Jozsef Kadlecsik, ведущий разработчик проекта ipset (http://ipset.netfilter.org/), объявил (http://permalink.gmane.org/gmane.comp.security.firewalls.net...) о выходе нового релиза — ipset 5.0.
Ipset — компонент универсального фреймворка фильтрации и преобразования пакетов netfilter (http://www.netfilter.org/) (последний является частью ядра linux). В его задачу входит хранение больших списков IP-адресов и подсетей, MAC-адресов, TCP/UDP-портов с возможностью быстрого поиска по ним. Этими списками можно управлять вручную (при помощи команды ipset), в пакетном режиме (чтение из файла) или автоматически согласно правилам netfilter (iptables -j SET), срабатывающим при прохождении определенных пакетов. Проверку адресов/портов на наличие в списках тоже можно проводить непосредственно из netfilter (iptables -m set). Таким образом, ipset позволяет, например, создавать и сопровождать блэк-листы адресов, уличенных в атаках или попытках сканирования служб.Клю...
URL: http://permalink.gmane.org/gmane.comp.security.firewalls.net...
Новость: http://www.opennet.me/opennews/art.shtml?num=29054
IPv6 идет в массы! Долой серый NAT !
я все ни как не осилю как с ipv6 делать корпоративные сети, где надо "регулировать" доступ в инет? как делать DMZ если все машины получат белые ip?
а вообще знающие люди дайте линк на вменямый ман по IPv6
>я все ни как не осилю как с ipv6 делать корпоративные сети, где надо "регулировать" доступ в инет?Внезапно, рулить разрешениями на шлюзе, как и в эпоху IPv4.
>как делать DMZ если все машины получат белые ip?
ЗАЧЕМ, зачем делать DMZ, если у всех машин белые адреса?
Автор, вы жжоте напалмом.
IMHO, DMZ вовсе не для цветовой дифференциации частей сети ввели
> IMHO, DMZ вовсе не для цветовой дифференциации частей сети ввелиDMZ ввели от плохой, нищей, ужасной жизни.
В мире, где нет дури под названием "нат" и "проброс", управление как исходящими, так и входящими соединениями происходит легко и непринужденно.
DMZ это сегмент сети находящийся между двумя или более межсетевыми экранами, нужен чтобы разграничить LAN,WAN и сервисы в LAN, которые должны быть доступны как WAN так и в LAN, общая цель DMZ повышение безопасности.Проброс портов, совсем нипричём, в DMZ могут быть сервисы работающие по белым айпишникам, и кстати NAT бывает не только PATом, и DMZ может работать вовсе без NAT.
>DMZ ввели от плохой, нищей, ужасной жизни.DMZ ни с чем не спутал?
> я все ни как не осилю как с ipv6 делать корпоративные сети,
> где надо "регулировать" доступ в инет? как делать DMZ если все
> машины получат белые ip?http://ru.wikipedia.org/wiki/NAT
> а вообще знающие люди дайте линк на вменямый ман по IPv6
http://www.google.ru/search?&q=ipv6
уже лет десять этот ваш ipv6 всё идёт и идёт в массы. а массы его так до сих пор и не видели
> уже лет десять этот ваш ipv6 всё идёт и идёт в массы.
> а массы его так до сих пор и не виделиэто все потому, что массы его видеть не очень хотят, собственно, они и не догадываются о его существовании
Дык дело-то не в массах, а пока что в UPLINK провайдерах. Мой провайдер честно пока говорит IPv6 дасть не могем нету у нас прямого и чистого IPv6 тока через жопу, а раз так то и сами могли бы настроить у себя там какой там хотите шлюз и использовать себе... Опять же не решена проблема со статическими IP - не произведен передел пространства...
> Дык дело-то не в массах, а пока что в UPLINK провайдерах. Мой
> провайдер честно пока говорит IPv6 дасть не могем нету у нас
> прямого и чистого IPv6 тока через жопу,Ваш провайдер лукавит, он может уже сейчас довольно дешево купить автономную систему с блоком адресов IPv6 и раздавать IPv6 направо и налево.
Но для вашего провайдера это будет означать большую переделку инфраструктуры, начиная от биллинга кончая коммутаторами уровня доступа. Затраты огромны, профита никакого.
> это все потому, что массы его видеть не очень хотят, собственно, они
> и не догадываются о его существованииМассы догадываются и знают, но 32 бита тупо проще запомнить в моск чем 128. Надо качать память плюс привычка, опять же. :)
> Массы догадываются и знают, но 32 бита тупо проще запомнить в моск чем 128.1) На самом деле - меньше чем 128 надо запоминать в общем случае.
2) Много айпи вы все-равно не запомните. А сокращенную форму и/или свою подсеть - почему бы и нет?
3) А если айпи на всех не хватит - толку то запоминать? Ну вот опсосы выдают натнутые айпи. Потому что даже если бы они захотели давать нормальные, девайсов на планете уже больше чем 2^32. Поэтому опаньки. А наченый айпи что запоминай, что нет. Инвалид он. Недоступный снаружи вообще.
Увидели и увидят. На персональных мобильных устройствах.
И зачем тебе лично IPv6?
Мне лично для того что бы к моим друзьям можно было приконекчиваться через VNC и настраивать им линукс.
> И зачем тебе лично IPv6?Чтобы не чувствовать себя ослом, страдаю дурью с пробросом портов.
>страдаю дурью с пробросом портов.страдая, конечно же.
Также можно не страдать дурью под названием nat.
Да-да - с появлением IPv6 firewall'ы отменят напрочь! :)
Как была твоя сутьба в руках неворк-админа, так и будет.PS: Для наивных - IPv6 пойдёт в массы вот-вот. Но в основом - на мобилах. Остальные не очент то и хотели :)
> Да-да - с появлением IPv6 firewall'ы отменят напрочь! :)Извините, одно дело - файрвол, который правила применяет, а другое - имение мозга с трансляцией айпишников. Нат - много брейнфака на ровном месте. Патчинг айпишников в пакетах на лету - по сути форма хакерства. Это так и надо, чтобы шлюз занимался вместо применением правил каким-то левым хацкингом пакетов? Я уж молчу о том что трекинг тысяч и тысяч соединений жрет немало ресурсов.
> Как была твоя сутьба в руках неворк-админа, так и будет.
При чем тут нетворк админы? Нетворк-админам не придется бодаться с трансляцией адресов. Если цель написать правила на шлюзе - значит надо писать правила на шлюзе. Почему при этом всенепременно надо бодаться с трансляцией адресов? oO
> - на мобилах. Остальные не очент то и хотели :)
Ну да, конечно, а много вы насервируете на натом, например? P2P тоже лучше работает в полноценном режиме, etc :)
>> Да-да - с появлением IPv6 firewall'ы отменят напрочь! :)
> Извините, одно дело - файрвол, который правила применяет, а другое - имение
> мозга с трансляцией айпишников. Нат - много брейнфака на ровном месте.
> Патчинг айпишников в пакетах на лету - по сути форма хакерства.Да-да, то-то уже выпущен пропозал NAT для v6 (RFC 5902).
> Это так и надо, чтобы шлюз занимался вместо применением правил каким-то
> левым хацкингом пакетов? Я уж молчу о том что трекинг тысяч
> и тысяч соединений жрет немало ресурсов.Ну будет вместо них отслеживание соединений на белые адреса. Абсолютно никакой разницы. А конкретно в линуксе это даже тот же самый conntrack будет делать.
>> - на мобилах. Остальные не очент то и хотели :)
> Ну да, конечно, а много вы насервируете на натом, например? P2P тоже
> лучше работает в полноценном режиме, etc :)Давно уже есть UPnP IGD и NAT-PMP, всё работает.
> Да-да, то-то уже выпущен пропозал NAT для v6 (RFC 5902).RFC много разных выпущено, а пропозалов и подавно. Я даже допускаю что для особо хитрых случаев оно даже найдет применение.
> Ну будет вместо них отслеживание соединений на белые адреса. Абсолютно никакой разницы.
> А конкретно в линуксе это даже тот же самый conntrack будет делать.Если кому-то надо stateful инспекцию соединений и никак иначе - будет. Со всеми вытекающими, типа кушания ресурсов на все это. Только вот утверждение что всем вокруг было надо именно так - неверно. А потом начинается геморрой с пробрасыванием портов, DMZ, анализом почему криво работает половина софта и прочая, при том что целью было всего-то раздать интернет на эн машин. Файрволить должен файрвол, а дальше уже админовское дело какие там рулесы должны обитать.
> Давно уже есть UPnP IGD и NAT-PMP, всё работает.
Работать то оно работает, вопрос только в том как. И, кстати, вам не кажется что это - тоже те еще костыли, со своими проблемами? При том довольно извращенные, да еще и требующие поддержки в программах (стоит ли говорить что не любая программа их поддерживает сразу и без проблем?). Сначала создали себе проблем а потом начали думать как же с ними бороться. И вообще, достаточно в багтрекеры программ которые ими пользоваться посмотреть, чтобы понять что не все так уж и хорошо в этом королевстве. Грубо говоря, NAT ломает изначально задуманную логику работы протокола. Что гарантирует ряд дурацких проблем.
>> Да-да, то-то уже выпущен пропозал NAT для v6 (RFC 5902).
> RFC много разных выпущено, а пропозалов и подавно. Я даже допускаю что
> для особо хитрых случаев оно даже найдет применение.Можно было банально прочитать, гы. Пока IPv6 использует всего несколько процентов Интернета, т.е. наиболее грамотные, RFC по этой теме выпускаются не просто так. И не для особо хитрых - поважнее вещи есть, чем особо хитрые выискивать.
>> Ну будет вместо них отслеживание соединений на белые адреса. Абсолютно никакой разницы.
>> А конкретно в линуксе это даже тот же самый conntrack будет делать.
> Если кому-то надо stateful инспекцию соединений и никак иначе - будет. Со
> всеми вытекающими, типа кушания ресурсов на все это. Только вот утверждение
> что всем вокруг было надо именно так - неверно. А потом
> начинается геморрой с пробрасыванием портов, DMZ, анализом почему криво работает половина
> софта и прочая, при том что целью было всего-то раздать интернет
> на эн машин. Файрволить должен файрвол, а дальше уже админовское дело
> какие там рулесы должны обитать.А иначе никак. То, что раньше скрывал NAT по самой своей природе, теперь придется файрволить явно.
>> Давно уже есть UPnP IGD и NAT-PMP, всё работает.
> Работать то оно работает, вопрос только в том как. И, кстати, вам
> не кажется что это - тоже те еще костыли, со своими
> проблемами? При том довольно извращенные,В UPnP конечно нагородили говна, а вот NAT-PMP - прост и прям. Лично реализовывал, причем он позволил сделать мне такую хитрую конфигурацию, которой на UPnP не добиться. Я еще автору miniupnpd патчи пропихивал, но он как-то вяло на такие вещи на своем форуме реагирует.
>> Да-да - с появлением IPv6 firewall'ы отменят напрочь! :)
> Извините, одно дело - файрвол, который правила применяет, а другое - имение
> мозга с трансляцией айпишников. Нат - много брейнфака на ровном месте.IPv6 NAT не отменяет, более того он для него является необходимым, хотя бы для трансляции IPv4 <->IPv6
> IPv6 NAT не отменяет,Только делает ненужным в практически всех случаях. А файрволить должен все-таки файрвол. Сам по себе NAT - довольно дефективный костыль, не присутствующий в изначально задуманной логике протокола.
> более того он для него является необходимым,
Где это написано?
> хотя бы для трансляции IPv4 <->IPv6
А это вообще временный костыль. В IPv6-only сетях все это не понадобится.
Мне вот зачем: http://version6.ru/why
Приведите пример пожалуйста с применением ipset таймаутов
> Приведите пример пожалуйста с применением ipset таймаутовВ ipset 4 это выглядит так:
# ipset -N test iptree --timeout 10
# ipset -A test 12.34.56.78 && for i in {1..3}; do ipset -L test; echo ---; sleep 5; done
Name: test
Type: iptree
References: 0
Header: timeout: 10
Members:
12.34.56.78,9---
Name: test
Type: iptree
References: 0
Header: timeout: 10
Members:
12.34.56.78,4---
Name: test
Type: iptree
References: 0
Header: timeout: 10
Members:---
Спасибо
Может быть вы подскажите рабочее решение как с помошью ipset ограничить количество пользовательских сессий, а то conntrack несколько прожорлив по отношению к CPU, думаю, что ipset будет гораздо производительней, только опыта работы с ipset пока нет
>как с помошью ipset ограничить количество пользовательских сессийНет, с помощью ipset такое сделать не получится. ipset и conntrack - это разные инструменты для решения *разных* задач.
Некое подобие conntrack можно сотворить на базе hashlimit или recent, но это будет довольно грубый костыль. (Конкретные команды сильно зависят от задачи.)
Жаль, очень не хватает БЫСТРОГО и не ресурсоемкого инструмента для ограничения одновременных установленных соединений в Linux
Какие-то нехорошие люди скопипастили новость, а ссылку на источник не поставили http://tcpserver.com/viewtopic.php?f=3&t=26Давайте дружно покажем на них пальцем и скажем FFFFFFUUUUUUU~!
А то что там ссылка на opennet как на первоисточник это ничего?
Теперь добавили. Автор умеет воровать осторожно =)
И да, если вы посмотрите на соседние новости с того же "ресурса", вы обнаружите много интересных вещей.# Проверим, с какой скоростью этот любитель копипасты будет расставлять ссылки =)
тебе надо основы почитать... реально конечно хорошо бы новую литературку на русском языке... но можно еще запастись тем что можно найти в инете, всё вместе, все эти книги и всё по ним читать... в одних книгах хорошо изложен материал, но он устарел, в других более новая информация, но млин написано коряво, ну и вобщем так далее... в итоге прокачаешь свой skill
solmedas, это для тебя всмысле мессадж
Прогрессивный мир уже лет 5 поддерживает 6-й. Начиная с висты еще
> Прогрессивный мир уже лет 5 поддерживает 6-й. Начиная с висты ещеПрогрессивный мир уже 11 годков поддерживает IPv6 начиная ядра Linux v2.2.15
Ребят вы как стадо баранов спорите. Возмите почитайте про ipv6. Может каждый его поймёт по своему, но ОН ipv6 будет для каждого удобен и каждый задумается когда настанет тот день X после которых мы будем использовать только его. Потому что он заранее разработан так, чтобы быть МАСШТАБИРУЕМЫМ - он очень гибок.
Мы устали таскать BGP листы до ~700 метров чтобы наши клиенты могли банально читать даже эти статьи на opennet`e
Уже 2014 год, и ничего в принципе не поменялось..