>> Ну, port-knocking например. В iptables достаточно одного лишь recent для его реализации
>> в 2 строчки, а в ipfw я могу представить его реализацию
>> только с использованием внешних утилит.
> Да вроде, можно.
> ipfw count log ...
> потом syslog через syslog.conf запускает скрипт, который выкусывает IP из лога и
> открывает правило через ipfw table, например.Ну дак я же говорил про реализацию на уровне фаерволла, а продложенное вами работает лишь с использованием внешних утилит, а именно:
1.) syslog
2.) скрипт
Не кажется что это слишком костыльно? Тем более предложенная реализация работает по косвенным признакам - читает записи в логах, что вообще говоря опять же костыль, по моему личному мнению. ipfw своими внутренними средствами так легко и просто добавив две строчки не в жизнь не даст столь простую и, IMHO, полезную возможность. Это ведь был пример того, что в ipfw невозможно/трудно сделать, а именно невозможно на уровне самого фаерволла и "трудно" с использованием внешних утилит. Когда как в iptables:
-t mangle -A INPUT -p tcp --dport 55655 -m recent --set --name openssh
-t filter -A INPUT -p tcp --dport 22 -m recent --rcheck --name openssh -j ACCEPT
и всё ;)
> Народ даже делал, чтобы открывался доступ только после пинга с опредленным размером
> пакета. IMHO удобнее, чем port-knocking, т.к. некоторые дистрибутивяы Linux уже идут
> без telnet по умолчанию. (Мне в Федоре приходилось ставить через yum)
Ой, а постучать можно хоть тем же yum-ом, указав переменную http_proxy на этот самый порт, если конечно yum понимает эту переменную. Ну или программой ssh-клиентом, указав флаг "-p".
>> Или даже самый элементарный "ttl-set", что вообще уж проще некуда. Где это
>> в ipfw?
> ng_patch(4), недавно закоммитили :-)
> http://nuclight.livejournal.com/126002.html
> Кстати, netgraph реально мощная штука. Хотя это и набор инструментов, а не
> готовое решение, но позволяет делать с сетью почти что угодно.
Ну это хорошо что закоммитили, но вам самому то не смешно, что закоммитили лишь недавно :). Хотя вообще я рад, что наконец-то ipfw обрастает всякими вкусностями.
Если бы в ipfw были отдельные таблицы правил как в iptables на prerouting, input, forward, output, postrouting и добавили бы аналоги хотя бы recent, hashlimit, length, statistics (хотя "prob" впринципе заменяет один из режимов работы statistics), time, string и u32, то в добавок с учётом последних изменений, которые надо признать совсем я недавние, ipfw стал бы для меня почти настолько же полезным, как и iptables. :)
Притом я не говорю про всякие другие на мой взгляд полезные возможности вроде tos, tee, mirror, tcpmss или, например, cluster, лишь потому, что я ими пока что ниразу не пользовался. Но, напрмиер, лишь самая идея с "led" у iptables просто душу греет :)