https://www.opennet.ru/openforum/vsluhforumID3/37272.html В обзоре "What's new with PF in 4.1? (http://undeadly.org/cgi?action=article&sid=20070424020008)" рассказано о новшествах пакетного фильтра PF, вошедшего в комплект операционной системы OpenBSD 4.1 (http://www.openbsd.org/41.html), релиз которой намечен на 1 мая 2007 года.<br><br><br><br><br>- "keep state" включен по умолчанию для "pass" правил, для отмены слежения за состоянием соединения нужно явно указывать "no state";<br>- флаг S/SA (out of SYN and ACK, exactly SYN may be set) используется по умолчанию для TCP сессий для которых включен контроль состояния;<br>- оптимизатор правил может быть включен через pf.conf (set ruleset-optimization basic);<br>- утилита pfctl может использоваться для задания времени жизни записей в таблицах состояния (pfctl -t badssh -T expire 86400);<br>- новый демон для балансировки нагрузки hoststated;<br>- возможность использования нескольких раздельных псевдоинтерфейсов в pflog и pfsync;<br>- средства для прямого указания макросов-контейнеров правил (anchor) в файле pf.conf (ранее только через https://www.opennet.ru/openforum/vsluhforumID3/37272.html#64 Sun, 06 May 2007 12:56:09 GMT &gt;&gt;виде отслеживанния Call ID самой сесии. <br>&gt;&gt;<br>&gt;&gt;детали <br>&gt;&gt;src/sys/netinet/libalias/alias_pptp.c <br>&gt;Не сталкивались пока с такой необходимостью. <br>везет :)<br>&gt;Кстати, пользуем ng_nat <br>он сделан на базе ядерной libalias.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/37272.html#63 Sun, 29 Apr 2007 11:12:47 GMT http://groups.google.com/group/mailing.freebsd.net/browse_thread/thread/7e9f2126f9c4096d/72f31e4f0fd66b8b?lnk=st&q=freebsd+pf+GRE&rnum=2<br><br>Это очень старый тред, но там достаточно чётко описали проблему демультиплексирования GRE-сессий в NAT.<br> https://www.opennet.ru/openforum/vsluhforumID3/37272.html#62 Sat, 28 Apr 2007 19:20:16 GMT &gt;&gt;&gt;Сколько PPTP-сессий одновременно ходят через Ваш pf? <br>&gt;&gt;У нас ipfw, но сути это менять не должно. PPTP самый обычный <br>&gt;&gt;Так что открываете порт 1723 и не паритесь =) <br>&gt; в PPTP опеределено, что с одного src IP может быть один <br>&gt;коннект, для ведения таблицы nat в libalias сделали (приятное) ухищирение в <br>&gt;виде отслеживанния Call ID самой сесии. <br>&gt;<br>&gt;детали <br>&gt;src/sys/netinet/libalias/alias_pptp.c <br>Не сталкивались пока с такой необходимостью.<br>Кстати, пользуем ng_nat https://www.opennet.ru/openforum/vsluhforumID3/37272.html#61 Sat, 28 Apr 2007 19:19:17 GMT &gt;С GRE как поступаете? <br>ipfw allow gre from any to any https://www.opennet.ru/openforum/vsluhforumID3/37272.html#60 Sat, 28 Apr 2007 12:27:48 GMT &gt;&gt;Сколько PPTP-сессий одновременно ходят через Ваш pf? <br>&gt;У нас ipfw, но сути это менять не должно. PPTP самый обычный <br>&gt;Так что открываете порт 1723 и не паритесь =) <br> в PPTP опеределено, что с одного src IP может быть один коннект, для ведения таблицы nat в libalias сделали (приятное) ухищирение в виде отслеживанния Call ID самой сесии.<br><br>детали <br>src/sys/netinet/libalias/alias_pptp.c https://www.opennet.ru/openforum/vsluhforumID3/37272.html#59 Sat, 28 Apr 2007 12:19:59 GMT С GRE как поступаете? https://www.opennet.ru/openforum/vsluhforumID3/37272.html#58 Sat, 28 Apr 2007 05:01:31 GMT &gt;Сколько PPTP-сессий одновременно ходят через Ваш pf? <br>У нас ipfw, но сути это менять не должно. PPTP самый обычный маршрутизируемый протокол, и инкапсулирует, в отличии от PPPoE, всю информацию в теле пакета с данными, а не поверх заголовков. <br>Так что открываете порт 1723 и не паритесь =)<br> https://www.opennet.ru/openforum/vsluhforumID3/37272.html#57 Sat, 28 Apr 2007 03:06:15 GMT Сколько PPTP-сессий одновременно ходят через Ваш pf? https://www.opennet.ru/openforum/vsluhforumID3/37272.html#56 Fri, 27 Apr 2007 18:47:34 GMT &gt; Ну, net/ftpsesame решает проблемы с FTP, а что <br>&gt;касается PPTP -- то тут, безусловно, жопа. Но, строго говоря, и <br>&gt;с IPFW жопы меньше не становится. <br><br>Тоже интересно стало про жопу, работаю с этой связкой уже долгое время и не разу не напарывался, просветите где грабли лежат, чтоб заранее их стороной обойти<br>