The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Изменения в синтаксисе пакетного фильтра PF

16.04.2009 18:26

В синтаксис конфигурационного файла пакетного фильтра PF, разрабатываемого в рамках проекта OpenBSD и используемого во многих других ОС, недавно были внесены значительные изменения, не все из которых имеют обратную совместимость с прошлым синтаксисом. Основные моменты:

  • Убрана конструкция "scrub". Теперь PF всегда производит дефрагментацию пакетов, а остальные опции можно указывать персонально для каждого правила. Раньше (в особых, весьма редких случаях, требующих хитрой чистки входящих пакетов) необходимо было создавать дублирующую иерархию scrub-правил.
  • Добавлена новая конструкция "match". По своему функционалу она аналогична конструкции "pass", однако, в отличие от неё, не меняет итоговое состояние пакета ("пропущен/заблокирован"). "match" позволят значительно упростить сложные, на несколько сотен правил, конфигурации PF.

Желающие могут опробовать новые возможности уже сейчас, скачав snapshot с ближайшего зеркала. Можно не торопиться, отладка будет проходить в течение почти полугода — новый код войдет в OpenBSD 4.6, который выйдет, как обычно, 1-го ноября этого года.

Подробности можно прочитать в CVS-логах: log1 и log2.

  1. Главная ссылка к новости (http://marc.info/?l=openbsd-cv...)
Автор новости: PereresusNeVlezaetBuggy
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/21296-pf
Ключевые слова: pf, firewall, openbsd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (9) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Dorlas (??), 22:16, 16/04/2009 [ответить]  
    		• +/
    Ну не смертельные изменения :)

    Не думаю, что конфиг даже из 300 правил будет сложно адаптировать (изменения будут в 3-й секции в 3 строках :)

     
     
  • 2.4, nsk (??), 06:36, 17/04/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    Почему в третей? Нормализация это четвертая секция. З-я это опции.
     

  • 1.3, linked (ok), 22:50, 16/04/2009 [ответить]  
    		• +/
    Спасибо ребятам из OpenBSD за отличную работу!
     
  • 1.5, m00h (?), 11:15, 17/04/2009 [ответить]  
    		• +/
    при включенной block in all сайты не грузятся полностью, только наполовину, пришлось выключить.
     
     
  • 2.7, mr_gfd (?), 17:12, 17/04/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    Это должно быть смешно?
     

  • 1.6, Radeon (?), 13:17, 17/04/2009 [ответить]  
    		• +/
    >Раньше (в особых, весьма редких случаях, требующих хитрой чистки входящих пакетов) необходимо было создавать дублирующую иерархию scrub-правил.

    Кто-нибудь может привести пример таких случаев?

     
  • 1.8, m00h (?), 00:00, 18/04/2009 [ответить]  
    		• +/
    Как теперь быть если block in all не работает ?
     
  • 1.9, SaveMeGood (?), 01:37, 19/04/2009 [ответить]  
    		• +/
    >Как теперь быть если block in all не работает ?

    Епт, как не работает!? Как я теперь онлайн видео буду смотреть!?

     
  • 1.10, m00h (?), 15:52, 19/04/2009 [ответить]  
    		• +/
    Не работает, сртраница грузится наполовину, а потом затык, тож самое с irc, то входит то нет, п3ц вобще.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру