https://www.opennet.ru/openforum/vsluhforumID3/38787.html Олег Воробьёв опубликовал статью (http://www.lissyara.su/?id=1536)<br>с рассказом о принципе построения правил пакетного фильтра IPFW.<br><br>URL: http://www.lissyara.su/?id=1536<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=12522<br> https://www.opennet.ru/openforum/vsluhforumID3/38787.html#28 Mon, 05 Nov 2007 07:51:45 GMT Эта "лажа" как раз и работает без всяких проблем.<br>А если у Вас есть Ваша "не лажа" - будьте добры поделиться с остальными (В чем я сильно сомневаюсь ...)<br> https://www.opennet.ru/openforum/vsluhforumID3/38787.html#27 Wed, 31 Oct 2007 11:03:21 GMT &gt;По поводу natd и всяких извратов в несколько сетей во FreeBSD - http://www.it-&gt;ramenskoe.ru/freebsd_1.html<br><br>ну чего вы лажу всякую тут продвигаете! <br> https://www.opennet.ru/openforum/vsluhforumID3/38787.html#26 Sun, 28 Oct 2007 06:11:27 GMT &gt;Уважаемый серг, а какая-нить альтернатива natd есть в OpenBSD? Я согласен что, <br>&gt;ПФ Опенка гораздо приятнее ipfw, но вот када нада извраты с <br>&gt;натд... <br><br>там слава богу нет этого угребищного natd, там nat в ядре и сделан прямыми руками, в отличие от возни с divert и левой программой, которая поднимается отдельно.<br> https://www.opennet.ru/openforum/vsluhforumID3/38787.html#25 Sat, 27 Oct 2007 06:17:46 GMT &gt;Автор, как всегда, в своем репертуаре... <br><br>Мы не знакомы, это моя первая статья чтобы говорить о моём репертуаре.<br><br>Очень рад что заставил лишний раз перечитать MAN.<br> https://www.opennet.ru/openforum/vsluhforumID3/38787.html#24 Fri, 26 Oct 2007 14:48:17 GMT &gt;2. Для сложных случаев с переменными пользуемся препроцессором: <br>&gt;/sbin/ipfw -p /usr/bin/m4 /etc/ipfwrules.m4 . <br><br>Только не m4... в прочем если вы используете sendmail и в ручную пишите sendmail.cf, то m4 вам понравится.<br> https://www.opennet.ru/openforum/vsluhforumID3/38787.html#23 Fri, 26 Oct 2007 09:28:09 GMT По поводу natd и всяких извратов в несколько сетей во FreeBSD - http://www.it-ramenskoe.ru/freebsd_1.html<br> https://www.opennet.ru/openforum/vsluhforumID3/38787.html#22 Fri, 26 Oct 2007 07:51:24 GMT Так я об этом же и говорю.<br>Но все равно это своеобразный косяк, с которым еще попританцовывать надо. Может быть кому-то и пригодится, потому как в нете не сильно много об этой проблеме написано.<br> https://www.opennet.ru/openforum/vsluhforumID3/38787.html#21 Fri, 26 Oct 2007 06:39:09 GMT &gt;&gt; 1. Он не умеет на FreeBSD блокировать в ядре IP до запуска себя. Приходится это делать скриптами запуска.<br>&gt;<br>&gt;Ничего не понял, как это скриптами запуска? А при старте ядра загрузить <br>&gt;модуль религия не дает? <br><br>Если PF по каким-либо причинам не загрузится, то будет дыра. Без IPFW в таких случаях будет Deny All.<br><br>&gt;&gt; 2. В ipfw удобно добавляются, удаляются отдельные правила или наборы.<br>&gt;<br>&gt;Аналогично и в pf<br><br>"Удобно".<br><br>&gt;<br>&gt;&gt; 3. IPFW+Dummynet - удобная вещь для справедливого деления канала между пользователями.<br>&gt;<br>&gt;PF замечательно умеет делить канал как вашей душе угодно. <br><br>pipe 1 config bw 10Mbit/s<br>pipe 2 config bw 10Mbit/s<br>pipe 3 config bw 768Kbit/s mask dst-ip 0xFFFFFFFF<br>queue 1 config pipe 1 mask src-ip 0xFFFFFFFF<br>queue 2 config pipe 2 mask dst-ip 0xFFFFFFFF<br>add pipe 3 all from 192.168.15.1 to any src-port 3128 out<br>add queue 1 all from any to any out xmit vlan0<br>add queue 2 all from 192.168.15.1 to any out<br><br>Для каждого клиентского IP-адреса по маске динамически создаёт по одной очереди в https://www.opennet.ru/openforum/vsluhforumID3/38787.html#20 Fri, 26 Oct 2007 05:38:50 GMT Уважаемый серг, а какая-нить альтернатива natd есть в OpenBSD? Я согласен что, ПФ Опенка гораздо приятнее ipfw, но вот када нада извраты с натд... <br>