forum.opennet.ru - "Пример настройки пакетного фильтра PF на офисном шлюзе" (11)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Пример настройки пакетного фильтра PF на офисном шлюзе"

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Пример настройки пакетного фильтра PF на офисном шлюзе"
Сообщение от opennews (ok) on 11-Янв-09, 19:03
"PF: разбираем конфиг для офисов (http://www.lissyara.su/?id=1833)" - пример настройки пакетного фильтра PF на офисном шлюзе URL: http://www.lissyara.su/?id=1833 Новость: https://www.opennet.ru/opennews/art.shtml?num=19730
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Пример настройки пакетного фильтра PF на офисном шлюзе, PereresusNeVlezaetBuggy, 19:03 , 11-Янв-09, (1)
Пример настройки пакетного фильтра PF на офисном шлюзе, Добрый Дохтур, 19:55 , 11-Янв-09, (2)

Пример настройки пакетного фильтра PF на офисном шлюзе, PereresusNeVlezaetBuggy, 23:36 , 11-Янв-09, (3)

Пример настройки пакетного фильтра PF на офисном шлюзе, Grishin_U_S, 08:19 , 12-Янв-09, (5)

Пример настройки пакетного фильтра PF на офисном шлюзе, Zula, 11:32 , 12-Янв-09, (7)

Пример настройки пакетного фильтра PF на офисном шлюзе, Grishin_U_S, 12:09 , 12-Янв-09, (10)

Пример настройки пакетного фильтра PF на офисном шлюзе, Zula, 13:33 , 12-Янв-09, (11)

Пример настройки пакетного фильтра PF на офисном шлюзе, Аноним, 07:24 , 12-Янв-09, (4)

Пример настройки пакетного фильтра PF на офисном шлюзе, Grishin_U_S, 08:50 , 12-Янв-09, (6)

Пример настройки пакетного фильтра PF на офисном шлюзе, PereresusNeVlezaetBuggy, 11:48 , 12-Янв-09, (8)

Пример настройки пакетного фильтра PF на офисном шлюзе, Grishin_U_S, 12:03 , 12-Янв-09, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "Пример настройки пакетного фильтра PF на офисном шлюзе"

Сообщение от PereresusNeVlezaetBuggy (ok) on 11-Янв-09, 19:03

Некогда региться на Лисяре, так что замечу лишь тут, что автор ошибается насчёт очередей для in-пакетов: они действительно бесполезны, и этот вопрос не раз обсуждался в рассылках @openbsd.org. Другое дело, что in-пакеты создают в случае приведённого конфига states, в которые попадают и пакеты входящие, и пакеты исходящие. И именно исходящие пакеты (включая ACK'и) и шейпятся, что за счёт скользящего окна обеспечивает и определённую скорость входящих пакетов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Пример настройки пакетного фильтра PF на офисном шлюзе"

Сообщение от Добрый Дохтур on 11-Янв-09, 19:55

>Неоднократно слышал утверждение о том, что "мы не можем управлять тем трафиком, который пришел к нам. Что пришло, то пришло". Это утверждение НЕ справедливо с точки зрения очередей ALTQ.
аффтар слышал, но так и не осознал.
кстати, а в чём смысл статьи? в ней есть нечто, чего не может прийти в голову после man pf.conf ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Пример настройки пакетного фильтра PF на офисном шлюзе"

Сообщение от PereresusNeVlezaetBuggy (ok) on 11-Янв-09, 23:36

>>Неоднократно слышал утверждение о том, что "мы не можем управлять тем трафиком, который пришел к нам. Что пришло, то пришло". Это утверждение НЕ справедливо с точки зрения очередей ALTQ.
>
>аффтар слышал, но так и не осознал.
>кстати, а в чём смысл статьи? в ней есть нечто, чего не
>может прийти в голову после man pf.conf ?
Вообще статья очень хорошая: по-моему, это первый детально разобранный пример достаточно сложного (не в плане понимания, а в плане используемой функциональности) конфига. Если б не этот досадный ляп с altq, то всё было бы вообще шикарно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Пример настройки пакетного фильтра PF на офисном шлюзе"

Сообщение от Grishin_U_S on 12-Янв-09, 08:19

>>>Неоднократно слышал утверждение о том, что "мы не можем управлять тем трафиком, который пришел к нам. Что пришло, то пришло". Это утверждение НЕ справедливо с точки зрения очередей ALTQ.
>>
>>аффтар слышал, но так и не осознал.
>>кстати, а в чём смысл статьи? в ней есть нечто, чего не
>>может прийти в голову после man pf.conf ?
>
>Вообще статья очень хорошая: по-моему, это первый детально разобранный пример достаточно сложного
>(не в плане понимания, а в плане используемой функциональности) конфига. Если
>б не этот досадный ляп с altq, то всё было бы
>вообще шикарно.
какой ляп-то??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Пример настройки пакетного фильтра PF на офисном шлюзе"

Сообщение от Zula on 12-Янв-09, 11:32

Вы написали что "Это утверждение НЕ справедливо с точки зрения очередей ALTQ."
Если глянуть FAQ ( http://www.openbsd.org/faq/pf/queueing.html#queueing )
--------------
Note that queueing is only useful for packets in the outbound direction. Once a packet arrives on an interface in the inbound direction it's already too late to queue it -- it's already consumed network bandwidth to get to the interface that just received it. The only solution is to enable queueing on the adjacent router or, if the host that received the packet is acting as a router, to enable queueing on the internal interface where packets exit the router.
--------------
На чем основывается Ваше утверждение? Вы ограничиваете скорость на исходящем внутреннем интерфейсе роутера. Если эта очередь будет заполнена, то роутер будет отбрасывать лишние пакеты.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Пример настройки пакетного фильтра PF на офисном шлюзе"

Сообщение от Grishin_U_S on 12-Янв-09, 12:09

>Вы написали что "Это утверждение НЕ справедливо с точки зрения очередей ALTQ."
>Если глянуть FAQ ( http://www.openbsd.org/faq/pf/queueing.html#queueing )
> .....
>На чем основывается Ваше утверждение? Вы ограничиваете скорость на исходящем внутреннем интерфейсе
>роутера. Если эта очередь будет заполнена, то роутер будет отбрасывать лишние
>пакеты.
а если глянуть дальше, то можно увидеть :
---
Note that queue designation can happen on an interface other than the one defined in the altq on directive:
altq on fxp0 cbq bandwidth 2Mb queue { std, ftp }
queue std bandwidth 500Kb cbq(default)
queue ftp bandwidth 1.5Mb
pass in on dc0 from any to any port 21 queue ftp
Queueing is enabled on fxp0 but the designation takes place on dc0. If packets matching the pass rule exit from
interface fxp0, they will be queued in the ftp queue. This type of queueing can be very useful on routers.
---
на этом и основывается

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Пример настройки пакетного фильтра PF на офисном шлюзе"

Сообщение от Zula on 12-Янв-09, 13:33

Спасибо :) Недоглядел.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Пример настройки пакетного фильтра PF на офисном шлюзе"

Сообщение от Аноним (??) on 12-Янв-09, 07:24

> аффтар слышал, но так и не осознал
Вообще-то ALTQ умеет ECN, так что заявление о _полной_невозможности_ рулить входящим трафиком не соответствует действительности.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Пример настройки пакетного фильтра PF на офисном шлюзе"

Сообщение от Grishin_U_S on 12-Янв-09, 08:50

>> аффтар слышал, но так и не осознал
>
>Вообще-то ALTQ умеет ECN, так что заявление о _полной_невозможности_ рулить входящим трафиком
>не соответствует действительности.
Не это имелось ввиду....
оригинал :
"мы не можем управлять тем трафиком, который пришел к нам. Что пришло, то пришло". Это утверждение НЕ справедливо >>>>>> с точки зрения очередей ALTQ <<<<<<."
--
Я не писал за счет чего это делается : за счет созданных состояний или еще чего.
pf дает назначить очередь правилам входящего трафика pass in on $int_if ...
только и всего.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Пример настройки пакетного фильтра PF на офисном шлюзе"

Сообщение от PereresusNeVlezaetBuggy (ok) on 12-Янв-09, 11:48

>[оверквотинг удален]
>
>Не это имелось ввиду....
>оригинал :
>"мы не можем управлять тем трафиком, который пришел к нам. Что пришло, то пришло". Это утверждение НЕ справедливо >>>>>> с точки зрения очередей ALTQ <<<<<<."
>--
>Я не писал за счет чего это делается : за счет созданных
>состояний или еще чего.
>pf дает назначить очередь правилам входящего трафика pass in on $int_if ...
>
>только и всего.
Назначить - да, позволяет. Но эта фикция существует только в рамках набора правил. То есть с точки зрения очередей altq это всё же справедливо. Ладно те, кто и так в курсе — статья-то в первую очередь не для них. Даже если вы имели в виду другое, не то, что кажется при первом прочтении, это всё равно проблема статьи (неоднозначность толкования). Повторюсь, статья в остальном прекрасная и я её обязательно сохраню в закладках, учить подрастающих юниксоидов. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Пример настройки пакетного фильтра PF на офисном шлюзе"

Сообщение от Grishin_U_S on 12-Янв-09, 12:03

>
>Назначить - да, позволяет. Но эта фикция существует только в рамках набора
>правил. То есть с точки зрения очередей altq это всё же
>справедливо. Ладно те, кто и так в курсе — статья-то в
>первую очередь не для них. Даже если вы имели в виду
>другое, не то, что кажется при первом прочтении, это всё равно
>проблема статьи (неоднозначность толкования). Повторюсь, статья в остальном прекрасная и я
>её обязательно сохраню в закладках, учить подрастающих юниксоидов. :)
Хорошо, этот абзац перефразирую.
Спасибо Вам за положительный отзыв и за конструктив.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Пример настройки пакетного фильтра PF на офисном шлюзе"
Сообщение от PereresusNeVlezaetBuggy (ok) on 11-Янв-09, 19:03
Некогда региться на Лисяре, так что замечу лишь тут, что автор ошибается насчёт очередей для in-пакетов: они действительно бесполезны, и этот вопрос не раз обсуждался в рассылках @openbsd.org. Другое дело, что in-пакеты создают в случае приведённого конфига states, в которые попадают и пакеты входящие, и пакеты исходящие. И именно исходящие пакеты (включая ACK'и) и шейпятся, что за счёт скользящего окна обеспечивает и определённую скорость входящих пакетов.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Пример настройки пакетного фильтра PF на офисном шлюзе"
Сообщение от Добрый Дохтур on 11-Янв-09, 19:55
>Неоднократно слышал утверждение о том, что "мы не можем управлять тем трафиком, который пришел к нам. Что пришло, то пришло". Это утверждение НЕ справедливо с точки зрения очередей ALTQ. аффтар слышал, но так и не осознал. кстати, а в чём смысл статьи? в ней есть нечто, чего не может прийти в голову после man pf.conf ?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Пример настройки пакетного фильтра PF на офисном шлюзе"
	Сообщение от PereresusNeVlezaetBuggy (ok) on 11-Янв-09, 23:36
	>>Неоднократно слышал утверждение о том, что "мы не можем управлять тем трафиком, который пришел к нам. Что пришло, то пришло". Это утверждение НЕ справедливо с точки зрения очередей ALTQ. > >аффтар слышал, но так и не осознал. >кстати, а в чём смысл статьи? в ней есть нечто, чего не >может прийти в голову после man pf.conf ? Вообще статья очень хорошая: по-моему, это первый детально разобранный пример достаточно сложного (не в плане понимания, а в плане используемой функциональности) конфига. Если б не этот досадный ляп с altq, то всё было бы вообще шикарно.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Пример настройки пакетного фильтра PF на офисном шлюзе"
	Сообщение от Grishin_U_S on 12-Янв-09, 08:19
	>>>Неоднократно слышал утверждение о том, что "мы не можем управлять тем трафиком, который пришел к нам. Что пришло, то пришло". Это утверждение НЕ справедливо с точки зрения очередей ALTQ. >> >>аффтар слышал, но так и не осознал. >>кстати, а в чём смысл статьи? в ней есть нечто, чего не >>может прийти в голову после man pf.conf ? > >Вообще статья очень хорошая: по-моему, это первый детально разобранный пример достаточно сложного >(не в плане понимания, а в плане используемой функциональности) конфига. Если >б не этот досадный ляп с altq, то всё было бы >вообще шикарно. какой ляп-то??
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Пример настройки пакетного фильтра PF на офисном шлюзе"
	Сообщение от Zula on 12-Янв-09, 11:32
	Вы написали что "Это утверждение НЕ справедливо с точки зрения очередей ALTQ." Если глянуть FAQ ( http://www.openbsd.org/faq/pf/queueing.html#queueing ) -------------- Note that queueing is only useful for packets in the outbound direction. Once a packet arrives on an interface in the inbound direction it's already too late to queue it -- it's already consumed network bandwidth to get to the interface that just received it. The only solution is to enable queueing on the adjacent router or, if the host that received the packet is acting as a router, to enable queueing on the internal interface where packets exit the router. -------------- На чем основывается Ваше утверждение? Вы ограничиваете скорость на исходящем внутреннем интерфейсе роутера. Если эта очередь будет заполнена, то роутер будет отбрасывать лишние пакеты.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Пример настройки пакетного фильтра PF на офисном шлюзе"
	Сообщение от Grishin_U_S on 12-Янв-09, 12:09
	>Вы написали что "Это утверждение НЕ справедливо с точки зрения очередей ALTQ." >Если глянуть FAQ ( http://www.openbsd.org/faq/pf/queueing.html#queueing ) > ..... >На чем основывается Ваше утверждение? Вы ограничиваете скорость на исходящем внутреннем интерфейсе >роутера. Если эта очередь будет заполнена, то роутер будет отбрасывать лишние >пакеты. а если глянуть дальше, то можно увидеть : --- Note that queue designation can happen on an interface other than the one defined in the altq on directive: altq on fxp0 cbq bandwidth 2Mb queue { std, ftp } queue std bandwidth 500Kb cbq(default) queue ftp bandwidth 1.5Mb pass in on dc0 from any to any port 21 queue ftp Queueing is enabled on fxp0 but the designation takes place on dc0. If packets matching the pass rule exit from interface fxp0, they will be queued in the ftp queue. This type of queueing can be very useful on routers. --- на этом и основывается
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Пример настройки пакетного фильтра PF на офисном шлюзе"
	Сообщение от Zula on 12-Янв-09, 13:33
	Спасибо :) Недоглядел.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Пример настройки пакетного фильтра PF на офисном шлюзе"
	Сообщение от Аноним (??) on 12-Янв-09, 07:24
	> аффтар слышал, но так и не осознал Вообще-то ALTQ умеет ECN, так что заявление о _полной_невозможности_ рулить входящим трафиком не соответствует действительности.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Пример настройки пакетного фильтра PF на офисном шлюзе"
	Сообщение от Grishin_U_S on 12-Янв-09, 08:50
	>> аффтар слышал, но так и не осознал > >Вообще-то ALTQ умеет ECN, так что заявление о _полной_невозможности_ рулить входящим трафиком >не соответствует действительности. Не это имелось ввиду.... оригинал : "мы не можем управлять тем трафиком, который пришел к нам. Что пришло, то пришло". Это утверждение НЕ справедливо >>>>>> с точки зрения очередей ALTQ <<<<<<." -- Я не писал за счет чего это делается : за счет созданных состояний или еще чего. pf дает назначить очередь правилам входящего трафика pass in on $int_if ... только и всего.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Пример настройки пакетного фильтра PF на офисном шлюзе"
	Сообщение от PereresusNeVlezaetBuggy (ok) on 12-Янв-09, 11:48
	>[оверквотинг удален] > >Не это имелось ввиду.... >оригинал : >"мы не можем управлять тем трафиком, который пришел к нам. Что пришло, то пришло". Это утверждение НЕ справедливо >>>>>> с точки зрения очередей ALTQ <<<<<<." >-- >Я не писал за счет чего это делается : за счет созданных >состояний или еще чего. >pf дает назначить очередь правилам входящего трафика pass in on $int_if ... > >только и всего. Назначить - да, позволяет. Но эта фикция существует только в рамках набора правил. То есть с точки зрения очередей altq это всё же справедливо. Ладно те, кто и так в курсе — статья-то в первую очередь не для них. Даже если вы имели в виду другое, не то, что кажется при первом прочтении, это всё равно проблема статьи (неоднозначность толкования). Повторюсь, статья в остальном прекрасная и я её обязательно сохраню в закладках, учить подрастающих юниксоидов. :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Пример настройки пакетного фильтра PF на офисном шлюзе"
	Сообщение от Grishin_U_S on 12-Янв-09, 12:03
	> >Назначить - да, позволяет. Но эта фикция существует только в рамках набора >правил. То есть с точки зрения очередей altq это всё же >справедливо. Ладно те, кто и так в курсе — статья-то в >первую очередь не для них. Даже если вы имели в виду >другое, не то, что кажется при первом прочтении, это всё равно >проблема статьи (неоднозначность толкования). Повторюсь, статья в остальном прекрасная и я >её обязательно сохраню в закладках, учить подрастающих юниксоидов. :) Хорошо, этот абзац перефразирую. Спасибо Вам за положительный отзыв и за конструктив.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]