The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Обзор последних новшеств в пакетном фильтре PF"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от opennews on 24-Апр-07, 14:35 
В обзоре "What's new with PF in 4.1? (http://undeadly.org/cgi?action=article&sid=20070424020008)" рассказано о новшествах пакетного фильтра PF, вошедшего в комплект операционной системы OpenBSD 4.1 (http://www.openbsd.org/41.html), релиз которой намечен на 1 мая 2007 года.


-  "keep state" включен по умолчанию для "pass" правил, для отмены слежения за состоянием соединения нужно явно указывать "no state";
-  флаг S/SA (out of SYN and ACK, exactly SYN may be set) используется по умолчанию для TCP сессий для которых включен контроль состояния;
-  оптимизатор правил может быть включен через pf.conf (set ruleset-optimization basic);
-  утилита pfctl может использоваться для задания времени жизни записей в таблицах состояния (pfctl -t badssh -T expire 86400);
-  новый демон для балансировки нагрузки hoststated;
-  возможность использования нескольких раздельных псевдоинтерфейсов в pflog и pfsync;
-  средства для прямого указания макросов-контейнеров правил (anchor) в файле pf.conf (ранее только через включение из внешнего файла).
-  в pf может манипулировать несколькими таблицами маршрутизации (rtable).

URL: http://undeadly.org/cgi?action=article&sid=20070424020008
Новость: http://www.opennet.me/opennews/art.shtml?num=10572

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от hedgehog on 24-Апр-07, 14:35 
а как с динамическим управлением шириной каналов, можно это сделать?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 08:47 
Class-based queueing для "тупого" CBWFQ, Hierarchical Fair Service Curve для сервисов, требующих гарантированного времени прохода пакета.
HFSC настраивается немного сложновато, но на асимметричных каналах работает лучше классически применяемого для аналогичных целей HTB (на симметричных каналах обе дисциплины работают примерно одинаково хороошо).
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от belkin email on 24-Апр-07, 15:49 
Как и прежде - ни одной приктически полезной дисциплины. При сравнении pf, ipf и ipfw можно понять, что только в FreeBSD, что характерно, в родном ipfw это сделано для реального использования а не для "галочки".
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от belkin email on 24-Апр-07, 15:52 
Это я про Traffic Control.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Linus Torvalds on 24-Апр-07, 21:41 
А можно пример "одной приктически полезной дисциплины" ... а то может я чего пропустил?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Dyr email(??) on 24-Апр-07, 22:20 
+1.
Где, блин, аналог dummynet'овских раздаваний отдельных очередей на каждый ip одной маской?
Будет ли destination NAT для пула адресов?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 08:44 
> Будет ли destination NAT для пула адресов?
Э-э-э-э-э?

Это как?

А что, его не было когда-то?

===
     bitmask
           The bitmask option applies the network portion of the redirection
           address to the address to be modified (source with nat, destination
           with rdr).
===

pf.conf(5) не читан?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от belkin email on 24-Апр-07, 15:51 
Тогда уж и quick сделали по-умолчанию - чего уж там.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "PF :("  
Сообщение от WAG email on 24-Апр-07, 20:52 
Единственные плюсы PF -работа с таблицами адресов и удобный NAT.
Но для регулировки скорости -IPFW.
Так что пока два фаерволла оставляем :(
А хотелось бы один!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "PF :("  
Сообщение от guest (??) on 24-Апр-07, 21:19 
iptables - only and forever.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "PF :("  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 08:51 
Оно уже научилось делать rate limit control со складываением оверлоадящих хостов в таблицу, доступную для манипуляции извне (из userland'а)?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "PF :("  
Сообщение от Дохтур email on 25-Апр-07, 09:10 
А практическое применение этому можно?

Гораздо болеее интересна ситуация, когда у нас есть сеть /22, которая разбита на 4 сетки по /24. Каждому хосту в 1й /24 надо дать 256кбит/с, каждому во 2й - 512кбит/с, каждому в 3й - 1мбит/с, а 4й отдать остатки.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "PF :("  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 09:23 
> А практическое применение этому можно?
Ну, хотя бы вот такое, хрестоматийное (взято, кстати, по наводке с OpenNet.ru):

===
table <ssh-bruteforce> persist

pass all

block drop in quick on $if_195 from <ssh-bruteforce> probability 65%
block drop in quick on $if_62 from <ssh-bruteforce> probability 65%

pass in quick on $if_195 inet proto tcp from any to $if_195_ip port ssh flags S/SFRA keep state \
        (max-src-conn 5, max-src-conn-rate 3/60, overload <ssh-bruteforce> flush global)
pass in quick on $if_62 inet proto tcp from any to $if_62_ip port ssh flags S/SFRA keep state \
        (max-src-conn 5, max-src-conn-rate 3/60, overload <ssh-bruteforce> flush global)
===

Можно не обязательно block drop, можно, там, шейперу скормить, или ещё что-нибудь...

> Гораздо болеее интересна ситуация, когда у нас есть сеть /22, которая разбита на 4 сетки > по /24. Каждому хосту в 1й /24 надо дать 256кбит/с, каждому во 2й - 512кбит/с, каждому в > 3й - 1мбит/с, а 4й отдать остатки.
CBQ вполне с этим справляется. Делается суперкласс на пропускную способность апстрима, классы на каждую из трёх сетей с фиксированной bandwidth и borrow от суперкласса, и четвёртый класс на четвёртую сеть просто с borrow из суперкласса.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "PF :("  
Сообщение от Дохтур email on 25-Апр-07, 09:51 
Ну так это... есть модуль recent в iptables. Содержимое его таблиц доступно через /proc, так что каких-либо проблем не вижу.

>CBQ вполне с этим справляется. Делается суперкласс на пропускную способность апстрима, >классы на каждую из трёх сетей с фиксированной bandwidth и borrow от суперкласса

ага-ага. И как у вас полоса поделится внутри одного класса? Какпопало? Всемпоровну?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "PF :("  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 10:29 
> Ну так это... есть модуль recent в iptables. Содержимое его таблиц доступно через /proc, так что каких-либо проблем не вижу.
А поменять их тоже можно через /proc?

> ага-ага. И как у вас полоса поделится внутри одного класса? Какпопало? Всемпоровну?
Per flow.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "PF :("  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 10:33 
>> ага-ага. И как у вас полоса поделится внутри одного класса? Какпопало? Всемпоровну?
> Per flow.
Можно, кстати, и per IP (wrr включить).
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

52. "PF :("  
Сообщение от dem on 25-Апр-07, 23:44 
wrr - Где можно почитать? давно искал подобное для опенка.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "PF :("  
Сообщение от Дохтур email on 25-Апр-07, 10:40 
>А поменять их тоже можно через /proc?
а зачем? и прочитали бы вы man iptables в той части что про recent.
Вообще, всё что насчёт таблиц есть ipset.

>Per flow.
Ага-ага. Только вот внутри класса надо каждому хосту гарантированные 256/512/etc и не более, а не per flow.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "PF :("  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 10:50 
>> А поменять их тоже можно через /proc?
> а зачем?
А хочется. Вот меня всегда убивал аргумент типа "если мы это не умеем, значит, вам это не нужно".
Я спросил _сразу_ про возможность манипуляции через userland.
Йопта, чтобы со snort'ом сдружить хитрыми скриптами!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

43. "PF :("  
Сообщение от Дохтур email on 25-Апр-07, 12:05 
вообще-то, можно ручками добавлять/выносить. Причём выносить можно как позвав iptables -m recent --remove bla-bla-bla, так и как в мане:

Each  file in /proc/net/ipt_recent/ can be read from to see the current
       list or written two using the following commands to modify the list:

       echo xx.xx.xx.xx > /proc/net/ipt_recent/DEFAULT
              to Add to the DEFAULT list

       echo -xx.xx.xx.xx > /proc/net/ipt_recent/DEFAULT
              to Remove from the DEFAULT list

       echo clear > /proc/net/ipt_recent/DEFAULT
              to empty the DEFAULT list.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

49. "PF :("  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 13:31 
Мнда. Посмотрел я на этот ipt_recent. Удивительная поделка. Она стэйты как дропает? Я, честно говоря, не понял.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "PF :("  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 10:54 
>> Per flow.
> Ага-ага. Только вот внутри класса надо каждому хосту гарантированные 256/512/etc и не
> более, а не per flow.
Тогда это делается выносом каждого хоста в отдельный класс.
Согласен, что конфиг получается жопным, и никакого решения, кроме генерации его скриптом нет.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "PF :("  
Сообщение от Дохтур email on 25-Апр-07, 11:12 
>Тогда это делается выносом каждого хоста в отдельный класс.

ага. и т.к. задание полноклассовой дисциплиной может быть кто-то один(т.е. либо вешаем cbq и отказываемся от hfsc, либо вешаем hfsc и забываем про cbq), то упираемся в лимит на количество очередей в hfsc.

>Согласен, что конфиг получается жопным, и никакого решения, кроме генерации его скриптом нет.

К сожалению, у pf много таких вот неочевидных проблем много. Можно ещё вспомнить прохождение через nat "проблемных" протоколов вроде ftp/pptp etc...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "PF :("  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 11:48 
>> Тогда это делается выносом каждого хоста в отдельный класс.
> ага. и т.к. задание полноклассовой дисциплиной может быть кто-то один
> (т.е. либо вешаем cbq и отказываемся от hfsc, либо вешаем hfsc и забываем про cbq),
> то упираемся в лимит на количество очередей в hfsc.
    Ну, про HFSC в оригинальном задании не было ни слова, а у CBQ таких ограничений нет, да и пересобрать ядро с повышенным количеством HFSC-классов -- тоже не rocket science, просто дело в том, что ставить FreeBSD для обеспечения HFSC QoS для ТЫСЯЧИ хостов -- это какая-то не совсем тривиальная задача. ;)

>> Согласен, что конфиг получается жопным, и никакого решения, кроме генерации его
>> скриптом нет.
> К сожалению, у pf много таких вот неочевидных проблем много.
    Проблемы _PF_ я здесь не вижу в принципе. Это проблема, скорее, ALTQ, которая появилась лет за семь до PF.

> Можно ещё вспомнить прохождение через nat "проблемных" протоколов вроде ftp/pptp etc...
    Ну, net/ftpsesame решает проблемы с FTP, а что касается PPTP -- то тут, безусловно, жопа. Но, строго говоря, и с IPFW жопы меньше не становится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

55. "PF :("  
Сообщение от Dyr email(??) on 26-Апр-07, 17:49 
>> что
>>касается PPTP -- то тут, безусловно, жопа. Но, строго говоря, и
>с IPFW жопы меньше не становится.
Какая ещё жопа у вас между ipfw и PPTP??


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

56. "PF :("  
Сообщение от гомег on 27-Апр-07, 22:47 
>    Ну, net/ftpsesame решает проблемы с FTP, а что
>касается PPTP -- то тут, безусловно, жопа. Но, строго говоря, и
>с IPFW жопы меньше не становится.

Тоже интересно стало про жопу, работаю с этой связкой уже долгое время и не разу не напарывался, просветите где грабли лежат, чтоб заранее их стороной обойти

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

57. "PF :("  
Сообщение от GateKeeper (ok) on 28-Апр-07, 07:06 
Сколько PPTP-сессий одновременно ходят через Ваш pf?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

58. "PF :("  
Сообщение от Dyr email(??) on 28-Апр-07, 09:01 
>Сколько PPTP-сессий одновременно ходят через Ваш pf?
У нас ipfw, но сути это менять не должно. PPTP самый обычный маршрутизируемый протокол, и инкапсулирует, в отличии от PPPoE, всю информацию в теле пакета с данными, а не поверх заголовков.
Так что открываете порт 1723 и не паритесь =)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

59. "PF :("  
Сообщение от GateKeeper (??) on 28-Апр-07, 16:19 
С GRE как поступаете?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

61. "PF :("  
Сообщение от Dyr email(??) on 28-Апр-07, 23:19 
>С GRE как поступаете?
ipfw allow gre from any to any
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

63. "PF :("  
Сообщение от GateKeeper (ok) on 29-Апр-07, 15:12 
http://groups.google.com/group/mailing.freebsd.net/browse_thread/thread/7e9f2126f9c4096d/72f31e4f0fd66b8b?lnk=st&q=freebsd+pf+GRE&rnum=2

Это очень старый тред, но там достаточно чётко описали проблему демультиплексирования GRE-сессий в NAT.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

60. "PF :("  
Сообщение от Freedom email on 28-Апр-07, 16:27 
>>Сколько PPTP-сессий одновременно ходят через Ваш pf?
>У нас ipfw, но сути это менять не должно. PPTP самый обычный
>Так что открываете порт 1723 и не паритесь =)
в PPTP опеределено, что с одного src IP может быть один коннект, для ведения таблицы nat в libalias сделали (приятное) ухищирение в виде отслеживанния  Call ID самой сесии.

детали
src/sys/netinet/libalias/alias_pptp.c

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

62. "PF :("  
Сообщение от Dyr email(??) on 28-Апр-07, 23:20 
>>>Сколько PPTP-сессий одновременно ходят через Ваш pf?
>>У нас ipfw, но сути это менять не должно. PPTP самый обычный
>>Так что открываете порт 1723 и не паритесь =)
> в PPTP опеределено, что с одного src IP может быть один
>коннект, для ведения таблицы nat в libalias сделали (приятное) ухищирение в
>виде отслеживанния  Call ID самой сесии.
>
>детали
>src/sys/netinet/libalias/alias_pptp.c
Не сталкивались пока с такой необходимостью.
Кстати, пользуем ng_nat
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

64. "PF :("  
Сообщение от Freedom on 06-Май-07, 16:56 
>>виде отслеживанния  Call ID самой сесии.
>>
>>детали
>>src/sys/netinet/libalias/alias_pptp.c
>Не сталкивались пока с такой необходимостью.
везет :)
>Кстати, пользуем ng_nat
он сделан на базе ядерной libalias.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "PF :("  
Сообщение от Осторожный on 25-Апр-07, 08:27 
Таблицы адресов есть и в ipfw

NAT через natd :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "PF :("  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 08:45 
> NAT через natd :)
Времени микропроцессора на copyin()/copyout() не жалко?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "PF :("  
Сообщение от michelle (??) on 25-Апр-07, 10:10 
Угум!

Таблицы адресов есть, а ты можешь в одну таблицу вогнать очень много адресов???
Насколько я помню, длина строки там (ipfw) не более чем 255 символов!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

47. "PF :("  
Сообщение от belkin email on 25-Апр-07, 12:59 
В PF ещё Traffic Normalization (e.g. scrub) полезен.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от dem on 24-Апр-07, 21:32 
to belkin & co
Все что написал - бред сивой кобылы или не пробовал HFSC.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Дохтур email on 25-Апр-07, 09:12 
btw, у hfsc есть лимит на количество очередей.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 09:26 
А у keep-state есть лимит на количество динамических правил. Во _всех_ firewall'ах. И что теперь, пойти топиться в ближайшей луже?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Дохтур email on 25-Апр-07, 09:54 
>А у keep-state есть лимит на количество динамических правил. Во _всех_ firewall'ах. И что теперь, пойти топиться в ближайшей луже?

Ну в netfilter количество стейтов ограничено лишь количеством доступной памяти.
А число очередей в hfsc by default 64шт(и их количество hardcoded)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 10:32 
Ах, вот ты про что. Тогда не очередей, а классов, это разные вещи.
Ну, поправь константу HFSC_MAX_CLASSES в altq_hfsc.h, и пересобери ядро, делов-то.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Дохтур email on 25-Апр-07, 11:19 
>Ну, поправь константу HFSC_MAX_CLASSES в altq_hfsc.h, и пересобери ядро, делов-то.
Это то да. А чего по дефолту столь маленькое значение?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 11:44 
>> Ну, поправь константу HFSC_MAX_CLASSES в altq_hfsc.h, и пересобери ядро, делов-то.
> Это то да. А чего по дефолту столь маленькое значение?
А зачем больше-то?
Я так понимаю, это всё идёт ещё от оригинального ALTQ им. Sony Computing Laboratory, видимо, японцам так показалось адекватным. ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от BB (??) on 24-Апр-07, 21:57 
Судя по всему господа не видели реализации pf опене, так как во фре он кастрированный.Так что советую изначально внимательно прочитать заголовок новости, а потом уже нести свой "свободный поток сознания" :Е
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Аноним on 25-Апр-07, 06:45 
+1 freebsd'ишки пальцы веером и вперед. Прям атака клоунов, блин.:) Как еще linux и iptables при этом не задели.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 08:54 
А что, в OpenBSD уже спортировали NetGraph?-)

Нет?

То есть, mpd работать не будет? Мне не удастся лишить себя на OpenBSD'шном PPTP- (PPPoE-)концентраторе счастья видеть мульён запущеных ppoed/pptpd/pppd?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

50. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от BB (??) on 25-Апр-07, 21:18 
А зачем оно ? :)Вернее спросим по другому, какие задачи можно решить исключительно с помощью netgraph и которые имеют непосредственное отношение к функциям fw ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

53. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от belkin email on 26-Апр-07, 10:45 
>А зачем оно ? :)Вернее спросим по другому, какие задачи можно решить
>исключительно с помощью netgraph и которые имеют непосредственное отношение к функциям
>fw ?

Потому что сказали о Linux с iptables вместо FreeBSD с PF. А мы ответили, что у Linux'a нет аналога MPD, а его главное непобедимое пока преимущество основано на применении ng.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 08:50 
Э-э-э? И чем же он кастрированный? Конечно, multiple kernel forwarding tables во FreeBSD нет (пока?), тут я не спорю, ну а так -- реализация практически идентична.
Хотя, бесспорно, в OpenBSD все новшества появляются быстрее, PF под Опёнком разрабатывается.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Till (??) on 24-Апр-07, 23:48 
Зато работает в ядре и ALTQ есть.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Stelz on 24-Апр-07, 23:57 
Мда.. естественно, эта новость не для поклоняющихся freebsd..
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Дохтур email on 25-Апр-07, 09:14 
всяким поклоняющимся место в храме/у идола.
Личные предпочтения не должны играть роли при выборе рабочего инструмента.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 09:24 
-1

Самая короткая дорога -- та, которую лучше всего знает водитель.
Самый лучший инструмент -- тот, которым лучше всего владеет тот, кого заставляют работать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

54. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от TrecK email on 26-Апр-07, 17:34 
+1

абсолютно точно

>-1
>
>Самая короткая дорога -- та, которую лучше всего знает водитель.
>Самый лучший инструмент -- тот, которым лучше всего владеет тот, кого заставляют
>работать.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Осторожный on 25-Апр-07, 08:26 
Почему это ?
Надеюсь в следующий релиз FreeBSD скорее всего портируют новую версию pf.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Аноним on 25-Апр-07, 10:06 
iptables and iproute рулит уже давно ))))
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 10:34 
Да? Его уже попатчили на предмет неработы нескольких таблиц роутинга на ATM-интерфейсах?-)
Люблю слово "рулит" для подсистем, в которых с каждой новой версией ядра что-то новое ломают. ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

44. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Дохтур email on 25-Апр-07, 12:06 
>Да? Его уже попатчили на предмет неработы нескольких таблиц роутинга на ATM-интерфейсах?-)

позвольте спросить, а где ж вам пришлось с этим столкнуться?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

48. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от Andrew Kolchoogin on 25-Апр-07, 13:26 
>> Да? Его уже попатчили на предмет неработы нескольких таблиц роутинга на
>> ATM-интерфейсах?-)
> позвольте спросить, а где ж вам пришлось с этим столкнуться?
Буквально на предыдущем месте работы.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

51. "Обзор последних новшеств в пакетном фильтре PF"  
Сообщение от BB (??) on 25-Апр-07, 21:22 
согласен с предыдущим оратором, все прелесть pf (да и остальных базовых систем) в составе OpenBSD это его неразрывная жесткая связь с ядром системы. Так сказать некая защита от человеческого фактора. Чем такое решение и подкупает :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру