https://www.opennet.ru/openforum/vsluhforumID3/73465.html Jozsef Kadlecsik, ведущий разработчик проекта ipset (http://ipset.netfilter.org/), объявил (http://permalink.gmane.org/gmane.comp.security.firewalls.netfilter.devel/36877) о выходе нового релиза &#8212; ipset 5.0. <br><br><br>Ipset &#8212; компонент универсального фреймворка фильтрации и преобразования пакетов netfilter (http://www.netfilter.org/) (последний является частью ядра linux). В его задачу входит хранение больших списков IP-адресов и подсетей, MAC-адресов, TCP/UDP-портов с возможностью быстрого поиска по ним. Этими списками можно управлять вручную (при помощи команды ipset), в пакетном режиме (чтение из файла) или автоматически согласно правилам netfilter (iptables -j SET), срабатывающим при прохождении определенных пакетов. Проверку адресов/портов на наличие в списках тоже можно проводить непосредственно из netfilter (iptables -m set). Таким образом, ipset позволяет, например, создавать и сопровождать блэк-листы адресов, уличенных в атаках или попытках сканирования служб.<br><br><br><br>Клю...<br><br>URL: http://permali https://www.opennet.ru/openforum/vsluhforumID3/73465.html#43 Thu, 19 Jun 2014 02:47:35 GMT Уже 2014 год, и ничего в принципе не поменялось..<br> https://www.opennet.ru/openforum/vsluhforumID3/73465.html#42 Sat, 08 Jan 2011 19:40:42 GMT &gt;&gt; Да-да, то-то уже выпущен пропозал NAT для v6 (RFC 5902).<br>&gt; RFC много разных выпущено, а пропозалов и подавно. Я даже допускаю что <br>&gt; для особо хитрых случаев оно даже найдет применение.<br><br>Можно было банально прочитать, гы. Пока IPv6 использует всего несколько процентов Интернета, т.е. наиболее грамотные, RFC по этой теме выпускаются не просто так. И не для особо хитрых - поважнее вещи есть, чем особо хитрые выискивать.<br><br>&gt;&gt; Ну будет вместо них отслеживание соединений на белые адреса. Абсолютно никакой разницы.<br>&gt;&gt; А конкретно в линуксе это даже тот же самый conntrack будет делать.<br>&gt; Если кому-то надо stateful инспекцию соединений и никак иначе - будет. Со <br>&gt; всеми вытекающими, типа кушания ресурсов на все это. Только вот утверждение <br>&gt; что всем вокруг было надо именно так - неверно. А потом <br>&gt; начинается геморрой с пробрасыванием портов, DMZ, анализом почему криво работает половина <br>&gt; софта и прочая, при том что целью было всего-то раздать интернет <br>&gt; на эн машин. Файрволить должен файрвол, а даль https://www.opennet.ru/openforum/vsluhforumID3/73465.html#41 Tue, 28 Dec 2010 02:48:41 GMT Ребят вы как стадо баранов спорите. Возмите почитайте про ipv6. Может каждый его поймёт по своему, но ОН ipv6 будет для каждого удобен и каждый задумается когда настанет тот день X после которых мы будем использовать только его. Потому что он заранее разработан так, чтобы быть МАСШТАБИРУЕМЫМ - он очень гибок.<br><br><br>Мы устали таскать BGP листы до ~700 метров чтобы наши клиенты могли банально читать даже эти статьи на opennet`e<br> https://www.opennet.ru/openforum/vsluhforumID3/73465.html#40 Sun, 26 Dec 2010 19:20:26 GMT &gt; IPv6 NAT не отменяет,<br><br>Только делает ненужным в практически всех случаях. А файрволить должен все-таки файрвол. Сам по себе NAT - довольно дефективный костыль, не присутствующий в изначально задуманной логике протокола. <br><br>&gt; более того он для него является необходимым, <br><br>Где это написано?<br><br>&gt; хотя бы для трансляции IPv4 &lt;-&gt;IPv6 <br><br>А это вообще временный костыль. В IPv6-only сетях все это не понадобится.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/73465.html#39 Sun, 26 Dec 2010 19:18:34 GMT &gt; Да-да, то-то уже выпущен пропозал NAT для v6 (RFC 5902).<br><br>RFC много разных выпущено, а пропозалов и подавно. Я даже допускаю что для особо хитрых случаев оно даже найдет применение.<br><br>&gt; Ну будет вместо них отслеживание соединений на белые адреса. Абсолютно никакой разницы. <br>&gt; А конкретно в линуксе это даже тот же самый conntrack будет делать.<br><br>Если кому-то надо stateful инспекцию соединений и никак иначе - будет. Со всеми вытекающими, типа кушания ресурсов на все это. Только вот утверждение что всем вокруг было надо именно так - неверно. А потом начинается геморрой с пробрасыванием портов, DMZ, анализом почему криво работает половина софта и прочая, при том что целью было всего-то раздать интернет на эн машин. Файрволить должен файрвол, а дальше уже админовское дело какие там рулесы должны обитать.<br><br>&gt; Давно уже есть UPnP IGD и NAT-PMP, всё работает.<br><br>Работать то оно работает, вопрос только в том как. И, кстати, вам не кажется что это - тоже те еще костыли, со своими проблемами? При том довольно извра https://www.opennet.ru/openforum/vsluhforumID3/73465.html#38 Sat, 25 Dec 2010 16:20:55 GMT &gt; Прогрессивный мир уже лет 5 поддерживает 6-й. Начиная с висты еще <br><br>Прогрессивный мир уже 11 годков поддерживает IPv6 начиная ядра Linux v2.2.15<br> https://www.opennet.ru/openforum/vsluhforumID3/73465.html#37 Sat, 25 Dec 2010 16:04:52 GMT &gt;&gt; Да-да - с появлением IPv6 firewall'ы отменят напрочь! :) <br>&gt; Извините, одно дело - файрвол, который правила применяет, а другое - имение <br>&gt; мозга с трансляцией айпишников. Нат - много брейнфака на ровном месте. <br><br>IPv6 NAT не отменяет, более того он для него является необходимым, хотя бы для трансляции IPv4 &lt;-&gt;IPv6<br> https://www.opennet.ru/openforum/vsluhforumID3/73465.html#36 Sat, 25 Dec 2010 16:02:02 GMT &gt; Дык дело-то не в массах, а пока что в UPLINK провайдерах. Мой <br>&gt; провайдер честно пока говорит IPv6 дасть не могем нету у нас <br>&gt; прямого и чистого IPv6 тока через жопу, <br><br>Ваш провайдер лукавит, он может уже сейчас довольно дешево купить автономную систему с блоком адресов IPv6 и раздавать IPv6 направо и налево.<br><br>Но для вашего провайдера это будет означать большую переделку инфраструктуры, начиная от биллинга кончая коммутаторами уровня доступа. Затраты огромны, профита никакого. <br> https://www.opennet.ru/openforum/vsluhforumID3/73465.html#35 Fri, 24 Dec 2010 07:48:06 GMT Прогрессивный мир уже лет 5 поддерживает 6-й. Начиная с висты еще<br>