Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Обсуждение пакетных фильтров, opennews (??), 26-Июн-07, (0) [смотреть все] эхклассный фаерволдо него думал, что ipfw рулит , _Nick_ (??), 03:08 , 26-Июн-07, (1) Тролль начинающий, наивный - стремительно разпостраняюшийся вид троллей В Латин, ТинПу (?), 04:13 , 26-Июн-07, (2) // пардоньте, вы о сабже iptables - это тролль где вы и что курите или вы о Тин, _Nick_ (??), 04:53 , 26-Июн-07, (3) Рулит PF как ни крути , Аноним (-), 05:47 , 26-Июн-07, (4) // он уже научилсо видить связь между разными TCP коннектами одной FTP сессии , _Nick_ (??), 06:33 , 26-Июн-07, (5) // он в процессе - вот лет через 5 , troll (??), 08:35 , 26-Июн-07, (6) // угулет через пять они этот процесс наконецто переведут в RUNNING state и начнут , _Nick_ (??), 08:42 , 26-Июн-07, (7) А типа, пять лет мне ждать без нормально работающего фиреволла , mov R0 1 (?), 14:10 , 26-Июн-07, (33) А какие-нить более значимые аргументы имеются , Аноним (-), 09:21 , 26-Июн-07, (8) // задача зарубить ВСЕ входящие коннекты ну, кроме каких-то стандартных портов, т, _Nick_ (??), 09:54 , 26-Июн-07, (9) // Вообщето это пассивный режим называется - Но я бы тоже глянул как PF с этим сп, muhlik (??), 10:30 , 26-Июн-07, (10) // нетможет я плохо описал не было самоцелью но активный - это когда ты коннектишь, _Nick_ (??), 11:24 , 26-Июн-07, (16) Представим что pf это может делать Как тогда изменится соотношение pf i, s_dog (??), 11:27 , 26-Июн-07, (19) А если б у бабушки был бы это был бы дедушка , mov R0 1 (?), 14:12 , 26-Июн-07, (34) Вот все вам покажи да покажи Ну читай http openbsd org faq pf ftp htmlИ на , Аноним (42), 15:34 , 26-Июн-07, (42) // нашел специалистов по iptables ты бы еще цитату с негросайта дал iptables - , _Nick_ (??), 16:46 , 26-Июн-07, (49) ну модуль-моулем, но вот как он будет трекать соединение в данном случае буде, Аноним (42), 17:09 , 26-Июн-07, (53) Ессьно Да, проксирование Но в чем проблема Ведь это основополагающий принцип , _Nick_ (??), 17:50 , 26-Июн-07, (56) да дело не в скептицизме я лишь пытался сказать что решение применяемое в PF , Аноним (42), 20:14 , 26-Июн-07, (62) да, согласен Естественно, PF ровно как и IPFW хватает за глаза на большинстве, _Nick_ (??), 21:00 , 26-Июн-07, (63) ня а давайте для каждого протокола использовать юзерспейсовый костыль А ещё лу, Дохтур (?), 22:56 , 26-Июн-07, (67) http www openbsd org faq pf ftp html, Аноним (-), 10:33 , 26-Июн-07, (11) // суперсистема This process acts to guide your FTP traffic through the NAT g, _Nick_ (??), 11:31 , 26-Июн-07, (20) // Ваш сарказм явно не в тему FTP - откровенно устаревший протокол, созданный в, northbear (??), 13:54 , 26-Июн-07, (31) // возможноЛюблю обсуждать проблемы неЛинукса Эдакая война не на своей территории, _Nick_ (??), 16:21 , 26-Июн-07, (46) Да причем тут Микрософт К чему ты его сюда приплел С чем именно ты не согласен, northbear (??), 21:42 , 26-Июн-07, (64) С подходом мне не надо - никому не надо скажем так, просто старый зато намного , _Nick_ (??), 00:39 , 27-Июн-07, (74) И еще раз Где я говорил, что мне не надо Угу В ненагруженных системах да хо, northbear (??), 07:44 , 27-Июн-07, (78) другие называют функционал кто прав меняетьсяно не когда наличиствет N независ, _Nick_ (??), 11:23 , 27-Июн-07, (82) а iptables уже научилсо работать с таблицами , Аноним (-), 10:42 , 26-Июн-07, (12) // http www snowman net projects ipt_recent , _Nick_ (??), 11:27 , 26-Июн-07, (18) А как pf спарвляется с vpn сессиями, насколько мне помнится, он только одну чер, Илья (??), 10:52 , 26-Июн-07, (13) // А что, простите, такое VPN PPTP, IPSEC, L2TP IPSEC, OpenVPN Или что другое , vpn (??), 11:16 , 26-Июн-07, (14) pptp из локалки, Илья (??), 11:21 , 26-Июн-07, (15) // дык он если не ошибаюсь по GRE бегает, а уж его от-conntrack ать раньше и iptabl, vpn (??), 11:25 , 26-Июн-07, (17) // lsmodip_nat_proto_greip_nat_pptpip_conntrack_pptpip_conntrack_proto_greЕще вопр, Sampan (?), 12:03 , 26-Июн-07, (21) // Вообще-то, да работает ли при этом одновременно несколько pptp клиентов, цепляющ, vpn (??), 13:07 , 26-Июн-07, (27) Сдается мне, что ни когда так работать не будет Врожденное ограничение РРТР GR, Sampan (?), 13:54 , 26-Июн-07, (32) на самом деле заголовок GRE пакета имеет Key LW Call ID Contains the Peer s , vpn (??), 15:37 , 26-Июн-07, (44) Используется ли он на самом деле В заголовках IP пакетов есть много полей, кото, Sampan (?), 22:31 , 26-Июн-07, (66) Очень может быть Но если оно действително не используется - может возможно ка, vpn (??), 13:08 , 27-Июн-07, (85) Не сей час и некогда он не бегал по GRE , kukan (?), 17:47 , 26-Июн-07, (55) // RTFM PPTP всегда ездил по TCP управление GRE данные , Alexander Motin (?), 00:02 , 27-Июн-07, (71) В продолжение темы iptables vs ipfwКогда ipfw научится делать так iptables -A IN, Sampan (?), 12:10 , 26-Июн-07, (22) // Производительность данного правила сомнительна, если оно берет всегда свежие дан, SunTech (?), 12:23 , 26-Июн-07, (23)   // Не только по Украине и России, а по всем распределенным адресам мира ls -l var , Sampan (?), 12:34 , 26-Июн-07, (24)   // ipset - намного правильнее Это данные надо в памяти держить , Аноним (-), 12:47 , 26-Июн-07, (25)   Дисковый кэш нас уже не устраивает , Sampan (?), 13:40 , 26-Июн-07, (30)   CISCO придумала засунуть в IP-фильтр инспекцию протоколов и с тех пор началась г, belkin (?), 13:13 , 26-Июн-07, (28) // не совсем по тебе, но это придумала фирма Check Point , mimo prohodil (?), 13:36 , 26-Июн-07, (29) // если не ошибаюсь, зовётся всё это nat traversal и состоит в инкапсуляции в udp-п, Дохтур (?), 23:08 , 26-Июн-07, (70) Поддерживаю на все 100000 золотые слова, alk (??), 14:35 , 26-Июн-07, (36) Вообще режимы ftp позволяют перемещать данные с сервера на сервер , Аноним (-), 14:36 , 26-Июн-07, (37) А вот не всегда Головному офису крупной Бельгийской конторы начхать на проблемы, Sampan (?), 14:54 , 26-Июн-07, (38) // хороший повод проэскалировать, не правда ли , alteleid (ok), 15:37 , 26-Июн-07, (43) В данном случае проблема организационная московского инженера не предупредили ч, belkin (?), 16:18 , 26-Июн-07, (45) // Белко, где ты такие пастбища берешь подумай столько бы народу было без инета отм, _Nick_ (??), 16:53 , 26-Июн-07, (50) Может я не до конца понял, но у меня успешно бегают несколько пптп сессий через , Redacid (ok), 16:31 , 26-Июн-07, (47) // ключ ко всему - natd Он на libalias и нормально умеет работать с pptp , Дохтур (?), 23:04 , 26-Июн-07, (68) гы не повеЗЛО ну а вообще ж виновник то кто распространения это недопротокол, _Nick_ (??), 16:35 , 26-Июн-07, (48) // А по-моему виновник в этом NAT ибо он является самым настоящим сетевым хаком, пр, belkin (?), 17:02 , 26-Июн-07, (52) тебе вредно раниматься IT причем вредно именно для нее любой хак, делающий с, _Nick_ (??), 17:21 , 26-Июн-07, (54) Куда больше в данном случае всегда найдется Случай такой Пока работал над PPTP , Alexander Motin (?), 00:35 , 27-Июн-07, (72) Поставьте им di-804hv или любой другой длинковский роутер 800-й серии Он умее, Аноним (51), 16:53 , 26-Июн-07, (51) // За совет про D-Link спасибо, конечно Только проблема решилась проще На линуксе, Sampan (?), 22:20 , 26-Июн-07, (65) внутри таких вот длинков, как правило, linux Как и внутри всяких ZyWall , Дохтур (?), 23:05 , 26-Июн-07, (69) И нет не какого объединения локалок Такого не быват ну разве что в прошлом , kukan (?), 17:53 , 26-Июн-07, (57) Обалдеть И одновременно тут же крансоглазики пытаются унизить FreeBSD У меня с, dravor (ok), 00:36 , 27-Июн-07, (73) // Да чего там унижать sip h 323 irc dcc tftp и приплыли вот и сидите на жалких 2, Дохтур (?), 01:01 , 27-Июн-07, (75) Для желающих 100мбит есть его netgraph версия по имени ng_nat , Alexander Motin (?), 01:07 , 27-Июн-07, (76) угу ещё в 7ке nat в ipfw Только у ng_nat есть минус - несколько нетривиальны, Дохтур (?), 13:48 , 27-Июн-07, (86) Ну это по вкусу Это все тот-же libalias в ядре, что и в случае ng_nat В связке , Alexander Motin (?), 14:36 , 27-Июн-07, (87) Ворвался Увидел знакомые слова Читать тред некогда - надо срочно свое слово вс, Sampan (?), 02:43 , 27-Июн-07, (77) А что мешает повесить отвести под пассивный фтп диапазон портов где то за 64000 , Oles (?), 18:11 , 26-Июн-07, (58) // - безопасность- спорт- изначальное условие ну это так, для сугреву , _Nick_ (??), 18:31 , 26-Июн-07, (60) // А можно real-life проблему И где тут реально проблемы с безопасностью , don_oles (??), 10:16 , 27-Июн-07, (80) // спорт видел это не жизненноважный пример, конечно так что не баисьбольше досту, _Nick_ (??), 11:27 , 27-Июн-07, (84) Да, кстати, на фтп сайт который не работает в пассиве я просто не пойду Это его, Oles (?), 18:15 , 26-Июн-07, (59) // конечно ж не пойдешь ибо некак Dлибо придеццо ж опу выставлять в сетку на вр, _Nick_ (??), 18:31 , 26-Июн-07, (61) // Зачем Stateful фильтрацию для кого придумали Если на данный хост установлена, ram_scan (?), 07:59 , 27-Июн-07, (79) // это все равно открывает больше доступа к твоему хосту, чем нужно С этого хоста н, _Nick_ (??), 11:25 , 27-Июн-07, (83) Я уже давно по фтп никуда не хожу Меня вообще удивляет что до сих пор есть тако, don_oles (??), 10:18 , 27-Июн-07, (81) 1,2,4,8,11,12,13,15,22,28,58,59

Сообщения

[Сортировка по времени | RSS]

	23. "OpenNews: Вышел iptables 1.3.8"	+/–
	Сообщение от SunTech (?), 26-Июн-07, 12:23
	Производительность данного правила сомнительна, если оно берет всегда свежие данные о распределении адресов по Украине и России. Если же оно берет данные на момент загрузки правила в ядро, то такое реализуется таблицами в любом файрволле: скриптом продергивается пул адресов и засовывается в таблицу перед загрузкой правила на запрет соединений из этой таблицы. Более того, можно эту таблицу непрерывно мониторить и добавлять/удалять туда только необходимые адреса, а не перегружать её целиком. Я так понимаю этот вопрос.
	Ответить | Правка | Наверх | Cообщить модератору

	24. "OpenNews: Вышел iptables 1.3.8"	+/–
	Сообщение от Sampan (?), 26-Июн-07, 12:34
	>Производительность данного правила сомнительна, если оно берет всегда свежие данные о распределении адресов по Украине и России. Не только по Украине и России, а по всем распределенным адресам мира. ls -l /var/geoip -rw-rw-r--    1 root     root       727284 2007-06-24 01:10 geoipdb.bin -rw-rw-r--    1 root     root         1398 2007-06-24 01:10 geoipdb.idx Локальная база распределения адресов по странам. Обновляется раз в месяц. Производительность замечательная, т.к. эта база - хэш с индексами. Облизывайтесь...
	Ответить | Правка | Наверх | Cообщить модератору

	25. "OpenNews: Вышел iptables 1.3.8"	+/–
	Сообщение от Аноним (-), 26-Июн-07, 12:47
	>Облизывайтесь... ipset - намного правильнее. Это данные надо в памяти держить.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "OpenNews: Вышел iptables 1.3.8"	+/–
	Сообщение от Sampan (?), 26-Июн-07, 13:40
	>Это данные надо в памяти держить Дисковый кэш нас уже не устраивает?
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема