https://www.opennet.ru/openforum/vsluhforumID3/37853.html Порядок прохождения пакетов при одновременном использовании ipfilter, pf и ipfw:<br>При загрузке фильтров модулями, порядок будет определяться порядком загрузки модулей. <br>Причина здесь в том, что пакетные фильтры регистрируют себя в pfil(9).<br><br>При включении всех фильтров в ядро порядок будет определять SYSINIT.<br>Чтобы определить порядок, нужно открыть файл sys/kernel.h. <br>В нём определён порядок инициализации определённых подсистем. Теперь, простейшее:<br><br># grep DECLARE_MODULE netinet/ip_fw_pfil.c<br>DECLARE_MODULE(ipfw, ipfwmod, SI_SUB_PROTO_IFATTACHDOMAIN, SI_ORDER_ANY);<br># grep DECLARE_MODULE contrib/pf/net/pf_ioctl.c<br>DECLARE_MODULE(pf, pf_mod, SI_SUB_PROTO_IFATTACHDOMAIN, SI_ORDER_FIRST);<br># grep DECLARE_MODULE contrib/ipfilter/netinet/mlfk_ipl.c<br>DECLARE_MODULE(ipfilter, ipfiltermod, SI_SUB_PROTO_DOMAIN, SI_ORDER_ANY);<br><br>От сюда следует: первым будет ipfilter, затем pf, затем ipfw.<br><br><br>URL: http://www.opennet.ru/openforum/vsluhforumID1/75042.html<br>Обсуждается: http://www.opennet.ru/tips/info/1431.shtml<br> https://www.opennet.ru/openforum/vsluhforumID3/37853.html#34 Tue, 19 Oct 2010 05:23:29 GMT &gt; Получается, что если пакет прошёл один файервол, он не проходит остальные. Так?<br><br>Нет, пакет должен получить одобрение от всех фаерволлов. Если пакет прошёл через один фаерволл, то другие могут его заблокировать, а могут и нет.<br> https://www.opennet.ru/openforum/vsluhforumID3/37853.html#33 Mon, 18 Oct 2010 18:06:48 GMT Получается, что если пакет прошёл один файервол, он не проходит остальные. Так?<br> https://www.opennet.ru/openforum/vsluhforumID3/37853.html#32 Fri, 11 Jun 2010 18:55:59 GMT &gt; iptables попросту заставляет разбить огромный<br>&gt; фаервол на цепочки, каждую из которых можно <br>&gt; анализировать отдельно!<br><br>а меня втыкает pf, который умеет и натить аж 2-мя способами у каждого по 2-ва мода, включая нат проксирование и бинат, меня втыкает теггирование пакетов и возможность рулить пакетами на основе политик и прочее и прочее... молчу уже о том, что они iptables имеют одни корни(тем кто не знает - разошлись из-за лицензии)... и вот когда мне чего-то не хватает в pf - я решаю вопросы на ipfw... такие например как фильтрация на L2 уровне...<br> https://www.opennet.ru/openforum/vsluhforumID3/37853.html#31 Fri, 17 Apr 2009 12:00:19 GMT &gt;&gt;в ipset нет tableargs, погуглите<br>&gt;<br>&gt;Погуглил. Отвечу Вашими словами: <br>&gt;<br>&gt;&gt;лол зачем всё это?<br>&gt;<br><br>я гдето выше говорил о шейперах<br><br>&gt;Фраза в духе названных мной фряшников-фанатиков: "Во FreeBSD всё есть. А если <br>&gt;чего и нет, то значит оно не нужно." Я думаю Вы <br>&gt;уже поняли, что объяснять Вам, занимающему такую позицию, зачем всё это <br>&gt;нужно, мне не особо хочется, да и не имеет смысла. <br>&gt;<br><br>вообщето FreeBSD работает на ARM ;-)<br><br>&gt;<br>&gt;Затраты и выгода несоизмеримы. Слышал о домохозяйках, которые поедут в другую часть <br>&gt;города, ради того, чтобы купить один-единственный пакет молока на рубль дешевле, <br>&gt;потратив при этом двадцать рублей на транспорт. <br>&gt;<br><br>пара минут на компиляцию это затраты? затраты это лишние<br>доли секунд на каждый проходящий пакет<br><br>&gt;Конкретные функции - терминальный сервер X. У Вас все пользователи дружно логинятся <br>&gt;по ssh и лабают документы в latex'е? <br>&gt;<br><br>дык для X линух получше будет, это известно всем<br>(только причем тут фаерволы лол)<br><br>&gt;Не о порядке прохождения пакетов https://www.opennet.ru/openforum/vsluhforumID3/37853.html#30 Fri, 17 Apr 2009 11:52:24 GMT &gt;в ipset нет tableargs, погуглите<br><br>Погуглил. Отвечу Вашими словами:<br><br>&gt;лол зачем всё это?<br><br>Фраза в духе названных мной фряшников-фанатиков: "Во FreeBSD всё есть. А если чего и нет, то значит оно не нужно." Я думаю Вы уже поняли, что объяснять Вам, занимающему такую позицию, зачем всё это нужно, мне не особо хочется, да и не имеет смысла.<br><br>&gt;собрать nginx, питон да postgres -- пара минут делов, зато оптимизации,<br><br>все дела.. как известно у гентушников даже скорость света на 6% выше =))<br><br>Затраты и выгода несоизмеримы. Слышал о домохозяйках, которые поедут в другую часть города, ради того, чтобы купить один-единственный пакет молока на рубль дешевле, потратив при этом двадцать рублей на транспорт.<br><br>&gt;обычно сервер выполняет конкретные фунции, на нем кроме ядра и баша установлена еще пара софтин и ВСЁ.<br><br>Конкретные функции - терминальный сервер X. У Вас все пользователи дружно логинятся по ssh и лабают документы в latex'е?<br><br>&gt;где вы видели сервер на котором установлено 300 пакетов которые будут 2е суток к https://www.opennet.ru/openforum/vsluhforumID3/37853.html#29 Fri, 17 Apr 2009 11:14:26 GMT &gt;&gt;<br>&gt;&gt;в ipfw есть tablearg (очень очень приятная вещь) <br>&gt;<br>&gt;ipset <br>&gt;<br><br>в ipset нет tableargs, погуглите<br><br>&gt;&gt;в ipfw есть простые шустрые шейпера (pipes)(в линухе <br>&gt;&gt;чтобы получить такой функционал приходится юзать костыль imq <br>&gt;&gt;который кроме всего прочего дико тормозит) <br>&gt;<br>&gt;Про imq первый раз слышу. Не пробовали tc? Не костыль, а штатная <br>&gt;очень гибкая система приоритезации, формирования и ограничения трафика. <br>&gt;<br><br>tc привязывается к интерфейсу, а если у меня куча интерфейсов и трафик<br>по ним гуляет? приходится юзать IMQ, это виртуальный интерфейс<br>сделан специально для таких и подобных целей. tc+imq жутко тормозит.<br>на том же железе ipfw2 + tableargs + pipes удалось выжать почти в<br>десять раз больше (100килопакетов на фре против 12 на линухе)<br><br><br>&gt;Ответы выше. <br><br>ок<br><br>&gt;[оверквотинг удален]<br>&gt;Вот мои главные претензии. В 60% случаев невозможно собрать что-нибудь, не споткнувшись <br>&gt;на каком-нибудь глюке парочку-другую раз. <br>&gt;<br>&gt;И ещё мне не нравится, что я не могу собрать по команде <br>&gt;make pack https://www.opennet.ru/openforum/vsluhforumID3/37853.html#28 Fri, 17 Apr 2009 10:32:20 GMT &gt;&gt;&gt;дело даже не в том что ipset это костыль который стремаются <br>&gt;&gt;&gt;добавлять в основную ветку, а в том что iptables даже вместе с <br>&gt;&gt;&gt;ipset уступают и ipfw и pf. <br>&gt;&gt;<br>&gt;&gt;Уступает в чём? <br>&gt;&gt;<br>&gt;<br>&gt;в ipfw есть tablearg (очень очень приятная вещь) <br><br>ipset<br><br>&gt;в ipfw есть простые шустрые шейпера (pipes)(в линухе <br>&gt;чтобы получить такой функционал приходится юзать костыль imq <br>&gt;который кроме всего прочего дико тормозит) <br><br>Про imq первый раз слышу. Не пробовали tc? Не костыль, а штатная очень гибкая система приоритезации, формирования и ограничения трафика.<br><br>&gt;это то изза чего я кое-где пересел на FreeBSD, не удивлюсь если <br>&gt;есть еще<br><br>Ответы выше.<br><br>&gt;&gt;&gt;# portupgrade -af<br>&gt;&gt;<br>&gt;&gt;На каждом сервере. <br>&gt;&gt;<br>&gt;<br>&gt;а дебиан чудесным образом сам запустит все на всех серверах? лол <br><br>Нет. Он просто не будет компилировать. А ещё он (если это стабильная ветка) не будет чинить то, что не сломалось - обновит только дырявые пакеты их патчеными версиями.<br><br>&gt;&gt;В BSD мне не нравятся: <br>&gt;&gt;1. неудобство пакетной системы (каждый https://www.opennet.ru/openforum/vsluhforumID3/37853.html#27 Fri, 17 Apr 2009 06:52:00 GMT &gt;&gt;дело даже не в том что ipset это костыль который стремаются <br>&gt;&gt;добавлять в основную ветку, а в том что iptables даже вместе с <br>&gt;&gt;ipset уступают и ipfw и pf. <br>&gt;<br>&gt;Уступает в чём? <br>&gt;<br><br>в ipfw есть tablearg (очень очень приятная вещь)<br>в ipfw есть простые шустрые шейпера (pipes)(в линухе<br>чтобы получить такой функционал приходится юзать костыль imq<br>который кроме всего прочего дико тормозит)<br>это то изза чего я кое-где пересел на FreeBSD, не удивлюсь если<br>есть еще<br><br>&gt;&gt;# portupgrade -af<br>&gt;<br>&gt;На каждом сервере. <br>&gt;<br><br>а дебиан чудесным образом сам запустит все на всех серверах? лол<br><br>&gt;<br>&gt;В BSD мне не нравятся: <br>&gt;1. неудобство пакетной системы (каждый раз пытаясь обновить или установить программу в <br>&gt;FreeBSD вспоминаю насколько легко и быстро я то же самое сделал <br>&gt;бы в Debian)<br><br>да ну прям таки сделать cd ..... && make install прямо таки головная боль<br><br>&gt;2. неразвитость ядра (те небольшие, на первый взгляд, недостатки иногда могут становиться <br>&gt;принципиальными недостатками.<br><br>неразвитость ядра???77 та https://www.opennet.ru/openforum/vsluhforumID3/37853.html#26 Fri, 17 Apr 2009 04:12:07 GMT &gt;дело даже не в том что ipset это костыль который стремаются <br>&gt;добавлять в основную ветку, а в том что iptables даже вместе с <br>&gt;ipset уступают и ipfw и pf. <br><br>Уступает в чём?<br><br>&gt;&gt;А вот в *BSD до сих пор несколько PPTP-сессий нельзя установить из-за <br>&gt;&gt;NAT'а, несмотря на все их три фаерволла. И в stateful режиме <br>&gt;&gt;фаерволлов не отслеживаются сессии данных активных FTP-клиентов, благодаря чему приходится настраивать <br>&gt;&gt;ещё и NAT там, где он не нужен.<br>&gt;<br>&gt;насчет pptp не тестил, но FTP работает отменно, враки это всё <br><br>Пассивные соединения работают отменно (это когда клиент сам устанавливает два соединения с FTP-сервером), а активные нет (когда клиент устанавливает управляющее соединение, а сервер подключается к клиенту для передачи данных).<br><br>&gt;чего это вдрук оно приведет к неработоспособности? <br>&gt;<br>&gt;http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/updating-freebsdupdate.html <br>&gt;ок <br><br>Посмотрел. Это читать при каждом обновлении каждого сервера? То есть появилась дырка, нужно обновить 50 сервако