forum.opennet.ru - "Аналог ipfw fwd" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Аналог ipfw fwd"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Аналог ipfw fwd"	+/–
Сообщение от roman_d on 26-Июл-13, 06:42
Здравствуйте! Хочу организовать прозрачный прокси для мобильных устройств. Пересобирать ядро нецелесообразно: во-первых, мобильных устройств всего несколько; во-вторых, компьютер-шлюз находится в таком запущенном состоянии, что лишний раз его трогать просто страшно. Мысль в том, чтобы реализовать прозрачный прокси без пересборки ядра и, следовательно, без ipfw fwd. Я изучил вопрос как мог, получается, что ipfw divert для такой задачи не подойдёт, а использовать в таких случаях предлагается либо rinetd, либо pf, в котором rdr будет работать без пересборки. Вот вопрос: подскажите, пожалуйста, какой из этих вариантов предпочтительнее? Или, может, порекомендуйте что-нибудь ещё.
Ответить \| Правка \| Cообщить модератору

Оглавление

Аналог ipfw fwd, михалыч, 07:24 , 26-Июл-13, (1)

Аналог ipfw fwd, roman_d, 08:12 , 26-Июл-13, (2)

Аналог ipfw fwd, михалыч, 08:39 , 26-Июл-13, (3)

Аналог ipfw fwd, Сергей, 10:06 , 26-Июл-13, (4)

Аналог ipfw fwd, roman_d, 10:31 , 26-Июл-13, (6)

Аналог ipfw fwd, roman_d, 10:07 , 26-Июл-13, (5)

Аналог ipfw fwd, михалыч, 12:14 , 26-Июл-13, (7)

Аналог ipfw fwd, roman_d, 13:13 , 26-Июл-13, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "Аналог ipfw fwd" +/–

Сообщение от михалыч (ok) on 26-Июл-13, 07:24

>[оверквотинг удален]
> Хочу организовать прозрачный прокси для мобильных устройств. Пересобирать ядро нецелесообразно:
> во-первых, мобильных устройств всего несколько; во-вторых, компьютер-шлюз находится
> в таком запущенном состоянии, что лишний раз его трогать просто страшно.
> Мысль в том, чтобы реализовать прозрачный прокси без пересборки ядра и, следовательно,
> без ipfw fwd.
> Я изучил вопрос как мог, получается, что ipfw divert для такой задачи
> не подойдёт, а использовать в таких случаях предлагается либо rinetd, либо
> pf, в котором rdr будет работать без пересборки.
> Вот вопрос: подскажите, пожалуйста, какой из этих вариантов предпочтительнее? Или, может,
> порекомендуйте что-нибудь ещё.
Штатного pf хватит и rinetd устанавливать дополнительно не нужно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Аналог ipfw fwd" +/–

Сообщение от roman_d on 26-Июл-13, 08:12

> Штатного pf хватит
Извиняюсь, но я сначала не совсем внятно изложил ситуацию. Смысл в том, что полностью от ipfw я отказаться не могу, и pf если и будет работать, то параллельно, только ради форвардинга. Стоит ли только ради этого подымать второй файрвол? Я читал, что это возможно, но не уверен, что это хорошо будет работать в моих руках. Не лучше ли в таком случае поставить rinetd?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Аналог ipfw fwd" +/–

Сообщение от михалыч (ok) on 26-Июл-13, 08:39

>> Штатного pf хватит
> Извиняюсь, но я сначала не совсем внятно изложил ситуацию. Смысл в том,
> что полностью от ipfw я отказаться не могу, и pf если
> и будет работать, то параллельно, только ради форвардинга. Стоит ли только
> ради этого подымать второй файрвол? Я читал, что это возможно, но
> не уверен, что это хорошо будет работать в моих руках. Не
> лучше ли в таком случае поставить rinetd?
Я бы попробовал и так и сяк. ))
Лучше один раз увидеть, чем сто раз услышать.
Лучше один раз сделать самому, чем сто раз увидеть как делают другие.
Свой опыт безо всякого сомнения гораздо ценней и важней.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Аналог ipfw fwd" +/–

Сообщение от Сергей (??) on 26-Июл-13, 10:06

>[оверквотинг удален]
>> Извиняюсь, но я сначала не совсем внятно изложил ситуацию. Смысл в том,
>> что полностью от ipfw я отказаться не могу, и pf если
>> и будет работать, то параллельно, только ради форвардинга. Стоит ли только
>> ради этого подымать второй файрвол? Я читал, что это возможно, но
>> не уверен, что это хорошо будет работать в моих руках. Не
>> лучше ли в таком случае поставить rinetd?
> Я бы попробовал и так и сяк. ))
> Лучше один раз увидеть, чем сто раз услышать.
> Лучше один раз сделать самому, чем сто раз увидеть как делают другие.
> Свой опыт безо всякого сомнения гораздо ценней и важней.
Можно подредактировать исходники и пересобрать только модуль ipfw

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Аналог ipfw fwd" +/–

Сообщение от roman_d on 26-Июл-13, 10:31

> Можно подредактировать исходники и пересобрать только модуль ipfw
Спасибо, это наверное, не так просто. Тем более, нагрузка небольшая, надеюсь, удастся обойтись сторонним п.о.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Аналог ipfw fwd" +/–

Сообщение от roman_d on 26-Июл-13, 10:07

> Я бы попробовал и так и сяк. ))
> Лучше один раз увидеть, чем сто раз услышать.
> Лучше один раз сделать самому, чем сто раз увидеть как делают другие.
> Свой опыт безо всякого сомнения гораздо ценней и важней.
Я бы тоже попробовал, если бы понимал в этом побольше.
Это целый анализ получится, можно статью писать по его окончании.
Мне же было бы достаточно типового, наименее проблематичного способа.
Тут просто по условию задачи подходит целый ряд решений (проксирование, перенаправление, трансляция) и все с виду похожи. Я и хотел уточнить, какое из решений будет более адекватным для условий моей задачи.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Аналог ipfw fwd" +/–

Сообщение от михалыч (ok) on 26-Июл-13, 12:14

> Тут просто по условию задачи подходит целый ряд решений (проксирование, перенаправление,
> трансляция) и все с виду похожи. Я и хотел уточнить, какое
> из решений будет более адекватным для условий моей задачи.
Из условий не ясно что и куда проксировать и перенаправлять.
Из локалнет в инет, наоборот или из локал в локал.
Если нет возможности пересобрать ядро, то использовать pf из коробки.
Переписать правила из ipfw в синтаксис pf и добавить правила для перенаправления.
Что-то типа
rdr on $int_if inet proto tcp from x.x.x.x to !$int_if port http -> y.y.y.y port 80

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Аналог ipfw fwd" +/–

Сообщение от roman_d on 26-Июл-13, 13:13

> Переписать правила из ipfw в синтаксис pf и добавить правила для перенаправления.
то есть вариант с rinetd вам не нравится?
и я не могу отказаться ipfw - машина не моя - вариант только подключить pf параллельно с ipfw.
> Из условий не ясно что и куда проксировать и перенаправлять.
Прозрачный прокси для нескольких мобильных клиентов локальной сети. То есть http запросы определенного диапазона адресов локалки перенаправлять на squid, работающий в режиме intercept.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Аналог ipfw fwd"	+/–
Сообщение от михалыч (ok) on 26-Июл-13, 07:24
>[оверквотинг удален] > Хочу организовать прозрачный прокси для мобильных устройств. Пересобирать ядро нецелесообразно: > во-первых, мобильных устройств всего несколько; во-вторых, компьютер-шлюз находится > в таком запущенном состоянии, что лишний раз его трогать просто страшно. > Мысль в том, чтобы реализовать прозрачный прокси без пересборки ядра и, следовательно, > без ipfw fwd. > Я изучил вопрос как мог, получается, что ipfw divert для такой задачи > не подойдёт, а использовать в таких случаях предлагается либо rinetd, либо > pf, в котором rdr будет работать без пересборки. > Вот вопрос: подскажите, пожалуйста, какой из этих вариантов предпочтительнее? Или, может, > порекомендуйте что-нибудь ещё. Штатного pf хватит и rinetd устанавливать дополнительно не нужно.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Аналог ipfw fwd"	+/–
	Сообщение от roman_d on 26-Июл-13, 08:12
	> Штатного pf хватит Извиняюсь, но я сначала не совсем внятно изложил ситуацию. Смысл в том, что полностью от ipfw я отказаться не могу, и pf если и будет работать, то параллельно, только ради форвардинга. Стоит ли только ради этого подымать второй файрвол? Я читал, что это возможно, но не уверен, что это хорошо будет работать в моих руках. Не лучше ли в таком случае поставить rinetd?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Аналог ipfw fwd"	+/–
	Сообщение от михалыч (ok) on 26-Июл-13, 08:39
	>> Штатного pf хватит > Извиняюсь, но я сначала не совсем внятно изложил ситуацию. Смысл в том, > что полностью от ipfw я отказаться не могу, и pf если > и будет работать, то параллельно, только ради форвардинга. Стоит ли только > ради этого подымать второй файрвол? Я читал, что это возможно, но > не уверен, что это хорошо будет работать в моих руках. Не > лучше ли в таком случае поставить rinetd? Я бы попробовал и так и сяк. )) Лучше один раз увидеть, чем сто раз услышать. Лучше один раз сделать самому, чем сто раз увидеть как делают другие. Свой опыт безо всякого сомнения гораздо ценней и важней.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Аналог ipfw fwd"	+/–
	Сообщение от Сергей (??) on 26-Июл-13, 10:06
	>[оверквотинг удален] >> Извиняюсь, но я сначала не совсем внятно изложил ситуацию. Смысл в том, >> что полностью от ipfw я отказаться не могу, и pf если >> и будет работать, то параллельно, только ради форвардинга. Стоит ли только >> ради этого подымать второй файрвол? Я читал, что это возможно, но >> не уверен, что это хорошо будет работать в моих руках. Не >> лучше ли в таком случае поставить rinetd? > Я бы попробовал и так и сяк. )) > Лучше один раз увидеть, чем сто раз услышать. > Лучше один раз сделать самому, чем сто раз увидеть как делают другие. > Свой опыт безо всякого сомнения гораздо ценней и важней. Можно подредактировать исходники и пересобрать только модуль ipfw
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	6. "Аналог ipfw fwd"	+/–
	Сообщение от roman_d on 26-Июл-13, 10:31
	> Можно подредактировать исходники и пересобрать только модуль ipfw Спасибо, это наверное, не так просто. Тем более, нагрузка небольшая, надеюсь, удастся обойтись сторонним п.о.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	5. "Аналог ipfw fwd"	+/–
	Сообщение от roman_d on 26-Июл-13, 10:07
	> Я бы попробовал и так и сяк. )) > Лучше один раз увидеть, чем сто раз услышать. > Лучше один раз сделать самому, чем сто раз увидеть как делают другие. > Свой опыт безо всякого сомнения гораздо ценней и важней. Я бы тоже попробовал, если бы понимал в этом побольше. Это целый анализ получится, можно статью писать по его окончании. Мне же было бы достаточно типового, наименее проблематичного способа. Тут просто по условию задачи подходит целый ряд решений (проксирование, перенаправление, трансляция) и все с виду похожи. Я и хотел уточнить, какое из решений будет более адекватным для условий моей задачи.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	7. "Аналог ipfw fwd"	+/–
	Сообщение от михалыч (ok) on 26-Июл-13, 12:14
	> Тут просто по условию задачи подходит целый ряд решений (проксирование, перенаправление, > трансляция) и все с виду похожи. Я и хотел уточнить, какое > из решений будет более адекватным для условий моей задачи. Из условий не ясно что и куда проксировать и перенаправлять. Из локалнет в инет, наоборот или из локал в локал. Если нет возможности пересобрать ядро, то использовать pf из коробки. Переписать правила из ipfw в синтаксис pf и добавить правила для перенаправления. Что-то типа rdr on $int_if inet proto tcp from x.x.x.x to !$int_if port http -> y.y.y.y port 80
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	8. "Аналог ipfw fwd"	+/–
	Сообщение от roman_d on 26-Июл-13, 13:13
	> Переписать правила из ipfw в синтаксис pf и добавить правила для перенаправления. то есть вариант с rinetd вам не нравится? и я не могу отказаться ipfw - машина не моя - вариант только подключить pf параллельно с ipfw. > Из условий не ясно что и куда проксировать и перенаправлять. Прозрачный прокси для нескольких мобильных клиентов локальной сети. То есть http запросы определенного диапазона адресов локалки перенаправлять на squid, работающий в режиме intercept.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору