The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Во FreeBSD pf добавлены возможности pf из OpenBSD 3.7

20.04.2005 15:01

Max Laier сообщил, что добавил во FreeBSD новые возможности пакетного фильтра PF из OpenBSD 3.7 (релиз 3.7 намечен на 19 мая, предварительная информация по релизу доступна здесь) и призывает помочь в тестировании.

Среди новых возможностей:

  • оптимизация правил для ускорения фильтрации с помощью pfctl(8);
  • поддержка вложенных привязок к доп. блокам правил;
  • ограничение TCP-соединений по частоте попыток их установления;
  • улучшенная поддержка тэгов;
  • и другие улучшения.

    •  
    1. Главная ссылка к новости (http://www.bsdforums.org/forum...)
    Автор новости: butcher
    Лицензия: CC BY 3.0
    Короткая ссылка: https://opennet.ru/5355-pf
    Ключевые слова: pf, firewall, freebsd
    При перепечатке указание ссылки на opennet.ru обязательно


    Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, jbond (??), 16:50, 20/04/2005 [ответить] [﹢﹢﹢] [ · · · ]  []     [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    В 5.4 или в 6 - ни кто не подскажет?
     
     
  • 2.2, _Ale_ (ok), 18:08, 20/04/2005 [^] [^^] [^^^] [ответить]      [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    PF это супер, настолько прост и многофункционален, что  ябы его и в линух засандалил бы...
     

  • 1.3, kir (??), 18:11, 20/04/2005 [ответить] [﹢﹢﹢] [ · · · ]  []     [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/

    продуман с умом - и как результат - прост, удобен, и практичен
     
  • 1.4, Аноним (4), 18:27, 20/04/2005 [ответить] [﹢﹢﹢] [ · · · ]  []     [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    Нету divert'а и нельзя задавать порядок трансляция/фильтрация. Потому что для входящего траффика должна быть сначала трансляция, для исходящего - наоборот.
     
     
  • 2.5, Аноним (-), 18:36, 20/04/2005 [^] [^^] [^^^] [ответить]      [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    А можно пример необходимости этого? Я просто не могу представить, зачем это нужно.
     
     
  • 3.9, Аноним (4), 21:43, 20/04/2005 [^] [^^] [^^^] [ответить]      [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    Чего именно? Порядка? По-моему, это очевидно, что для фильтрации пакетов, в них должны быть адреса начальной и конечной машины, а не самого firewall'а.
    Divert - через него работает куча самописных утилит, анализирующих и иногда изменяющих пакеты.
     

  • 1.6, Finch (??), 21:20, 20/04/2005 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    Мужики, вот сам PF использую на всех моих фряхах... И только вот чего ещё не понял, а как допустим ограничить скороть соединения на клиента, т.е. ограничить юзера по скорости. Просто есть у меня тут mpd впн сервак, вот и хотелось бы юзверей по скорости ограничить....
    И ещё может кто знает как ограничить соединения по времени... Есть у меня тут CS сервер, хочу его разрешить на работе после 15 00 со своей подсети, а с других не запрещать..

    А то народ тут распоясолся, работать никто не хочет... :)

     
     
  • 2.10, DAEMON (?), 22:35, 20/04/2005 [^] [^^] [^^^] [ответить]  []     [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    man altq
    man pf
    man cron

    a esche est' man po PF na www.openbsd.org

    delaetsa tak: kompilitsa support for ALTQ v kernel
    potom propisivaesh ocheredi ispol'zuyua man po PF

    naschet CS: sozdaesh dva faila s nastroikami dlya PF.

    potom po CRONu zapuskaesh raznie nastroiki dlya PF v zavisimosti ot vremeni sutok

    Example:

    pfctl -f /etc/csdisabled.conf
    pfctl -f /etc/csenabled.conf

     
     
  • 3.19, vip3r (?), 01:29, 22/04/2005 [^] [^^] [^^^] [ответить]      [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    Зачем перегружать все правила? Таблицы для кого придуманы?
     
     
  • 4.21, DAEMON (?), 20:48, 23/04/2005 [^] [^^] [^^^] [ответить]      [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    Horosho, podskazhite pozhaluista kak zagruzit' raznie pravila v zavisimosti ot vremeni sutok ispol'zuya tablici.
     
  • 2.20, _Ale_ (ok), 12:12, 22/04/2005 [^] [^^] [^^^] [ответить]  []     [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    To Finch
    Специально для тебя!!!
    http://nice.csmapworld.ru/CS_for_OpenBSD.htm
     

  • 1.7, Аноним (4), 21:20, 20/04/2005 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    Divert - это для обеспечения NAT в ipfw...
    Только с чего вы взяли, что PF не может делать NAT?

    RTFM..

     
     
  • 2.8, Аноним (4), 21:39, 20/04/2005 [^] [^^] [^^^] [ответить]      [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    Покажи мне, где в RTFM написано что divert это только nat?
     
  • 2.11, EvilX (ok), 07:13, 21/04/2005 [^] [^^] [^^^] [ответить]      [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    Хм. Если бы было всё так просто ;)
    Есть, например, ipacctd. Подсчёт траффика ведёт. И работает через divert.
     
     
  • 3.15, Аноним (4), 11:56, 21/04/2005 [^] [^^] [^^^] [ответить]      [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    Ну, траффик через divert считать не особо эффективно - разве что если нужно очень точно знать сколько байт принялось (т.к. netgraph/bpf считают пакеты до firewall'а). Тем более, в 5 ветке ipfw правило tee работает совершенно неподходящим для подсчета траффика образом (в 4x было tee <port> - копию пакета в divert socket, пакет accept'ится, и можно было просто вместо всех accept сделать tee, а в 5x пакет не accept'ится, а идет дальше, и придется делать по tee правилу на каждый accept - а это уже бред). Divert для всяких самодельных штук удобно использовать :)
     

  • 1.12, Moralez (??), 07:45, 21/04/2005 [ответить] [﹢﹢﹢] [ · · · ]  []     [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    дык, уже обсуждалось ведь, ng_ipacc есть. Работает вполне стабильно...
     
  • 1.13, Moralez (??), 07:49, 21/04/2005 [ответить] [﹢﹢﹢] [ · · · ]      [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    Yes! И наконец-то в портах! Замечательное событие!

    /usr/ports/net-mgmt/ng_ipacct

     
  • 1.14, jbond (??), 11:09, 21/04/2005 [ответить] [﹢﹢﹢] [ · · · ]  []     [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    На 5.4-RC3 не собирается, и судя по всему в релиз его включать ни кто не собираетсяю
     
     
  • 2.16, Moralez (??), 14:02, 21/04/2005 [^] [^^] [^^^] [ответить]      [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    сегодня проверял - всё собирается и работает. 5.4-RC3...
     
     
  • 3.18, jbond (??), 14:30, 21/04/2005 [^] [^^] [^^^] [ответить]      [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    Может я чего не так делаю.
    по шагам:
    копирую 2 директории
    cd /usr/src
    patch < pf37.Makefile.patch
    patch < pf37.ifconfig.patch
    правильно?
     

  • 1.17, dvg_lab (??), 14:19, 21/04/2005 [ответить] [﹢﹢﹢] [ · · · ]  []     [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]
    		• +/
    а pftop каким-то особым образом работает? у меня он почему-то ничего не показывает...
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру