>> Стоять. Вопрос был в возможностях пакетных фильтров.
>> Так что не надо увиливать. Аналоги в студию.
> вы же прекрасно понимаете что прямых аналогов нет. Ну тогда и не надо кричать. Надо уметь честно признаваться, что "у нас вот этого вот нет, и это плохо".
> часть функционала есть в штатных модулях iptables. Тупо сравнивать "а у нас
> есть вот эта мегакрутая фича, а у вас нет" - это
> не путь к конструктиву :)))
Это и есть путь к конструктиву, если фича _действительно_ мегакрутая, а не чушь типа сравнения длин пакетов.
> Чего стоят модули string, connbytes, u32.
Во FreeBSD есть значительно более общий способ исследования пакетов -- NetGraph. Но включая его, админ берёт на себя ответственность за снижение пакетной производительности маршрутизатора из-за удлинения packet flow path.
А вот в пакетный фильтр вставлять "тяжёлые" фичи, на мой взгляд, конечно -- совершенно не нужно.
> Кстати, а для чего вам state modulation?
Для защиты хостов за пакетным фильтром от SYN-based атак. А для чего вообще нужен пакетный фильтр, как не для защиты хостов за ним?-)
>> Матчить умеет ALTQ, коему это, вообще говоря, и надо делать. А _выставлять_
>> DiffServ CodePoint пакетный фильтр вообще не должен, он _не_ генерирует TCP/IP-траффик.
> Дал мне один isp впн для объединения регионов и спрашивает: "Вы сами
> трафик красить будете?"
Правильно! Вот пусть какой-нибудь Asterisk и красит свой голосовой траффик! Он же его генерирует -- а пакетный фильтр-то тут при чём?!
>> PF разрабатывается совместно с TCP/IP-стеком *BSD. А у *BSD с SCTP пока
>> не всё ладно, что уж тут поделать. Только вот насчёт "вовсю"
>> -- это явный перегиб. ;)
> SCTP используется везде где есть sigtran(т.е. это его часть ;))).
> Так что используют весьма активно(та же cisco).
Какие Юниксовые распространённые серверные приложения поддерживают SCTP?
>> ECN тоже поддерживается в ALTQ, пакетному фильтру он плоскопараллелен. А за длину
>> пакета -- не менее "полухакерская штучка" (C).
> ну почему же. зафильтровать skype/voip/syn-флуд и вообще как доп. проверка.
SYN-флуд фильтруется PF'ным synproxy. Длины пакетов тут ни при чём.
А L7-filtering, опять-таки, IMHO, конечно, слишком "тяжёл" для того, чтобы его включать в пакетный фильтр, да и малопригоден в случае, например, смены протокола. Ядро хачить каждый раз?
Надо фильтрануть/зашейпить Skype/пиринговые сети -- NetGraph вам в руки, только вот зачем?..
> PS: а вот интересно, почему не обратили внимание на такую вещь: pf
> - это пакетный фильтр, а iptables - это скорее язык программирования
> правил фильтрации(переходы, возвраты, проверки условий, итп).
Что называется английским словом "overbloated". :)
И вызывает сложности в отладке.