Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

OpenNews: Руководство по пакетному фильтру pf, opennews (?), 03-Май-07, (0) [смотреть все] Сообщения об опечатках высланы с помощью Орфус , glyph (?), 16:37 , 03-Май-07, (1) // Спасибо Исправления появятся в следующем релизе , Евгений Миньковский (?), 18:24 , 03-Май-07, (6) Что за бред собачий сам это проверял с помощью hping a - пакетного генератора Пр, zedis (?), 17:31 , 03-Май-07, (2) // Это Вы грубо ошиблись, автор совершенно прав Комбинация S SA обозначает что про, eugene (??), 18:10 , 03-Май-07, (4) Вот выдержка из man pf conf 5 flags a b 124 b This rule only, Евгений Миньковский (?), 18:22 , 03-Май-07, (5) // драматически изменилось Не надо так писать Не надо засорять русский язык, это, Unknown user (?), 14:34 , 04-Май-07, (41) Очень хотелось бы в PDF е весь документ увидеть , Alter (??), 17:59 , 03-Май-07, (3) // Это отвлечёт меня не менее чем на месяц от написания текста Текст, для меня пре, Евгений Миньковский (?), 18:30 , 03-Май-07, (7) // гм, вы вручную html верстаете docbook не подходит там напрягаться осбо не надо, автор (?), 20:02 , 03-Май-07, (11) // Это вам только кажется, что в dobook так всё просто Надо вбухать в его руссифик, Евгений Миньковский (?), 20:55 , 03-Май-07, (12) русификация занимает от силы 5 мин xml версия docbook а , проверено на собствен, nobody (??), 09:59 , 04-Май-07, (22) Хорошо, давайте спишемся через мыло Помогите мне и будет всем PDF Моё мыло при, Евгений Миньковский (?), 10:19 , 04-Май-07, (26) Есть стандартный формат - HTML Можете преобразовывать его во что угодно , Дмитрий Ю. Карпов (?), 16:00 , 04-Май-07, (43) орфографическая ошибка на главной -- организовать сертификационный экзамен по, x0r (?), 18:54 , 03-Май-07, (8) url Sgibnev-CARP-2006 2006 Сгибнев Михаил hping2 http www opennet ru, s_dog (??), 19:33 , 03-Май-07, (9) // Спасибо Будет исправлено в следующем релизе , Евгений Миньковский (?), 21:00 , 03-Май-07, (13) а мне в целом понравилось, хотя чувствуется некоторая незаконченность , Charon (??), 19:37 , 03-Май-07, (10) не освещены вопросы 1 покраски трафика DSCP IP Precedence 2 пропуска через NA, Дохтур (?), 23:58 , 03-Май-07, (14) ого вот это труд спасибо, очень кстати, zulin (??), 01:20 , 04-Май-07, (15) 2 Евгений МиньковскийХочу добавить, что непосредственно в самом учебнике основно, Аноним (-), 01:26 , 04-Май-07, (16) // Боюсь, что это неизбежно к тому моменту, когда я всё допишу, BSD уже выкинут , Евгений Миньковский (?), 10:14 , 04-Май-07, (25) Автору Огромное спасибо , Аноним (-), 01:32 , 04-Май-07, (17) // да-да, за работу мегареспект, спасибо огромное, vehn (?), 05:30 , 04-Май-07, (18) // Очень полезная работа Надеюсь, что у автора все получится Желаю ему удачи А ещ, dimus (??), 07:51 , 04-Май-07, (19) // Это утверждение касается порядка фильтрации трафика на одном интерфейсе В твоем, northbear (??), 08:40 , 04-Май-07, (20) По этому вопросу есть не плохая иллюстрация http homepage mac com quension pf , GreenX (??), 09:45 , 04-Май-07, (21) Спасибо за иллюстрацию и за разъяснения Вообще, было бы здорово чтобы этот вопр, dimus (??), 10:00 , 04-Май-07, (23) Интересно, а почему фильтрация пакета происходит в таком порядке Не лучше ли бы, mutronix (?), 10:48 , 04-Май-07, (27) А какая разница Тогда бы точно так же возникали обратные вопросы Мне например,, northbear (??), 15:56 , 04-Май-07, (42) Было бы странно, если бы это было невозможно ext_if rl0int_if rl1 nat on ext_, Евгений Миньковский (?), 10:07 , 04-Май-07, (24) Уважаемые господа, я вот сижу на BSD ipfw, на Linux iptables, на Windows I, muhlik (??), 10:57 , 04-Май-07, (28) // Лично мне тоже кажется, что такой порядок проверки не самый лучший Однако, если, dimus (??), 11:36 , 04-Май-07, (29) Да, вы правы, такой порядок обработки правил снижает производительность брандмау, Евгений Миньковский (?), 11:47 , 04-Май-07, (30) // Да, и ещё все пакеты всё равно сразу направляются в state-table в отличие от i, Евгений Миньковский (?), 11:51 , 04-Май-07, (31)   // При объемах среднего офиса оптимизация шибко не требуется А вот когда через роу, dimus (??), 12:04 , 04-Май-07, (33)   Которой всей срочно нужно в Интернет через единственную гигабитную кишку, вставл, Andrew Kolchoogin (?), 12:24 , 04-Май-07, (34)   а зачем тогда этот роутер нужен, если есть гигабитная кошка И имхо, на машине, Дохтур (?), 13:32 , 04-Май-07, (37)   Я не про Cisco Кишка -- это, в смысле, гигабитный канал , Andrew Kolchoogin (?), 14:13 , 04-Май-07, (39)   генерировать стейты по каждому чиху - имхо, дурной тон И кстати, заботится как , Дохтур (?), 13:22 , 04-Май-07, (35)   пересказываю чужое мнение , повидимому за счёт более грамотного проектирования к, Дохтур (?), 13:28 , 04-Май-07, (36) // Угу, ipfw быстрее Я списался с автором теста, узнать, какие он использовал прав, nuclight (?), 21:15 , 04-Май-07, (49) Да, мне тоже было по началу тяжеловато после ipfw Но, когда я свел три страницы, northbear (??), 16:16 , 04-Май-07, (45) // Ох уж вы и насоветуете сначала всё разрешить Этож надо Значит так сначала чит, Евгений Миньковский (?), 09:26 , 05-Май-07, (51) Правильный подход - это когда первое правилоblock allа дальше разрешаем что нужн, Осторожный (?), 10:09 , 07-Май-07, (52) Золотые слова Автору респект А вот про FTP информация неполная Не хочу вмешива, Andrew Kolchoogin (?), 12:02 , 04-Май-07, (32) Возможно ли при помощи PF nat-ить на внутреннем интерфейсе, на котором установ, proks (?), 13:55 , 04-Май-07, (38) // Насколько я понимаю, нет Можно использовать LoopBack, на манер Cisco вских марш, Andrew Kolchoogin (?), 14:15 , 04-Май-07, (40) А нельзя ли поподробней Что такое маршрутизируемый ip , northbear (??), 16:04 , 04-Май-07, (44) // Видимо, не перечисленный в RFC1918 , Andrew Kolchoogin (?), 17:22 , 04-Май-07, (46) // Имел ввиду приватные3 Private Address Space The Internet Assigned Numbers Aut, proks (?), 17:53 , 04-Май-07, (47) Именно так, proks (?), 17:56 , 04-Май-07, (48) В таком случае, можно Не вижу в чем тут может быть сложность , northbear (??), 21:16 , 04-Май-07, (50) 1,2,3,8,9,10,14,15,16,17,28,32,38

Сообщения

[Сортировка по времени | RSS]

	31. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от Евгений Миньковский (?), 04-Май-07, 11:51
	Да, и ещё: все пакеты всё равно сразу направляются в state-table (в отличие от iptables, где об этом надо ещё позаботиться). Поэтому основная масса пакетов вообще не пойдёт на правила фильтрации. Видимо это обстоятельство переводит данный диспут из разряда практического в разряд академического.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от dimus (??), 04-Май-07, 12:04
	При объемах среднего офиса оптимизация шибко не требуется. А вот когда через роутер проходит нехилая часть сети класса Б (естественно, разбитой на подсети), то тут уже начинаешь задумываться...
	Ответить | Правка | Наверх | Cообщить модератору

	34. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от Andrew Kolchoogin (?), 04-Май-07, 12:24
	> А вот когда через роутер проходит нехилая часть сети класса Б (естественно, > разбитой на подсети), то тут уже начинаешь задумываться... Которой всей срочно нужно в Интернет через единственную гигабитную кишку, вставленную во второй Ethernet-контроллер этого же роутера? Как-то это мне напоминает сферического коня в вакууме. А если через роутер проходит внутрисетевой траффик, то не лучше ли спроектировать сеть так, чтобы в ядре был L3-свитч помощнее? Просто как ни оптимизируй программное обеспечение ЭВМ общего назначения, со специализированными ЭВМ с ASIC'ами на борту они всё равно соперничать не смогут, увы.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от Дохтур (?), 04-Май-07, 13:32
	>Которой всей срочно нужно в Интернет через единственную гигабитную кишку, вставленную во второй Ethernet-контроллер этого же роутера? а зачем тогда этот роутер нужен, если есть гигабитная кошка? :) И имхо, на машине с каким-нибудь athlon64 и nic-ми на pcie и гигабит можно зароутить.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от Andrew Kolchoogin (?), 04-Май-07, 14:13
	Я не про Cisco. :) Кишка -- это, в смысле, гигабитный канал. ;)
	Ответить | Правка | Наверх | Cообщить модератору

	35. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от Дохтур (?), 04-Май-07, 13:22
	>все пакеты всё равно сразу направляются в state-table (в отличие от iptables, где об этом надо ещё позаботиться). генерировать стейты по каждому чиху - имхо, дурной тон. И кстати, заботится как раз не надо. Ручками заботиться надо именно в том случае, если через nat идёт протокол, нуждающийся в хелпере(вроде того же ftp).
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема