|
|
|
|
5.8, Аноним (1), 15:13, 22/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
что iptables, что iproute2 - это утилиты для настройки работы netfilter.
Т.е. возможности NAT у них одинковы. Различются только методы настройки.
nf-HiPAC - же вообще незнает, что такое NAT.
Не факт, что после патчения ядра - можно будет настроить NAT через iproute2 | |
|
6.9, si (?), 15:17, 22/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
+ Basically, you can think of nf-HiPAC as an alternative, optimized
+ iptables filter table. Note that it cannot be used for packet
+ mangling or NAT but you can still adopt iptables' mangle or nat
+ table for that purpose since nf-HiPAC and iptables can be used
+ together at the same time. | |
|
|
4.12, Аноним (-), 17:41, 22/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
После таких ответов идем читать мат. часть...
Надо отделять мух от котлет (правила фильтрации от правил трансляции), одну технологию от другой, наконец!
Ну что за тенденция: всякий, мало-мальски обученный пользоваться инструментом, пионэр тут же стремится сказать всем, что этот инструмент медленный/кривой/неправильный и вообще, что надо было все не так делать?!
Товарищ, в действительности все не так, как на самом деле!
Разделение логики функционирования очень полезно и удобно, и не надо говорить, что овощерезка должна картошку еще и жарить.
По-вашему, бытовой фильтр воды должен, кроме фильтрации загрязнений, еще и воду в вино превращать? =) | |
|
5.28, bmc (??), 15:42, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
Разделять конечно хорошо, но связка - есть связка. Пакетный фильтр без возможности НАТ-а - баловство.
| |
|
|
|
|
1.4, dropuser (?), 20:46, 21/11/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
дело фильтра или не дело фильтра - неважно :-)
а на системах с большим кол-вом трафика нафик нат в пакетном фильтре?
зато stateful вроде есть... | |
1.5, Moralez (ok), 05:00, 22/11/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Забавно. А что, в linuxовом нетфильтере не создаются динамические правила? То есть, неважно сколько правил мы сконфигурили, проверяться пакеты без SYN будут только по нескольким, как это сделано уже несколько лет в ipfw? | |
|
2.10, Mr.Uef (??), 15:42, 22/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Забавно. А что, в linuxовом нетфильтере не создаются динамические правила?
А что, очень хочется чтоб не-было? ;) Не повезло тебе. Есть. И тоже "уже несколько лет".
| |
|
3.19, Moralez (ok), 08:39, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
Да мне не жалко. Но я не уверен, что оно есть. Я проверял меньше, чем "несколько лет" назад :)
| |
|
4.39, _Nick_ (ok), 04:43, 24/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Да мне не жалко. Но я не уверен, что оно есть.
если сам не уверен - спроси у того, кто более уверен.
Я - более уверен в вопросах iptables. Ты спросил - я ответил.
Все еще не уверен - перечитай пост еще раз :)
> Я проверял меньше, чем "несколько лет" назад :)
ну, как видишь, и я пару лет назад видел фрю и много чего пропустил.
Пыталсо попиздеть, что там все так же плохо... ну и ты попробуй ;)) | |
|
5.66, Moralez (ok), 10:14, 25/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
То есть, сейчас правило -j ACCEPT --state RELATED,ESTABLISHED
на самом деле не проверяет лишь наличие флагов, а проходит по таблице динамических правил и НЕ проходит по всем правилам фаервола, по которым прошёл пакет
-j ACCEPT --state NEW
?
| |
|
6.73, Mr.Uef (??), 16:08, 25/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
Почти так.
Вообще, если есть установленное соединение, то для него создается динамическое правило. Когда проверка доходит до правила с ESTABLISHED,RELATED - она лезет смотреть в динамические правила, и в случае, если такое находится - выполняет ассоциированное действие - в вашем случае ACCEPT.
Установка же соединения обычно регламентируется обычными правилами, которые обычно находятся после правила с ESTABLISHED,RELATED.
| |
|
|
|
|
|
1.11, Settler (?), 16:27, 22/11/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
по идее - как напишешь правила - так и будет работать. "динамические" (statefull) правила в iptables даже для udp.
а что - правда кто-то думает что iptables проще устроен, менее красиво, чем ipfw? :) | |
|
2.15, Moralez (ok), 04:54, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
Не знаю что такое "проще, менее красиво".
В линухе вообще есть аналог keep-state?
Только не надо про SETUP и ESTABLISHED. Это аналог setup,established... | |
|
3.16, _Nick_ (ok), 06:31, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Не знаю что такое "проще, менее красиво".
>
>В линухе вообще есть аналог keep-state?
исходя из того, что keep-state используеться в основном для ограничения количества коннектов (в еденицу времени, в/на хост и т.д., но именно для ограничения), то вот с iptables:
man iptables (желательно >=1.3.0 version, чтоб не кричал, что "вот нету")
и исчи там модули по таким регекспам %)
.*conn.*
.*limit.*
я насчитал 7 штук. Количество конечно же ни о чем не говорит. Поэтому давай приводи проблему, которую, по твоему мнению, не может решить iptables, но может твой keep-state в ipfw - и я буду тебя порвать.
>Только не надо про SETUP и ESTABLISHED. Это аналог setup,established...
да, не буду. реально разные вещи. | |
|
4.18, Moralez (ok), 08:36, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
"keep-state используеться".... бульк, раздалось из лужи.
"желательно >=1.3.0 version". опять напильник?! а без напильника смогёте? :) | |
|
5.26, si (?), 13:20, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
[root@mysql] #>iptables --version
iptables v1.3.3
[root@mysql] #>uname -a
Linux mysql 2.6.13-15-smp #1 SMP Tue Sep 13 14:56:15 UTC 2005 x86_64 x86_64 x86_64 GNU/Linux
[root@mysql] #>cat /etc/SuSE-release
SUSE LINUX 10.0 (X86-64)
VERSION = 10.0
все их коробки, ни какого напильника ... | |
|
6.55, Moralez (ok), 12:33, 24/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
Как вы можете сравнивать FreeBSD и десктопный дистрибчик? production - это в лучшем случае SLES и RHAS/RHEL... хотя там столько недочётов, что я бы и из не отнёс. Но остальное вообще шансов не имеет... | |
|
7.56, dimus (??), 14:48, 24/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Как вы можете сравнивать FreeBSD и десктопный дистрибчик? production - это в
>лучшем случае SLES и RHAS/RHEL... хотя там столько недочётов, что я
>бы и из не отнёс. Но остальное вообще шансов не имеет...
>
Детский лепет. Вы, похоже, совершенно не в курсе дела.
| |
7.61, _Nick_ (ok), 22:49, 24/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Как вы можете сравнивать FreeBSD и десктопный дистрибчик?
да, чел реально влез неясно откуда со своим АЛЬТом.
Но, спорим то мы о фаерволах.
И будь то трижды "десктопный" Линух, он такое уммеет, а "раскошная" фря - нет. | |
|
|
9.64, Mr.Uef (??), 09:43, 25/11/2005 [^] [^^] [^^^] [ответить] | +/– | По этой причине я и слез с фрюхи Т к линух сейчас активно продвигают мощные ко... текст свёрнут, показать | |
9.74, _Nick_ (ok), 20:03, 25/11/2005 [^] [^^] [^^^] [ответить] | +/– | кто мешает апдейтиццо версионные - перманентно и эротически А про генту уже з... большой текст свёрнут, показать | |
|
|
7.68, capt (??), 10:40, 25/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>production - это в лучшем случае SLES и RHAS/RHEL...
Стоят 2 SLES'a, ждут, когда снесу и поставлю SuSE, как на остальных серверах :)
| |
|
|
|
6.44, nobody (??), 09:30, 24/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
IIRC netfilter/iptables understands stuff like the in-kernel ftp
proxy as 'connection tracking'.
pf(4) doesnt do this directly, use ftp-proxy(8).
(c) http://www.monkey.org/openbsd/archive/misc/0211/msg01079.html
в принципе как и в netfilter, требуется дополнительные модули. В случае нетфильтер - ip_conntrack, insmod ip_conntrack_ftp (судя по ссыке), в случае pf - ftp-proxy(8).
Там kernel level, здесь user level.
PS. на топик все забили :)
| |
|
5.38, _Nick_ (ok), 04:29, 24/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>"keep-state используеться".... бульк, раздалось из лужи.
т.е. это НЕ используеться??
ок. А нах оно тогда?
Или чего именно нужно?? Хотелось аналогов?? Есть
Или именно "keep-state"?? Так может тогда мы дружно поищем именно vserver под бздей??? Или именно UML (несмотря на то, что это юзер моде ЛИНУКС).
Нужна фича - она есть. А как называется - давайте это уж будет проблема авторов.
>"желательно >=1.3.0 version". опять напильник?! а без напильника смогёте?
>:)
ok. Давай мне NAT в ядре в 3.5 бзде. Фонарь?? Напильник??
Иди в лес. | |
|
|
|
|
1.13, DmA (?), 22:33, 22/11/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>а что - правда кто-то думает что iptables проще устроен, менее красиво, чем ipfw? :)'
помоему все FreeBSВшники так думают к сожалению | |
|
2.14, Settler (?), 23:56, 22/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
да и пусть думают, почему к сожалению :) я надеюсь что "все фри-бсдшники" - это не разработчики ядра freebsd - и они таки когда-нибудь, напишут что-нибудь напоминающее по нормальности использования netfilter/iptables.
пока-же ipfw просто убогий. ipfilter/pf - тем более.
| |
|
|
4.24, Settler (?), 13:14, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>а если конкретно?
>Как долго ты пользовал ipfw/ipfilter/pf ?
зачем вам статистика? :)
iptables - столько, сколько он существует (лет 5)
ipfw - весь этот год
мне от ipfw много не нужно. на сегодня, я знаю, что ipfw не может реализовать вот это:
#!/bin/sh
#eth0 - внешний интерфейс, смотрящий "в интернет"
#
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
iptables -A INPUT -j DROP
с аналогичной функциональностью (я про RELATED/conntrack_ftp например).
| |
|
5.30, odip (?), 18:03, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>мне от ipfw много не нужно. на сегодня, я знаю, что ipfw
>не может реализовать вот это:
>
>#!/bin/sh
>#eth0 - внешний интерфейс, смотрящий "в интернет"
>#
>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>iptables -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
>
>iptables -A INPUT -j DROP
>
>с аналогичной функциональностью (я про RELATED/conntrack_ftp например).
ты сначала расскажи что это
| |
|
6.31, Settler (?), 18:41, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
разрешены все исходящие соеденения, запрещены все входящие.
принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать активный и пассивный ftp.
| |
|
7.32, Egor (??), 20:13, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>разрешены все исходящие соеденения, запрещены все входящие.
>принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
>активный и пассивный ftp.
а keep-state как раз применить?
Вообще, оба файрвола умеют все, что разумному человеку надо. Тут уж у кого к какому файрволу или системе душа лежит.
| |
|
8.42, _Nick_ (ok), 05:13, 24/11/2005 [^] [^^] [^^^] [ответить] | +/– | примени Возьми и напиши полный набор правил на IPFW для реализации этого Докаж... текст свёрнут, показать | |
|
7.35, BB (??), 21:52, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>разрешены все исходящие соеденения, запрещены все входящие.
>принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
>активный и пассивный ftp.
И еще раз ой мне :) если по тупому и на pf то это выглядит след образом, к примеру если fxp0 внешний интерфейс:
block log all #все заблокированые пакеты отразятся в pflog0
pass out on fxp0 inet proto {tcp,udp,icmp} from (fxp0) to any keep state
если хочешь что-бы вооще все красиво было то вот так:
block log all #все заблокированые пакеты отразятся в pflog0
pass out on fxp0 inet proto tcp from (fxp0) port>1023 to any flags S/SAFR keep state
pass out on fxp0 inet proto udp from (fxp0) port>1023 to any keep state
pass out on fxp0 inet proto icmp from (fxp0) keep state
| |
|
|
9.45, BB (??), 10:35, 24/11/2005 [^] [^^] [^^^] [ответить] | +/– | Эта, все пингвиноиды такие зануды ты спрашивал русским языком как в pf реализо... текст свёрнут, показать | |
|
|
9.47, BB (??), 11:03, 24/11/2005 [^] [^^] [^^^] [ответить] | +/– | Да правильно, в данном примере коннект с активным ftp отсутствует Но не потому ... текст свёрнут, показать | |
|
|
11.51, BB (??), 11:28, 24/11/2005 [^] [^^] [^^^] [ответить] | +/– | ты утверждаешь что конструкция вида block log all pass out on fpx0 inet proto ... текст свёрнут, показать | |
|
|
11.67, BB (??), 10:19, 25/11/2005 [^] [^^] [^^^] [ответить] | +/– | когда у человека кончаются аргументы, он начинает оскорблять собеседника, это сл... текст свёрнут, показать | |
|
12.75, _Nick_ (ok), 21:52, 25/11/2005 [^] [^^] [^^^] [ответить] | +/– | конечно мой Что тебе еще сказать, когда мы говорим о возможностях фаервола, а т... большой текст свёрнут, показать | |
|
13.78, BB (??), 23:02, 26/11/2005 [^] [^^] [^^^] [ответить] | +/– | Скучно с тобой Испугал ыжа голой попой тебе ip сказать что-бы ты поразвлек... текст свёрнут, показать | |
|
|
|
|
|
|
7.49, saylor_ua (??), 11:16, 24/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
НА IPFW
ipfw add pass ip from me to any keep-state setup
>разрешены все исходящие соеденения, запрещены все входящие.
>принимаются ответы на все соединения инициированные с внутренних интерфейсов (tcp/udp/icmp). будет работать
>активный и пассивный ftp.
Насколько я понял задачу - реализуется 1 правилом
| |
|
8.59, _Nick_ (ok), 22:44, 24/11/2005 [^] [^^] [^^^] [ответить] | +/– | неправильно понял Входящий коннект в рамках активной FTP сессии пойдет в пеши... текст свёрнут, показать | |
|
9.69, Wulf (?), 11:05, 25/11/2005 [^] [^^] [^^^] [ответить] | +/– | Специально для группы особо разтрындившихся флеймеров цитата из man natd от Fre... текст свёрнут, показать | |
|
|
|
|
|
|
|
2.17, _Nick_ (ok), 07:36, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>>а что - правда кто-то думает что iptables проще устроен, менее красиво, чем ipfw? :)'
>помоему все FreeBSВшники так думают к сожалению
так думают только те, кто пробовал ipfw, но в то же время толком не понял iptables. А кто не въехал - именно тот и кричит. Сам иногда такой. | |
|
3.21, BB (??), 09:49, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
Мда, действительно, вот я ну никак не смог въехать в логику netfilter куча каких-то левых словечек, конфиг в результате получается совсем нечитабельный. у pf синтаксис явно проще и логичнее | |
|
4.25, Settler (?), 13:19, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Мда, действительно, вот я ну никак не смог въехать в логику netfilter
>куча каких-то левых словечек, конфиг в результате получается совсем нечитабельный. у
>pf синтаксис явно проще и логичнее
в конечно итоге, _мне_лично_ главное что-бы работало, а не поспорить. смысл моих провокация - что-бы мне показали чудо, вдруг я просто не увидел сам, не смог понять, не так думаю, не нашел в документации/google.
реализуйте на pf - вот это - http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-5.html
| |
4.40, _Nick_ (ok), 04:50, 24/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Мда, действительно, вот я ну никак не смог въехать в логику netfilter
>куча каких-то левых словечек, конфиг в результате получается совсем
>нечитабельный.
да, он не такой клетчатый, как ипфв. И ОЧЕНЬ тяжел для восприятия после него ;))) по себе знаю. Трудно переходить было.
Но как только въехал - за уши не оттянешь
>у pf синтаксис явно проще и логичнее
да, но лучше логика в структуре и модульности, чем в конфиге | |
|
5.46, BB (??), 10:53, 24/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>да, он не такой клетчатый, как ипфв. И ОЧЕНЬ тяжел для восприятия
>после него ;))) по себе знаю. Трудно переходить было.
>Но как только въехал - за уши не оттянешь
>
>>у pf синтаксис явно проще и логичнее
>да, но лучше логика в структуре и модульности, чем в конфиге
Хм, фраза конечно хорошая оптикаемая да и возразить то нечего :) Но вот есть такое маленькое "но" пока для себя я не вижу приемуществ у netfiltr'а перед pf.
| |
|
|
|
|
1.22, 193206207206201205 (?), 11:20, 23/11/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
конфиг может и трудно читаемый, хотя тоже вопрос спорный, но вот с командной строки например iptables -L -n -v все вполне логично выглядит | |
|
2.29, ам (?), 17:19, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
мне недавно пришлось настраивать систему НАТ+примитивного подсчета траффика на фре..ухх ну и плевался я - после линуха, столько НЕЛОГИЧНОГО, от некоторых правил был сегфолт(!!!!!!!!! frbsd5.3), зато в плюсах - из пакаджей очень удобно поставилась ipacc и с подсчетом было очень удобно все и замечательно. | |
|
3.41, _Nick_ (ok), 05:07, 24/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>мне недавно пришлось настраивать систему НАТ+примитивного подсчета траффика на фре..ухх ну и
>плевался я - после линуха, столько НЕЛОГИЧНОГО, от некоторых правил был
>сегфолт(!!!!!!!!! frbsd5.3), зато в плюсах - из пакаджей очень удобно поставилась ipacc
а ты не пользовал порты на Линухе?? Не хочь попробовать? %)
gentoo.org
система портеждей взята у бзд и доведена до уровня комфортного использования. Про кошмар с зависимостями RPM based забудешь навсегода как страшный сон ;))
>и с подсчетом было очень удобно все и замечательно.
| |
|
2.33, BB (??), 21:26, 23/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>конфиг может и трудно читаемый, хотя тоже вопрос спорный, но вот с
>командной строки например iptables -L -n -v все вполне логично
>выглядит
Ой мне :)
Честно говоря ничего не имею против netfiltr'а но как-то вот криво с моей точки зрения :)
| |
|
|