URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 12782
[ Назад ]

Исходное сообщение
"OpenNews: Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фильтр для Linux"

Отправлено opennews , 21-Ноя-05 16:44 
Построенный с использованием системы HiPAC (http://www.hipac.org/) пакетный фильтр, более оптимально проверяющий условия на каждый пакет (производительность практически не зависит от числа правил).

Имеются средства для быстрого динамического обновления набора правил.


Оптимален  при огромном количестве правил или при большом сетевом трафике. nf-HiPAC фильтр с  25 тысячами правил по производительности приближается (http://www.hipac.org/performance_tests/overview.html) к iptables c 50 правилами.


Другой высокопроизводительный вариант задания больших наборов правил - ipset (http://ipset.netfilter.org/) + iptables.

URL: http://www.netfilter.org/projects/hipac/index.html
Новость: http://www.opennet.me/opennews/art.shtml?num=6476


Содержание

Сообщения в этом обсуждении
"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фильтр для Linux"
Отправлено Аноним , 21-Ноя-05 16:44 
Только пока неумеет нат и много чего ещё.

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено злобный , 21-Ноя-05 19:24 
разве натить - дело _фильтра_ ?

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено bmc , 22-Ноя-05 08:26 
>разве натить - дело _фильтра_ ?

да


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено bat0r , 22-Ноя-05 10:21 
а iproute2  - тоже фильтр? а он натит

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Аноним , 22-Ноя-05 15:13 
что iptables, что iproute2 - это утилиты для настройки работы netfilter.
Т.е. возможности NAT у них одинковы. Различются только методы настройки.
nf-HiPAC - же вообще незнает, что такое NAT.
Не факт, что после патчения ядра - можно будет настроить NAT через iproute2

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено si , 22-Ноя-05 15:17 
+      Basically, you can think of nf-HiPAC as an alternative, optimized
+      iptables filter table. Note that it cannot be used for packet
+      mangling or NAT but you can still adopt iptables' mangle or nat
+      table for that purpose since nf-HiPAC and iptables can be used
+      together at the same time.

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Аноним , 22-Ноя-05 17:41 
После таких ответов идем читать мат. часть...
Надо отделять мух от котлет (правила фильтрации от правил трансляции), одну технологию от другой, наконец!

Ну что за тенденция: всякий, мало-мальски обученный пользоваться инструментом, пионэр тут же стремится сказать всем, что этот инструмент медленный/кривой/неправильный и вообще, что надо было все не так делать?!

Товарищ, в действительности все не так, как на самом деле!

Разделение логики функционирования очень полезно и удобно, и не надо говорить, что овощерезка должна картошку еще и жарить.

По-вашему, бытовой фильтр воды должен, кроме фильтрации загрязнений, еще и воду в вино превращать? =)


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено bmc , 23-Ноя-05 15:42 
Разделять конечно хорошо, но связка - есть связка. Пакетный фильтр без возможности НАТ-а - баловство.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фильтр для Linux"
Отправлено VladimirOstrovskiy , 21-Ноя-05 17:58 
поэтому и быстрый видимо

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фильтр для Linux"
Отправлено dropuser , 21-Ноя-05 20:46 
дело фильтра или не дело фильтра - неважно :-)
а на системах с большим кол-вом трафика нафик нат в пакетном фильтре?
зато stateful вроде есть...

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фильтр для Linux"
Отправлено Moralez , 22-Ноя-05 05:00 
Забавно. А что, в linuxовом нетфильтере не создаются динамические правила? То есть, неважно сколько правил мы сконфигурили, проверяться пакеты без SYN будут только по нескольким, как это сделано уже несколько лет в ipfw?

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Mr.Uef , 22-Ноя-05 15:42 
>Забавно. А что, в linuxовом нетфильтере не создаются динамические правила?
А что, очень хочется чтоб не-было? ;) Не повезло тебе. Есть. И тоже "уже несколько лет".



"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Moralez , 23-Ноя-05 08:39 
Да мне не жалко. Но я не уверен, что оно есть. Я проверял меньше, чем "несколько лет" назад :)

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Mr.Uef , 23-Ноя-05 12:16 
Значит плохо проверял.

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено _Nick_ , 24-Ноя-05 04:43 
>Да мне не жалко. Но я не уверен, что оно есть.
если сам не уверен - спроси у того, кто более уверен.
Я - более уверен в вопросах iptables. Ты спросил - я ответил.
Все еще не уверен - перечитай пост еще раз :)

> Я проверял меньше, чем "несколько лет" назад :)
ну, как видишь, и я пару лет назад видел фрю и много чего пропустил.
Пыталсо попиздеть, что там все так же плохо...   ну и ты попробуй ;))


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Moralez , 25-Ноя-05 10:14 
То есть, сейчас правило -j ACCEPT --state RELATED,ESTABLISHED
на самом деле не проверяет лишь наличие флагов, а проходит по таблице динамических правил и НЕ проходит по всем правилам фаервола, по которым прошёл пакет
-j ACCEPT --state NEW
?

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Mr.Uef , 25-Ноя-05 16:08 
Почти так.
Вообще, если есть установленное соединение, то для него создается динамическое правило. Когда проверка доходит до правила с ESTABLISHED,RELATED - она лезет смотреть в динамические правила, и в случае, если такое находится - выполняет ассоциированное действие - в вашем случае ACCEPT.

Установка же соединения обычно регламентируется обычными правилами, которые обычно находятся после правила с ESTABLISHED,RELATED.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фильтр для Linux"
Отправлено Settler , 22-Ноя-05 16:27 
по идее - как напишешь правила - так и будет работать. "динамические" (statefull) правила в iptables даже для udp.

а что - правда кто-то думает что iptables проще устроен, менее красиво, чем ipfw? :)


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Moralez , 23-Ноя-05 04:54 
Не знаю что такое "проще, менее красиво".

В линухе вообще есть аналог keep-state?

Только не надо про SETUP и ESTABLISHED. Это аналог setup,established...


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено _Nick_ , 23-Ноя-05 06:31 
>Не знаю что такое "проще, менее красиво".
>
>В линухе вообще есть аналог keep-state?
исходя из того, что keep-state используеться в основном для ограничения количества коннектов (в еденицу времени, в/на хост и т.д., но именно для ограничения), то вот с iptables:
man iptables (желательно >=1.3.0 version, чтоб не кричал, что "вот нету")
и исчи там модули по таким регекспам %)
.*conn.*
.*limit.*
я насчитал 7 штук. Количество конечно же ни о чем не говорит. Поэтому давай приводи проблему, которую, по твоему мнению, не может решить iptables, но может твой keep-state в ipfw - и я буду тебя порвать.

>Только не надо про SETUP и ESTABLISHED. Это аналог setup,established...
да, не буду. реально разные вещи.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Moralez , 23-Ноя-05 08:36 
"keep-state используеться".... бульк, раздалось из лужи.

"желательно >=1.3.0 version". опять напильник?! а без напильника смогёте? :)


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено si , 23-Ноя-05 13:20 
[root@mysql] #>iptables --version                                                                                                        
iptables v1.3.3
[root@mysql] #>uname -a                                                                                                                  
Linux mysql 2.6.13-15-smp #1 SMP Tue Sep 13 14:56:15 UTC 2005 x86_64 x86_64 x86_64 GNU/Linux
[root@mysql] #>cat /etc/SuSE-release                                                                                                    
SUSE LINUX 10.0 (X86-64)
VERSION = 10.0
все их коробки, ни какого напильника ...

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Moralez , 24-Ноя-05 12:33 
Как вы можете сравнивать FreeBSD и десктопный дистрибчик? production - это в лучшем случае SLES и RHAS/RHEL... хотя там столько недочётов, что я бы и из не отнёс. Но остальное вообще шансов не имеет...

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено dimus , 24-Ноя-05 14:48 
>Как вы можете сравнивать FreeBSD и десктопный дистрибчик? production - это в
>лучшем случае SLES и RHAS/RHEL... хотя там столько недочётов, что я
>бы и из не отнёс. Но остальное вообще шансов не имеет...
>

Детский лепет. Вы, похоже, совершенно не в курсе дела.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено _Nick_ , 24-Ноя-05 22:49 
>Как вы можете сравнивать FreeBSD и десктопный дистрибчик?

да, чел реально влез неясно откуда со своим АЛЬТом.
Но, спорим то мы о фаерволах.
И будь то трижды "десктопный" Линух, он такое уммеет, а "раскошная" фря - нет.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Moralez , 25-Ноя-05 06:16 
Дорогой мой! ОСь роскошной делает не какая-то невнятная фича фаервола, а совокупность параметров. Где-то там, в сферическом офисе, где надо разрешить активный ftp, я б поставил linux (RHAS/RHEL/SLES). Но в реальной жизни мне это НЕ надо. Мне надо, чтобы админить было легко и простоев не было, но при этом софт был не протухшим. Поэтому все версионные линуксы идут пешим строем. В том числе и gentoo, который сегодня есть, а завтра ХЗ, т.к. всех главарей микрософт скупил... :-)

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Mr.Uef , 25-Ноя-05 09:43 
>ОСь роскошной делает не какая-то невнятная фича фаервола, а совокупность
>параметров.

По этой причине я и слез с фрюхи. Т.к. линух сейчас активно продвигают мощные компании типа МежДелМаша и Новела. И, главное для меня, он поддерживается Ораклом. А Фря - нет. Вот тебе и совокупность.
За Фрей остаются только фаерволы в небольших организациях
и, конечно, www пока мелкомягкие не пересадили всех на ИИС.

ЗЫ Искренне жаль, т.к. на мой взгляд Фря красивее Линуха.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Moralez , 25-Ноя-05 09:53 
Популяризируя линукс они делают его хуже. Это на взгляд половозрелого админа. :)

Сколько лично под вами серверов и на скольких стоит Oracle?
У меня 15 и только на одном БД, где более, чем хватает PostgreSQL. Что вам мешает поставить на сервере DB linux, а на остальных нормальную операционку? :)

Я не наблюдаю тенденции "пересаживания всех на ИИС". Как было решето для внутренних, изолированных от инета, сеток, так им и остаётся...


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Mr.Uef , 25-Ноя-05 15:24 
>Популяризируя линукс они делают его хуже. Это на взгляд половозрелого админа. :)

Пусть хуже, но более боеспособным перед нашествием Винды. Т.е. агонизировать будет дольше. Тоже вобщем-то не девственник. :)

>Сколько лично под вами серверов и на скольких стоит Oracle?
Тоже 15 , но Оракл стоит только на трех.

>Что вам мешает поставить на сервере DB linux, а на
>остальных нормальную операционку? :)
Так и сделано. Где не стоит по долгу службы соляра или линукс стоит виндовс ;)

>Я не наблюдаю тенденции "пересаживания всех на ИИС". Как было решето для
>внутренних, изолированных от инета, сеток, так им и остаётся...
Я говорю о далекой перспективе,  когда останется одна винда.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено _Nick_ , 25-Ноя-05 20:03 
>Мне надо, чтобы админить было легко и простоев не
>было, но при этом софт был не протухшим.
кто мешает апдейтиццо?

>Поэтому все версионные линуксы идут пешим строем.
>В том числе и gentoo, который сегодня
>есть, а завтра ХЗ, т.к. всех главарей микрософт скупил... :-)

версионные - перманентно и эротически.
А про генту (уже запомнил, что я юзаю ;) РЕСПЕКТ!) ты, вообще-то, просто так притулил :) Что значит завтра его не будет?? Думай что говоришь. Кто бы чего не скупил - GPL'd софт легко перехватиться другими активистами (как видишь, их хватает). Не всем что-то ТОЛЬКО НУЖНО ("Мне надо, чтобы админить было легко и простоев не было..."), но кое-то может также ДАТЬ что-то ОС, которую любит. Так что товарисч, расслабь булки. Кто кого скупил - их дело. А дело остальных гентушников делать бздю с их устаревшыми в принципах портами по всем параметрам.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено capt , 25-Ноя-05 10:40 
>production - это в лучшем случае SLES и RHAS/RHEL...

Стоят 2 SLES'a, ждут, когда снесу и поставлю SuSE, как на остальных серверах :)


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Moralez , 25-Ноя-05 14:02 
Capt, потому что софт в SLES9 протух, а SLES10 всё не рожают? Это повод поставить недодистриб на ядре 2.6 и поддержкой в 6 (емнип) месяцев?

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Settler , 23-Ноя-05 13:21 
>"keep-state используеться".... бульк, раздалось из лужи.
>
>"желательно >=1.3.0 version". опять напильник?! а без напильника смогёте? :)

Вперед. Покажи мне как на ipfw делать вот это:

http://www.netfilter.org/documentation/HOWTO/packet-filterin...

(да, я знаю что НИКАК, но вдруг ты знаешь, что чудо бывает) :)


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено nobody , 24-Ноя-05 09:30 
IIRC netfilter/iptables understands stuff like the in-kernel ftp
proxy as 'connection tracking'.

pf(4) doesnt do this directly, use ftp-proxy(8).

(c) http://www.monkey.org/openbsd/archive/misc/0211/msg01079.html

в принципе как и в netfilter, требуется дополнительные модули. В случае нетфильтер - ip_conntrack, insmod ip_conntrack_ftp (судя по ссыке), в случае pf - ftp-proxy(8).

Там kernel level, здесь user level.

PS. на топик все забили :)


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено _Nick_ , 24-Ноя-05 04:29 
>"keep-state используеться".... бульк, раздалось из лужи.
т.е. это НЕ используеться??
ок. А нах оно тогда?
Или чего именно нужно?? Хотелось аналогов?? Есть
Или именно "keep-state"?? Так может тогда мы дружно поищем именно vserver под бздей??? Или именно UML (несмотря на то, что это юзер моде ЛИНУКС).
Нужна фича - она есть. А как называется - давайте это уж будет проблема авторов.

>"желательно >=1.3.0 version". опять напильник?! а без напильника смогёте?
>:)

ok. Давай мне NAT в ядре в 3.5 бзде. Фонарь?? Напильник??
Иди в лес.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фильтр для Linux"
Отправлено DmA , 22-Ноя-05 22:33 
>а что - правда кто-то думает что iptables проще устроен, менее красиво, чем ipfw? :)'

помоему все FreeBSВшники так думают к сожалению


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Settler , 22-Ноя-05 23:56 
да и пусть думают, почему к сожалению :) я надеюсь что "все фри-бсдшники" - это не разработчики ядра freebsd - и они таки когда-нибудь, напишут что-нибудь напоминающее по нормальности использования netfilter/iptables.

пока-же ipfw просто убогий. ipfilter/pf - тем более.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено nobody , 23-Ноя-05 09:25 
а если конкретно?
Как долго ты пользовал ipfw/ipfilter/pf ?

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Settler , 23-Ноя-05 13:14 
>а если конкретно?
>Как долго ты пользовал ipfw/ipfilter/pf ?

зачем вам статистика? :)
iptables - столько, сколько он существует (лет 5)
ipfw - весь этот год

мне от ipfw много не нужно. на сегодня, я знаю, что ipfw не может реализовать вот это:

#!/bin/sh
#eth0 - внешний интерфейс, смотрящий "в интернет"
#
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT                                
iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT                                      
iptables -A INPUT -j DROP                                                                        
                                                                                                    
с аналогичной функциональностью (я про RELATED/conntrack_ftp например).


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено odip , 23-Ноя-05 18:03 
>мне от ipfw много не нужно. на сегодня, я знаю, что ipfw
>не может реализовать вот это:
>
>#!/bin/sh
>#eth0 - внешний интерфейс, смотрящий "в интернет"
>#
>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
>
>iptables -A INPUT -j DROP
>
>с аналогичной функциональностью (я про RELATED/conntrack_ftp например).

ты сначала расскажи что это


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Settler , 23-Ноя-05 18:41 
разрешены все исходящие соеденения, запрещены все входящие.
принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать активный и пассивный ftp.

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Egor , 23-Ноя-05 20:13 
>разрешены все исходящие соеденения, запрещены все входящие.
>принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
>активный и пассивный ftp.

а keep-state как раз применить?
Вообще, оба файрвола умеют все, что разумному человеку надо. Тут уж у кого к какому файрволу или системе душа лежит.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено _Nick_ , 24-Ноя-05 05:13 
>>разрешены все исходящие соеденения, запрещены все входящие.
>>принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
>>активный и пассивный ftp.


>а keep-state как раз применить?
примени. Возьми и напиши полный набор правил на IPFW для реализации этого.
Докажи, что ты понял задачу и умеешь ответить за свои слова.

>Вообще, оба файрвола умеют все, что разумному человеку надо.
как видишь, не все и не всё.

> Тут уж у кого к какому файрволу или системе душа лежит.
иногда нужно работать, а не пальцо гнуть. И ipfw - древность прошлого.
А душа лежит к тому, что работает.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено BB , 23-Ноя-05 21:52 
>разрешены все исходящие соеденения, запрещены все входящие.
>принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
>активный и пассивный ftp.

И еще раз ой мне :) если по тупому и на pf то это выглядит след образом, к примеру если fxp0 внешний интерфейс:

block log all #все заблокированые пакеты отразятся в pflog0
pass out on fxp0 inet proto {tcp,udp,icmp} from (fxp0) to any keep state

если хочешь что-бы вооще все красиво было то вот так:

block log all #все заблокированые пакеты отразятся в pflog0
pass out on fxp0 inet proto tcp from (fxp0) port>1023 to any flags S/SAFR keep state
pass out on fxp0 inet proto udp from (fxp0) port>1023 to any keep state
pass out on fxp0 inet proto icmp from (fxp0) keep state


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Settler , 23-Ноя-05 23:16 
да нет в pf/ipfw коннекшен-трекинга, ну что-вы как маленький.
я полгода копал - думал, что что-то не понимаю... нету :(

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено BB , 24-Ноя-05 10:35 
>да нет в pf/ipfw коннекшен-трекинга, ну что-вы как маленький.
>я полгода копал - думал, что что-то не понимаю... нету :(

Эта, все пингвиноиды такие зануды ? ты спрашивал русским языком как в pf реализовать вот такую вещь : " разрешены все исходящие соеденения, запрещены все входящие.
принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать активный и пассивный ftp."

Я тебе написал реализацию на pf (правда без поддержки активного ftp) что тебя не устраивает???


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено _Nick_ , 24-Ноя-05 22:36 
>Эта, все пингвиноиды такие зануды ? ты спрашивал русским языком как в
>pf реализовать вот такую вещь : " разрешены все исходящие соеденения,
>запрещены все входящие.
>принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
>активный и пассивный ftp."
>
>Я тебе написал реализацию на pf (правда без поддержки активного ftp) что
>тебя не устраивает???

ты нерусский? тебе нормально сказали (и показали элегантность реалиции в iptables), что нужно не просто запретить входящие коннекты (это ЛЮБОЙ фаерволл умеет), но при этом еще и разрешать входящие с FTP сервера.
В этом то и фича, а ты "правда без поддержки активного ftp".
Вот именно, что БЕЗ поддержки.
Вот именно поэтому iptables мощнее ipfw, что и требовалось доказать.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Осторожный , 24-Ноя-05 11:32 
>да нет в pf/ipfw коннекшен-трекинга, ну что-вы как маленький.
>я полгода копал - думал, что что-то не понимаю... нету :(

keep-state в ipfw - это разъве не коннекшен-трекинг ?
там правда icmp на tcp/udp не обрабатываются :(

а вот в pf ICMP обратываются - чем не коннекшен-трекинг ?

Насколько я понял в Linux нужен iptables >= 1.3.0 ?
Скажем в AltLinux Master 2.4 его нет - а ему всего год


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Settler , 24-Ноя-05 11:56 
>keep-state в ipfw - это разъве не коннекшен-трекинг ?
>там правда icmp на tcp/udp не обрабатываются :(
>
>а вот в pf ICMP обратываются - чем не коннекшен-трекинг ?

это stateful. про это никто не говорит :)

>
>Насколько я понял в Linux нужен iptables >= 1.3.0 ?
>Скажем в AltLinux Master 2.4 его нет - а ему всего год

не знаю зачем версию указали. на iptables 1.2.* по моему все работает как надо. может что-то и добавили ценного в 1.3, я не смотрел.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено _Nick_ , 24-Ноя-05 05:16 
>block log all #все заблокированые пакеты отразятся в pflog0
>pass out on fxp0 inet proto {tcp,udp,icmp} from (fxp0) to any keep
>state
>
>если хочешь что-бы вооще все красиво было то вот так:
>
>block log all #все заблокированые пакеты отразятся в pflog0
>pass out on fxp0 inet proto tcp from (fxp0) port>1023 to any flags S/SAFR keep state
>pass out on fxp0 inet proto udp from (fxp0) port>1023 to any keep state
>pass out on fxp0 inet proto icmp from (fxp0) keep state


ГЫ. А где разрешить коннект от FTP сервака по активному сценарию FTP сессии?? ;))


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено BB , 24-Ноя-05 11:03 
>ГЫ. А где разрешить коннект от FTP сервака по активному сценарию FTP
>сессии?? ;))
Да правильно, в данном примере коннект с активным ftp отсутствует. Но не потому что он не реализуем - лехко
просто с моей точки зрения - активный ftp это потенциальная дыра. И это не обсуждается.
Все остальные требования в моем примере реализованы, как в сокращенном виде так и в расширеном.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Settler , 24-Ноя-05 11:17 
>>ГЫ. А где разрешить коннект от FTP сервака по активному сценарию FTP
>>сессии?? ;))
>Да правильно, в данном примере коннект с активным ftp отсутствует. Но не
>потому что он не реализуем - лехко
>просто с моей точки зрения - активный ftp это потенциальная дыра. И
>это не обсуждается.
>Все остальные требования в моем примере реализованы, как в сокращенном виде так
>и в расширеном.


ну а по моему - это не работает и это плохо. и это тоже не обсуждается. потому, что МНЕ это НУЖНО.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено BB , 24-Ноя-05 11:28 
>ну а по моему - это не работает и это плохо. и
>это тоже не обсуждается. потому, что МНЕ это НУЖНО.

ты утверждаешь что конструкция вида:

block log all
pass out on fpx0 inet proto {tcp,udp,icmp} from (fxp0} to any keep state

не отвечает критерию "разрешены все исходящие соеденения, запрещены все входящие. принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). Будет работать пассивный ftp"
????


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено _Nick_ , 24-Ноя-05 22:47 
>ты утверждаешь что конструкция вида:
>
>block log all
>pass out on fpx0 inet proto {tcp,udp,icmp} from (fxp0} to any keep
>state
>
>не отвечает критерию "разрешены все исходящие соеденения, запрещены все входящие. принимаются ответы
>на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). Будет работать пассивный
>ftp"
>????

ГЫ. А куда АКТИВНЫЙ FTP задевал?? ;)))))))
Не нуна хитрить, товарисч.
Подавай закрытый ФВ с возможностью активного FTP.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено butcher , 28-Ноя-05 09:14 
>ГЫ. А куда АКТИВНЫЙ FTP задевал?? ;)))))))
>Не нуна хитрить, товарисч.
>Подавай закрытый ФВ с возможностью активного FTP.

В ipfw изначально не было поддержки NAT, что сейчас уже практически включено в базовую систему.
Для активного FTP - читайте natd(8) на предмет -punch_fw.


"Активный FTP"
Отправлено Осторожный , 24-Ноя-05 11:42 
>>>ГЫ. А где разрешить коннект от FTP сервака по активному сценарию FTP
>>>сессии?? ;))
>>Да правильно, в данном примере коннект с активным ftp отсутствует. Но не
>>потому что он не реализуем - лехко
>>просто с моей точки зрения - активный ftp это потенциальная дыра. И
>>это не обсуждается.
>>Все остальные требования в моем примере реализованы, как в сокращенном виде так
>>и в расширеном.

Я тоже считаю, что активный ftp не нужен.
Проблемы с безопасностью - это раз.

Реально использование обламывается:
Допустим я настроил что мой ftp-сервер можно использовать с активными соединениям.
Приходит ко мне какой-нибудь удаленный клиент из-под Нат - естественно у него активный ftp обламывается - если не применять специальных ухищрений
на той стороне (!!!). Заставлять же настраивать каждый маршрутизатор каждого клиента - нет уж. Проще перейти на пассивный ftp.
Есть правда поделия Microsoft - ftp-сервер который не поддерживает passive, их остается только выкинуть.


"Активный FTP"
Отправлено _Nick_ , 24-Ноя-05 23:04 
>Я тоже считаю, что активный ftp не нужен.
Красноглазое высказывание.
кому не нужен? тебе не нужен.
А че делать тому, кому НУЖЕН?

Мне он тоже до лампочки.
А вдруг понадобиться, то срочно ОС менять?

>Проблемы с безопасностью - это раз.
два. Безопасность - это проблема FTP клиента.
Что-то с логикой у бсдшников плохо. Свихнулись все на секурити.
Даже не понимают что ИМЕННО отвечает за нее при активной FTP сессии.


>Реально использование обламывается:
>Допустим я настроил что мой ftp-сервер можно использовать с активными соединениям.
>Приходит ко мне какой-нибудь удаленный клиент из-под Нат - естественно у него
>активный ftp обламывается - если не применять специальных ухищрений
>на той стороне (!!!). Заставлять же настраивать каждый маршрутизатор каждого клиента -
>нет уж. Проще перейти на пассивный ftp.

и твоя обязанность не зарубить активный режим на серваке, а сказать клиенту о необходимости использовать passive FTP если он за натом.
Тяжело?

>Есть правда поделия Microsoft - ftp-сервер который не поддерживает
>passive, их остается только выкинуть.

да все от мс лучше выкинуть



"Активный FTP"
Отправлено Осторожный , 25-Ноя-05 14:59 
>>Я тоже считаю, что активный ftp не нужен.
>Красноглазое высказывание.
>кому не нужен? тебе не нужен.
>А че делать тому, кому НУЖЕН?

А мне пофигу что будут делать то кому нужен ;)

>
>Мне он тоже до лампочки.
>А вдруг понадобиться, то срочно ОС менять?

См выше

>
>>Проблемы с безопасностью - это раз.
>два. Безопасность - это проблема FTP клиента.
>Что-то с логикой у бсдшников плохо. Свихнулись все на секурити.
>Даже не понимают что ИМЕННО отвечает за нее при активной FTP сессии.

С логикой плохо у тебя - речь про безопасность на стороне клиента

>
>
>
>>Реально использование обламывается:
>>Допустим я настроил что мой ftp-сервер можно использовать с активными соединениям.
>>Приходит ко мне какой-нибудь удаленный клиент из-под Нат - естественно у него
>>активный ftp обламывается - если не применять специальных ухищрений
>>на той стороне (!!!). Заставлять же настраивать каждый маршрутизатор каждого клиента -
>>нет уж. Проще перейти на пассивный ftp.
>
>и твоя обязанность не зарубить активный режим на серваке, а сказать клиенту
>о необходимости использовать passive FTP если он за натом.
>Тяжело?

А зачем - клиент и так не зайдет с активным ftp,
помается и включит пассивный

>
>>Есть правда поделия Microsoft - ftp-сервер который не поддерживает
>>passive, их остается только выкинуть.
>
>да все от мс лучше выкинуть

Насчет все - это ты явно загнул


"Активный FTP"
Отправлено _Nick_ , 26-Ноя-05 04:25 
>>Мне он тоже до лампочки.
>>А вдруг понадобиться, то срочно ОС менять?
>См выше
плохо. мы тут общие проблемы рассматриваем...


>>>Проблемы с безопасностью - это раз.
>>два. Безопасность - это проблема FTP клиента.
>>Что-то с логикой у бсдшников плохо. Свихнулись все на секурити.
>>Даже не понимают что ИМЕННО отвечает за нее при активной FTP сессии.
>
>С логикой плохо у тебя - речь про безопасность на стороне клиента

из танка на урок чтения в 1-й класс ШАГООООм....
мои слова: "это проблема FTP клиента".
Клиенты _обычно_ на стороне клиента запускают :)
Именно о клиенте я и говорил. Мой руки перед тем как ответ писать.

(хотя и сервер при дата коннекте в активной FTP сессии не застрахован от проблем в ДНК афтора. Если он крив, то и _ответ_ FTP клиента может быть для него _проблемным_)


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено _Nick_ , 24-Ноя-05 22:42 
>Да правильно, в данном примере коннект с активным ftp отсутствует. Но не
>потому что он не реализуем - лехко
ГДЕ? я так и НЕ увидел реализацию этого. приводи набор правил, если это так уж просто.

>просто с моей точки зрения - активный ftp это потенциальная
дыра.

Ты идиот? Броузинг - это тоже потенциальная дыра. Давай не будем броузить ВООБЩЕ. Свихнулсо??

Блин. Ну опять бсдшные съезды.
Нет фичи - то "она не нужна, имхо", то "этого нет, потому что лично я думаю, что это несекурно".

Ну как можно с такими спорить?!!!!


> И это не обсуждается.
Обсуждается. Но в топике о FTP клиентах.

> Все остальные требования в моем примере реализованы, как в сокращенном
> виде так и в расширеном.

так и просили тебя ИМЕННО ЭТО и реализовать. остальное - это все фигня.
Кичься обычным фильтрованием перед молодежью


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено BB , 25-Ноя-05 10:19 
>>Да правильно, в данном примере коннект с активным ftp отсутствует. Но не
>>потому что он не реализуем - лехко
>Ты идиот? Броузинг - это тоже потенциальная дыра. Давай не будем броузить
когда у человека кончаются аргументы, он начинает оскорблять собеседника, это случайно не твой случай ?

дополнительное правило для активного ftp пакетного фильтра PF OpenBSD

rdr on $int_if proto tcp from any to any port ftp -> 127.0.0.1 port 8021
pass in on $ext_if inet proto tcp from port ftp-data to ($ext_if) user proxy flags S/SAFR keep state
>так и просили тебя ИМЕННО ЭТО и реализовать. остальное - это все
>фигня.
>Кичься обычным фильтрованием перед молодежью
Слышь старичок, ты мне лучше напиши для нетфильтра, реализацию якорей, динамических поднаборов правил, аутентификацию пользователей, натирование не только tcp/udp/icmp а и других протоколов семейства IP. затем раскажешь про реализацию очередей, про реализацию транспарент FW, аналоги carp и pfsync, да и многое что еще.
Слушай, старичок, а может ты просто ничего кроме active-ftp и не знаешь, а ?
Вот и носишься с ним как с яйцом, попустно поливая остальных калом ???



"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено _Nick_ , 25-Ноя-05 21:52 
>>>Да правильно, в данном примере коннект с активным ftp отсутствует. Но не
>>>потому что он не реализуем - лехко
>>Ты идиот? Броузинг - это тоже потенциальная дыра. Давай не будем броузить
>когда у человека кончаются аргументы, он начинает оскорблять собеседника, это случайно не
>твой случай ?
конечно мой. Что тебе еще сказать, когда мы говорим о возможностях фаервола, а ты съежаешь на секурность FTP клиентов. Это назвать нормальным ходом мышления я не моуг - поэтому назвал тебя идиотом. Это, правда, высшая степень сумашествия. Посему, да, я пергнул. С тебя и шизофреника хватит.

>дополнительное правило для активного ftp пакетного фильтра PF OpenBSD
>
>rdr on $int_if proto tcp from any to any port ftp -> 127.0.0.1 port 8021
>pass in on $ext_if inet proto tcp from port ftp-data to ($ext_if)
>user proxy flags S/SAFR keep state

"pass .... from port ftp-data" - в сад. Я тебя с таким фв просканю с 20 порта КАК угодно, а ты и п...ть не успеешь.

>Слышь старичок, ты мне лучше напиши для нетфильтра, реализацию якорей,
какую возможность реализует сия фича? приведу аналоги.

>динамических поднаборов правил
аналог:
man iptables |egrep "limit|conn" -A 20

>аутентификацию пользователей,
модуль owner. Если что другое хочешь - проясни вопрос.

>натирование не только tcp/udp/icmp а и других протоколов
>семейства IP.
iptables -t nat -I POSTROUTING -d 3.4.5.6 -p <PROTO_NUM> -j SNAT --to-source 4.5.6.7

в PROTO_NUM пихай че хочешь.
# iptables -t nat -L -nv| grep 3.4.5.6 -B 1
  pkts bytes target     prot opt in     out     source               destination
    0     0 SNAT       3    --  *      *       0.0.0.0/0            3.4.5.6             to:4.5.6.7


>затем раскажешь про реализацию очередей
мы о шейпере?? или о шейпере в ipfw :) который рулиццо by queue и pipe'ами?
фсад. HTB для этого мы раскурили ранее.

>про реализацию транспарент FW
bridge+Bridged IP/ARP packets filtering
Спросил бы че-нить посложнее ;))

>аналоги carp и pfsync
linux-ha.org
и
pkttables

>да и многое что еще.
что именно? %)

>Слушай, старичок, а может ты просто ничего кроме active-ftp и не знаешь,
>а ?
знаю ;)
просто вот товарищи отличный пример запостили. Мне он понравилсо - и все.
Мечтаю увидеть аналог такого дела на IFPW/PF или че там еще вы пользуете.

>Вот и носишься с ним как с яйцом, попустно поливая остальных калом
>???

а че б не полить, если вам прикрыцца нечем? ;)


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено BB , 26-Ноя-05 23:02 
>>твой случай ?
>конечно мой. Что тебе еще сказать, когда мы говорим о возможностях фаервола,
>а ты съежаешь на секурность FTP клиентов. Это назвать нормальным ходом
>мышления я не моуг - поэтому назвал тебя идиотом. Это, правда,
>высшая степень сумашествия. Посему, да, я пергнул. С тебя и шизофреника
>хватит.

Скучно с тобой :(

>"pass .... from port ftp-data" - в сад. Я тебя с таким
>фв просканю с 20 порта КАК угодно, а ты и п...ть
>не успеешь.

Испугал ыжа голой попой :) тебе ip сказать что-бы ты поразвлекался ?:))
>>затем раскажешь про реализацию очередей
>мы о шейпере?? или о шейпере в ipfw :) который рулиццо by
>queue и pipe'ами?
>фсад. HTB для этого мы раскурили ранее.

Читаем внимательно: речь идет об PF

>Мечтаю увидеть аналог такого дела на IFPW/PF или че там еще вы
>пользуете.
А тебе нарисовали его для PF, или ты только свои посты читаешь?  


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено _Nick_ , 27-Ноя-05 01:01 
>>Мечтаю увидеть аналог такого дела на IFPW/PF или че там еще вы
>>пользуете.
>А тебе нарисовали его для PF, или ты только свои посты читаешь?
>
нарисовали просто DENY для ВСЕХ входящих. Тема е%ли с активным FTP в PF твоем НЕ раскрыта.

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Moralez , 24-Ноя-05 11:12 
Когда pf настраивается на самом ftp-сервере:

pass  in  quick proto tcp from any to self user ftp flags S/SA keep state

если не на нём, man ftp-proxy


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено saylor_ua , 24-Ноя-05 11:16 
НА IPFW
ipfw add pass ip from me to any keep-state setup
>разрешены все исходящие соеденения, запрещены все входящие.
>принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
>активный и пассивный ftp.

Насколько я понял задачу - реализуется 1 правилом



"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено _Nick_ , 24-Ноя-05 22:44 
>НА IPFW
>ipfw add pass ip from me to any keep-state setup
>>разрешены все исходящие соеденения, запрещены все входящие.
>>принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
>>активный и пассивный ftp.
>
>Насколько я понял задачу - реализуется 1 правилом

неправильно понял. Входящий коннект (в рамках активной FTP сессии) пойдет в пеший эротический поход (c) ???
Не нужно от этого съежжать. Именно ЭТО и хочеца увидеть в ipfw.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Wulf , 25-Ноя-05 11:05 
Специально для группы особо разтрындившихся флеймеров:
цитата из man natd от FreeBSD 5.4 по поводу опции -punch_fw:
-punch_fw basenumber:count
            This option directs natd to ``punch holes'' in an
            ipfirewall(4) based firewall for FTP/IRC DCC connections.
            This is done dynamically by installing temporary firewall
            rules which allow a particular connection (and only that con-
            nection) to go through the firewall.  The rules are removed
            once the corresponding connection terminates.

цитата из "FAQ по пакетным фильтрам и NAT":
natd поддерживает transparent proxy для протоколов FTP, IRC, ICMP, PPTP, RTSP, PNA, NetBios over TCP/IP и Cisco Skinny Station protocol

Так-что, активный FTP поддерживают все 3 пакетных фильтра FreeBSD


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено _Nick_ , 26-Ноя-05 04:37 
>Так-что, активный FTP поддерживают все 3 пакетных фильтра FreeBSD
респект.
но поправка. Не фильтры его поддерживают, а natd.
Фильтры пока что в Ж...

Но, исходя из бздевого натинга на юзерлевеле, можно с натяжкой считать
что бздя умеет активный FTP в закрытым ФВ.
зачет.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено _Nick_ , 23-Ноя-05 07:36 
>>а что - правда кто-то думает что iptables проще устроен, менее красиво, чем ipfw? :)'
>помоему все FreeBSВшники так думают к сожалению

так думают только те, кто пробовал ipfw, но в то же время толком не понял iptables. А кто не въехал - именно тот и кричит. Сам иногда такой.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено BB , 23-Ноя-05 09:49 
Мда, действительно, вот я ну никак не смог въехать в логику netfilter куча каких-то левых словечек, конфиг в результате получается совсем нечитабельный. у pf синтаксис явно проще и логичнее

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Settler , 23-Ноя-05 13:19 
>Мда, действительно, вот я ну никак не смог въехать в логику netfilter
>куча каких-то левых словечек, конфиг в результате получается совсем нечитабельный. у
>pf синтаксис явно проще и логичнее

в конечно итоге, _мне_лично_ главное что-бы работало, а не поспорить. смысл моих провокация - что-бы мне показали чудо, вдруг я просто не увидел сам, не смог понять, не так думаю, не нашел в документации/google.

реализуйте на pf - вот это - http://www.netfilter.org/documentation/HOWTO/packet-filterin...


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено BB , 23-Ноя-05 21:29 
>реализуйте на pf - вот это - http://www.netfilter.org/documentation/HOWTO/packet-filterin...

А вот можно для тупых разжевать и в рот положить - то есть ну вот нихрена я не понял что там делается с пакетами, плииииз :)


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено Settler , 23-Ноя-05 23:26 
>>реализуйте на pf - вот это - http://www.netfilter.org/documentation/HOWTO/packet-filterin...
>
>А вот можно для тупых разжевать и в рот положить - то
>есть ну вот нихрена я не понял что там делается с
>пакетами, плииииз :)

оригинал:
http://iptables-tutorial.frozentux.net/iptables-tutorial.html

на русском:
http://www.opennet.me/docs/RUS/iptables/

картинки, подробно, доходчиво. читайте.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено _Nick_ , 24-Ноя-05 04:50 
>Мда, действительно, вот я ну никак не смог въехать в логику netfilter
>куча каких-то левых словечек, конфиг в результате получается совсем
>нечитабельный.
да, он не такой клетчатый, как ипфв. И ОЧЕНЬ тяжел для восприятия после него ;))) по себе знаю. Трудно переходить было.
Но как только въехал - за уши не оттянешь

>у pf синтаксис явно проще и логичнее
да, но лучше логика в структуре и модульности, чем в конфиге


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено BB , 24-Ноя-05 10:53 
>да, он не такой клетчатый, как ипфв. И ОЧЕНЬ тяжел для восприятия
>после него ;))) по себе знаю. Трудно переходить было.
>Но как только въехал - за уши не оттянешь
>
>>у pf синтаксис явно проще и логичнее
>да, но лучше логика в структуре и модульности, чем в конфиге
Хм, фраза конечно хорошая оптикаемая да и возразить то нечего :) Но вот есть такое маленькое "но" пока для себя я не вижу приемуществ у netfiltr'а перед pf.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фильтр для Linux"
Отправлено 193206207206201205 , 23-Ноя-05 11:20 
конфиг может и трудно читаемый, хотя тоже вопрос спорный, но вот с командной строки например iptables  -L -n -v все вполне логично выглядит

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено ам , 23-Ноя-05 17:19 
мне недавно пришлось настраивать систему НАТ+примитивного подсчета траффика на фре..ухх ну и плевался я - после линуха, столько НЕЛОГИЧНОГО, от некоторых правил был сегфолт(!!!!!!!!! frbsd5.3), зато в плюсах - из пакаджей очень удобно поставилась ipacc и с подсчетом было очень удобно все и замечательно.

"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено _Nick_ , 24-Ноя-05 05:07 
>мне недавно пришлось настраивать систему НАТ+примитивного подсчета траффика на фре..ухх ну и
>плевался я - после линуха, столько НЕЛОГИЧНОГО, от некоторых правил был
>сегфолт(!!!!!!!!! frbsd5.3), зато в плюсах - из пакаджей очень удобно поставилась ipacc

а ты не пользовал порты на Линухе?? Не хочь попробовать? %)
gentoo.org
система портеждей взята у бзд и доведена до уровня комфортного использования. Про кошмар с зависимостями RPM based забудешь навсегода как страшный сон ;))

>и с подсчетом было очень удобно все и замечательно.


"Интересное ПО: nf-HiPAC - высокопроизводительный пакетный фи..."
Отправлено BB , 23-Ноя-05 21:26 
>конфиг может и трудно читаемый, хотя тоже вопрос спорный, но вот с
>командной строки например iptables  -L -n -v все вполне логично
>выглядит
Ой мне :)
Честно говоря ничего не имею против netfiltr`а но как-то вот криво с моей точки зрения :)