URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 55828
[ Назад ]

Исходное сообщение
"PF и преобразование доменного имени!"
Отправлено Sanchez , 22-Апр-05 17:16

Здравствуйте, перевел сервак FreeBSD на PF.
Раньше при использовании IPFW было очень удобно запрещать доступ к разным доменам.
Например, имеем два ресурса porno.ru и mail.ru, допустим они лежат у одного
хостера и имеют один и тот же IP.
В IPFW можно было написать правила, allow mail.ru, deny porno.ru и все работало.
В PF хрен, пишу pass mail.ru, block porno.ru. PF берет и преобразовывает доменные имена в IP адреса.
Возможно, ли сделать так что PF не будет производить преобразование доменов в IP адреса?
Как заставит PF фильтровать по ДОМЕННЫМ именам?

Содержание

PF и преобразование доменного имени!,Artem, 15:14 , 23-Апр-05
- PF и преобразование доменного имени!,мелкая_пакость, 15:49 , 23-Апр-05
PF и преобразование доменного имени!,AMDmi3, 16:00 , 23-Апр-05

Сообщения в этом обсуждении

"PF и преобразование доменного имени!"
Отправлено Artem , 23-Апр-05 15:14

Не понимаю, почему бытует мнение что PF очень функциональный МЭ?
Вместо того что бы добавлять непонятные (ненужные фичи) типа, определения ОС.
Лучше бы разработчики добавили возможность резать файлы по расшерению (mp3 и т.д.) как это сделано в IPTABLES!
Ну а данный вопрос Sancheza, лишний раз подтверждает недолеланность и непродуманность данного продукта.
P.S. Самому приходится обрубать доступ к одним, и разрешать доступ к другим сайтам по доменному имени, т.к. случается что хостятся эти сайты на одном IP.

"PF и преобразование доменного имени!"
Отправлено мелкая_пакость , 23-Апр-05 15:49

>Не понимаю, почему бытует мнение что PF очень функциональный МЭ?
>Вместо того что бы добавлять непонятные (ненужные фичи) типа, определения ОС.
>Лучше бы разработчики добавили возможность резать файлы по расшерению (mp3 и т.д.)
>как это сделано в IPTABLES!
>Ну а данный вопрос Sancheza, лишний раз подтверждает недолеланность и непродуманность данного
>продукта.
>
>P.S. Самому приходится обрубать доступ к одним, и разрешать доступ к другим
>сайтам по доменному имени, т.к. случается что хостятся эти сайты на
>одном IP.
потому что быстрый, стабильный, безглючный и синтаксис понятен даже дереву. а для обрезания доменных имён и файлов по расширению давно придуман squid, pf это в первую очередь *пакетный фильтр*, а не фильтр контента - и возможность писать в конфиге доменные имена появилась исключительно для удобства и удобочитаемости конфига
"непродуманность" сказано мощно %))))

"PF и преобразование доменного имени!"
Отправлено AMDmi3 , 23-Апр-05 16:00

>Здравствуйте, перевел сервак FreeBSD на PF.
>Раньше при использовании IPFW было очень удобно запрещать доступ к разным доменам.
>
>Например, имеем два ресурса porno.ru и mail.ru, допустим они лежат у одного
>
>хостера и имеют один и тот же IP.
>В IPFW можно было написать правила, allow mail.ru, deny porno.ru и все
>работало.
>В PF хрен, пишу pass mail.ru, block porno.ru. PF берет и преобразовывает
>доменные имена в IP адреса.
>Возможно, ли сделать так что PF не будет производить преобразование доменов в
>IP адреса?
>Как заставит PF фильтровать по ДОМЕННЫМ именам?
Что-то вы путаете. IPFW не мог фильтровать по доменам, т.к. в заголовках IP/TCP пакетов доменов, как известно, нет, а про HTTP он ничего не знает и не должен.
Ман ipfw:
Hostnames are resolved at the time the rule is added to the firewall list.
Так что надо понимать принцыпы работы firewall'ов, прежде чем их настраивать.
allow что-то, deny то-же-самое, разумеется будет работать как allow, а для фильтрафии http есть squid, как уже сказали.