https://m.opennet.dev/openforum/vsluhforumID3/5183.html Станислав Китанин подготовил детальный обзор (http://www.opennet.ru/docs/RUS/ipfw_pf_ipfilter/index.html) особенностей пакетных фильтров IPFW, PF (OpenBSD) и IPFILTER. <br><br>Руководство содержит множество практических примеров и итоговую сравнительную таблицу.<br><br>URL: http://www.opennet.ru/docs/RUS/ipfw_pf_ipfilter/index.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=5098<br> https://m.opennet.dev/openforum/vsluhforumID3/5183.html#73 Tue, 15 Mar 2005 09:50:33 GMT Да, и вопрос - почему так построены правила ?<br>Вроде надёжнее сначала сделать <br><br># setup a default deny policy<br>block in all<br>block out all<br><br>а потом уже разрешить что нужно ?<br><br><br> https://m.opennet.dev/openforum/vsluhforumID3/5183.html#72 Tue, 15 Mar 2005 09:42:47 GMT Большое спасибо, статья действительно нелоха - думаю многим могла-бы пригодится.<br>Есть только пара вопросов <br>1) Зачем везде используются физические адреса, ведь удобнее альясы<br>external_addr="195.195.195.1"<br>2)Разве в pf нет маршрутизации правилами ? а rdr ?<br>3)Можно сюда дописать про antispoof, сдесь не рассмотрен https://m.opennet.dev/openforum/vsluhforumID3/5183.html#71 Fri, 11 Mar 2005 07:57:36 GMT а правилах куча ошибок<br>Пример<br>"1.Правило разрешающее любые соединения любых протоколов на сетевом интерфейсе rl0<br><br>pass in on rl0 from any to any<br>неправильно (только входящие а не все)<br>pass in on rl0 from any to any<br>неправильно (только входящие а не все)<br>/sbin/ipfw add pass all from any to any via rl0<br>правильно"<br><br>в тексте куча неточностей:<br>"IPDIVERT означает включение демона маскарадинга natd" - ничего подобного<br>добавляет в ядро функциональность - "работа с сокетами DIVERT" и мескарадинг какойто тут вообще не причем<br><br>ДАЛЕЕ<br>"IPFIREWALL_VERBOSE_LIMIT=10 ограничивает максимальное число записей, которые могут быть сделаны в секунду" - ГОНИВО<br>не в секунду а до resetlog<br><br>options IPFIREWALL_VERBOSE_LIMIT=500<br><br>Limits the number of times a matching entry may be logged. This allows you to log firewall activity without the risk of syslog flooding in the event of a denial of service attack. 500 is a reasonable number to use, but may be adjusted based on your requirements.<br><br>уважаемый, не вводите "де https://m.opennet.dev/openforum/vsluhforumID3/5183.html#70 Sat, 26 Feb 2005 01:02:14 GMT Взяли бы да доработали статью до авторитетного уровня и сами бы что-то узнали и другим рассказали не на пальцах. (которые, как известно, не от большого ума) Сил на обсуждение положили немерянно, тыкали мордой и в RFC и по мелочам в статью - нет такого человека который знает всё, а тот кто и так все знает вряд ли будет говорить из-за таких мелочей. И ещё раз - толку от коментариев мало, документ нужно приводить к читаемому виду, иначе, чем проделывать работу по чтению оригинала плюс наложение на него "патчей" от комментаторов.. проще уж в самом деле начать читать man и RFC - там из первого источника, как должно быть, а не каша из мыслей разных людей которые зачастую близко не понимают как обсуждаемый механизм работает. Без обид. https://m.opennet.dev/openforum/vsluhforumID3/5183.html#69 Fri, 25 Feb 2005 12:46:39 GMT если заговорили об тестировании НАТА на количество соединений не льзя не упоменуть пакетный генератор Hping который может с любого внутренего IP генерировать соединение вот shell код на установку соединения если кому то поможет:<br>"<br>#!/bin/sh<br>#client -eto ja <br>#server eto atakuemj komp<br>clientseq=91923333<br>serverseq=0<br>i=3<br>colich=100<br>otporta=2333<br>naport=80<br>ipadress=192.168.0.1<br>serverseq=0<br>server=0<br>echo $serverseq &gt; seq<br>while [ $i -le $colich ]; do<br>echo "#########################################################################"<br>serverseq=`hping -Q -L 0 -M $clientseq -i u50 -s $otporta -S $ipadress -p $naport -c 1 &#124; sed -n 2'p'&#124; awk '{print $1}' &#124; tr -cs "[:digit:]"`<br>serverseq=`expr -e $serverseq '+' 1`<br>echo "server sequences number:"$serverseq<br>clientseq=`expr -e $clientseq '+' 1`<br>echo "client sequences number:"$clientseq<br>hping -L $serverseq -M $clientseq -i u50 -s $otporta -A $ipadress -p $naport -c 1<br>i=$(($i+1))<br>otporta=$(($otporta+1))<br>clientseq=`expr -e $clientseq '+' 10`<br>e https://m.opennet.dev/openforum/vsluhforumID3/5183.html#68 Thu, 24 Feb 2005 23:50:04 GMT У ipnat по умолчанию соединение живёт !240 часов<br>net.inet.ipf.fr_tcpidletimeout: 864000<br><br>Лимитирование, и правда, на клиентов нехорошо действует :-)<br>Я поднял NAT на PF, поиграл с некоторыми настройками, и сейчас всё нормально. https://m.opennet.dev/openforum/vsluhforumID3/5183.html#67 Thu, 24 Feb 2005 21:47:31 GMT &gt;ipnat - вроде как ядерный, но под нагрузкой (несколько сот пользователей<br>&gt;одновременно, несколько десятков тысяч соединений) проц грузится огого как. <br>&gt;один юзер его нагрузить вряд ли сможет любым потоком. пробовал крутить<br>&gt;таймауты, помогает, но не особо.<br><br>вдогонку - нагрузкой тут является кол-во соединений. некоторые юзеры их плодят тысячами, судя по всему p2p клиентами. в итоге более половины соединений создаются всего несколькими человеками. попытки лимитировать количество вызывают немедленные жалобы и вопли. но natd-то это явление не смущает...<br> https://m.opennet.dev/openforum/vsluhforumID3/5183.html#66 Thu, 24 Feb 2005 21:42:29 GMT &gt;подумаешь к чему нашол придратся что Ipfw пишется с маленькой буквы<br>&gt;ты не мог что нибудь по оригинальней найти<br><br>Да не обращай ты внимания на "придерастов" :))<br>для вузовского реферата работа очень хороша.<br><br>"Придерастам" следует задуматься над тем, что мало кто будет на голом энтузиазме писать для сайта такую объёмную статью, тщательно выверяя её на фактическую точность... https://m.opennet.dev/openforum/vsluhforumID3/5183.html#65 Thu, 24 Feb 2005 21:34:32 GMT &gt;&gt;В ipnat это есть, но как-то очень слабо исполнено, в конструкции <br>&gt;&gt;from ip ! to ip не удается добавить несколько условий. <br>&gt;<br>&gt;Я тоже столкнулся с такой проблемой. Решением стало использование NAT из PF, <br>&gt;там конструкция "no nat" работает на ура. <br><br><br>кстати, раз уж речь зашла про NAT...<br>имеем:<br><br>ipnat - вроде как ядерный, но под нагрузкой (несколько сот пользователей одновременно, несколько десятков тысяч соединений) проц грузится огого как.<br>один юзер его нагрузить вряд ли сможет любым потоком. пробовал крутить таймауты, помогает, но не особо.<br><br>natd (точнее libalias) - хорошо оптимизирован по нагрузке, размер таблицы его не смущает, но даже один юзер может здорово прогрузить машину жирным kpps.<br><br>есть ли какие-то решения, свободные от этих недостатков? стоит попробовать погонять nat от pf под той же нагрузкой?