The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Сравнение пакетных фильтров доступных для FreeBSD 5.3

21.02.2005 18:22

Станислав Китанин подготовил детальный обзор особенностей пакетных фильтров IPFW, PF (OpenBSD) и IPFILTER.

Руководство содержит множество практических примеров и итоговую сравнительную таблицу.

  1. Главная ссылка к новости (https://www.opennet.ru/docs/RUS...)
Лицензия: CC-BY
Тип: яз. русский / Справочная информация
Ключевые слова: firewall, ipfw, ipfilter, pf, FreeBSD
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (68) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Vadim (??), 18:53, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Автор наврал по поводу перенаправления пакетов. В pf совершенно точно есть и прекрасно работают конструкции с route-to, reply-to, dup-to. Сам на 5.3-s таким пользуюсь. Также почему ни слова о счётчиках пакетов, хотя в самом начале упомято, что фаирвол замечательно посчитает ваш трафик по любым разумным правилам. И слово "ретронсляция", видимо, от "ретро"?;)
     
     
  • 2.2, Garry (??), 19:08, 21/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    согласен на 100 процентов да и статейка сомнительная - как то поверзностно всё и приблизетльно у него - без route-to вообще носенс получается
     

  • 1.3, sds (?), 19:09, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    покажите реализацию на pf такой пример
    а то что-то не догоняю
    ipfw add fwd 1.1.1.1 ip from 2.2.2.2 to any via internal_int
     
     
  • 2.4, Garry (??), 19:16, 21/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    pass in on $internal_int route-to ($internal_int 1.1.1.1) from 2.2.2.2 to any
    pass out on $external_int route-to ($external_int 1.1.1.1) from  $external_int to any
     
     
  • 3.6, Garry (??), 19:22, 21/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    точнее в первом правиле - там где 2.2.2.2 должен быть адрес с локалки
     

  • 1.5, sds (?), 19:20, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ok спасибо
     
  • 1.7, sds (?), 19:24, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    еще в довесок
    как в pf посмотреть кол-во пакетов попавших под каждое правило
    как например в ipfw sh?
     
     
  • 2.8, Garry (??), 19:29, 21/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >еще в довесок
    >как в pf посмотреть кол-во пакетов попавших под каждое правило
    >как например в ipfw sh?


    pfctl -s labels

     

  • 1.9, sds (?), 19:40, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ага понял
    но это что-ж на каждое првало надо метку вешать
    а сразу скопом все показать можно?
     
  • 1.10, Jelis (??), 20:25, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    pfctl -vvs r
     
  • 1.11, Dorlas (??), 20:30, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А все таки что ни говорите - статья хорошая. Спасибо автору.
     
  • 1.12, robin zlobin (?), 20:41, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "В этом реферате я хочу расматреть 3 пакетных фильтра самых популярных в мире UNIX систем IPFW,IP-FILTER,PF(openbsd) на операционной системе FreeBSD 5.3."


    дальше читать не стал.

     
  • 1.13, Станислав Китанин (?), 21:01, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Народ говорить что статья лажа проще всего а поповоду того что чего-то нет то тема файрвола не вписываица в размеры статьи по поводу того что там реферат да действительно я защетил реферат по ней и колбасил я под кофем 2 недели без передышки сказать что снифер крутил трафик у меня 24 часа в сутки значит не сказать не чего да сначало я там страниц 13 много воды лил но после я собрал такие вещи которых просто так не найдёшь почитайте по внимательней со странице 14 и потом критекуйте
     
  • 1.14, dawnshade (?), 21:09, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не судьба орфографию вордом тем же проверить???
    В 99% предложений содержатся ошибки. Читаешь, блин, как udaff.com.

    P.S. Максим, не думал, что _такое_ ты пропустишь.

     
  • 1.15, Станислав Китанин (?), 21:18, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    к сожелению это факт орфаграфия у меня страдает
     
  • 1.16, Станислав Китанин (?), 21:19, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    прошу не венить за орфографию
     
  • 1.17, dawnshade (?), 21:21, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дальше, еще круче:
    цитата: "Ipfw add deny tcp from any to any in tcpflags syn" - одно правило
    "block in quick on rl0 proto tcp from any to any flags S" - второе.
    По мнению автора, они эквивалентны. 10 баллов.
    Про первое я вообще молчу, ибо как не будет оно работать: ipfw пишется с маленькой буквы.
    "Тут есть одно и очень простое правило: располагать правила для

    IPFW в следующем порядке:" - по фигу как их располагать, ибо как нет четкого различия, достаточно прочесть когда заканчивается поиск по правилам.
    А вот в pf - там очень четко распределен порядок правил:
    The pf.conf file has seven parts:
    Macros: User-defined variables that can hold IP addresses, interface names, etc.
    Tables: A structure used to hold lists of IP addresses.
    Options: Various options to control how PF works.
    Scrub: Reprocessing packets to normalize and defragment them.
    Queueing: Provides bandwidth control and packet prioritization.
    Translation: Controls Network Address Translation and packet redirection.
    Filter Rules: Allows the selective filtering or blocking of packets as they pass through any of the interfaces.
    И не надо никакой отсебятины.
    бред, короче. не надо писать о том, в чем Вы не разбираетесь

     
     
  • 2.25, DEC (?), 23:41, 21/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >IPFW в следующем порядке:" - по фигу как их располагать, ибо как
    >нет четкого различия, достаточно прочесть когда заканчивается поиск по правилам.

    Что за бред? С каких это пор порядок правил пошёл по боку?
    Думайте что говорите, уважаемый.

    Автору Респект! (Но русский язык забывать - нехорошо)

     

  • 1.18, Станислав Китанин (?), 22:29, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Знаете Вы сначало напешите что нибудь похожее проведите анализ, а потом посмотрим сколько у вас будет не точностей в стате подумаешь к чему нашол придратся что Ipfw пишется с маленькой буквы ты не мог что нибудь по оригинальней найти, Я ПИСАЛ про Unix В Word'e  который к сожелению при переносе делает большую Букву, критику я люблю спроведливую например " route-to, reply-to, dup-to" согласен прогядел спасибо Vadim'u по поводу того что счетчики знаете тогда бы я написал бы книгу об этом если бы всё пытался расмотреть но даже это не беря в расчёт орфаграфию не на мало тянет.
     
     
  • 2.20, dawnshade (?), 22:39, 21/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Знаете Вы сначало напешите что нибудь похожее проведите анализ, а потом посмотрим
    >сколько у вас будет не точностей в стате

    Достаточно? http://void.ru/content/1138

    >подумаешь к чему
    >нашол придратся что Ipfw пишется с маленькой буквы ты не мог
    >что нибудь по оригинальней найти, Я ПИСАЛ про Unix В Word'e
    > который к сожелению при переносе делает большую Букву,
    Целиком и полностью Ваши проблемы.

    > критику я
    >люблю спроведливую например " route-to, reply-to, dup-to" согласен прогядел спасибо Vadim'u

    Уже писал про критику - читайте внимательнее. Если вы думаете, что приведенные мной примеры идентичны...

     
     
  • 3.31, nobody (??), 03:25, 22/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Есть "неточность" ;)
    "...объединенными потоками, азделяющими..."

    так что попроще нужно...

     
  • 3.32, nobody (??), 03:29, 22/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Но статейка на войде неплоха.
     
     
  • 4.43, mac (?), 13:22, 22/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Но статейка на войде неплоха.
    "Перевод с английского."
     
  • 2.66, Денис (??), 00:42, 25/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >подумаешь к чему нашол придратся что Ipfw пишется с маленькой буквы
    >ты не мог что нибудь по оригинальней найти

    Да не обращай ты внимания на "придерастов" :))
    для вузовского реферата работа очень хороша.

    "Придерастам" следует задуматься над тем, что мало кто будет на голом энтузиазме писать для сайта такую объёмную статью, тщательно выверяя её на фактическую точность...

     

  • 1.19, Станислав Китанинс (?), 22:30, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А всё что там написано я реально сам проверял всё работает.
    ipfw add fwd 1.1.1.1 ip from 2.2.2.2 to any via internal_int я писал систему для рабочего сервера а потом IP-адресса заменил с помощью дебильного Word'a который сделал не то что надо.
     
  • 1.21, Аноним (21), 22:44, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Большое спасибо автору за работу, а от критиков ждем не реферат, но полноценный научный опус. И за ваш труд будет вам большой респект. В нашей стране слишком много говорят, но мало делают :(
     
  • 1.22, Mentat (?), 23:05, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ага. Недостатки есть, но респект за сам факт создания. Критиковтаь можно, только создав лучше чем ...
     
  • 1.23, bash (??), 23:32, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На каждую статью свой читатель. Кому водичка - а кому хлеб насущный. Потому не ругайте, многим начинающим в хозяйстве пригодится.
    P.S. Word не дибильный, в орфографии мог бы здорово помочь :)))
     
  • 1.24, Станислав Китанин (?), 23:39, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо за подержку и за спроведливую критику, а то что я не COPY+PASTE стотью создавал это главное
    а 90% ручками писал да это и так понятно
     
  • 1.26, Аноним (26), 23:41, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Предлагать на чтение статью, даже не потрудившись проверить орфографию, - верх неуважения к читателю. С.К., может, стоит сделать выводы?
     
  • 1.27, Станислав Китанин (?), 23:54, 21/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Обсолютно с тобой согласен но я живу не в России к сожелению... Я собираюсь писать диплом на тему Solaris 10x платформа x86 буду разрабатывать систему Postfix+Sasl2+Mysql+Courier,
    Mandatory access control, Chroot, Clamav защита стэка в деталях распишу всё если защищу диплом выставлю на OPENNET.RU полностью как есть и там гарантирую ошибок не будет.
     
     
  • 2.38, rsl (ok), 09:00, 22/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Когда думаешь опубликовать свою работу, очень инетересная для меня тема.
    А на критику не реагируй, этого дерьма везде хватает. Литературный критик
    это неудавшийся писатель.
     
     
  • 3.46, Станислав Китанин (?), 15:11, 22/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Через 2 месяца я даже дам все реальные IP сервера если кто-то не поверит, что такое существует.
     

  • 1.33, blackpepper (?), 06:20, 22/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    FIREWALL -"огнеупорная прокладка", а не "..огненная стена...", термин взят у пожарников.Это просто так ,к сведению.
     
     
  • 2.41, DEC (?), 10:31, 22/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    А если совсем точно - то это "огнеупорная прокладка" между двигателем и салоном автомобиля. ;-)
     
  • 2.63, Sem (??), 02:46, 24/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >FIREWALL -"огнеупорная прокладка", а не "..огненная стена...", термин взят у пожарников.Это просто
    >так ,к сведению.

    Сам ты прокладка.
    Firewall - брандмауэр. Очень точное и емкое слово. Жаль только, что мало у нас кто помнит, что это означает.

    "Огненная стана" - это кончено ужасный перевод.

    Но все равно автору респект, не смотря на его ужасный русский :)

     
     
  • 3.64, uldus (ok), 09:22, 24/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Сам ты прокладка.
    >Firewall - брандмауэр. Очень точное и емкое слово. Жаль только, что мало
    >у нас кто помнит, что это означает.


    Переводим с английского на немецкий ? Какой-такой брэндмауер ? Не лучше-ли использоввать "межсетевой экран"  ?

     

  • 1.36, dav (??), 08:49, 22/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, как человек, который не может грамотно написать на родном языке пишет на чужом?
    Я имею ввиду кодирование при написании программ.
     
     
  • 2.37, Грамотный (?), 08:56, 22/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    У Вас у самого, Уважаемый, и запятая пропущена, и слово одно неправиьно написано. Прежде чем осуждать кого-то, сначала лучше на себя посмотрите.
     

  • 1.39, fresco (?), 09:27, 22/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Занятно. Но читать трудно. Я же, все-таки, русский :)
     
  • 1.40, Аноним (26), 10:23, 22/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Орфографические ошибки - это фигня.. гораздо интереснее ошибки технические.
    Например в следующем случае:

    Block in quick on rl0 proto all from any to any
    pass in quick on rl0 proto tcp from 195.195.195.195 to any port = 22 keep state

    Автор наивно полагает, что pass правило разрешит хождение пакетов. Советую ему хотя бы раз прочитать мануал по pf.conf или хотя бы следующее:
         quick
               If a packet matches a rule which has the quick option set, this
               rule is considered the last matching rule, and evaluation of subse-
               quent rules is skipped.

    остальные ошибки мне влом вытаскивать и приводить. Эта уже характеризует уровень компетенции.

     
  • 1.42, scum (??), 11:29, 22/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Очень много неточностей и технических ошибок, навскидку - про работу FTP и т.д. Если это реферат для учебного заведения, тогда сойдет. В остальном, как мне кажется, очень и очень достойно. Так держать.
     
  • 1.44, Kreg (?), 14:27, 22/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Статья хорошая слов нету видно автор провёл большой аналитический труд собрал и соеденил много вещей, и главное расказал доходчивым языком доступный даже начинающему админу, то что есть граматические ошибки и не точности в Ipfw с большой буквы, не правильно расмотрен FORWARD. Так знаете если за это судить автора так можно большую часть Рунета растрелять.... Молодец..
     
  • 1.45, Unikof (?), 14:33, 22/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Стас хорошо что смог поделится такой статьёй я узнал несколько интерестных вещей... На таких и держится opensource. То что грамматика стродает я слышал у вас в Латвии СС лигионеры маршируют. Да и русских при равнивают к 3 сорту так, что вы хотите чтоб вам сочинение Достоевского писали или рассматривали Пакетные фильтры
     
  • 1.47, Saint (?), 16:59, 22/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Крайне "грамотная" фильтрация ICMP. Станислав, вдумчивое чтение RFC вам не повредит.
     
     
  • 2.51, Станислав Китанин (?), 18:24, 22/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Если вы говорите про ICMP я согласен что необхадим код для фрагментации и для много друго но это моё мнение что нужен пинг и всё да комуто хочется Traceroute кому. Понемаете это моя позиция я гнался за защищоностью а то что некоторые хосты не откроются так может всёд киш пожертвовать ими во благо безопастности ведь идея была в следующем чтобы закрыть всё что не нужно
     

  • 1.48, anonim (?), 17:51, 22/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    horoshaja statja Stanislav dlja kogogo u4ebnogo zavidenija vi ejo pisali ?
    p.s
    prostite za translit ja toze iz Latvii :)
     
     
  • 2.50, Станислав Китанин (?), 18:19, 22/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    институт транспорта и связи
     

  • 1.49, rsl (??), 18:16, 22/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Давайте на форуме примем правила обсуждения статей. Здесь присутствуют достаточно взрослые люди. Почему бы критику не писать в следующем ключе: "Коллега в вашей статье присутствуют следующие недостатки ...". Ведь у многих людей после ваших высказываний пропадает желание писать свои статьи, а без них не было бы самого форума, который очень помогает в нашей работе. Ребята давайте жить дружно.
     
     
  • 2.52, DEC (?), 19:29, 22/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Целиком и плоностью согласен. Такое ощущение что кому-то надоело на ЛОРе флеймить, надо и здесь напаскудить.
     
     
  • 3.53, arif (?), 20:37, 22/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Станислав,

    Спасибо за труд! Но статью все же следует через Word прогнать и запостить снова...
    Глаз режет, действительно, все же Opennet не ЛОР.

     
     
  • 4.54, Maxim Chirkov (ok), 21:41, 22/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Спасибо за труд! Но статью все же следует через Word прогнать и
    >запостить снова...

    Кстати, присланную статью я прогонял через ispell, не думаю, что word больше ошибок найдет.

     
     
  • 5.56, Станислав Китанин (?), 23:57, 22/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо Максим за исправление ошибок ведь на этом и держится OPENNET что друг другу помогаем чем можем. На будующее буду более граммотным. Ведь статья действительно хорошая, но не хватило у меня сил и времени на граматику, и ёщо раз спасибо....
     
  • 2.60, HFSC (??), 16:42, 23/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    После таких "статей" пропадает желание читать эти самые статьи...позорище
     

  • 1.55, kotiki (?), 22:53, 22/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В сводной таблице в конец, imho есть неточность:

    ipfw умеет работать с syslogd, однако довольно однобоко, пишет только
    в facility LOG_SECURITY.

    ---выдержка из man ipfw(8)-------
    log [logamount number]
      When a packet matches a rule with the log keyword, a message will
      be logged to syslogd(8) with a LOG_SECURITY facility....
    ----------------------------------

    А статья найдет своих читателей.

     
     
  • 2.57, Станислав Китанин (?), 23:59, 22/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен только в Syslog Facility Security
     

  • 1.58, Rulf (?), 00:22, 23/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я как раз пишу дипломную работу на тему Firewall я думаю взять за основу эту статью и дополнить ёщо больше если конечно автор не подаст на меня в суд за плагиат. Знаете Статья диствительно Класс я ещо не встречал не чего подобного. Написана понятным языком с небольшой эронией:
    "В системе FreeBSD firewall - это гораздо больше, чем просто турникет в метро " :))) настальгия автора по метро в латвии нет метро....
     
  • 1.59, Аноним (26), 16:33, 23/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Ни внутренняя машина, ни главный компьютер Internet не знают об этих шагах трансляции."

    Работа проделана огромная, а результат - ...
    Максимум тянет на реферат, но уж никак не на статью

     
  • 1.61, SunTech (?), 18:02, 23/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересная статья в том плане, что интересно глянуть как набирают правила в файрволл другие люди, ведь набрать можно по-разному.

    Еще хотел бы уточнить. В статье написано, что у PF новшество - это наличие списков. Так вот они и в ipfw есть. Использую их достаточно активно.

    Хотелось бы, чтоб статью также доработали слегка, в частности осветили NAT более детально. Например, возможность преобразовывать адреса в зависимости от пункта назначения. В ipnat это есть, но как-то очень слабо исполнено, в конструкции from ip ! to ip не удается добавить несколько условий.

    Автору спасибо.

     
     
  • 2.62, DEC (?), 20:32, 23/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >В ipnat это есть, но как-то очень слабо исполнено, в конструкции
    >from ip ! to ip не удается добавить несколько условий.

    Я тоже столкнулся с такой проблемой. Решением стало использование NAT из PF, там конструкция "no nat" работает на ура.

     
     
  • 3.65, Денис (??), 00:34, 25/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>В ipnat это есть, но как-то очень слабо исполнено, в конструкции
    >>from ip ! to ip не удается добавить несколько условий.
    >
    >Я тоже столкнулся с такой проблемой. Решением стало использование NAT из PF,
    >там конструкция "no nat" работает на ура.


    кстати, раз уж речь зашла про NAT...
    имеем:

    ipnat - вроде как ядерный, но под нагрузкой (несколько сот пользователей одновременно, несколько десятков тысяч соединений) проц грузится огого как.
    один юзер его нагрузить вряд ли сможет любым потоком. пробовал крутить таймауты, помогает, но не особо.

    natd (точнее libalias) - хорошо оптимизирован по нагрузке, размер таблицы его не смущает, но даже один юзер может здорово прогрузить машину жирным kpps.

    есть ли какие-то решения, свободные от этих недостатков? стоит попробовать погонять nat от pf под той же нагрузкой?

     
     
  • 4.67, Денис (??), 00:47, 25/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >ipnat - вроде как ядерный, но под нагрузкой (несколько сот пользователей
    >одновременно, несколько десятков тысяч соединений) проц грузится огого как.
    >один юзер его нагрузить вряд ли сможет любым потоком. пробовал крутить
    >таймауты, помогает, но не особо.

    вдогонку - нагрузкой тут является кол-во соединений. некоторые юзеры их плодят тысячами, судя по всему p2p клиентами. в итоге более половины соединений создаются всего несколькими человеками. попытки лимитировать количество вызывают немедленные жалобы и вопли. но natd-то это явление не смущает...

     
     
  • 5.68, DEC (?), 02:50, 25/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    У ipnat по умолчанию соединение живёт !240 часов
    net.inet.ipf.fr_tcpidletimeout: 864000

    Лимитирование, и правда, на клиентов нехорошо действует :-)
    Я поднял NAT на PF, поиграл с некоторыми настройками, и сейчас всё нормально.

     

  • 1.69, Станислав Китанин (?), 15:46, 25/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если заговорили об тестировании НАТА на количество соединений не льзя не упоменуть пакетный генератор Hping который может с любого внутренего IP генерировать соединение вот shell код на установку соединения если кому то поможет:
    "
    #!/bin/sh
    #client -eto ja
    #server eto atakuemj komp
    clientseq=91923333
    serverseq=0
    i=3
    colich=100
    otporta=2333
    naport=80
    ipadress=192.168.0.1
    serverseq=0
    server=0
    echo $serverseq > seq
    while [ $i -le $colich ]; do
    echo "#########################################################################"
    serverseq='hping -Q -L 0 -M $clientseq -i u50 -s $otporta -S $ipadress -p $naport -c 1 | sed -n 2'p'| awk '{print $1}' | tr -cs "[:digit:]"'
    serverseq='expr -e $serverseq '+' 1'
    echo "server sequences number:"$serverseq
    clientseq='expr -e $clientseq '+' 1'
    echo "client sequences number:"$clientseq
    hping -L $serverseq -M $clientseq -i u50 -s $otporta -A $ipadress -p $naport -c 1
    i=$(($i+1))
    otporta=$(($otporta+1))
    clientseq='expr -e $clientseq '+' 10'
    echo "--------------------------------------------------------------------------"
    done"
     
     
  • 2.70, nnmd (?), 04:02, 26/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Взяли бы да доработали статью до авторитетного уровня и сами бы что-то узнали и другим рассказали не на пальцах. (которые, как известно, не от большого ума) Сил на обсуждение положили немерянно, тыкали мордой и в RFC и по мелочам в статью - нет такого человека который знает всё, а тот кто и так все знает вряд ли будет говорить из-за таких мелочей. И ещё раз - толку от коментариев мало, документ нужно приводить к читаемому виду, иначе, чем проделывать работу по чтению оригинала плюс наложение на него "патчей" от комментаторов.. проще уж в самом деле начать читать man и RFC - там из первого источника, как должно быть, а не каша из мыслей разных людей которые зачастую близко не понимают как обсуждаемый механизм работает. Без обид.
     

  • 1.71, Аноним (26), 10:57, 11/03/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а правилах куча ошибок Пример 1 Правило разрешающее любые соединения любых прот... большой текст свёрнут, показать
     
     
  • 2.72, LuckyBird (??), 12:42, 15/03/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Большое спасибо,  статья действительно нелоха - думаю многим могла-бы пригодится.
    Есть только пара вопросов
    1) Зачем везде используются физические адреса, ведь удобнее альясы
    external_addr="195.195.195.1"
    2)Разве в pf нет маршрутизации правилами ? а rdr  ?
    3)Можно сюда дописать про antispoof, сдесь не рассмотрен
     
     
  • 3.73, LuckyBird (??), 12:50, 15/03/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Да, и вопрос - почему так построены правила ?
    Вроде надёжнее сначала сделать

    # setup a default deny policy
    block in  all
    block out all

    а потом уже разрешить что нужно ?


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру