The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Маршрутизация на базе natd в ОС FreeBSD

13.10.2005 11:14

Краткая памятка о том, как быстро поднять FreeBSD сервер с NAT и Firewall.

  1. Главная ссылка к новости (http://www.hub.ru/modules.php?...)
Автор новости: Tavik
Тип: яз. русский / Практикум
Ключевые слова: freebsd, nat, ipfw, firewall
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (64) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Makc2K (ok), 13:06, 13/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Автор статьи видимо забыл перенаправить пакетики в nat. По крайней мере я не заметил таких правил. А раз так, то для новичков это просто ловушка.
     
     
  • 2.33, Александр (??), 07:04, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    ну это то просто - автор использует стандартный /etc/rc.firevall
    и в статье показал только кусочек текста - те правила, которые он добавил
    в секцию [OPEN], перенаправление пакетов в nat осталось за кадром.
    Если бы подумал головой, использовал хотя бы секцию [SIMPLE],
    все таки было бы по приличней.
     

  • 1.2, edwin (??), 13:32, 13/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ?:
    > options IPFIREWALL
    > options IPDIVERT
    > Где 1, 2 строки - сама возможность маршрутизации
    Ух ты как круто.
    Это с каких таких пор пакетный фильтр маршрутизацию включает?

    > icmp_log_redirect="YES"

    ;)))
    Это чтоб журналы зафлудить разным хламом?

    > разрешить логинится удаленно для root в файле /etc/ssh/sshd_config

    Вообше перл из разряда "тупой и еще тупее".

    > Такая конфигурация ipfw весьма параноидальна

    Она никакая ;(((
    Вердикт - статья к огромному сожалению _ПОЛНЫЙ_ _БРЕД_

     
  • 1.3, Buster (?), 13:55, 13/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На том же ресурсе лежит статья, в которой всё описано гораздо лучше... :(
     
  • 1.4, Moralez (ok), 14:02, 13/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Крики "PermitRootLogin yes - ламмирство" тоже ламерство и отсутствие желания подумать головой. ;-)

    На тех машинах, где sshd открыт для 1-2 IP-ов только идиот будет заводить лишнюю учётку или более того, париться с sudo...

     
     
  • 2.7, Аноним (-), 14:29, 13/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    > На тех машинах, где sshd открыт для 1-2 IP-ов только идиот будет заводить лишнюю учётку или более того, париться с sudo...

    Не идиот, а нормальный администратор, заботящийся о безопасности системы.

     
  • 2.9, Buster (?), 16:45, 13/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Ламерство работать под рутом. Это тебе скажет любой мало мальски работающий админ *NIX
    Только идиоты недоумки, которые хотят чтобы их отымели ставят PermitRootLogin yes.
     
     
  • 3.27, mdv (?), 06:25, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    На сервере не работают - он сам работает. А администрировать сервер как-то удобнее из-под рута. токмо вот напрямую логиниться рутом - моветон, так что permitrootlogin yes - смерти подобно... ощущал на своей шкуре.
    А на рабочей станции да, под рутом работать не нужно и вредно. ;)

    PS: из вспомнилось из su-перлов. "sudo su -" без пароля ;)

     
     
  • 4.28, Moralez (ok), 06:38, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >"напрямую логиниться рутом - моветон"
    >А на рабочей станции да, под рутом работать не нужно и вредно.

    На рабочей станции конечно. Там приходится не только конфиги ковырять да сервисы дёргать, но и заниматься повседневной работой. Впрочем, на рабочей станции sshd часто вообще не нужен.

    Насчёт моветона подробнее. В например SuSE-шке ламеры работают, там по дефолту оно yes?

     
     
  • 5.32, mdv (?), 07:03, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>"напрямую логиниться рутом - моветон"
    >>А на рабочей станции да, под рутом работать не нужно и вредно.
    >
    >На рабочей станции конечно. Там приходится не только конфиги ковырять да сервисы
    >дёргать, но и заниматься повседневной работой. Впрочем, на рабочей станции sshd
    >часто вообще не нужен.
    >
    >Насчёт моветона подробнее. В например SuSE-шке ламеры работают, там по дефолту оно
    >yes?


    оно везде по дефолту yes. надо не забывать его в no ставить. причем логика дефолтного yes понятна. насчет моветона - истина вбитая старшими товарищами, а относительно ssh так еще и на своей шкуре осознанная. но ситуации бывают разные.

     
  • 5.51, в (?), 10:32, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    вспомните червя, который использовал эту "дефолтовую фичу" Suse для брутфорса пароля к root где-то полгода назад.
     
  • 4.29, _Nick_ (??), 06:40, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    абсолютно все случаю - только по необходимости нужно подбирать.

    На локалхосте дома "su -" пароля не должно требовать - ну нахрена время тратить без толку? ну а по ссх ходить на себя же....  лучше сразу в психушку сдаваться

    В оффисе "su -" для определенных пользователей тоже  без пароля - ок.
    И ремоте логин на другие компы под рутом - тоже не проблема. А для ускорения работы - еще и ключи мона разложить. Ну нафига изращаться, если тока доверенные люди могут стать рутом о поиметь ключ для доступа на другой комп по ссх?

    Серванты в Нете - это уже чисто личная паранойя и объективная важность сервера: на веб сервант чудно рутом ходить (быстренько зашел, поправил че-то пару раз в день и ушел), на роутер/траффик_шейпер мона и прикрыть (и то чисто потому, что часто туда ходить просто не нужно - опять таки, зачастую), ну а сервант с базой данных личных данных каких-либо клиентов или бабла какого вообще тока с определенных ИП должен пускать на 22 порт (ну и внутри хоть 10 последовательных авторизаций мона насетапить - все определяет паранойя/необходимость).


    Мир - не как параметр RemoteRootLogin yes или no...
    Мир разнообразен... ;))

     
     
  • 5.34, mdv (?), 07:18, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >абсолютно все случаю - только по необходимости нужно подбирать.
    >
    [...]
    >Мир - не как параметр RemoteRootLogin yes или no...
    >Мир разнообразен... ;))

    Да, мир разнообразен. Похоже у вас это не соотносится с тем, что вы не в состоянии предусмотреть ВСЕ возможные методы обхода защиты. по поводу root по ssh, то отключение permitrootlogin - просто еще одна цепь защиты. Если злоумышленник узнает пароль того регулярного пользователя который может делать su, то ему еще придется поломать голову над рутовым паролем и получением рутовских прав, по этой же причине никогда и нигде на серверах нельзя делать su - в рута без пароля. Злоумышленник может быть заинтересован в контроле за хостом, а не в данных хранящихся на нем. чем больше слабин вы допускаете в настройке безопасности уповая на файрвол и сознательность пользователей, тем больше вы огребете в непредвиденной ситуации.

    Так что... Мир разнообразен и неоднозначен и лишнее телодвижение в сторону увеличения своей безопасности никому не помешает.

     
     
  • 6.36, _Nick_ (??), 07:35, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Так что... Мир разнообразен и неоднозначен и лишнее телодвижение в сторону увеличения
    >своей безопасности никому не помешает.

    ну почему все админы мыслят однобоко???!
    ну я тоже админ, но пытаюсь взглянуть на все чуть с другой стороны.
    Ну а если абсолютное секурити не настолько приоритетнее удобств в работе???
    Ну неужели все так тугоумны, что не могут допустить такой ситуации??
    Блин! А еще админы....  где блин ваша гибкость???

    А если мне нужно БЫСТРО и МНОГО че-го то постоянно менять на серванте и в то же время ниразу некритично если его поламают?? (я это допустим мгновенно замечу и сервант у меня под рукой, кило бекапов и я мгновенно восстановлюсь даже после патча бермена??) Но НУЖНО как можно быстрее менять какие-то настйроки на этом серванте?

    Не знаю кто как там раб своих принципов, но я оптимизирую свою работу и не буду делать без толку часто одно и тоже (вводить 2 пароля и т.д.).

     
     
  • 7.38, mdv (?), 08:02, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>Так что... Мир разнообразен и неоднозначен и лишнее телодвижение в сторону увеличения
    >>своей безопасности никому не помешает.
    >
    >ну почему все админы мыслят однобоко???!
    >ну я тоже админ, но пытаюсь взглянуть на все чуть с другой
    >стороны.
    >Ну а если абсолютное секурити не настолько приоритетнее удобств в работе???
    >Ну неужели все так тугоумны, что не могут допустить такой ситуации??
    >Блин! А еще админы....  где блин ваша гибкость???
    >
    >А если мне нужно БЫСТРО и МНОГО че-го то постоянно менять на
    >серванте и в то же время ниразу некритично если его поламают??
    >(я это допустим мгновенно замечу и сервант у меня под рукой,
    >кило бекапов и я мгновенно восстановлюсь даже после патча бермена??) Но
    >НУЖНО как можно быстрее менять какие-то настйроки на этом серванте?
    >
    >Не знаю кто как там раб своих принципов, но я оптимизирую свою
    >работу и не буду делать без толку часто одно и тоже
    >(вводить 2 пароля и т.д.).

    в общем я не отрицал того, что необходимость пользоваться напрямую рутом иногда есть. но ИНОГДА, а не систематически.
    я вот только не могу понять следующих вещей:
    1) чего можно БЫСТРО и МНОГО менять на боевом сервере, что требует рутовых прав? Если сервер не боевой, то и разговор другой и не надо сюда сферических коней в вакууме приплетать.
    2) если все же надо что-то быстро и много поменять, то зачем при этом перелогиниваться? или вы делаете рестарт сервера после каждой правки sshd_config или изменения сетевой конфигурации? Вот мне надо, например обновить софт какой-то - login, su,скачал подготовленные сорцы, собрал,  остановил сервис, сбэкапился, проинсталлил, проврил конфигурацию, запустил сервис, проверил работу, ^D^D. процесс login+su - один.

     
  • 7.39, edwin (ok), 08:07, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>Так что... Мир разнообразен и неоднозначен и лишнее телодвижение в сторону увеличения
    >>своей безопасности никому не помешает.
    >
    >ну почему все админы мыслят однобоко???!
    >ну я тоже админ, но пытаюсь взглянуть на все чуть с другой
    >стороны.
    >Ну а если абсолютное секурити не настолько приоритетнее удобств в работе???
    >Ну неужели все так тугоумны, что не могут допустить такой ситуации??
    >Блин! А еще админы....  где блин ваша гибкость???
    >
    >А если мне нужно БЫСТРО и МНОГО че-го то постоянно менять на
    >серванте и в то же время ниразу некритично если его поламают??
    >(я это допустим мгновенно замечу и сервант у меня под рукой,
    >кило бекапов и я мгновенно восстановлюсь даже после патча бермена??) Но
    >НУЖНО как можно быстрее менять какие-то настйроки на этом серванте?
    >
    >Не знаю кто как там раб своих принципов, но я оптимизирую свою
    >работу и не буду делать без толку часто одно и тоже
    >(вводить 2 пароля и т.д.).

    Тебе религия не позволяет DSA ключи сгенерить и по ним на серваки ходить ?
    Мне тоже знаеш ли надо не на одну машинку логиниться.
    Но я поступил по людски - сгенерил ключи и как сыр в масле катаюсь ;))
    И секюрность высокая.
    А таких спецов как ты .... гм ... не будем выражаться

     
     
  • 8.42, _Nick_ (??), 08:20, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    а ты бы не п л раньше времени, а прочитал бы мой пост ранее про уровни необход... текст свёрнут, показать
     
     
  • 9.44, edwin (ok), 09:19, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Вы же написали про БЕЗПОЛЕЗНОМТЬ ключей То есть Вы допускаете использование клю... текст свёрнут, показать
     
  • 7.59, northbear (??), 20:18, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/

    >А если мне нужно БЫСТРО и МНОГО че-го то постоянно менять на
    >серванте и в то же время ниразу некритично если его поламают??
    >(я это допустим мгновенно замечу и сервант у меня под рукой,
    >кило бекапов и я мгновенно восстановлюсь даже после патча бермена??) Но
    >НУЖНО как можно быстрее менять какие-то настйроки на этом серванте?

    Я не понял что это за серванты такие? Ты не можешь потратить несколько секунд на набор пароля, но простой как минимум десять минут для восстановления системы тебе не критичен. Особенно представляю как ты будешь накатывать те "быстрые и многие" изменения, которые нужно было сделать за время простоя при восстановлении.

    По-моему, это просто сон разума....

     
     
  • 8.62, _Nick_ (??), 21:15, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Вот пока кто-нибудь для себя не признает, что где-то можно хоть рута ремотно пус... текст свёрнут, показать
     
  • 6.37, Moralez (ok), 07:38, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Как это, интересно, злоумышленник может узнать пароль обычного юзера и НЕ УЗНАТЬ рутячий, если всё это вводится с интервалом в пару секунд?
     
     
  • 7.40, mdv (?), 08:08, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Как это, интересно, злоумышленник может узнать пароль обычного юзера и НЕ УЗНАТЬ
    >рутячий, если всё это вводится с интервалом в пару секунд?
    вы правда думаете, что узнать пароль можно только послушав интерактивную сессию ?

     
     
  • 8.41, Moralez (ok), 08:15, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    То есть, сказать нечего ... текст свёрнут, показать
     
     
  • 9.43, mdv (?), 08:27, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Есть а вы поймете Ключевые слова - подсмотреть, подобрать, социальный инжинири... текст свёрнут, показать
     
     
  • 10.47, Moralez (ok), 09:37, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Что-что Какой подсмотреть, подобрать и тем более с и я не девочка-секретутка... текст свёрнут, показать
     
     
  • 11.48, mdv (?), 09:46, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    это вы такой правильный, а много ли еще таких ... текст свёрнут, показать
     
     
  • 12.49, Moralez (ok), 10:08, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то я не догоняю Я в самом первом своём письме написал если 22-й порт отк... текст свёрнут, показать
     
     
  • 13.50, mdv (?), 10:22, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    адреса, если что, можно и заспуфить ... текст свёрнут, показать
     
     
  • 14.54, Moralez (ok), 10:56, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Вероятность примерно такого же порядка что и у приедут на джипах с автоматами, ... текст свёрнут, показать
     
  • 13.56, BB (??), 11:51, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен с тобой, я-б еще перенес sshd на какой либо другой порт, например 10022... текст свёрнут, показать
     
     
  • 14.57, Grayich (??), 11:57, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    иногда неизвестные порты привлекают взломщиков разве, что от ботов спасет ... текст свёрнут, показать
     
  • 2.13, edwin (ok), 19:42, 13/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    > На тех машинах, где sshd открыт для 1-2 IP-ов только идиот будет заводить лишнюю учётку или более того, париться с sudo...

    Мальчик.
    Я тебе секрет открою: иногда надо заботиться о безопастности.

    > париться с sudo...
    А с чем париться ?
    Или для ВАс настройка данной проги есть проблема ?
    Если так, то мне понятен истинный смысл Ваших высказываний.

     
     
  • 3.25, Moralez (ok), 05:33, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    О безопасТности надо заботиться всегда, но посредством вдумчивого следования рекомендациям, а не тупого подражания. Админ, который считает, что поставив прогу, в истории которой были преценденты roothole-ов имея возможность не ставить глуп.

    А на сервере НЕ РУТОМ делать вообще нефиг...

     
     
  • 4.26, Grayich (??), 06:22, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >О безопасТности надо заботиться всегда, но посредством вдумчивого следования рекомендациям, а не
    >тупого подражания. Админ, который считает, что поставив прогу, в истории которой
    >были преценденты roothole-ов имея возможность не ставить глуп.
    >
    >А на сервере НЕ РУТОМ делать вообще нефиг...


    для этого существует команда SU, а не PermitRootLogin yes

     
     
  • 5.30, Moralez (ok), 06:51, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Чем отличается su от PermitRootLogin?
     
     
  • 6.31, _Nick_ (??), 06:54, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    > Насчёт моветона подробнее. В например SuSE-шке ламеры работают, там по
    > дефолту оно yes?

    о. Ну давайте еще поспорим о каких-то дефолтах каких-то имбицилов в разных наборах бинарей...
    пиздец...

    >Чем отличается su от PermitRootLogin?

    для су - нужно еще знать под кем залогиниться, чтоб запустить этот su ;)

     
  • 6.35, mdv (?), 07:20, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Чем отличается su от PermitRootLogin?
    тем, что permitrootlogin позволяет получить сразу рутовый доступ к системе, а su - через промежуточного обычного пользователя...
     
  • 4.45, edwin (ok), 09:22, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >А на сервере НЕ РУТОМ делать вообще нефиг...

    Ух ты.
    А если это сервер разработки ?
    Или баз дынных ?
    Для кодинга надо root sheel ... мдя ... ;((
    Или задампить базу тоже надо root sheel.
    На реальных серваках есть вагон задач совсем не требующих прав root'а

     
     
  • 5.46, mdv (?), 09:30, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>А на сервере НЕ РУТОМ делать вообще нефиг...
    >
    >Ух ты.
    >А если это сервер разработки ?
    >Или баз дынных ?
    >Для кодинга надо root sheel ... мдя ... ;((
    >Или задампить базу тоже надо root sheel.
    >На реальных серваках есть вагон задач совсем не требующих прав root'а


    Да, но это же гораздо удобнее из-под рута делать все! ;) [шу.чу]

     
  • 4.60, northbear (??), 20:25, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/

    >А на сервере НЕ РУТОМ делать вообще нефиг...

    До тех пор пока тебя не сломали...
    Признайся, что ты понятия не имеешь, как настроить сервер так, чтобы для его обслуживания вообще не было необходимости заходить под рутом.

     
  • 2.53, deskpot (?), 10:47, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    > На тех машинах, где sshd открыт для 1-2 IP-ов

    покажите мне такую машину. если важно, чтобы был минимальный простой при всяких ЧП, я должен иметь возможность к ней подсоединиться не только с рабочего места и из дома, но из гостей, интернет-кафе в Саратове, с помощью GPRS.

    если это домашний тазик, где неважно, сколько и когда он падает -- ради бога. но свои домашние привычки переносить на боевые машины -- не стоит. более того -- не стоит докуменатцией плодить заведомо вредные привычки у новоадминов, от которых им потом будет надо избавляться.

     

  • 1.5, alish (?), 14:02, 13/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >options IPFIREWALL
    >options IPDIVERT
    >options IPFIREWALL_VERBOSE
    >options IPFIREWALL_VERBOSE_LIMIT=10
    >options DUMMYNET
    >options TCP_DROP_SYNFIN
    >
    >Где 1, 2 строки - сама возможность >маршрутизации; 3, 4 - возможность вести логи и >ограничение их списка; 5 - требуется для ведения >статистики; 6 - отброс флуд-пакетов.

    с каких пор dummynet требуется для статистики?

     
  • 1.6, Tavik (??), 14:25, 13/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Статья не моя, поэтому не вчитывался...
    Надо будет подправить...

    Хорошая статья - я полагаю это оно:
    http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=35
    http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=36
    http://www.hub.ru/modules.php?name=Pages&op=showpage&pid=37

    На самом деле тут тоже есть ошибки, автор присылал их исправления как-то, но сначала у меня, а потом у него сдохли винты :(

     
     
  • 2.21, ya (?), 22:37, 13/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Извините что не по теме но складывается впечатление что как только что то важное положено на диск он ... ниминуемо сдыхает. Данный момент очень часто встречается на различных форумах среди юниксоидов. Ничего не имею против подобного класса ОСов, сам использую оные в работе ... но за последние 2 года с момента появления дисков seagate baracuda на моем рабочем компе не потерял ни байта важной и не очень информации ... при этом диск раз пять ремапился но установленная в те далекие времена XP продолжала исправно работать и восстанавливать мою инфу. Ну и совсем для меня естественно хранить несколько копий инфы в различных местах, делая резервные копии.

    Говоря словами небезизвестного автора: - может в филармонии что то подправить ..................

     
     
  • 3.23, _Nick_ (??), 22:53, 13/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    А что за ОС ты пользовал?? Так и не сказал.

    Если что-то страше 10 лет релиза, то сравнивать с 2 летней давности XP уже нехорошо.

     

  • 1.10, Igor (??), 16:52, 13/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Правило передающее пакеты на обработку демону natd отсуствует, а значит работаь не будет. Надо хотябы после всех pip-ов добавить:
    /sbin/ipfw add divert natd all from any to any via {$if}
    И вообще почему статья маршрутизацией названа? natd вроде к прокси ближе...
     
     
  • 2.12, uldus (ok), 17:32, 13/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >будет. Надо хотябы после всех pip-ов добавить:
    >/sbin/ipfw add divert natd all from any to any via {$if}

    Если natd_enable=YES, то в rc.firewall для типа "open"  вначале уже есть готовый блок для прописывания divert.

     

  • 1.11, Stingo (??), 17:24, 13/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    NAT - network address translation и причем тут routing? А то что написано.. хм.. в топку.
     
  • 1.14, Grayich (??), 20:22, 13/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вообщем непонятно на кого статья расчитана
    для знающих она ненужна, новичков же она ничему хорошему ненаучит да и скорее только запутает
     
     
  • 2.15, _Nick_ (??), 20:25, 13/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >вообщем непонятно на кого статья расчитана
    >для знающих она ненужна, новичков же она ничему хорошему ненаучит да и
    >скорее только запутает

    это для дебилов/маразматиков/извращенцев

    ни один нормальный человек не будет подымать продакшн роутинг через юзер-левел. То же самое - и NAT через юзерлевел. Это все израты бсд.

    Поставил Линуха, развернул кого куда нуна сорсроутингом и расслабился

     
     
  • 3.17, edwin (ok), 20:51, 13/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    > Это все израты бсд.
    Даже если тебе не нравиться natd(который к слову сказать неплохо работает), то есть замечательная альтернатива - pf или ipf(не все nat'ит).
    Которые nat'т на kernel level
    Или ты не слышал про такое?
     
  • 3.52, в (?), 10:44, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/

    >ни один нормальный человек не будет подымать продакшн роутинг через юзер-левел. То
    >же самое - и NAT через юзерлевел. Это все израты бсд.

    я вот юзаю 6-CURRENT и не парюсь, там поддержка nat в самом ipfw.

     

  • 1.16, Av (??), 20:39, 13/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У последного товарища, судя по всем мною виденным сообщениям, присутствует какой-то комплекс или аллергия могза на бсд  
     
     
  • 2.18, _Nick_ (??), 21:03, 13/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >У последного товарища, судя по всем мною виденным сообщениям, присутствует какой-то комплекс
    >или аллергия могза на бсд

    после ебли с фбсд/natd 2 года - конечно и комплекс и паранойя и аллергия

    после линуха - все кака рукой сняло.

     
     
  • 3.19, BB (??), 21:59, 13/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    2 _Nick_ ты-б ищо про полуось вспомнил :) Для своего времени супер ОС была.
    Эт я к тому что ipfw достаточн древен и сейчас есть более удобные/продвинутые механизмы обустройства nat,fw и пр. дел в *bsd
     
     
  • 4.20, _Nick_ (??), 22:10, 13/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >2 _Nick_ ты-б ищо про полуось вспомнил :) Для своего времени супер
    >ОС была.
    >Эт я к тому что ipfw достаточн древен и сейчас есть более
    >удобные/продвинутые механизмы обустройства nat,fw и пр. дел в *bsd

    тогда я прав в высказывании про маразматиков.
    Какого хрена юзать древние "технологии" с натд, когда есть что-либо более человеческое??

     
     
  • 5.22, stripe (?), 22:41, 13/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не гибок. В сад.
     
     
  • 6.24, Moralez (ok), 05:29, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Это не гибкость, а извраты. В BSD с маршрутизацией вообще не очень (уже обсуждалось недавно, нет, напр. multipath).
     

  • 1.55, pavel (??), 11:01, 14/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ipfw ,в отличие от pf - стандартный для bsd способ.Да, медленно, зато надежно.Нет тех приколов,которые были с pf/ipf...
    >100gb  месяц
    проходит у меня через сервер.
    А про ssh-никакой дополнительной безопасности permitrootlogin no не добавляет.
     
     
  • 2.58, edwin (ok), 12:30, 14/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >ipfw ,в отличие от pf - стандартный для bsd способ.

    Не так и медленно.
    Даже на больших роутерах работает хорошо.

    > Нет тех приколов,которые были с pf/ipf...

    Действительно, проблемы были.
    Во вот сечйчас у меня кое где(FreeBSD 5.4) pf&altq стоит - НИКАКИХ нареканий.
    Прекрастно работает


     

  • 1.65, javid (ok), 14:14, 12/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    я например Трахаюсь уже 3 дня, чтобы направлять етот вонючий трафик, в интернет.
    и если у меня не получится я перейду на линукс, и проклину БЗД!!!!!!!!!!!.
     
     
  • 2.66, grayich (ok), 14:16, 12/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    страшно то как =)
     
  • 2.67, mdv (??), 15:19, 12/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >я например Трахаюсь уже 3 дня, чтобы направлять етот вонючий трафик, в
    >интернет.
    >и если у меня не получится я перейду на линукс, и проклину
    >БЗД!!!!!!!!!!!.

    А чо трахаться то? надо настроить и всё. :)
    Здесь вам не шахматы, здесь думать надо (c) ;)
    Я думаю, что с линухом будут те же проблемы :)

    Что не получается то?

     
     
  • 3.68, javid (ok), 21:19, 12/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А чо трахаться то? надо настроить и всё. :)
    >Здесь вам не шахматы, здесь думать надо (c) ;)
    >Я думаю, что с линухом будут те же проблемы :)
    >
    >Что не получается то?

    думаю что нашел выход. надо в ppp.conf профиль создать. например после rl0: названия провайдера. ,,?? как вы думаете, мне так сказали, сам много раз прочел маны, форумы, вродебы все нормально.
    вот сценарий- юникс 7.2 имеет 2 сетевухи, один внеш, другой внутрь. Айпи все правильно задано. он же как шлюз, к адсл модему который стоит как мост pppOE. другой комп с виндовс, как клиент должен выйти в интернет через все ето. здесь что надо, например настроить.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру