Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

OpenNews: Руководство по пакетному фильтру pf, opennews (?), 03-Май-07, (0) [смотреть все] Сообщения об опечатках высланы с помощью Орфус , glyph (?), 16:37 , 03-Май-07, (1) // Спасибо Исправления появятся в следующем релизе , Евгений Миньковский (?), 18:24 , 03-Май-07, (6) Что за бред собачий сам это проверял с помощью hping a - пакетного генератора Пр, zedis (?), 17:31 , 03-Май-07, (2) // Это Вы грубо ошиблись, автор совершенно прав Комбинация S SA обозначает что про, eugene (??), 18:10 , 03-Май-07, (4) Вот выдержка из man pf conf 5 flags a b 124 b This rule only, Евгений Миньковский (?), 18:22 , 03-Май-07, (5) // драматически изменилось Не надо так писать Не надо засорять русский язык, это, Unknown user (?), 14:34 , 04-Май-07, (41) Очень хотелось бы в PDF е весь документ увидеть , Alter (??), 17:59 , 03-Май-07, (3) // Это отвлечёт меня не менее чем на месяц от написания текста Текст, для меня пре, Евгений Миньковский (?), 18:30 , 03-Май-07, (7) // гм, вы вручную html верстаете docbook не подходит там напрягаться осбо не надо, автор (?), 20:02 , 03-Май-07, (11) // Это вам только кажется, что в dobook так всё просто Надо вбухать в его руссифик, Евгений Миньковский (?), 20:55 , 03-Май-07, (12) русификация занимает от силы 5 мин xml версия docbook а , проверено на собствен, nobody (??), 09:59 , 04-Май-07, (22) Хорошо, давайте спишемся через мыло Помогите мне и будет всем PDF Моё мыло при, Евгений Миньковский (?), 10:19 , 04-Май-07, (26) Есть стандартный формат - HTML Можете преобразовывать его во что угодно , Дмитрий Ю. Карпов (?), 16:00 , 04-Май-07, (43) орфографическая ошибка на главной -- организовать сертификационный экзамен по, x0r (?), 18:54 , 03-Май-07, (8) url Sgibnev-CARP-2006 2006 Сгибнев Михаил hping2 http www opennet ru, s_dog (??), 19:33 , 03-Май-07, (9) // Спасибо Будет исправлено в следующем релизе , Евгений Миньковский (?), 21:00 , 03-Май-07, (13) а мне в целом понравилось, хотя чувствуется некоторая незаконченность , Charon (??), 19:37 , 03-Май-07, (10) не освещены вопросы 1 покраски трафика DSCP IP Precedence 2 пропуска через NA, Дохтур (?), 23:58 , 03-Май-07, (14) ого вот это труд спасибо, очень кстати, zulin (??), 01:20 , 04-Май-07, (15) 2 Евгений МиньковскийХочу добавить, что непосредственно в самом учебнике основно, Аноним (-), 01:26 , 04-Май-07, (16) // Боюсь, что это неизбежно к тому моменту, когда я всё допишу, BSD уже выкинут , Евгений Миньковский (?), 10:14 , 04-Май-07, (25) Автору Огромное спасибо , Аноним (-), 01:32 , 04-Май-07, (17) // да-да, за работу мегареспект, спасибо огромное, vehn (?), 05:30 , 04-Май-07, (18) // Очень полезная работа Надеюсь, что у автора все получится Желаю ему удачи А ещ, dimus (??), 07:51 , 04-Май-07, (19) // Это утверждение касается порядка фильтрации трафика на одном интерфейсе В твоем, northbear (??), 08:40 , 04-Май-07, (20) По этому вопросу есть не плохая иллюстрация http homepage mac com quension pf , GreenX (??), 09:45 , 04-Май-07, (21) Спасибо за иллюстрацию и за разъяснения Вообще, было бы здорово чтобы этот вопр, dimus (??), 10:00 , 04-Май-07, (23) Интересно, а почему фильтрация пакета происходит в таком порядке Не лучше ли бы, mutronix (?), 10:48 , 04-Май-07, (27) А какая разница Тогда бы точно так же возникали обратные вопросы Мне например,, northbear (??), 15:56 , 04-Май-07, (42) Было бы странно, если бы это было невозможно ext_if rl0int_if rl1 nat on ext_, Евгений Миньковский (?), 10:07 , 04-Май-07, (24) Уважаемые господа, я вот сижу на BSD ipfw, на Linux iptables, на Windows I, muhlik (??), 10:57 , 04-Май-07, (28) // Лично мне тоже кажется, что такой порядок проверки не самый лучший Однако, если, dimus (??), 11:36 , 04-Май-07, (29) Да, вы правы, такой порядок обработки правил снижает производительность брандмау, Евгений Миньковский (?), 11:47 , 04-Май-07, (30) // Да, и ещё все пакеты всё равно сразу направляются в state-table в отличие от i, Евгений Миньковский (?), 11:51 , 04-Май-07, (31) // При объемах среднего офиса оптимизация шибко не требуется А вот когда через роу, dimus (??), 12:04 , 04-Май-07, (33) Которой всей срочно нужно в Интернет через единственную гигабитную кишку, вставл, Andrew Kolchoogin (?), 12:24 , 04-Май-07, (34) а зачем тогда этот роутер нужен, если есть гигабитная кошка И имхо, на машине, Дохтур (?), 13:32 , 04-Май-07, (37) Я не про Cisco Кишка -- это, в смысле, гигабитный канал , Andrew Kolchoogin (?), 14:13 , 04-Май-07, (39) генерировать стейты по каждому чиху - имхо, дурной тон И кстати, заботится как , Дохтур (?), 13:22 , 04-Май-07, (35) пересказываю чужое мнение , повидимому за счёт более грамотного проектирования к, Дохтур (?), 13:28 , 04-Май-07, (36)   // Угу, ipfw быстрее Я списался с автором теста, узнать, какие он использовал прав, nuclight (?), 21:15 , 04-Май-07, (49)   Да, мне тоже было по началу тяжеловато после ipfw Но, когда я свел три страницы, northbear (??), 16:16 , 04-Май-07, (45) // Ох уж вы и насоветуете сначала всё разрешить Этож надо Значит так сначала чит, Евгений Миньковский (?), 09:26 , 05-Май-07, (51) Правильный подход - это когда первое правилоblock allа дальше разрешаем что нужн, Осторожный (?), 10:09 , 07-Май-07, (52) Золотые слова Автору респект А вот про FTP информация неполная Не хочу вмешива, Andrew Kolchoogin (?), 12:02 , 04-Май-07, (32) Возможно ли при помощи PF nat-ить на внутреннем интерфейсе, на котором установ, proks (?), 13:55 , 04-Май-07, (38) // Насколько я понимаю, нет Можно использовать LoopBack, на манер Cisco вских марш, Andrew Kolchoogin (?), 14:15 , 04-Май-07, (40) А нельзя ли поподробней Что такое маршрутизируемый ip , northbear (??), 16:04 , 04-Май-07, (44) // Видимо, не перечисленный в RFC1918 , Andrew Kolchoogin (?), 17:22 , 04-Май-07, (46) // Имел ввиду приватные3 Private Address Space The Internet Assigned Numbers Aut, proks (?), 17:53 , 04-Май-07, (47) Именно так, proks (?), 17:56 , 04-Май-07, (48) В таком случае, можно Не вижу в чем тут может быть сложность , northbear (??), 21:16 , 04-Май-07, (50) 1,2,3,8,9,10,14,15,16,17,28,32,38

Сообщения

[Сортировка по времени | RSS]

	36. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от Дохтур (?), 04-Май-07, 13:28
	>Производительность пакетного фильтра всё равно выше, чем у ipfw (лично не проверял, пересказываю чужое мнение), повидимому за счёт более грамотного проектирования. категорически неверное высказывание. советую посмотреть сюда: http://www.tancsa.com/blast.html Гораздо интереснее вот что: умеет ли pf/ipfw на smp-системе раскидывать нагрузку по камням (матчить на разных процессорах)?
	Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

	49. "OpenNews: Руководство по пакетному фильтру pf"	+/–
	Сообщение от nuclight (?), 04-Май-07, 21:15
	>Категорически неверное высказывание. советую посмотреть сюда: http://www.tancsa.com/blast.html Угу, ipfw быстрее. Я списался с автором теста, узнать, какие он использовал правила, дабы не было обвинений в намеренном использовании "медленных" фич. Всё было корректно, ответ был таков: They were just a bunch of random rules that would not match (e.g ipfw add 10 deny log ip from 10.0.0.3 to any ipfw add 20 deny log ip from any to 10.0.0.4 ipfw add 30 deny log tcp from 172.3.3.3 to 10.0.99.4 port 24 i.e. they were "worst case scenario" rules, and all would need to be evaluated and none would match. I plan to re-test in a month or so. >Гораздо интереснее вот что: умеет ли pf/ipfw на smp-системе раскидывать нагрузку по камням (матчить на разных процессорах)? Насколько мне известно, ipfw умеет работать на разных процессорах, во всяком случае, к параллельной работе он подготовлен. Другое дело, что сейчас это реализовано захватом лока на весь ruleset сразу, соответственно, толку с этого распараллеливания очень мало. Думаю, что в pf дело обстоит не лучше, поскольку в OpenBSD, откуда он пришел, с использованием SMP все плохо.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема