The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: IPFilter под Linux - вторая попытка."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: IPFilter под Linux - вторая попытка."
Сообщение от opennews on 02-Июн-04, 08:35 
Первая попытка переноса популярного в *BSD системах пакетного фильтра IPFilter (http://coombs.anu.edu.au/~avalon/) относится ко времени 2.0.x Linux ядер. Начиная с версии ipfilter 4.1.1, поддержка Linux по немногу стала сдвигаться с места, хотя в INSTALL.Linux еще значится "Linux is no longer supported" и требуются доп. патчи (http://www.rockstacking.com/ipfilter/ipfilter-4.1.1-suse-8.2.tgz)).

В статье "ipfilter on GNU/Linux (http://www.linuxjournal.com/article.php?sid=7595)" демонстрируется техника установки ipfilter под Linux и проверка его работоспособности.

URL: http://www.linuxjournal.com/article.php?sid=7595
Новость: http://www.opennet.dev/opennews/art.shtml?num=3939

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "IPFilter под Linux - вторая попытка."
Сообщение от gaf email on 02-Июн-04, 08:35 
и зачем это надо? лишняя работа только imho
Cообщить модератору | Наверх | ^

2. "IPFilter под Linux - вторая попытка."
Сообщение от vitamin on 02-Июн-04, 09:41 
Мда..
Не, я FreeBSD люблю, и на рабочий сервер с почтой, апачем и т.п. линукс не поставлю.
Но что касается firewall'а.. здесь, извините, альтернативы iptables я не вижу. Даже openbsd'шный pf не спасает.
Cообщить модератору | Наверх | ^

3. "IPFilter под Linux - вторая попытка."
Сообщение от uldus (ok) on 02-Июн-04, 09:56 
>Не, я FreeBSD люблю, и на рабочий сервер с почтой, апачем и
>т.п. линукс не поставлю.

Это предубеждение.

Cообщить модератору | Наверх | ^

8. "IPFilter под Linux - вторая попытка."
Сообщение от poige (??) on 02-Июн-04, 11:17 
>>Не, я FreeBSD люблю, и на рабочий сервер с почтой, апачем и
>>т.п. линукс не поставлю.
>
>Это предубеждение.

причем распространненое :-)

/poige

Cообщить модератору | Наверх | ^

10. "IPFilter под Linux - вторая попытка."
Сообщение от Deadgeny (??) on 02-Июн-04, 11:23 
Т.е. к "предубеждению" претензий нет? ;)
Cообщить модератору | Наверх | ^

11. "IPFilter под Linux - вторая попытка."
Сообщение от Ярослав email(??) on 02-Июн-04, 11:32 
Извините, а на чем вы Оракл поднимать будете?

На винде? Или на солярисе? :-)

Cообщить модератору | Наверх | ^

13. "IPFilter под Linux - вторая попытка."
Сообщение от Deadgeny (??) on 02-Июн-04, 11:42 
На Ms-DOS 3.22, конечно!

Я как бы и не спорю -- плясать с бубном вокруг него на фряхе можно, но не нужно.

Cообщить модератору | Наверх | ^

16. ">Т.е. к 'предубеждению' претензий нет? ;) "
Сообщение от poige (??) on 02-Июн-04, 12:20 
>Т.е. к "предубеждению" претензий нет? ;)

от вас неподалеку пункт приема претензий к предубеждениям? ;-)

/poige

Cообщить модератору | Наверх | ^

22. ">Т.е. к 'предубеждению' претензий нет? ;) "
Сообщение от Deadgeny (??) on 02-Июн-04, 14:37 
:)
Cообщить модератору | Наверх | ^

29. "IPFilter под Linux - вторая попытка."
Сообщение от vitamin on 02-Июн-04, 16:41 
>>>Не, я FreeBSD люблю, и на рабочий сервер с почтой, апачем и
>>>т.п. линукс не поставлю.

>>Это предубеждение.

>причем распространненое :-)

Это мне пофиг.
Linux - is most self incompatible OS. (c) автор cdrecord
Для меня это критично.

Cообщить модератору | Наверх | ^

19. "IPFilter под Linux - вторая попытка."
Сообщение от cmhungry email on 02-Июн-04, 14:05 
Как-то я вот не слышал про WF2Q, ALTQ и прочие радости под iptables...
Да и большинство маршрутизаторов, которые не кошки, под фрей.
Cообщить модератору | Наверх | ^

28. "IPFilter под Linux - вторая попытка."
Сообщение от vitamin on 02-Июн-04, 16:38 
> Как-то я вот не слышал про WF2Q, ALTQ и прочие радости под iptables...

В пингвиниксе отлично QoS реализован в ядре, уж с очередями там всё в порядке, неговоря про RED'ы всякие. Там даже RSVP есть :)

> Да и большинство маршрутизаторов, которые не кошки, под фрей.

Согласен. Но мы вроде про файрволы говорим..

Cообщить модератору | Наверх | ^

4. "IPFilter под Linux - вторая попытка."
Сообщение от Scott Tiger on 02-Июн-04, 10:27 
Надеюсь, на Linux всё-таки будет когда-нибудь нормальный пакетный фильтр, а не это у..ще iptables.
Cообщить модератору | Наверх | ^

5. "IPFilter под Linux - вторая попытка."
Сообщение от bzzz (??) on 02-Июн-04, 10:30 
идиот?
Cообщить модератору | Наверх | ^

9. ">идиот? "
Сообщение от poige (??) on 02-Июн-04, 11:17 
>идиот?

закономерный вопрос :)

/poige

Cообщить модератору | Наверх | ^

40. "IPFilter под Linux - вторая попытка."
Сообщение от Scott Tiger on 03-Июн-04, 11:23 
Нет, не идиот. iptables - однозначно помойка, хуже него разве что ipchains. ipfilter рулит.
Cообщить модератору | Наверх | ^

47. "IPFilter под Linux - вторая попытка."
Сообщение от Fantomas email(??) on 04-Июн-04, 14:45 
Почему у...ще. Это эмоции, а не аргумент.
Если хорошо разобраться с Iptables, то
можно строить очень хитро и детально настроенные фаерволы.
Единственное чего не хватает, так это труб, как во фре.
Cообщить модератору | Наверх | ^

6. "IPFilter под Linux - вторая попытка."
Сообщение от tahion email(ok) on 02-Июн-04, 10:39 
  У меня роутером стоит фря, остольные службы на линухах! И сказал бы что iptables намного лучше работает (читать надо нормально доки), т.к. если руки не оттуда ростут ни какой фаервол не поможет!
  Ну отличаетются способы работы и настройки, это не должно быть тормозом к прогрессу! тем более перед настройкой iptables нужно прочитать доки и по TCP/IP, и тогда понятно становится что и куда и зачем и почему именно так!
Cообщить модератору | Наверх | ^

7. "IPFilter под Linux - вторая попытка."
Сообщение от pF email on 02-Июн-04, 10:52 
iptables на сегодняшний день наиболее продвинутый фаервол. Я имел дело с ipf pf ipfw и все они имели свои ограничения, которых нет у iptables
Cообщить модератору | Наверх | ^

12. "IPFilter под Linux - вторая попытка."
Сообщение от Ярослав email(??) on 02-Июн-04, 11:33 
>iptables на сегодняшний день наиболее продвинутый фаервол. Я имел дело с ipf
>pf ipfw и все они имели свои ограничения, которых нет у
>iptables


Самый продвинутый - Cisco PIX. IMHO.

Cообщить модератору | Наверх | ^

14. "IPFilter под Linux - вторая попытка."
Сообщение от anonymous (??) on 02-Июн-04, 11:55 
ошибаетесь, самый продвинутый - CheckPoint Firewall
Cообщить модератору | Наверх | ^

15. "IPFilter под Linux - вторая попытка."
Сообщение от Deadgeny (??) on 02-Июн-04, 12:17 
Угу. И самый геморройный тоже.
Cообщить модератору | Наверх | ^

25. "IPFilter под Linux - вторая попытка."
Сообщение от anonymous (??) on 02-Июн-04, 16:03 
и чего в нем такого супер-пупер можно сделать, чего нельзя сделать iptables(на крайний случай патченый iptables)?
на сколько оправдана покупка такой дорогостоящей железяки кроме понтов и откатов?
Cообщить модератору | Наверх | ^

27. "IPFilter под Linux - вторая попытка."
Сообщение от vitamin on 02-Июн-04, 16:35 
pix - это ж*па
в топку его
Cообщить модератору | Наверх | ^

18. "IPFilter под Linux - вторая попытка."
Сообщение от Scoundrel on 02-Июн-04, 13:37 
Вот у меня есть вопрос: Во фре я часто использую управление правилами на основе их номеров - очень удобно и гибко (например - хранить в базе номер правила очень просто)... Как мне в линуксе организовать создание/удаление/съем статистики с правил фаервола?
Cообщить модератору | Наверх | ^

20. "IPFilter под Linux - вторая попытка."
Сообщение от illi on 02-Июн-04, 14:34 
iptables -L -v -n -Z [your_billing_chain] | your_billing.pl
Да, скрипт подсчёта будет сложнее, чем для ipfw с её нумерацией правил, но совершенно никаких принципиальных проблем нет. (Наверное, правильнее использовать IPTables::IPv4, но когда я писал эту считалку, ещё под ipchains, я про эти модули не знал). Хеш по src/dst/flags.
Кроме того, можешь посмотреть ULOG.

Сложность подсчёта - обратная сторона гибкости настройки. Оно того стоит.

А если вдруг тебе придётся вставить какие-то правила между считаемыми ? Как же твои ключи в базе ?

Cообщить модератору | Наверх | ^

21. "IPFilter под Linux - вторая попытка."
Сообщение от Mr.Uef (??) on 02-Июн-04, 14:37 
>Как мне в линуксе организовать создание/удаление/съем статистики с
>правил фаервола?


Читать iptables howto

Cообщить модератору | Наверх | ^

23. "IPFilter под Linux - вторая попытка."
Сообщение от Scoundrel on 02-Июн-04, 14:55 
>>Как мне в линуксе организовать создание/удаление/съем статистики с
>>правил фаервола?
>Читать iptables howto

Ой! Какие мы умные!!!

Так бы и сказал, что не знаешь!
Нельзя в линуксе создать правило с номером XYZ, которое после любых изменений в остально наборе правил не изменит своего номера... :-(

А вот с хешем правила - это хорошая идея... надо над ней подумать...

Cообщить модератору | Наверх | ^

24. "IPFilter под Linux - вторая попытка."
Сообщение от illi on 02-Июн-04, 15:38 
Я, правда, имел в виду перловый хеш, с ключами вида
"DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0          icmp type 8" и значением pkts. Эти ключи можно напрямую класть в базу вместо номеров правил, или сопоставлять каким-то номерам, или действительно брать от них какую-то хеш-функцию. Всё равно же номера правил в базе тебе ничего не говорят - или держишь в голове, что правило 625 - это трафик к юзеру "Вася" ?

PS. когда я первый раз после бейсика увидел C, я совершенно не догонял, как же можно жить без нумерации строк программы.

Cообщить модератору | Наверх | ^

26. ">>Как мне в линуксе организовать создание/удаление/съем стат..."
Сообщение от poige (??) on 02-Июн-04, 16:28 
считать трафик правилами _firewall_ (с философией типа "count") неправильно
в пр-цпе, ибо firewall это ACL, а не accounting.

/poige

Cообщить модератору | Наверх | ^

30. ">>Как мне в линуксе организовать создание/удаление/съем стат..."
Сообщение от Michael email(??) on 02-Июн-04, 17:07 
>считать трафик правилами _firewall_ (с философией типа "count") неправильно
>в пр-цпе, ибо firewall это ACL, а не accounting.
почему?
я пытаюсь спорить, просто не понятно, раз уж пакет прошел через правило, то что мешает счетчик прибавить?
Cообщить модератору | Наверх | ^

35. ">>Как мне в линуксе организовать создание/удаление/съем стат..."
Сообщение от poige (??) on 02-Июн-04, 19:01 
>>считать трафик правилами _firewall_ (с философией типа "count") неправильно
>>в пр-цпе, ибо firewall это ACL, а не accounting.
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

== firewall это ср-во защиты, а не учета.

>почему?

см. выше.

>я пытаюсь спорить, просто не понятно, раз уж пакет прошел через правило,
>то что мешает счетчик прибавить?

Обычно ничего. Вот только масштабируемость у этого метода никакая:

http://www.opennet.dev/openforum/vsluhforumID1/35252.html#2

Да и вообще, "удобств" малова-то. :-)

/poige

Cообщить модератору | Наверх | ^

39. ">>Как мне в линуксе организовать создание/удаление/съем стат..."
Сообщение от Michael email(??) on 03-Июн-04, 10:01 
>>я пытаюсь спорить, просто не понятно, раз уж пакет прошел через правило,
>>то что мешает счетчик прибавить?
тут у меня опечатка, на самом деле я НЕ пытаюсь спорить, просто хочу понять.

>Обычно ничего. Вот только масштабируемость у этого метода никакая:
>
>http://www.opennet.dev/openforum/vsluhforumID1/35252.html#2
совет принял к сведению, но аргументации не вижу.

>Да и вообще, "удобств" малова-то. :-)
тем не менее, для многих простых случаев этого достаточно.
не вижу причин для настолько категоричных "нельзя".

Cообщить модератору | Наверх | ^

43. ">совет принял к сведению, но аргументации не вижу. "
Сообщение от poige (??) on 03-Июн-04, 15:07 
[...]
>>Обычно ничего. Вот только масштабируемость у этого метода никакая:
>>
>>http://www.opennet.dev/openforum/vsluhforumID1/35252.html#2
>совет принял к сведению, но аргументации не вижу.

:-) "проблема на вашей стороне" (c).

Я ж не учебник пишу, вообще-то. Так, делюсь опытом.

>>Да и вообще, "удобств" малова-то. :-)
>тем не менее, для многих простых случаев этого достаточно.
>не вижу причин для настолько категоричных "нельзя".

опять "на вашей стороне". Я нигде не употребил категоричных нельзя --
перечитайте, если не верите:

  "Далее, несколько правил, которые я рекомендую соблюдать:"
  "считать трафик правилами _firewall_ (с философией типа "count")
   неправильно"

где-то написано "нельзя"? ;-)

/poige
--
http://www.i.morning.ru/~poige/

Cообщить модератору | Наверх | ^

31. ">>Как мне в линуксе организовать создание/удаление/съем стат..."
Сообщение от illi on 02-Июн-04, 17:11 
1. Может, я неправильно понял, но - я не считаю трафик правилами. Правила задают поведение роутера(или вырожденно - хоста)  при обработке пакетов определённыт типов, а побочный эффект - они считают количество пакетов/байт, через них проходящих.
2. И почему неправильно, даже в случае философии типа "count" ? Доступный, надёжный, дешёвый(по производительности) способ... А как правильно ?
Cообщить модератору | Наверх | ^

36. ">>Как мне в линуксе организовать создание/удаление/съем стат..."
Сообщение от poige (??) on 02-Июн-04, 19:06 
[...]

>надёжный, дешёвый(по производительности) способ... А как правильно ?

специальными пакетами, которые "заточены" именно под это.

Кто-то пишет свое, кто-то юзает готовое. Я года 3 назад реализовал 1-й вариант, в качестве источника данных выбрал libcap (API pcap()). Но в пр-цпе, можно было бы и тот же divert-like подход (на FreeBSD) применить.

/poige


Cообщить модератору | Наверх | ^

37. ">>Как мне в линуксе организовать создание/удаление/съем стат..."
Сообщение от illi on 02-Июн-04, 19:42 
>специальными пакетами, которые "заточены" именно под это.

Тезис понятен, но не аргументирован. Возможно, на специализированных биллинг-системах - оправдан. Т.е. конечно ясно, что специальные пакеты, которые "заточены" именно под это - удобнее, но это не значит, что они не могут снимать показания счётчиков iptables.

Может, и snmp-съём статистики с интерфейса роутера - неправильно, т.к. роутер - должен раутить, а не считать ? И каждому роутеру - по снифферу с каждой стороны, пусть считают ?

Cообщить модератору | Наверх | ^

45. ">Тезис понятен, но не аргументирован. Возможно, на специализ..."
Сообщение от poige (??) on 03-Июн-04, 16:37 
>>специальными пакетами, которые "заточены" именно под это.
>
>Тезис понятен, но не аргументирован. Возможно, на специализированных
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

кому нужно, тот понял, хотелось бы верить. :-)

> биллинг-системах - оправдан. Т.е.
>конечно ясно, что специальные пакеты, которые "заточены" именно под это -
>удобнее, но это не значит, что они не могут снимать показания
>счётчиков iptables.
>
>Может, и snmp-съём статистики с интерфейса роутера - неправильно, т.к. роутер -
>должен раутить, а не считать ? И каждому роутеру - по
>снифферу с каждой стороны, пусть считают ?

Путаете.

1) Без раутера не будет передачи трафика в принципе, а вот учет
трафика без firewall -- запросто.

2) "SNMP-съем" с интерфейса это неправильно, да. Только не по той же причине, что и с правил firewall, хотя есть и общее: вы не сможете ответить пользователю на вопрос "а с какого IP и во сколько мне прилетело столько трафика", в общем случае. Можно, конечно, возразить, что дескать, таких вопросов не будет, считаю для себя и все, но от главного уйти не получится, а именно:

  _учет трафика это не то, для чего следует применять firewall_

Хотя, разумеется, можно. Я читал, можно и на матричном принтере
мелодию воспроизвести, не HiFi правда. ;-)

Насчет "SNMP-съема". Есть такое RFC 1156 "Management Information Base for Network Management of TCP/IP-based internets":

  OBJECT:
          -------
               ifOutOctets { ifEntry 16 }

          Syntax:
               Counter

          Definition:
               The total number of octets transmitted out of the
               interface, including framing characters.

ключевые слова "including framing characters".
По теме:

  http://www.opennet.dev/openforum/vsluhforumID10/528.html#4

/poige
--
http://www.i.morning.ru/~poige/

Cообщить модератору | Наверх | ^

46. ">Тезис понятен, но не аргументирован. Возможно, на специализ..."
Сообщение от illi on 04-Июн-04, 10:49 
>Путаете.
>
>1) Без раутера не будет передачи трафика в принципе, а вот учет
>
>трафика без firewall -- запросто.
>
Я не говорил, что для подсчёта трафика специально надо ставить firewall или раутер. Мы спорим о разных вещах. Для продажи ethernet traffic пользовалелям, где трафик = деньги, правильно использовать специализированные системы. А если у меня небольшой оффис, и в ДМЗ стоит почта и web, и трафик к ним в любом случае проходит сквозь файрвол, почему бы его там не посчитать ? Для отчёта руководству, как распределен по сервисам и по сотрудникам, больше ничего не надо.

>2) "SNMP-съем" с интерфейса это неправильно, да. Только не по той же
>причине, что и с правил firewall, хотя есть и общее: вы
>не сможете ответить пользователю на вопрос "а с какого IP и
>во сколько мне прилетело столько трафика", в общем случае. Можно, конечно,
>возразить, что дескать, таких вопросов не будет, считаю для себя и
>все, но от главного уйти не получится, а именно:
>
>  _учет трафика это не то, для чего следует применять firewall_
>
Думаю, для Вас это не новость, но всё же - "специализированный пакет" ipcad умеет (в том числе) считать с ULOG.

>
>Хотя, разумеется, можно. Я читал, можно и на матричном принтере
>мелодию воспроизвести, не HiFi правда. ;-)
>
У меня дисковод чижика-пыжика играл 8)

>Насчет "SNMP-съема". Есть такое RFC 1156 "Management Information Base for Network Management
>of TCP/IP-based internets":
>
>  OBJECT:
>          -------
>            
>   ifOutOctets { ifEntry 16 }
>
>          Syntax:
>            
>   Counter
>
>          Definition:
>            
>   The total number of octets transmitted out of
>the
>            
>   interface, including framing characters.
>
>ключевые слова "including framing characters".
>По теме:
>
>  http://www.opennet.dev/openforum/vsluhforumID10/528.html#4

Да, я что-то слышал пр RFC. Думаю, с 70-90% роутеров, однако, снимаются счётчики (MRTG, RRDtool, OpenView etc.), и складываются, обрабатываются - т.е. "подсчитывается трафик". Просто цели - разные.

Предлагаю закончить бесполезный спор, т.к. богу - богово, кесарю - кесарево. Я остаюсь при своём мнении, и согласен с Вашим. Они (почти) непротировечивы.

Cообщить модератору | Наверх | ^

41. "IPFilter под Linux - вторая попытка."
Сообщение от Mr.Uef (??) on 03-Июн-04, 12:19 
Scoundrel,
>Ой! Какие мы умные!!!
Не надо льстить, просто я более внимательно читал HOWTO.

>Так бы и сказал, что не знаешь!
Знаю, просто соотв. ключи для снятия и обнуления статистки уже указали постом выше.

>Нельзя в линуксе создать правило с номером XYZ, которое после любых
>изменений в остально наборе правил не изменит своего номера... :-(

Нельзя, но если так уж нужны номера это легко исправить:
1. Создаешь новую цепочку с нужным идентификатором, если тебе удобнее - пусть с номером.
Ех: iptables -N 1
2. Добавляешь туда нужное правило (или группу правил)
Ex: iptables -A 1 -s 1.2.3.4 -j ACCEPT
3. Указываешь каким пакетам в эту цепочку ходить:
Ex: iptables -A INPUT -j 1
    iptables -A OUTPUT -j 1
     ...
Все. Получаешь полную аналогию с нумерацией правил во Фре, если она, конечно, тебе нужна ибо для снятия и.т.п статистки можно придумать и гораздо более простые и изящные способы.

ЗЫ. Прежде чем наезжать на нелюбимую систему, все же ознакомься подробнее с ее достоинствами и недостатками.

Cообщить модератору | Наверх | ^

48. "IPFilter под Linux - вторая попытка."
Сообщение от Scoundrel on 05-Июн-04, 00:20 
>Scoundrel,
>>Ой! Какие мы умные!!!
>Не надо льстить, просто я более внимательно читал HOWTO.

Извиняюсь... я тоже читал его, но вот до того, чтобы создавать кучу цепочек, как-то не додумался... :-(

>>Нельзя в линуксе создать правило с номером XYZ, которое после любых
>>изменений в остально наборе правил не изменит своего номера... :-(
>Нельзя, но если так уж нужны номера это легко исправить:
<...skipped...>
>Все. Получаешь полную аналогию с нумерацией правил во Фре, если она,
>конечно,
>тебе нужна ибо для снятия и.т.п статистки можно придумать и гораздо
>более простые и изящные способы.

Спасибо за совет! Попробую воспользоваться!

Cообщить модератору | Наверх | ^

49. "IPFilter под Linux - вторая попытка."
Сообщение от mod on 08-Июн-04, 11:20 
>>>Как мне в линуксе организовать создание/удаление/съем статистики с
>>>правил фаервола?
>>Читать iptables howto
>
>Ой! Какие мы умные!!!
>
>Так бы и сказал, что не знаешь!
>Нельзя в линуксе создать правило с номером XYZ, которое после любых изменений
>в остально наборе правил не изменит своего номера... :-(
>
>А вот с хешем правила - это хорошая идея... надо над ней
>подумать...
а в ман хоть раз заглянуть ?
man iptables |grep rulenum
-D, --delete chain rulenum
-I, --insert chain [rulenum] rule-specification
...

Cообщить модератору | Наверх | ^

17. "IPFilter под Linux - вторая попытка."
Сообщение от Аноним email on 02-Июн-04, 13:10 
>Самый продвинутый - Cisco PIX. IMHO.
:)ну и раскажи что он умеет делать такого чего неможет iptables
P.S.у меня самого 2 525х
Cообщить модератору | Наверх | ^

32. "IPFilter под Linux - вторая попытка."
Сообщение от rost email on 02-Июн-04, 18:03 
к чему весь этот флейм?
ну юзаю линукс и что? чем iptables плох? меня например он полностью устраивает, на все сто! с помошью связки iptables+ipt_string+connmark+iproute2 я спокойно могу резать траффик по отдельным виртуалхостам апача, при этом совершенно не трогая сам апач. такой гибкости я еще невидел нигде! даже под суперправильной ОС - freebsd.
Cообщить модератору | Наверх | ^

33. "IPFilter pod Linux - vtoraya popytka."
Сообщение от hehe on 02-Июн-04, 18:28 
mod_bandwidth
Cообщить модератору | Наверх | ^

34. "IPFilter pod Linux - vtoraya popytka."
Сообщение от rost on 02-Июн-04, 18:34 
>mod_bandwidth

ну и?
юзал я это поделие... после нескольких часов работы апач просто переставал отвечать на запросы.

Cообщить модератору | Наверх | ^

38. "IPFilter pod Linux - vtoraya popytka."
Сообщение от Алексей (??) on 03-Июн-04, 08:09 
http://www.snert.com/Software/mod_watch/
Cообщить модератору | Наверх | ^

42. "IPFilter под Linux - вторая попытка."
Сообщение от Аноним email on 03-Июн-04, 15:06 
А попробуйте на freebsd при помощи ipf pf ipfw сделать то что делет ULOG iptables а ведь при помощи этого кластно трафик собирать и правил не каких не надо (да и клсифицировть на кокой порт да и по какому протоколу трафик пошел когда нибудь придется, что бы бабки разные за разные кляссы трафика брать).
А что бы трафик считать в iptables правила нумеровать и не надо (хотя такая фигня и в нем есть доки читайте). Создаете отдельныю цепочку и все првила по трафику туда скидываете у меня такая фишка года 3 работает еще с ipchains и с базой вместе только номера правил я там не храню не зачем просто достаточно ip клиента хранить.
Cообщить модератору | Наверх | ^

44. "IPFilter под Linux - вторая попытка."
Сообщение от Cyrill Malevanov on 03-Июн-04, 15:11 
>А попробуйте на freebsd при помощи ipf pf ipfw сделать то что
>делет ULOG iptables а ведь при помощи этого кластно трафик собирать
>и правил не каких не надо (да и клсифицировть на кокой
>порт да и по какому протоколу трафик пошел когда нибудь придется,
>что бы бабки разные за разные кляссы трафика брать).
>А что бы трафик считать в iptables правила нумеровать и не надо
>(хотя такая фигня и в нем есть доки читайте). Создаете отдельныю
>цепочку и все првила по трафику туда скидываете у меня такая
>фишка года 3 работает еще с ipchains и с базой вместе
>только номера правил я там не храню не зачем просто достаточно
>ip клиента хранить.


Нахрена, извините мой французский, считать это через файрвол? Если уж считать - то считать, опять же, ядерной тулзой, специально для этого заточенной. На freebsd - ng_ipacct, ng_netflow. И ничем по формату вывода от кошки не отличается.

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру