"PF enabled by default (http://undeadly.org/cgi?action=article&sid=20090605213724)" - в OpenBSD-Current теперь по умолчанию активирован пакетный фильтр PF. Файл pf.conf в стандартной конфигурации блокирует только TCP порт 6000(X-сервер) для внешних запросов, остальной трафик пропускается через систему нормализации фрагментированных пакетов (packet reassembly (http://www.openbsd.org/faq/pf/scrub.html)).URL: http://undeadly.org/cgi?action=article&sid=20090605213724
Новость: http://www.opennet.me/opennews/art.shtml?num=22099
Ого, сильное решение, я бы даже сказал, волевое...:-P
Очень правильно!
а почему правильно?
>а почему правильно?Не знаю как то - а лично я заметил, что всё чаще и чаще поднимаю фаер на серверах _внутренней_ сети, снаружи бордер-фаером уже закрых. Не от техноснобизма - жизь показала что надо :(
Хорошая новость в том что правила там как правило простые и любой из великой троицы pf,ipfw2,iptables замедления практически не вносит. На современных яшиках - без приборов не увидишь :) Так что все правильно OpenBSD делает.
>"PF enabled by default (http://undeadly.org/cgi?action=article&sid=20090605213724)" - в OpenBSD-Current теперь по умолчанию активирован
>пакетный фильтр PF. Файл pf.conf в стандартной конфигурации блокирует только
>TCP порт 6000(X-сервер) для внешних запросов, остальной трафик пропускается через систему
>нормализации фрагментированных пакетов (packet reassembly (http://www.openbsd.org/faq/pf/scrub.html)).
>
>URL: http://undeadly.org/cgi?action=article&sid=20090605213724
>Новость: http://www.opennet.me/opennews/art.shtml?num=22099Во-первых, сейчас там блочат ещё и порты 6001-6010 (т.к. X-серверов может быть и не один), а также порты из sysctl net.inet.tcp.baddynamic и net.inet.udp.baddynamic;
Во-вторых, в результате последнего хакатона произошло ещё много изменений, хотел как раз сегодня новость об этом написать. :)
Ну дык и напиши! Одна новость по делу стоит всего унылого флэйма ни о чем :)