Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Обсуждение пакетных фильтров, opennews (??), 26-Июн-07, (0) [смотреть все] эхклассный фаерволдо него думал, что ipfw рулит , _Nick_ (??), 03:08 , 26-Июн-07, (1) Тролль начинающий, наивный - стремительно разпостраняюшийся вид троллей В Латин, ТинПу (?), 04:13 , 26-Июн-07, (2) // пардоньте, вы о сабже iptables - это тролль где вы и что курите или вы о Тин, _Nick_ (??), 04:53 , 26-Июн-07, (3) Рулит PF как ни крути , Аноним (-), 05:47 , 26-Июн-07, (4) // он уже научилсо видить связь между разными TCP коннектами одной FTP сессии , _Nick_ (??), 06:33 , 26-Июн-07, (5) // он в процессе - вот лет через 5 , troll (??), 08:35 , 26-Июн-07, (6) // угулет через пять они этот процесс наконецто переведут в RUNNING state и начнут , _Nick_ (??), 08:42 , 26-Июн-07, (7) А типа, пять лет мне ждать без нормально работающего фиреволла , mov R0 1 (?), 14:10 , 26-Июн-07, (33) А какие-нить более значимые аргументы имеются , Аноним (-), 09:21 , 26-Июн-07, (8) // задача зарубить ВСЕ входящие коннекты ну, кроме каких-то стандартных портов, т, _Nick_ (??), 09:54 , 26-Июн-07, (9) // Вообщето это пассивный режим называется - Но я бы тоже глянул как PF с этим сп, muhlik (??), 10:30 , 26-Июн-07, (10) // нетможет я плохо описал не было самоцелью но активный - это когда ты коннектишь, _Nick_ (??), 11:24 , 26-Июн-07, (16) Представим что pf это может делать Как тогда изменится соотношение pf i, s_dog (??), 11:27 , 26-Июн-07, (19) А если б у бабушки был бы это был бы дедушка , mov R0 1 (?), 14:12 , 26-Июн-07, (34) Вот все вам покажи да покажи Ну читай http openbsd org faq pf ftp htmlИ на , Аноним (42), 15:34 , 26-Июн-07, (42) // нашел специалистов по iptables ты бы еще цитату с негросайта дал iptables - , _Nick_ (??), 16:46 , 26-Июн-07, (49) ну модуль-моулем, но вот как он будет трекать соединение в данном случае буде, Аноним (42), 17:09 , 26-Июн-07, (53) Ессьно Да, проксирование Но в чем проблема Ведь это основополагающий принцип , _Nick_ (??), 17:50 , 26-Июн-07, (56) да дело не в скептицизме я лишь пытался сказать что решение применяемое в PF , Аноним (42), 20:14 , 26-Июн-07, (62) да, согласен Естественно, PF ровно как и IPFW хватает за глаза на большинстве, _Nick_ (??), 21:00 , 26-Июн-07, (63) ня а давайте для каждого протокола использовать юзерспейсовый костыль А ещё лу, Дохтур (?), 22:56 , 26-Июн-07, (67) http www openbsd org faq pf ftp html, Аноним (-), 10:33 , 26-Июн-07, (11) // суперсистема This process acts to guide your FTP traffic through the NAT g, _Nick_ (??), 11:31 , 26-Июн-07, (20) // Ваш сарказм явно не в тему FTP - откровенно устаревший протокол, созданный в, northbear (??), 13:54 , 26-Июн-07, (31) // возможноЛюблю обсуждать проблемы неЛинукса Эдакая война не на своей территории, _Nick_ (??), 16:21 , 26-Июн-07, (46) Да причем тут Микрософт К чему ты его сюда приплел С чем именно ты не согласен, northbear (??), 21:42 , 26-Июн-07, (64) С подходом мне не надо - никому не надо скажем так, просто старый зато намного , _Nick_ (??), 00:39 , 27-Июн-07, (74) И еще раз Где я говорил, что мне не надо Угу В ненагруженных системах да хо, northbear (??), 07:44 , 27-Июн-07, (78) другие называют функционал кто прав меняетьсяно не когда наличиствет N независ, _Nick_ (??), 11:23 , 27-Июн-07, (82) а iptables уже научилсо работать с таблицами , Аноним (-), 10:42 , 26-Июн-07, (12) // http www snowman net projects ipt_recent , _Nick_ (??), 11:27 , 26-Июн-07, (18) А как pf спарвляется с vpn сессиями, насколько мне помнится, он только одну чер, Илья (??), 10:52 , 26-Июн-07, (13) // А что, простите, такое VPN PPTP, IPSEC, L2TP IPSEC, OpenVPN Или что другое , vpn (??), 11:16 , 26-Июн-07, (14) pptp из локалки, Илья (??), 11:21 , 26-Июн-07, (15) // дык он если не ошибаюсь по GRE бегает, а уж его от-conntrack ать раньше и iptabl, vpn (??), 11:25 , 26-Июн-07, (17) // lsmodip_nat_proto_greip_nat_pptpip_conntrack_pptpip_conntrack_proto_greЕще вопр, Sampan (?), 12:03 , 26-Июн-07, (21) // Вообще-то, да работает ли при этом одновременно несколько pptp клиентов, цепляющ, vpn (??), 13:07 , 26-Июн-07, (27) Сдается мне, что ни когда так работать не будет Врожденное ограничение РРТР GR, Sampan (?), 13:54 , 26-Июн-07, (32) на самом деле заголовок GRE пакета имеет Key LW Call ID Contains the Peer s , vpn (??), 15:37 , 26-Июн-07, (44) Используется ли он на самом деле В заголовках IP пакетов есть много полей, кото, Sampan (?), 22:31 , 26-Июн-07, (66) Очень может быть Но если оно действително не используется - может возможно ка, vpn (??), 13:08 , 27-Июн-07, (85) Не сей час и некогда он не бегал по GRE , kukan (?), 17:47 , 26-Июн-07, (55) // RTFM PPTP всегда ездил по TCP управление GRE данные , Alexander Motin (?), 00:02 , 27-Июн-07, (71) В продолжение темы iptables vs ipfwКогда ipfw научится делать так iptables -A IN, Sampan (?), 12:10 , 26-Июн-07, (22) // Производительность данного правила сомнительна, если оно берет всегда свежие дан, SunTech (?), 12:23 , 26-Июн-07, (23) // Не только по Украине и России, а по всем распределенным адресам мира ls -l var , Sampan (?), 12:34 , 26-Июн-07, (24) // ipset - намного правильнее Это данные надо в памяти держить , Аноним (-), 12:47 , 26-Июн-07, (25) Дисковый кэш нас уже не устраивает , Sampan (?), 13:40 , 26-Июн-07, (30) CISCO придумала засунуть в IP-фильтр инспекцию протоколов и с тех пор началась г, belkin (?), 13:13 , 26-Июн-07, (28) // не совсем по тебе, но это придумала фирма Check Point , mimo prohodil (?), 13:36 , 26-Июн-07, (29) // если не ошибаюсь, зовётся всё это nat traversal и состоит в инкапсуляции в udp-п, Дохтур (?), 23:08 , 26-Июн-07, (70) Поддерживаю на все 100000 золотые слова, alk (??), 14:35 , 26-Июн-07, (36) Вообще режимы ftp позволяют перемещать данные с сервера на сервер , Аноним (-), 14:36 , 26-Июн-07, (37) А вот не всегда Головному офису крупной Бельгийской конторы начхать на проблемы, Sampan (?), 14:54 , 26-Июн-07, (38) // хороший повод проэскалировать, не правда ли , alteleid (ok), 15:37 , 26-Июн-07, (43) В данном случае проблема организационная московского инженера не предупредили ч, belkin (?), 16:18 , 26-Июн-07, (45) // Белко, где ты такие пастбища берешь подумай столько бы народу было без инета отм, _Nick_ (??), 16:53 , 26-Июн-07, (50) Может я не до конца понял, но у меня успешно бегают несколько пптп сессий через , Redacid (ok), 16:31 , 26-Июн-07, (47) // ключ ко всему - natd Он на libalias и нормально умеет работать с pptp , Дохтур (?), 23:04 , 26-Июн-07, (68) гы не повеЗЛО ну а вообще ж виновник то кто распространения это недопротокол, _Nick_ (??), 16:35 , 26-Июн-07, (48)   // А по-моему виновник в этом NAT ибо он является самым настоящим сетевым хаком, пр, belkin (?), 17:02 , 26-Июн-07, (52)   тебе вредно раниматься IT причем вредно именно для нее любой хак, делающий с, _Nick_ (??), 17:21 , 26-Июн-07, (54)   Куда больше в данном случае всегда найдется Случай такой Пока работал над PPTP , Alexander Motin (?), 00:35 , 27-Июн-07, (72)   Поставьте им di-804hv или любой другой длинковский роутер 800-й серии Он умее, Аноним (51), 16:53 , 26-Июн-07, (51) // За совет про D-Link спасибо, конечно Только проблема решилась проще На линуксе, Sampan (?), 22:20 , 26-Июн-07, (65) внутри таких вот длинков, как правило, linux Как и внутри всяких ZyWall , Дохтур (?), 23:05 , 26-Июн-07, (69) И нет не какого объединения локалок Такого не быват ну разве что в прошлом , kukan (?), 17:53 , 26-Июн-07, (57) Обалдеть И одновременно тут же крансоглазики пытаются унизить FreeBSD У меня с, dravor (ok), 00:36 , 27-Июн-07, (73) // Да чего там унижать sip h 323 irc dcc tftp и приплыли вот и сидите на жалких 2, Дохтур (?), 01:01 , 27-Июн-07, (75) Для желающих 100мбит есть его netgraph версия по имени ng_nat , Alexander Motin (?), 01:07 , 27-Июн-07, (76) угу ещё в 7ке nat в ipfw Только у ng_nat есть минус - несколько нетривиальны, Дохтур (?), 13:48 , 27-Июн-07, (86) Ну это по вкусу Это все тот-же libalias в ядре, что и в случае ng_nat В связке , Alexander Motin (?), 14:36 , 27-Июн-07, (87) Ворвался Увидел знакомые слова Читать тред некогда - надо срочно свое слово вс, Sampan (?), 02:43 , 27-Июн-07, (77) А что мешает повесить отвести под пассивный фтп диапазон портов где то за 64000 , Oles (?), 18:11 , 26-Июн-07, (58) // - безопасность- спорт- изначальное условие ну это так, для сугреву , _Nick_ (??), 18:31 , 26-Июн-07, (60) // А можно real-life проблему И где тут реально проблемы с безопасностью , don_oles (??), 10:16 , 27-Июн-07, (80) // спорт видел это не жизненноважный пример, конечно так что не баисьбольше досту, _Nick_ (??), 11:27 , 27-Июн-07, (84) Да, кстати, на фтп сайт который не работает в пассиве я просто не пойду Это его, Oles (?), 18:15 , 26-Июн-07, (59) // конечно ж не пойдешь ибо некак Dлибо придеццо ж опу выставлять в сетку на вр, _Nick_ (??), 18:31 , 26-Июн-07, (61) // Зачем Stateful фильтрацию для кого придумали Если на данный хост установлена, ram_scan (?), 07:59 , 27-Июн-07, (79) // это все равно открывает больше доступа к твоему хосту, чем нужно С этого хоста н, _Nick_ (??), 11:25 , 27-Июн-07, (83) Я уже давно по фтп никуда не хожу Меня вообще удивляет что до сих пор есть тако, don_oles (??), 10:18 , 27-Июн-07, (81) 1,2,4,8,11,12,13,15,22,28,58,59

Сообщения

[Сортировка по времени | RSS]

	48. "Вышел iptables 1.3.8"	+/–
	Сообщение от _Nick_ (??), 26-Июн-07, 16:35
	>>Всегда есть альтернатива в виде изменения сетевой структуры под задачи вместо усложнения и запутывания работы > >А вот не всегда! Головному офису крупной Бельгийской конторы начхать на проблемы >Московского представительства. А доступ в коропративную сеть организован только по РРТР. >И вот приезжают пяток менеджеров оттуда со своими ноутами и все >хотят (вот сволочи!) читать почту из Брюсселя. Как им объяснить, что >из под НАТа возможна только одна сессия РРТР? гы... не повеЗЛО... ну а вообще ж виновник то кто распространения это недопротокола... негросовт... свое писать не умеют и нихрена не соображают - лицензировали первое попавшееся... А ведь уже тогда проблема айпишников была не за горами... Но великая контора то дальше своего носа не видит... еще один повод ее ненавидеть? (но куда ж больше??)
	Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

	52. "Вышел iptables 1.3.8"	+/–
	Сообщение от belkin (?), 26-Июн-07, 17:02
	>>хотят (вот сволочи!) читать почту из Брюсселя. Как им объяснить, что >>из под НАТа возможна только одна сессия РРТР? > >гы... >не повеЗЛО... >ну а вообще ж виновник то кто распространения это недопротокола... негросовт... >свое писать не умеют и нихрена не соображают - лицензировали первое попавшееся... А по-моему виновник в этом NAT ибо он является самым настоящим сетевым хаком, принцип работы которого нарушает основы (независимость уровней, глобальная схема адресации, уникальность адресов). Всё шло от невинного к более противному. Сначала был Static NAT, затем придумали динамическое распределение. Но когда добавили PAT и соотношение 1:1 нарушили (одномоментно один внешний адрес обслуживает несколько внутренних) вот тогда-то и начались настоящие проблемы. Хак усилился - усилились проблемы. Прямая связь.
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Вышел iptables 1.3.8"	+/–
	Сообщение от _Nick_ (??), 26-Июн-07, 17:21
	тебе вредно раниматься IT :) причем вредно именно для нее ;) любой хак, делающий счастливыми население Земли - есть благо. Остальное - проблемы ИТшников :) (причем не очень то и большие ;)
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Вышел iptables 1.3.8"	+/–
	Сообщение от Alexander Motin (?), 27-Июн-07, 00:35
	>еще один повод ее ненавидеть? (но куда ж больше??) Куда больше в данном случае всегда найдется. Случай такой. Пока работал над PPTP и L2TP столько слов ярких по поводу вырвалось. L2TP - красиво реализованный, расширяемый протокол работающий по UDP. PPTP же, напротив, жестко фиксированное уродство с кучей странных заточек работающее по TCP+GRE. Не знаю в каком году PPTP разработали, но RFC на них опубликованы с интервалом в месяц в 1999 году. В общем, да здравструет L2TP без IPSec - идеальный вариант! :)
	Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема