кстати, zulin (??), 01:20 , 04-Май-07, (15) 2 Евгений МиньковскийХочу добавить, что непосредственно в самом учебнике основно, Аноним (-), 01:26 , 04-Май-07, (16) // Боюсь, что это неизбежно к тому моменту, когда я всё допишу, BSD уже выкинут , Евгений Миньковский (?), 10:14 , 04-Май-07, (25) Автору Огромное спасибо , Аноним (-), 01:32 , 04-Май-07, (17) // да-да, за работу мегареспект, спасибо огромное, vehn (?), 05:30 , 04-Май-07, (18) // Очень полезная работа Надеюсь, что у автора все получится Желаю ему удачи А ещ, dimus (??), 07:51 , 04-Май-07, (19) // Это утверждение касается порядка фильтрации трафика на одном интерфейсе В твоем, northbear (??), 08:40 , 04-Май-07, (20) По этому вопросу есть не плохая иллюстрация http homepage mac com quension pf , GreenX (??), 09:45 , 04-Май-07, (21) Спасибо за иллюстрацию и за разъяснения Вообще, было бы здорово чтобы этот вопр, dimus (??), 10:00 , 04-Май-07, (23) Интересно, а почему фильтрация пакета происходит в таком порядке Не лучше ли бы, mutronix (?), 10:48 , 04-Май-07, (27) А какая разница Тогда бы точно так же возникали обратные вопросы Мне например,, northbear (??), 15:56 , 04-Май-07, (42) Было бы странно, если бы это было невозможно ext_if rl0int_if rl1 nat on ext_, Евгений Миньковский (?), 10:07 , 04-Май-07, (24) Уважаемые господа, я вот сижу на BSD ipfw, на Linux iptables, на Windows I, muhlik (??), 10:57 , 04-Май-07, (28)   // Лично мне тоже кажется, что такой порядок проверки не самый лучший Однако, если, dimus (??), 11:36 , 04-Май-07, (29)   Да, вы правы, такой порядок обработки правил снижает производительность брандмау, Евгений Миньковский (?), 11:47 , 04-Май-07, (30)   // Да, и ещё все пакеты всё равно сразу направляются в state-table в отличие от i, Евгений Миньковский (?), 11:51 , 04-Май-07, (31)   // При объемах среднего офиса оптимизация шибко не требуется А вот когда через роу, dimus (??), 12:04 , 04-Май-07, (33)   Которой всей срочно нужно в Интернет через единственную гигабитную кишку, вставл, Andrew Kolchoogin (?), 12:24 , 04-Май-07, (34)   а зачем тогда этот роутер нужен, если есть гигабитная кошка И имхо, на машине, Дохтур (?), 13:32 , 04-Май-07, (37)   Я не про Cisco Кишка -- это, в смысле, гигабитный канал , Andrew Kolchoogin (?), 14:13 , 04-Май-07, (39)   генерировать стейты по каждому чиху - имхо, дурной тон И кстати, заботится как , Дохтур (?), 13:22 , 04-Май-07, (35)   пересказываю чужое мнение , повидимому за счёт более грамотного проектирования к, Дохтур (?), 13:28 , 04-Май-07, (36)   // Угу, ipfw быстрее Я списался с автором теста, узнать, какие он использовал прав, nuclight (?), 21:15 , 04-Май-07, (49)   Да, мне тоже было по началу тяжеловато после ipfw Но, когда я свел три страницы, northbear (??), 16:16 , 04-Май-07, (45)   // Ох уж вы и насоветуете сначала всё разрешить Этож надо Значит так сначала чит, Евгений Миньковский (?), 09:26 , 05-Май-07, (51)   Правильный подход - это когда первое правилоblock allа дальше разрешаем что нужн, Осторожный (?), 10:09 , 07-Май-07, (52)   Золотые слова Автору респект А вот про FTP информация неполная Не хочу вмешива, Andrew Kolchoogin (?), 12:02 , 04-Май-07, (32) Возможно ли при помощи PF nat-ить на внутреннем интерфейсе, на котором установ, proks (?), 13:55 , 04-Май-07, (38) // Насколько я понимаю, нет Можно использовать LoopBack, на манер Cisco вских марш, Andrew Kolchoogin (?), 14:15 , 04-Май-07, (40) А нельзя ли поподробней Что такое маршрутизируемый ip , northbear (??), 16:04 , 04-Май-07, (44) // Видимо, не перечисленный в RFC1918 , Andrew Kolchoogin (?), 17:22 , 04-Май-07, (46) // Имел ввиду приватные3 Private Address Space The Internet Assigned Numbers Aut, proks (?), 17:53 , 04-Май-07, (47) Именно так, proks (?), 17:56 , 04-Май-07, (48) В таком случае, можно Не вижу в чем тут может быть сложность , northbear (??), 21:16 , 04-Май-07, (50) 1,2,3,8,9,10,14,15,16,17,28,32,38

Сообщения

[Сортировка по времени | RSS]

28. "OpenNews: Руководство по пакетному фильтру pf"	+/–
Сообщение от muhlik (??), 04-Май-07, 10:57
Уважаемые господа, я вот сижу на BSD + ipfw, на Linux + iptables, на Windows + ISA. Мне несколько раз приходила мысль перетащить ipfw на pf, но вот что меня смущает... я как начну представлять логику работы, сразу встает вопрос, в чем преимущество пакетного фильтра у которого выигрывает последнее правило? Я что-то никак не уловлю здесь "правильной" философии, ведь если использовать политику "все запрещено кроме разрешенного", то каждый пакет будет проходить все правила... не влияет ли это на скорость обработки... в ipfw я самые часто срабатываемые правила перемещаю наверх и получается что в большинстве случаев у меня пакет обрабатывается всего несколькими правилами... Я понимаю что есть "quick"... но что ж применять ко всем правилам его?
Ответить | Правка | Наверх | Cообщить модератору

	29. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от dimus (??), 04-Май-07, 11:36
	Лично мне тоже кажется, что такой порядок проверки не самый лучший. Однако, если верить тестам, при больших нагрузках pf показывает себя лучше, чем ipfw, идя примерно наравне с iptables.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от Евгений Миньковский (?), 04-Май-07, 11:47
	Да, вы правы, такой порядок обработки правил снижает производительность брандмауера, хотя и весьма незначительно. Производительность пакетного фильтра всё равно выше, чем у ipfw (лично не проверял, пересказываю чужое мнение), повидимому за счёт более грамотного проектирования. Да, можно применять quick ко всем правилам. Неуклюже выглядит, согласен. Можно при засасывании правил пременять команду pfctl -oo -f /etc/myrules При этом, теоретически, правило quick расставится само и логика будет примерно как у iptables (который и сам обладает рядом недостатков, хотя и не в этом месте). Наконец, не грех было бы задаться вопросом так ли вам нужна оптимизация? Дональд Кнут говорил: "преждевременная оптимизация - корень всех бед". Маловероятно, что ваш брандмауер работает на 486-й машине. В самом ли деле ваша полоса пропускания страдает от производительности брандмауера? Может быть, если у вас всё работает, то уже пора оставить всё как есть? :)
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	31. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от Евгений Миньковский (?), 04-Май-07, 11:51
	Да, и ещё: все пакеты всё равно сразу направляются в state-table (в отличие от iptables, где об этом надо ещё позаботиться). Поэтому основная масса пакетов вообще не пойдёт на правила фильтрации. Видимо это обстоятельство переводит данный диспут из разряда практического в разряд академического.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от dimus (??), 04-Май-07, 12:04
	При объемах среднего офиса оптимизация шибко не требуется. А вот когда через роутер проходит нехилая часть сети класса Б (естественно, разбитой на подсети), то тут уже начинаешь задумываться...
	Ответить | Правка | Наверх | Cообщить модератору

	34. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от Andrew Kolchoogin (?), 04-Май-07, 12:24
	> А вот когда через роутер проходит нехилая часть сети класса Б (естественно, > разбитой на подсети), то тут уже начинаешь задумываться... Которой всей срочно нужно в Интернет через единственную гигабитную кишку, вставленную во второй Ethernet-контроллер этого же роутера? Как-то это мне напоминает сферического коня в вакууме. А если через роутер проходит внутрисетевой траффик, то не лучше ли спроектировать сеть так, чтобы в ядре был L3-свитч помощнее? Просто как ни оптимизируй программное обеспечение ЭВМ общего назначения, со специализированными ЭВМ с ASIC'ами на борту они всё равно соперничать не смогут, увы.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от Дохтур (?), 04-Май-07, 13:32
	>Которой всей срочно нужно в Интернет через единственную гигабитную кишку, вставленную во второй Ethernet-контроллер этого же роутера? а зачем тогда этот роутер нужен, если есть гигабитная кошка? :) И имхо, на машине с каким-нибудь athlon64 и nic-ми на pcie и гигабит можно зароутить.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от Andrew Kolchoogin (?), 04-Май-07, 14:13
	Я не про Cisco. :) Кишка -- это, в смысле, гигабитный канал. ;)
	Ответить | Правка | Наверх | Cообщить модератору

	35. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от Дохтур (?), 04-Май-07, 13:22
	>все пакеты всё равно сразу направляются в state-table (в отличие от iptables, где об этом надо ещё позаботиться). генерировать стейты по каждому чиху - имхо, дурной тон. И кстати, заботится как раз не надо. Ручками заботиться надо именно в том случае, если через nat идёт протокол, нуждающийся в хелпере(вроде того же ftp).
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

	36. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от Дохтур (?), 04-Май-07, 13:28
	>Производительность пакетного фильтра всё равно выше, чем у ipfw (лично не проверял, пересказываю чужое мнение), повидимому за счёт более грамотного проектирования. категорически неверное высказывание. советую посмотреть сюда: http://www.tancsa.com/blast.html Гораздо интереснее вот что: умеет ли pf/ipfw на smp-системе раскидывать нагрузку по камням (матчить на разных процессорах)?
	Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

	49. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от nuclight (?), 04-Май-07, 21:15
	>Категорически неверное высказывание. советую посмотреть сюда: http://www.tancsa.com/blast.html Угу, ipfw быстрее. Я списался с автором теста, узнать, какие он использовал правила, дабы не было обвинений в намеренном использовании "медленных" фич. Всё было корректно, ответ был таков: They were just a bunch of random rules that would not match (e.g ipfw add 10 deny log ip from 10.0.0.3 to any ipfw add 20 deny log ip from any to 10.0.0.4 ipfw add 30 deny log tcp from 172.3.3.3 to 10.0.99.4 port 24 i.e. they were "worst case scenario" rules, and all would need to be evaluated and none would match. I plan to re-test in a month or so. >Гораздо интереснее вот что: умеет ли pf/ipfw на smp-системе раскидывать нагрузку по камням (матчить на разных процессорах)? Насколько мне известно, ipfw умеет работать на разных процессорах, во всяком случае, к параллельной работе он подготовлен. Другое дело, что сейчас это реализовано захватом лока на весь ruleset сразу, соответственно, толку с этого распараллеливания очень мало. Думаю, что в pf дело обстоит не лучше, поскольку в OpenBSD, откуда он пришел, с использованием SMP все плохо.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от northbear (??), 04-Май-07, 16:16
	>Уважаемые господа, я вот сижу на BSD + ipfw, на Linux + >iptables, на Windows + ISA. Мне несколько раз приходила мысль перетащить >ipfw на pf, но вот что меня смущает... я как начну >представлять логику работы, сразу встает вопрос, в чем преимущество пакетного фильтра >у которого выигрывает последнее правило? Я что-то никак не уловлю здесь >"правильной" философии, ведь если использовать политику "все запрещено кроме разрешенного", то >каждый пакет будет проходить все правила... не влияет ли это на >скорость обработки... в ipfw я самые часто срабатываемые правила перемещаю наверх >и получается что в большинстве случаев у меня пакет обрабатывается всего >несколькими правилами... >Я понимаю что есть "quick"... но что ж применять ко всем правилам >его? Да, мне тоже было по началу тяжеловато после ipfw. Но, когда я свел три страницы правил ipfw в пол страницы правил pf, я это оценил. Просто в pf по началу многие действуя по старой привычке  все сначала все запрещают, а потом а потом начинают разрешать и это превращается в черт знает что. А, для начала, более правильный подход, сначала все разрешить, а потом отрезать то, что не нужно. наверняка не нужно. Причем нет необходимости писать громоздкие правила. Пишешь кучу мелких с конкретным  критерием привязанным к конкретному типу трафика. И quick используешь конкретно для тех правил, которые дальше точно нет смысла смотреть.
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	51. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от Евгений Миньковский (?), 05-Май-07, 09:26
	Ох уж вы и насоветуете: сначала всё разрешить. Этож надо! Значит так: сначала читаем документацию с примерами. Затем, критически относимся к чужим советам в форуме (это всё советы злобных кракеров, которые будут вас ломать:)!)
	Ответить | Правка | Наверх | Cообщить модератору

	52. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от Осторожный (?), 07-Май-07, 10:09
	>Да, мне тоже было по началу тяжеловато после ipfw. Но, когда я >свел три страницы правил ipfw в пол страницы правил pf, я >это оценил. >Просто в pf по началу многие действуя по старой привычке  все >сначала все запрещают, а потом а потом начинают разрешать и это >превращается в черт знает что. > >А, для начала, более правильный подход, сначала все разрешить, а потом отрезать >то, что не нужно. наверняка не нужно. Причем нет необходимости писать >громоздкие правила. Пишешь кучу мелких с конкретным  критерием привязанным к >конкретному типу трафика. И quick используешь конкретно для тех правил, которые >дальше точно нет смысла смотреть. Правильный подход - это когда первое правило block all а дальше разрешаем что нужно А firewall который работает по принципу - запрещать что не нужно - это дуршлаг называется а не firewall :)
	Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема