forum.opennet.ru

"Раздел полезных советов: Порядок прохождения пакетов в пакетных фильтрах FreeBSD"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Порядок прохождения пакетов в пакетных фильтрах FreeBSD"	+/–
Сообщение от www2 (??), 08-Июн-08, 22:15
Оффтопик. Ещё раз обозначу почему я так люблю употреблять слово "технологичность". Для меня самый ценный ресурс - время человека. Если какая-то система позволяет освободить человека от механической работы, максимально автоматизировать работу человека, то такая система более технологична. Я хочу вовремя есть и спать, а не задерживаться на работе для того, чтобы исправить какую-то неполадку или для устранения уязвимостей ситемы. Я хочу вовремя и без проблем отдохнуть в отпуске, быть уверенным что моя система при появлении новой дыры автоматически обновится. Я не хочу, чтобы в моё отсутствие систему взломали или система сама потеряла работоспособность после обновления. Я хочу, чтобы мой шеф не держал в штате дюжину яйцеголовых специалистов, воюющих между собой в попытке доказать у кого из них круче яйца, уход из компании любого из которых может поставить компанию на грань разорения. Технологичность iptables На мой взгляд iptables позволяет максимально разделить суть разные правила: входящие пакеты, исходящие пакеты, маршрутизируемые пакеты, NAT, QoS, полиси рутинг. При этом iptables поддерживает создание собственных цепочек и таблиц, стимулируя к делению задачи на мелкие подзадачи. iptables позволяет не беспокоиться о работе сложных протоколов вроде FTP. iptables поддерживает технологию statefull (ipfw тоже поддерживает), что избавляет от дублирования правил для двух направлений пакетов. iptables явно обозначает политику цепочки по умолчанию, при чём для каждой цепочки можно выбирать свою политику по-умолчанию. iptables-save и iptables-restore позволяют иметь всегда упорядоченный и красиво отформатированный список правил. Технологичность пакетно-ориентированных систем Такие системы позволяют избегать траты времени на компилирование пакетов, на обновление пакетов с устранением уязвимостей, на отслеживание взаимозависимостей пакетов, отслеживание опций сборки пакетов. Для меня пакетно-ориентированной системой является также Cisco IOS. Не являются Windows (не позволяет отслеживать зависимости и легко обновлять ВСЕ программы), BSD/Gentoo/Slackware (стимулируют к компилированию), Ubuntu/Mandriva (не обновляют уязвимые пакеты, или обновляют только с одновременной сменой версии пакета, что может привести к необходимости редактировать конфиг).
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Раздел полезных советов: Порядок прохождения пакетов в пакетных фильтрах FreeBSD, auto_tips, 07-Июл-07, 16:14 [смотреть все]

вот неудобно, однако, хочется чтоб порядок прохождения на вход и на выход были о, SunTech, 07-Июл-07, 16:14 (1) //
- Так и есть на самом деле Регистрация хуков от пакетных фильтров происходит след, butcher, 23-Июл-07, 12:54 (3)
- Это неудобство объясняется очень просто нет у фри нормального файрвола и нормал, www2, 12-Окт-07, 17:38 (4) //
  - И с которым граблей , Аноним, 25-Май-08, 14:38 (5) //
    - Нисколько Со времени, прошедшего с того коммента, успел на практике настроить не, www2, 25-Май-08, 15:47 (6)
      - Ну так остановитесь на каком-нибудь одном и его пользуйте Одного PF недостато, ASh, 26-Май-08, 00:34 (7)
        
        Я остановился на iptables - , www2, 26-Май-08, 06:57 (8)
      - Птичий синтаксис нагляднее Не поверю Новичка ipfw можно научить за час-полтора, nuclight, 27-Май-08, 21:24 (9)
        
        Новичка iptables можно научить за то-же время и на таком-же уровне При этом я н, www2, 28-Май-08, 17:21 (10)
        
        Ещё могу добавить что из Linux ов я не считаю технологичными 1 Slackware - отсу, www2, 28-Май-08, 17:47 (11)
        Разумеется, о владении в совершенстве никто не говорил Да без проблем Простите, , nuclight, 28-Май-08, 19:55 (12)
        
        Эта уникальная заметка вышла слишком поздно для меня 20 мая 2008 - чуть больше , www2, 28-Май-08, 21:36 (13)
        
        Вы делаете некорректное сравнение Во первых, схема прохождения пакетов через ip, nuclight, 07-Июн-08, 23:30 (14)
        
        Но при этом вся таблица правил свалена в кучу и будет просматриваться для проход, www2, 08-Июн-08, 21:43 (15)
        
        Оффтопик Ещё раз обозначу почему я так люблю употреблять слово технологичность , www2, 08-Июн-08, 22:15 (16)
        
        Это все мишура То, что кому-то там легче сложнее читать - лишь его проблемы На , Avgoor, 24-Июн-08, 18:44 (17)
        Ну да, я вот о Вас забочусь, хочу чтобы Вам не достались такие же через заднее м, www2, 25-Июн-08, 07:38 (18)
  - в линухе фаервол не такой уж мощный - ему очень нехватает таблиц с 1000 правил , redixin, 24-Сен-08, 01:44 (19) //
    - Название iptables ни о чём не говорит Нечего не зеркало пенять коли рожа то ест, www2, 24-Сен-08, 07:54 (20)
      - вот именно что название, название новое а внутри все теже ipchains Не знаете р, redixin, 25-Сен-08, 16:15 (21)
        
        Погуглил, нашёл вот такой интересный тест http bulk fefe de scalability Правда, www2, 28-Сен-08, 10:43 (22)
        
        говорит 404 ipset это и есть тот самый левый патч который страшно ставить в про, redixin, 24-Окт-08, 13:34 (23)
        
        Это уже давно не патч, модуль ipset у меня наличествует в дистрибутиве Debian Et, www2, 24-Окт-08, 15:09 (24)
        
        http w3dev org ua debian-guaranteed-entropy jpgоккто повторял я разок сказал,, redixin, 16-Апр-09, 23:33 (25)
        
        Уступает в чём Пассивные соединения работают отменно это когда клиент сам устан, www2, 17-Апр-09, 08:12 (26)
        
        в ipfw есть tablearg очень очень приятная вещь в ipfw есть простые шустрые шейп, redixin, 17-Апр-09, 10:52 (27)
        
        ipsetПро imq первый раз слышу Не пробовали tc Не костыль, а штатная очень гибк, www2, 17-Апр-09, 14:32 (28)
        в ipset нет tableargs, погуглитеtc привязывается к интерфейсу, а если у меня куч, redixin, 17-Апр-09, 15:14 (29)
        Погуглил Отвечу Вашими словами Фраза в духе названных мной фряшников-фанатиков , www2, 17-Апр-09, 15:52 (30)
        я гдето выше говорил о шейперахвообщето FreeBSD работает на ARM - пара минут на, redixin, 17-Апр-09, 16:00 (31)
По опыту использованиюна выходе ipfw ipfilter , viper, 09-Июл-07, 09:20 (2)
а меня втыкает pf, который умеет и натить аж 2-мя способами у каждого по 2-ва мо, unknownDaemon, 11-Июн-10, 22:55 (32)
Получается, что если пакет прошёл один файервол, он не проходит остальные Так , skeletor, 18-Окт-10, 22:06 (33) //
- Нет, пакет должен получить одобрение от всех фаерволлов Если пакет прошёл через, www2, 19-Окт-10, 09:23 (34)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру