The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"PF vs local program"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"PF vs local program"  
Сообщение от Князь email(??) on 19-Авг-08, 09:55 
как  в PF? "отнатить" исходящие от локальной программы пакеты?
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "PF vs local program"  
Сообщение от niksonnnn (??) on 19-Авг-08, 10:08 
Э, man pf?

Да и если имеется ввиду уровень приложений - то это не к pf))))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "PF vs local program"  
Сообщение от vitalic email on 20-Авг-08, 10:11 
>Э, man pf?
>
>Да и если имеется ввиду уровень приложений - то это не к
>pf))))

Ну почему-же. В pf можно контролировать трафик на уровне юзеров. Зная от имени какого юзера запущено приложение, можно контролировать его трафик.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "PF vs local program"  
Сообщение от niksonnnn (??) on 20-Авг-08, 11:07 
>>Э, man pf?
>>
>>Да и если имеется ввиду уровень приложений - то это не к
>>pf))))
>
> Ну почему-же. В pf можно контролировать трафик на уровне юзеров. Зная
>от имени какого юзера запущено приложение, можно контролировать его трафик.

А если у юзера есть несколько приложений???? 0_о


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "PF vs local program"  
Сообщение от vitalic email on 20-Авг-08, 11:40 
>>>Э, man pf?
>>>
>>>Да и если имеется ввиду уровень приложений - то это не к
>>>pf))))
>>
>> Ну почему-же. В pf можно контролировать трафик на уровне юзеров. Зная
>>от имени какого юзера запущено приложение, можно контролировать его трафик.
>
>А если у юзера есть несколько приложений???? 0_о

  Смотря какая постановка вопроса.
   Кого контролировать: программу или пользователя.
  Человек спросил "как  в PF? "отнатить" исходящие от локальной программы пакеты?".
ВЫход я вижу такой: создать пользователя (если надо) и от имени этого пользователя запустить программу. А потом в pf создать правила для этого пользователя.
  
Я так делал с проки-сервером.
  

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "PF vs local program"  
Сообщение от Князь email(??) on 20-Авг-08, 03:41 
>как  в PF? "отнатить" исходящие от локальной программы пакеты?

Запустил второй Squid через setfib и по нему пустил трафик на требуемые сайты.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "PF vs local program"  
Сообщение от A Clockwork Orange on 20-Авг-08, 11:42 
если трафик исходит с машины с натом, с внешнего интерфейса, как это еще натить?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "PF vs local program"  
Сообщение от Князь email(??) on 20-Авг-08, 16:03 
>если трафик исходит с машины с натом, с внешнего интерфейса, как это
>еще натить?

В iptables есть цепочка POSTROUTING, которая - если не ошибаюсь - совершает подобное действие в отношении исходящих пакетов. В freebsd (pf) хотелось добится подобного эффекта.

По поводу squid, несмотря на все мои манипуляции (шлюз с двумя каналами связи, fxp0 [Основной шлюз - xxx.yyy.zzz.aaa] и fxp1 [альтернативный - rrr.eee.ccc.ddd]) с правилами pf (с и без конструкции route-ro) не удалось добиться корректной работы. Пакеты по fxp1 уходили с адресом интерфейса fxp0 или же, при попытке использования опции tcp_outgoing_address, пакеты уходили с адресом интерфейса fxp1, но с билетом в один конец.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "PF vs local program"  
Сообщение от vitalic email on 20-Авг-08, 16:37 
>если трафик исходит с машины с натом, с внешнего интерфейса, как это
>еще натить?

  Немогу понять, что в твоем случае еще надо натить, объясни.

  Я сделал так: все что приходит на внутр. интерф.  метится с пом tag, поэтому и нат только для меченых пакетов. Для сервисов, которые работают непосредственно на сервере - свои правила, и с "натовскими" никак не пересекаются.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "PF vs local program"  
Сообщение от Князь email(??) on 20-Авг-08, 16:40 
>>если трафик исходит с машины с натом, с внешнего интерфейса, как это
>>еще натить?

Вопрос вероятно адресован мне

>
>  Немогу понять, что в твоем случае еще надо натить, объясни.
>
>
>  Я сделал так: все что приходит на внутр. интерф.  
>метится с пом tag, поэтому и нат только для меченых пакетов.
>Для сервисов, которые работают непосредственно на сервере - свои правила, и
>с "натовскими" никак не пересекаются.

Я в верхнем посте уже написал.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "PF vs local program"  
Сообщение от mikra on 20-Авг-08, 17:12 
>как  в PF? "отнатить" исходящие от локальной программы пакеты?

нат, если по-колхозному, то это механизм связи между сетью и одним адресом (или группой адресов).
На компе надо создать подсеть, в которой будет работать приложение, чей трафик нужно натить на внешний адрес компа? Это неверное применение слова "натить" или действительно так нужно извратиться? О_о

Если требуется контролировать трафик от одного приложения, то можно засунуть это приложение в jail с отдельным ip адресом. Потом в файрволе для этого адреса писать какие угодно правила.

А задумка автора, тоесть задача все равно не понятна

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "PF vs local program"  
Сообщение от vitalic email on 20-Авг-08, 17:15 
>[оверквотинг удален]
>(или группой адресов).
>На компе надо создать подсеть, в которой будет работать приложение, чей трафик
>нужно натить на внешний адрес компа? Это неверное применение слова "натить"
>или действительно так нужно извратиться? О_о
>
>Если требуется контролировать трафик от одного приложения, то можно засунуть это приложение
>в jail с отдельным ip адресом. Потом в файрволе для этого
>адреса писать какие угодно правила.
>
>А задумка автора, тоесть задача все равно не понятна

  Вот и я о том же.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "PF vs local program"  
Сообщение от Князь email(??) on 20-Авг-08, 17:17 
Тема закрыта, я добился поставленных целей. Всем спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "PF vs local program"  
Сообщение от mikra on 20-Авг-08, 17:39 
>Тема закрыта, я добился поставленных целей. Всем спасибо.

Молоток!
Никому теперь не рассказывай. Пусть эти лузеры и дальше голову ломают

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "PF vs local program"  
Сообщение от mikra on 20-Авг-08, 17:42 
>>Тема закрыта, я добился поставленных целей. Всем спасибо.
>
>Молоток!
>Никому теперь не рассказывай. Пусть эти лузеры и дальше голову ломают

аа, написал, это я сегодня невнимательный :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру