forum.opennet.ru

"Раздел полезных советов: Порядок прохождения пакетов в пакетных фильтрах FreeBSD"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Доступны два режима работы форума: "Раскрыть нити" и "Свернуть нити".

. "Порядок прохождения пакетов в пакетных фильтрах FreeBSD"	+/–
Сообщение от redixin (?), 16-Апр-09, 23:33
>Это уже давно не патч, модуль ipset у меня наличествует в дистрибутиве >Debian Etch (stable), который часто BSD-шники обвиняют в том, что он >устаревает на момент выпуска. Заметьте - это самый консервативный дистрибутив, и >даже в нём этот модуль есть! > http://w3dev.org.ua/debian-guaranteed-entropy.jpg ок >Прежде чем повторять одну и ту же мантру "ipset не для продакшн" >или "костыли в виде патчей", стоит ознакомиться с вопросом. кто повторял? я разок сказал, а вы тут про дебиан 3 абзаца мантр =) дело даже не в том что ipset это костыль который стремаются добавлять в основную ветку, а в том что iptables даже вместе с ipset уступают и ipfw и pf. > >А вот в *BSD до сих пор несколько PPTP-сессий нельзя установить из-за >NAT'а, несмотря на все их три фаерволла. И в stateful режиме >фаерволлов не отслеживаются сессии данных активных FTP-клиентов, благодаря чему приходится настраивать >ещё и NAT там, где он не нужен. насчет pptp не тестил, но FTP работает отменно, враки это всё >А уж насчёт стабильности BSD так лучше бы вообще помолчали, там разработчики >отвечают только за базовую систему, а дырки в программах из портов >их не волнуют. Метод закрытия дырок тоже занятный - берут более >свежую версию программы, в которой дыра уже закрыта. В Debian берут >ту же версию и закрывают дырку в ней, благодаря чему обновления >безопасности происходят совершенно безболезненно, даже в автоматическом режиме без участия сисадмина. ну вы поняли лол http://w3dev.org.ua/debian-guaranteed-entropy.jpg >Во FreeBSD порт может не скомпилироваться, во время компиляции будет создаваться >дополнительная нагрузка на сервер, после установки какое-нибудь мелкое изменение в формате >конфига при переходе с одной версии на другую может привести к >тому, что обновлённый демон не запустится. Поэтому при обновлении FreeBSD сисадмин >должен быть рядом с сервером. А если их двадцать, тридцать и >на каждом разные задачи? А если сисадмин уехал в отпуск на >месяц, можно ли без участия обновить системы? Нельзя? :-( Что теперь >- системы не патчить или обновлять автоматом и молиться, что ни >одно обновление не приведёт к неработоспособности сервака? > чего это вдрук оно приведет к неработоспособности? http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/up... ок >На йух BSD, им место на маршрутизаторах, только в виде базовой системы, >и лучше без портов. И это должны быть единичные маршрутизаторы или >абсолютно идентичные, чтоб по rsync все обновлять можно было. обновлять, строить кластеры, идентичные, не идентичные, можно всё это не проблема. но и речь не об этом откуда такая ненависть к BSD?
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Раздел полезных советов: Порядок прохождения пакетов в пакетных фильтрах FreeBSD, auto_tips, 07-Июл-07, 16:14 [смотреть все]

вот неудобно, однако, хочется чтоб порядок прохождения на вход и на выход были о, SunTech, 07-Июл-07, 16:14 (1) //
- Так и есть на самом деле Регистрация хуков от пакетных фильтров происходит след, butcher, 23-Июл-07, 12:54 (3)
- Это неудобство объясняется очень просто нет у фри нормального файрвола и нормал, www2, 12-Окт-07, 17:38 (4) //
  - И с которым граблей , Аноним, 25-Май-08, 14:38 (5) //
    - Нисколько Со времени, прошедшего с того коммента, успел на практике настроить не, www2, 25-Май-08, 15:47 (6)
      - Ну так остановитесь на каком-нибудь одном и его пользуйте Одного PF недостато, ASh, 26-Май-08, 00:34 (7)
        
        Я остановился на iptables - , www2, 26-Май-08, 06:57 (8)
      - Птичий синтаксис нагляднее Не поверю Новичка ipfw можно научить за час-полтора, nuclight, 27-Май-08, 21:24 (9)
        
        Новичка iptables можно научить за то-же время и на таком-же уровне При этом я н, www2, 28-Май-08, 17:21 (10)
        
        Ещё могу добавить что из Linux ов я не считаю технологичными 1 Slackware - отсу, www2, 28-Май-08, 17:47 (11)
        Разумеется, о владении в совершенстве никто не говорил Да без проблем Простите, , nuclight, 28-Май-08, 19:55 (12)
        
        Эта уникальная заметка вышла слишком поздно для меня 20 мая 2008 - чуть больше , www2, 28-Май-08, 21:36 (13)
        
        Вы делаете некорректное сравнение Во первых, схема прохождения пакетов через ip, nuclight, 07-Июн-08, 23:30 (14)
        
        Но при этом вся таблица правил свалена в кучу и будет просматриваться для проход, www2, 08-Июн-08, 21:43 (15)
        
        Оффтопик Ещё раз обозначу почему я так люблю употреблять слово технологичность , www2, 08-Июн-08, 22:15 (16)
        
        Это все мишура То, что кому-то там легче сложнее читать - лишь его проблемы На , Avgoor, 24-Июн-08, 18:44 (17)
        Ну да, я вот о Вас забочусь, хочу чтобы Вам не достались такие же через заднее м, www2, 25-Июн-08, 07:38 (18)
  - в линухе фаервол не такой уж мощный - ему очень нехватает таблиц с 1000 правил , redixin, 24-Сен-08, 01:44 (19) //
    - Название iptables ни о чём не говорит Нечего не зеркало пенять коли рожа то ест, www2, 24-Сен-08, 07:54 (20)
      - вот именно что название, название новое а внутри все теже ipchains Не знаете р, redixin, 25-Сен-08, 16:15 (21)
        
        Погуглил, нашёл вот такой интересный тест http bulk fefe de scalability Правда, www2, 28-Сен-08, 10:43 (22)
        
        говорит 404 ipset это и есть тот самый левый патч который страшно ставить в про, redixin, 24-Окт-08, 13:34 (23)
        
        Это уже давно не патч, модуль ipset у меня наличествует в дистрибутиве Debian Et, www2, 24-Окт-08, 15:09 (24)
        
        http w3dev org ua debian-guaranteed-entropy jpgоккто повторял я разок сказал, , redixin, 16-Апр-09, 23:33 (25)
        
        Уступает в чём Пассивные соединения работают отменно это когда клиент сам устан, www2, 17-Апр-09, 08:12 (26)
        
        в ipfw есть tablearg очень очень приятная вещь в ipfw есть простые шустрые шейп, redixin, 17-Апр-09, 10:52 (27)
        
        ipsetПро imq первый раз слышу Не пробовали tc Не костыль, а штатная очень гибк, www2, 17-Апр-09, 14:32 (28)
        в ipset нет tableargs, погуглитеtc привязывается к интерфейсу, а если у меня куч, redixin, 17-Апр-09, 15:14 (29)
        Погуглил Отвечу Вашими словами Фраза в духе названных мной фряшников-фанатиков , www2, 17-Апр-09, 15:52 (30)
        я гдето выше говорил о шейперахвообщето FreeBSD работает на ARM - пара минут на, redixin, 17-Апр-09, 16:00 (31)
По опыту использованиюна выходе ipfw ipfilter , viper, 09-Июл-07, 09:20 (2)
а меня втыкает pf, который умеет и натить аж 2-мя способами у каждого по 2-ва мо, unknownDaemon, 11-Июн-10, 22:55 (32)
Получается, что если пакет прошёл один файервол, он не проходит остальные Так , skeletor, 18-Окт-10, 22:06 (33) //
- Нет, пакет должен получить одобрение от всех фаерволлов Если пакет прошёл через, www2, 19-Окт-10, 09:23 (34)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру