форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (BSD ipfw, ipf, ip-filter / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"IPFW-пропуск по имени компа"	+/–
Сообщение от goldii (ok) on 05-Авг-10, 13:29
Есть задача! 1) Есть домен 2)есть пользюки 3)есть Nat 3,5) есть squid c ntlm авторизацией 4)Freebsd 7.2 Есть идея! Т.к. все компы в домене, а имена компьютеров может менять админ домена, необходимо чтобы ipfw могла фильтровать на уровне имен, не IP. Т.е. каким то образом увидев IP он отправил запрос ДНС, получил ответ от него и решил что дальше делать с пакетом.... А дальше в с соответствии с правилами отправил его через нат или через проксю... Как ЭТО РЕАЛИЗОВАТЬ? Есть идеи?
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IPFW-пропуск по имени компа"	+/–
Сообщение от reader (ok) on 05-Авг-10, 15:13
>[оверквотинг удален] > >Есть идея! >Т.к. все компы в домене, а имена компьютеров может менять админ домена, >необходимо чтобы ipfw могла фильтровать на уровне имен, не IP. >Т.е. каким то образом увидев IP он отправил запрос ДНС, получил ответ >от него и решил что дальше делать с пакетом.... >А дальше в с соответствии с правилами отправил его через нат или >через проксю... > >Как ЭТО РЕАЛИЗОВАТЬ? Есть идеи? пакетные фильтры имена резолвят в момент загрузки правил, и дальше работают с ip, если бы пакетный фильтр для каждого пакета запрашивал преобразование имени, то это было бы страшное тормозилово
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "IPFW-пропуск по имени компа"	+/–
	Сообщение от goldii (ok) on 05-Авг-10, 15:51
	>[оверквотинг удален] >>Т.е. каким то образом увидев IP он отправил запрос ДНС, получил ответ >>от него и решил что дальше делать с пакетом.... >>А дальше в с соответствии с правилами отправил его через нат или >>через проксю... >> >>Как ЭТО РЕАЛИЗОВАТЬ? Есть идеи? > >пакетные фильтры имена резолвят в момент загрузки правил, и дальше работают с >ip, если бы пакетный фильтр для каждого пакета запрашивал преобразование имени, >то это было бы страшное тормозилово Ну хотябы пример такого фильтра? IPFW тоже пакетный фильтр, а еще есть PF и IPF, и если можно пример такой команды которая запрещает компу с именем,допустим, buh2 лезти на на 443 порт интерфейса le10... поповоду тормозов при резолве.... сомнительно.... у меня постфикс отбивает спам на ура, тормозов с резолвом не замечано....
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "IPFW-пропуск по имени компа"	+/–
	Сообщение от reader (ok) on 05-Авг-10, 16:05
	>[оверквотинг удален] >> >>пакетные фильтры имена резолвят в момент загрузки правил, и дальше работают с >>ip, если бы пакетный фильтр для каждого пакета запрашивал преобразование имени, >>то это было бы страшное тормозилово > >Ну хотябы пример такого фильтра? > >IPFW тоже пакетный фильтр, а еще есть PF и IPF, и если >можно пример такой команды которая запрещает компу с именем,допустим, buh2 лезти >на на 443 порт интерфейса le10... http://www.opennet.me/base/net/pf_faq.txt.html Синтаксис правил:    Полный синтаксис правила:         action direction [log] [quick] on interface [af] [proto protocol] \            from src_addr [port src_port] to dst_addr [port dst_port] \            [tcp_flags] [state] .... - src_addr, dst_addr ....      * Полностью определенное имя домена, которое будет определено через        DNS после загрузки правил. Все определенные имена будут заменены        IP адресами. >поповоду тормозов при резолве.... сомнительно.... у меня постфикс отбивает спам на ура, >тормозов с резолвом не замечано.... сколько пакетов в секунду у вас проходит и сколько сессий приема почты? какое время преобразование имени?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "IPFW-пропуск по имени компа"	+/–
	Сообщение от goldii (ok) on 06-Авг-10, 09:18
	>[оверквотинг удален] >       DNS после загрузки правил. Все >определенные имена будут заменены >       IP адресами. > >>поповоду тормозов при резолве.... сомнительно.... у меня постфикс отбивает спам на ура, >>тормозов с резолвом не замечано.... > >сколько пакетов в секунду у вас проходит и сколько сессий приема почты? > >какое время преобразование имени? Заново перечитал, то что вы написали), я не так понял просто... т.е. пакетный фильтр только один раз обращаеться к днс...жаль. Т.е. схема с авторизацией по ИМЕНИ компа нереализуема получаеться? Может есть какие нибудь еще идеи с авторизацией по имени компа? Время отклика ДНС средняя 6ms остальное пока посмотреть не могу... да и не столь важно.. главное реализация...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "IPFW-пропуск по имени компа"	+/–
	Сообщение от reader (ok) on 06-Авг-10, 11:21
	>[оверквотинг удален] >>>тормозов с резолвом не замечано.... >> >>сколько пакетов в секунду у вас проходит и сколько сессий приема почты? >> >>какое время преобразование имени? > >Заново перечитал, то что вы написали), я не так понял просто... >т.е. пакетный фильтр только один раз обращаеться к днс...жаль. >Т.е. схема с авторизацией по ИМЕНИ компа нереализуема получаеться? >Может есть какие нибудь еще идеи с авторизацией по имени компа? выдавать машинам фиксированные ip или прописывать их на постоянно. или страшное предложение - дописать функционал пакетного фильтра самим > > >Время отклика ДНС средняя 6ms >остальное пока посмотреть не могу... да и не столь важно.. главное реализация... >
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема