Исходное сообщение
"Запрашивает Миша Рыцаревъ" Отправлено Xaionaro, 28-Сен-10 09:04
>> Ну, port-knocking например. В iptables достаточно одного лишь recent для его реализации >> в 2 строчки, а в ipfw я могу представить его реализацию >> только с использованием внешних утилит. > Да вроде, можно. > ipfw count log ... > потом syslog через syslog.conf запускает скрипт, который выкусывает IP из лога и > открывает правило через ipfw table, например. Ну дак я же говорил про реализацию на уровне фаерволла, а продложенное вами работает лишь с использованием внешних утилит, а именно: 1.) syslog 2.) скрипт Не кажется что это слишком костыльно? Тем более предложенная реализация работает по косвенным признакам - читает записи в логах, что вообще говоря опять же костыль, по моему личному мнению. ipfw своими внутренними средствами так легко и просто добавив две строчки не в жизнь не даст столь простую и, IMHO, полезную возможность. Это ведь был пример того, что в ipfw невозможно/трудно сделать, а именно невозможно на уровне самого фаерволла и "трудно" с использованием внешних утилит. Когда как в iptables: -t mangle -A INPUT -p tcp --dport 55655 -m recent --set --name openssh -t filter -A INPUT -p tcp --dport 22 -m recent --rcheck --name openssh -j ACCEPT и всё ;) > Народ даже делал, чтобы открывался доступ только после пинга с опредленным размером > пакета. IMHO удобнее, чем port-knocking, т.к. некоторые дистрибутивяы Linux уже идут > без telnet по умолчанию. (Мне в Федоре приходилось ставить через yum) Ой, а постучать можно хоть тем же yum-ом, указав переменную http_proxy на этот самый порт, если конечно yum понимает эту переменную. Ну или программой ssh-клиентом, указав флаг "-p". >> Или даже самый элементарный "ttl-set", что вообще уж проще некуда. Где это >> в ipfw? > ng_patch(4), недавно закоммитили :-) > http://nuclight.livejournal.com/126002.html > Кстати, netgraph реально мощная штука. Хотя это и набор инструментов, а не > готовое решение, но позволяет делать с сетью почти что угодно. Ну это хорошо что закоммитили, но вам самому то не смешно, что закоммитили лишь недавно :). Хотя вообще я рад, что наконец-то ipfw обрастает всякими вкусностями. Если бы в ipfw были отдельные таблицы правил как в iptables на prerouting, input, forward, output, postrouting и добавили бы аналоги хотя бы recent, hashlimit, length, statistics (хотя "prob" впринципе заменяет один из режимов работы statistics), time, string и u32, то в добавок с учётом последних изменений, которые надо признать совсем я недавние, ipfw стал бы для меня почти настолько же полезным, как и iptables. :) Притом я не говорю про всякие другие на мой взгляд полезные возможности вроде tos, tee, mirror, tcpmss или, например, cluster, лишь потому, что я ими пока что ниразу не пользовался. Но, напрмиер, лишь самая идея с "led" у iptables просто душу греет :)

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>> Ну, port-knocking например. В iptables достаточно одного лишь recent для его реализации >>> в 2 строчки, а в ipfw я могу представить его реализацию >>> только с использованием внешних утилит. >> Да вроде, можно. >> ipfw count log ... >> потом syslog через syslog.conf запускает скрипт, который выкусывает IP из лога и >> открывает правило через ipfw table, например. > Ну дак я же говорил про реализацию на уровне фаерволла, а продложенное > вами работает лишь с использованием внешних утилит, а именно: > 1.) syslog > 2.) скрипт > Не кажется что это слишком костыльно? Тем более предложенная реализация работает по > косвенным признакам - читает записи в логах, что вообще говоря опять > же костыль, по моему личному мнению. ipfw своими внутренними средствами так > легко и просто добавив две строчки не в жизнь не даст > столь простую и, IMHO, полезную возможность. Это ведь был пример того, > что в ipfw невозможно/трудно сделать, а именно невозможно на уровне самого > фаерволла и "трудно" с использованием внешних утилит. Когда как в iptables: > -t mangle -A INPUT -p tcp --dport 55655 -m recent --set --name > openssh > -t filter -A INPUT -p tcp --dport 22 -m recent --rcheck --name > openssh -j ACCEPT > и всё ;) >> Народ даже делал, чтобы открывался доступ только после пинга с опредленным размером >> пакета. IMHO удобнее, чем port-knocking, т.к. некоторые дистрибутивяы Linux уже идут >> без telnet по умолчанию. (Мне в Федоре приходилось ставить через yum) > Ой, а постучать можно хоть тем же yum-ом, указав переменную http_proxy на > этот самый порт, если конечно yum понимает эту переменную. Ну или > программой ssh-клиентом, указав флаг "-p". >>> Или даже самый элементарный "ttl-set", что вообще уж проще некуда. Где это >>> в ipfw? >> ng_patch(4), недавно закоммитили :-) >> http://nuclight.livejournal.com/126002.html >> Кстати, netgraph реально мощная штука. Хотя это и набор инструментов, а не >> готовое решение, но позволяет делать с сетью почти что угодно. > Ну это хорошо что закоммитили, но вам самому то не смешно, что > закоммитили лишь недавно :). Хотя вообще я рад, что наконец-то ipfw > обрастает всякими вкусностями. > Если бы в ipfw были отдельные таблицы правил как в iptables на > prerouting, input, forward, output, postrouting и добавили бы аналоги хотя бы > recent, hashlimit, length, statistics (хотя "prob" впринципе заменяет один из режимов > работы statistics), time, string и u32, то в добавок с учётом > последних изменений, которые надо признать совсем я недавние, ipfw стал бы > для меня почти настолько же полезным, как и iptables. :) > Притом я не говорю про всякие другие на мой взгляд полезные возможности > вроде tos, tee, mirror, tcpmss или, например, cluster, лишь потому, что > я ими пока что ниразу не пользовался. Но, напрмиер, лишь самая > идея с "led" у iptables просто душу греет :)
	Введите код, изображенный на картинке: