forum.opennet.ru - "Филтьрация пакетов в FreeBSD" (27)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Филтьрация пакетов в FreeBSD"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Филтьрация пакетов в FreeBSD"		+/–
Сообщение от savio (??) on 17-Июн-09, 12:56
Можно ли в FreeBSD фильтровать пакеты по: - содержимому пакета - размеру пакета ?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Филтьрация пакетов в FreeBSD, Pahanivo, 14:18 , 17-Июн-09, (1)

Филтьрация пакетов в FreeBSD, savio, 15:58 , 17-Июн-09, (2)

Филтьрация пакетов в FreeBSD, Pahanivo, 17:15 , 17-Июн-09, (3)

Филтьрация пакетов в FreeBSD, savio, 18:10 , 17-Июн-09, (4)

Филтьрация пакетов в FreeBSD, Pahanivo, 18:24 , 17-Июн-09, (5)

Филтьрация пакетов в FreeBSD, savio, 18:30 , 17-Июн-09, (6)

Филтьрация пакетов в FreeBSD, Deac, 19:28 , 17-Июн-09, (7)

Филтьрация пакетов в FreeBSD, savio, 23:00 , 17-Июн-09, (9)

Филтьрация пакетов в FreeBSD, Pahanivo, 07:37 , 18-Июн-09, (10)

Филтьрация пакетов в FreeBSD, savio, 10:03 , 18-Июн-09, (11)

Филтьрация пакетов в FreeBSD, Pahanivo, 11:49 , 18-Июн-09, (12)

Филтьрация пакетов в FreeBSD, savio, 12:57 , 18-Июн-09, (13)
Филтьрация пакетов в FreeBSD, Pahanivo, 14:14 , 18-Июн-09, (16)
Филтьрация пакетов в FreeBSD, angra, 13:23 , 18-Июн-09, (14)
Филтьрация пакетов в FreeBSD, Pahanivo, 14:13 , 18-Июн-09, (15)
Филтьрация пакетов в FreeBSD, angra, 15:05 , 18-Июн-09, (18)
Филтьрация пакетов в FreeBSD, Pahanivo, 17:47 , 18-Июн-09, (19)
Филтьрация пакетов в FreeBSD, angra, 08:02 , 19-Июн-09, (22)
Филтьрация пакетов в FreeBSD, Pahanivo, 08:42 , 19-Июн-09, (23)
Филтьрация пакетов в FreeBSD, angra, 05:58 , 20-Июн-09, (25)
Филтьрация пакетов в FreeBSD, Pahanivo, 21:39 , 21-Июн-09, (26)

Филтьрация пакетов в FreeBSD, Pahanivo, 20:57 , 17-Июн-09, (8)

Филтьрация пакетов в FreeBSD, Merlin_ua, 14:18 , 18-Июн-09, (17)

Филтьрация пакетов в FreeBSD, savio, 21:37 , 18-Июн-09, (20)
Филтьрация пакетов в FreeBSD, Слава, 04:33 , 19-Июн-09, (21)

Филтьрация пакетов в FreeBSD, savio, 10:17 , 19-Июн-09, (24)

Филтьрация пакетов в FreeBSD, shutdown now, 01:51 , 02-Июл-09, (27)

Сообщения по теме [Сортировка по времени | RSS]

1. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от Pahanivo (ok) on 17-Июн-09, 14:18

>Можно ли в FreeBSD фильтровать пакеты по:
>- содержимому пакета
до TCP/UDP уровня
>- размеру пакета
а зачем?
>?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от savio (??) on 17-Июн-09, 15:58

>до TCP/UDP уровня
каким образом? поделитесь пожалуйста

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от Pahanivo (ok) on 17-Июн-09, 17:15

>>до TCP/UDP уровня
>
>каким образом? поделитесь пожалуйста
ipfw allow/deny tcp/udp from src_ip [src_port] to dst_ip [dst_port] [setup] [via ...]

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от savio (??) on 17-Июн-09, 18:10

>>>до TCP/UDP уровня
>>
>>каким образом? поделитесь пожалуйста
>
>ipfw allow/deny tcp/udp from src_ip [src_port] to dst_ip [dst_port] [setup] [via ...]
>
и где здесь фильтрация по содержимому пакета или его длине?
P.S.
по поводу длины пакета я разобрался. в ipfw опция iplen
а есть лианалогичная опция для содержимого пакета в ipfw?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от Pahanivo (ok) on 17-Июн-09, 18:24

>[оверквотинг удален]
>>>каким образом? поделитесь пожалуйста
>>
>>ipfw allow/deny tcp/udp from src_ip [src_port] to dst_ip [dst_port] [setup] [via ...]
>>
>
>и где здесь фильтрация по содержимому пакета или его длине?
>
>P.S.
>по поводу длины пакета я разобрался. в ipfw опция iplen
>а есть лианалогичная опция для содержимого пакета в ipfw?
читать умеешь?
если умеешь перечитай топ от начала НЕ ПРОПУСКАЯ строк

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от savio (??) on 17-Июн-09, 18:30

>[оверквотинг удален]
>>>
>>
>>и где здесь фильтрация по содержимому пакета или его длине?
>>
>>P.S.
>>по поводу длины пакета я разобрался. в ipfw опция iplen
>>а есть лианалогичная опция для содержимого пакета в ipfw?
>
>читать умеешь?
>если умеешь перечитай топ от начала НЕ ПРОПУСКАЯ строк
перечитал. ничего нового не увидел. возможно ты имееш ввиду что до уровня TCP/UDP, а содержимое этого пакета по протоколу TCP/UDP чтоб  смотреть какой уровень нужен?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от Deac (ok) on 17-Июн-09, 19:28

>>[оверквотинг удален]
>
>перечитал. ничего нового не увидел. возможно ты имееш ввиду что до уровня
>TCP/UDP, а содержимое этого пакета по протоколу TCP/UDP чтоб  смотреть
>какой уровень нужен?
Если под "содержимым" подразумеваются флаги в TCP, то может.
Если под "содержимым" подразумевается непосредственно информация, передаваемая в пакетах, то нужен НЕ firewall, а анализатор трафика по нужным именно тебе критериям, который в свою очередь может управлять firewall-ом.
Для анализа информации в пакетах нужен не "уровень TCP/IP", а вполне конкретный уровень паранойи или столь же конкретный "злой умысел".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от savio (??) on 17-Июн-09, 23:00

>[оверквотинг удален]
>>TCP/UDP, а содержимое этого пакета по протоколу TCP/UDP чтоб  смотреть
>>какой уровень нужен?
>
>Если под "содержимым" подразумеваются флаги в TCP, то может.
>Если под "содержимым" подразумевается непосредственно информация, передаваемая в пакетах, то нужен НЕ
>firewall, а анализатор трафика по нужным именно тебе критериям, который в
>свою очередь может управлять firewall-ом.
>
>Для анализа информации в пакетах нужен не "уровень TCP/IP", а вполне конкретный
>уровень паранойи или столь же конкретный "злой умысел".
умысел не злой. нужно блокировать пересылку файлов через icq для некоторых юзеров(потребовало начальсво)
при передаче файлов аськой в пакете содержится строка "_FT",
c помощью iptables эту проблему просто решить. у меня же FreeBSD с ipfw

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от Pahanivo (ok) on 18-Июн-09, 07:37

>[оверквотинг удален]
>>свою очередь может управлять firewall-ом.
>>
>>Для анализа информации в пакетах нужен не "уровень TCP/IP", а вполне конкретный
>>уровень паранойи или столь же конкретный "злой умысел".
>
>умысел не злой. нужно блокировать пересылку файлов через icq для некоторых юзеров(потребовало
>начальсво)
>при передаче файлов аськой в пакете содержится строка "_FT",
>c помощью iptables эту проблему просто решить. у меня же FreeBSD с
>ipfw
очередной юный чайнег который взялся за то чего не понимает
а если другая софтина начнет отправлять пакеты с данным контентом? и что там прямо во всех пакетах одинаковый тег? )
ты видимо даже не понимаешь сколько времени потребуется фаеру на разбор каждого пакета в данном случае да и про уровни ISO/OSI никогда не слышал
для разбора прикладных протоколов надо использовать соответствующий прокси а не страдать извращенным ананизмом

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от savio (??) on 18-Июн-09, 10:03

>[оверквотинг удален]
>>
>>умысел не злой. нужно блокировать пересылку файлов через icq для некоторых юзеров(потребовало
>>начальсво)
>>при передаче файлов аськой в пакете содержится строка "_FT",
>>c помощью iptables эту проблему просто решить. у меня же FreeBSD с
>>ipfw
>
>очередной юный чайнег который взялся за то чего не понимает
>а если другая софтина начнет отправлять пакеты с данным контентом? и что
>там прямо во всех пакетах одинаковый тег? )
ты бы читал мои посты повнимательней, тогда не задавал глупых бы ыопросов.
много софта шлет строку "_FT" по порту 5190? думаю что только аська :)
>ты видимо даже не понимаешь сколько времени потребуется фаеру на разбор каждого
>пакета в данном случае да и про уровни ISO/OSI никогда не
>слышал
>для разбора прикладных протоколов надо использовать соответствующий прокси а не страдать извращенным
>ананизмом
ну да, ты же не слыхал наверное что такое iptables? да? представляеш, он может на ходу разбирать пакет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от Pahanivo (ok) on 18-Июн-09, 11:49

>[оверквотинг удален]
>>>ipfw
>>
>>очередной юный чайнег который взялся за то чего не понимает
>>а если другая софтина начнет отправлять пакеты с данным контентом? и что
>>там прямо во всех пакетах одинаковый тег? )
>
>ты бы читал мои посты повнимательней, тогда не задавал глупых бы ыопросов.
>
>много софта шлет строку "_FT" по порту 5190? думаю что только аська
>:)
угумс - а с каких пор передачу файлов в асе стала идти по порту 5190 ?
>>ты видимо даже не понимаешь сколько времени потребуется фаеру на разбор каждого
>>пакета в данном случае да и про уровни ISO/OSI никогда не
>>слышал
>>для разбора прикладных протоколов надо использовать соответствующий прокси а не страдать извращенным
>>ананизмом
>
>ну да, ты же не слыхал наверное что такое iptables? да? представляеш,
>он может на ходу разбирать пакет.
iptables как и любой другой фаервол по определению не умеет АНАЛИЗИРОВАТЬ (разбирать) пакет по содержанию
для особо одаренных и грамотных перцев я поясню: чтобы анализировать сетевой трафик не достаточно одного пакета - пакет не есть данные (в смысле трафик) - пакет часть данных (трафика), чтобы осуществлять анализ боле-менее приемлимо надо захватить весь поток - а фаер этого делать не умеет и не должен. фаер (в твоем случае iptables) умеет только СРАВНИВАТЬ поле данных (имеется ввиду паке ip) с ШАБЛОНОМ. вполне верояно для определенных ПРИКЛАДНЫХ протоколов существуют стандартные инициирующие данные на этапе соединения - но это только для некоторых протоколов - в общем случае абсолютно ничего нельзя гарантировать. к тому же если протокол поддерживает минимальное шифрование - то вообще все усилия впустую. дополнительно получаем глюки со всеми пакетами в которых случайно оказалась данная последовательность - теорию вероятности знаешь? посчитать примерную вероятно дропнуть левый пакет? в ASCII 128 символов - возводим в 3 степень и получаем вероятность возникновение определенной последовательности и 3 символов (_FT)
итого вероятность 1/2097152 - те при случайном потоке символов и равномерном распределении (пример упрощен чисто для расчета) из каждых 2097152 бай вероятность случайного появления последовательности будет 1 ! те очень вероятно ! Пакет ip - 1400 байтоф => 2097152 / 1400 =~ 1500  => итого из 1500 пакетов практически гарантированно бутед один которые не пройдет через фаревол - хотя должен - да конечено TCP протокол повторно передаст данные )) и он опять не пройдет ибо данные теже )) гарантированно получаем подвисшее соединение.
и самое печальное во всем этом - что этот глюк практически невозможно отловить - ибо анализ очень сложен
грамотные читатель скажет что я задрал вероятности - да, я рассмотрел идеальных случай - НО, (причем оооочень большое НО) если взять шифрованное соединение в котором все символы равномерно распределены (это есть основы шифрования) то мой расчет идеально подходит ...
те фактически при поиске случайной последовательности из трех символов мы практически гарантированно имеем глюки с соединениями в которых передается более 2Мб ...
вот таквот, понимающий ты наш ))
ты наверно и не слыхал что такое теория вероятности? да? представляешь - она работает!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от savio (??) on 18-Июн-09, 12:57

>[оверквотинг удален]
>грамотные читатель скажет что я задрал вероятности - да, я рассмотрел идеальных
>случай - НО, (причем оооочень большое НО) если взять шифрованное соединение
>в котором все символы равномерно распределены (это есть основы шифрования) то
>мой расчет идеально подходит ...
>те фактически при поиске случайной последовательности из трех символов мы практически гарантированно
>имеем глюки с соединениями в которых передается более 2Мб ...
>
>вот таквот, понимающий ты наш ))
>ты наверно и не слыхал что такое теория вероятности? да? представляешь -
>она работает!
вся твоя теория вероятности не подходит, так как рассматриваем только трафик по порту 5190, так что... а по поводу шифрования то это да, согласен....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от Pahanivo (ok) on 18-Июн-09, 14:14

>[оверквотинг удален]
>>те фактически при поиске случайной последовательности из трех символов мы практически гарантированно
>>имеем глюки с соединениями в которых передается более 2Мб ...
>>
>>вот таквот, понимающий ты наш ))
>>ты наверно и не слыхал что такое теория вероятности? да? представляешь -
>>она работает!
>
>вся твоя теория вероятности не подходит, так как рассматриваем только трафик по
>порту 5190, так что... а по поводу шифрования то это да,
>согласен....
кто тебе сказал что ася шлет файлы только по этому порты?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от angra (ok) on 18-Июн-09, 13:23

>ты наверно и не слыхал что такое теория вероятности? да? представляешь - она работает!
А вот ты, Pahanivo, о ней как раз только слышал, но никогда не вникал. Не отрицая общую мысль поста категорически не согласен с математическими выкладками.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от Pahanivo (ok) on 18-Июн-09, 14:13

>>ты наверно и не слыхал что такое теория вероятности? да? представляешь - она работает!
>
>А вот ты, Pahanivo, о ней как раз только слышал, но никогда
>не вникал. Не отрицая общую мысль поста категорически не согласен с
>математическими выкладками.
абаснуй ) перетрем )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от angra (ok) on 18-Июн-09, 15:05

Лень :)
Но можно пару пунктов для затравки.
1. ascii это конечно 128, но вот данные передаются в байтах и не подчиняются ascii, как следствие 256, а не 128 комбинаций.
2. Упростим до двоичного кода и уберем термины. Поставим условие, что 0 и 1 встречаются с равной вероятностью, ужесточим это тем, что в каждой последовательной паре из двух символов один будет 0 другой 1, тем самым исключая вариант типа 111111000000. Какая вероятность 11 или 00? Что насчет таких последовательностей: 010101010101 и 01100110110?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от Pahanivo (ok) on 18-Июн-09, 17:47

>Лень :)
>Но можно пару пунктов для затравки.
>1. ascii это конечно 128, но вот данные передаются в байтах и
>не подчиняются ascii, как следствие 256, а не 128 комбинаций.
естественно байтами - но и каждый символ передается в отдельном байте - первый или последний бит просто мертвый (варианты mime запаковки я не рассматриваю)
получаем всетаки 128 комбинаций - тем более что чувак ищет именно символы - хотя они конечно могут быть и в двухбитной кодировке - вообще условие мутное изначно поэтому и расчет "на пальцах"
>2. Упростим до двоичного кода и уберем термины. Поставим условие, что 0
>и 1 встречаются с равной вероятностью, ужесточим это тем, что в
>каждой последовательной паре из двух символов один будет 0 другой 1,
>тем самым исключая вариант типа 111111000000. Какая вероятность 11 или 00?
>Что насчет таких последовательностей: 010101010101 и 01100110110?
ммм изначально условие проще - поток символов (байты) - мы ищем три байта подряд - причеме перебираем не по три, а все варианты последовательно беря последовательно каждый байт за начало последовательности )
да хер с ними с расчетами - главное то, что грабли обеспечены да еше причем какие!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от angra (ok) on 19-Июн-09, 08:02

>естественно байтами - но и каждый символ передается в отдельном байте -
>первый или последний бит просто мертвый (варианты mime запаковки я не
>рассматриваю)
>получаем всетаки 128 комбинаций - тем более что чувак ищет именно символы
>- хотя они конечно могут быть и в двухбитной кодировке -
Сдай своего драгдиллера или просто поделись травой :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от Pahanivo (ok) on 19-Июн-09, 08:42

>>естественно байтами - но и каждый символ передается в отдельном байте -
>>первый или последний бит просто мертвый (варианты mime запаковки я не
>>рассматриваю)
>>получаем всетаки 128 комбинаций - тем более что чувак ищет именно символы
>>- хотя они конечно могут быть и в двухбитной кодировке -
>
>Сдай своего драгдиллера или просто поделись травой :)
чото не так? )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от angra (ok) on 20-Июн-09, 05:58

1. Двухбитная кодировка это нечто
2. Национальные однобайтовые кодировки и псевдографика используют как раз расширенный ascii, то есть верхние 128 из 256 возможных значений байта
3. mime запаковки превращают поток произвольных символов в подмножество ascii, а не наоборот
4. Бинарный файл(а это подавляющее большинство) абсолютно не связан с ascii и использует полный байт.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от Pahanivo (??) on 21-Июн-09, 21:39

>1. Двухбитная кодировка это нечто
естно байтная ) очепятко
>2. Национальные однобайтовые кодировки и псевдографика используют как раз расширенный >ascii, то
>есть верхние 128 из 256 возможных значений байта
в протоколах для передачи управляющих последовательностей както не особо используются символы отличные от латиницы )
а для нее и 128 по самое нимагу
>3. mime запаковки превращают поток произвольных символов в подмножество ascii, а не
>наоборот
а я сказал наооброт? )
>4. Бинарный файл(а это подавляющее большинство) абсолютно не связан с ascii и
>использует полный байт.
да юох с ним - давай считать 256 а не 128 )
дело сути не меняет
128^3=2097152
256^3=16777216 - вероятно меньше в 8 раз - те не каждая серия из 1500 пакетов будет "потенциально глюкавой", а серия из 12000 )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от Pahanivo (??) on 17-Июн-09, 20:57

>[оверквотинг удален]
>>>P.S.
>>>по поводу длины пакета я разобрался. в ipfw опция iplen
>>>а есть лианалогичная опция для содержимого пакета в ipfw?
>>
>>читать умеешь?
>>если умеешь перечитай топ от начала НЕ ПРОПУСКАЯ строк
>
>перечитал. ничего нового не увидел. возможно ты имееш ввиду что до уровня
>TCP/UDP, а содержимое этого пакета по протоколу TCP/UDP чтоб  смотреть
>какой уровень нужен?
какой уровень? ты это у МЕНЯ спрашиваешь какой ТЕБЕ нужен уровень?
пространственно-тупой вопрос - адекватный ответ

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от Merlin_ua (??) on 18-Июн-09, 14:18

Если вопрос стоит только в том, чтоб заблокировать передачу файлов через ICQ то вот что нашол:
http://forum.uined.ru/archive/index.php?t-40.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от savio (??) on 18-Июн-09, 21:37

>Если вопрос стоит только в том, чтоб заблокировать передачу файлов через ICQ
>то вот что нашол:
>http://forum.uined.ru/archive/index.php?t-40.html
пока вы тут байты обсуждали, прочитал что при конекте через http-прокси файлы не передаются. проблема в том что  прозрачный прокси для icq не работает. для клиента должно быть все прозрачно. ничего чтоб не настраивал.
если ли какая-то програмулина которая может любой(не совсем любой) трафик перенаправлять через http прокси?
под виндовс есть FreeCAP. но она запускается на клиентской стороне. хочеться по аналогии тоже самое но под unix и на серверной

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от Слава (??) on 19-Июн-09, 04:33

>Если вопрос стоит только в том, чтоб заблокировать передачу файлов через ICQ
>то вот что нашол:
>http://forum.uined.ru/archive/index.php?t-40.html
Дату постов посмотрели? 2005 год
тогда это действительно легко блокировалось, а сейчас аська умеет обмениваться файлами, если не получается напрямую, исключительно через свои AOL сервера, т.е. по порту 5190
и заблокировать это можно действительно только применяя REGEXP именно к телу пакета, а не к заголовкам.
Автор прав в iptables это стандартная фича и там не надо ловить весь поток, достаточно дропнуть этот один пакетик и аська обломается передать/получить файл, так что вопрос очень даже актуален +1 так сказать
Подозреваю, что на FreeBSD это можно реализовать с помощью netgraph, но не смотрел, есть ли у него подобный модуль, доберусь до сервера, гляну.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от savio (??) on 19-Июн-09, 10:17

>[оверквотинг удален]
>не получается напрямую, исключительно через свои AOL сервера, т.е. по порту
>5190
>и заблокировать это можно действительно только применяя REGEXP именно к телу пакета,
>а не к заголовкам.
>Автор прав в iptables это стандартная фича и там не надо ловить
>весь поток, достаточно дропнуть этот один пакетик и аська обломается передать/получить
>файл, так что вопрос очень даже актуален +1 так сказать
>Подозреваю, что на FreeBSD это можно реализовать с помощью netgraph, но не
>смотрел, есть ли у него подобный модуль, доберусь до сервера, гляну.
>
очень интересно, посмотрите плиз, а то я пока с netgraph строго на "Вы"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Филтьрация пакетов в FreeBSD" +/–

Сообщение от shutdown now on 02-Июл-09, 01:51

>[оверквотинг удален]
>>а не к заголовкам.
>>Автор прав в iptables это стандартная фича и там не надо ловить
>>весь поток, достаточно дропнуть этот один пакетик и аська обломается передать/получить
>>файл, так что вопрос очень даже актуален +1 так сказать
>>Подозреваю, что на FreeBSD это можно реализовать с помощью netgraph, но не
>>смотрел, есть ли у него подобный модуль, доберусь до сервера, гляну.
>>
>
>очень интересно, посмотрите плиз, а то я пока с netgraph строго на
>"Вы"
http://nuclight.livejournal.com/122098.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Филтьрация пакетов в FreeBSD"		+/–
Сообщение от Pahanivo (ok) on 17-Июн-09, 14:18
>Можно ли в FreeBSD фильтровать пакеты по: >- содержимому пакета до TCP/UDP уровня >- размеру пакета а зачем? >?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от savio (??) on 17-Июн-09, 15:58
	>до TCP/UDP уровня каким образом? поделитесь пожалуйста
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от Pahanivo (ok) on 17-Июн-09, 17:15
	>>до TCP/UDP уровня > >каким образом? поделитесь пожалуйста ipfw allow/deny tcp/udp from src_ip [src_port] to dst_ip [dst_port] [setup] [via ...]
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от savio (??) on 17-Июн-09, 18:10
	>>>до TCP/UDP уровня >> >>каким образом? поделитесь пожалуйста > >ipfw allow/deny tcp/udp from src_ip [src_port] to dst_ip [dst_port] [setup] [via ...] > и где здесь фильтрация по содержимому пакета или его длине? P.S. по поводу длины пакета я разобрался. в ipfw опция iplen а есть лианалогичная опция для содержимого пакета в ipfw?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от Pahanivo (ok) on 17-Июн-09, 18:24
	>[оверквотинг удален] >>>каким образом? поделитесь пожалуйста >> >>ipfw allow/deny tcp/udp from src_ip [src_port] to dst_ip [dst_port] [setup] [via ...] >> > >и где здесь фильтрация по содержимому пакета или его длине? > >P.S. >по поводу длины пакета я разобрался. в ipfw опция iplen >а есть лианалогичная опция для содержимого пакета в ipfw? читать умеешь? если умеешь перечитай топ от начала НЕ ПРОПУСКАЯ строк
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от savio (??) on 17-Июн-09, 18:30
	>[оверквотинг удален] >>> >> >>и где здесь фильтрация по содержимому пакета или его длине? >> >>P.S. >>по поводу длины пакета я разобрался. в ipfw опция iplen >>а есть лианалогичная опция для содержимого пакета в ipfw? > >читать умеешь? >если умеешь перечитай топ от начала НЕ ПРОПУСКАЯ строк перечитал. ничего нового не увидел. возможно ты имееш ввиду что до уровня TCP/UDP, а содержимое этого пакета по протоколу TCP/UDP чтоб смотреть какой уровень нужен?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от Deac (ok) on 17-Июн-09, 19:28
	>>[оверквотинг удален] > >перечитал. ничего нового не увидел. возможно ты имееш ввиду что до уровня >TCP/UDP, а содержимое этого пакета по протоколу TCP/UDP чтоб смотреть >какой уровень нужен? Если под "содержимым" подразумеваются флаги в TCP, то может. Если под "содержимым" подразумевается непосредственно информация, передаваемая в пакетах, то нужен НЕ firewall, а анализатор трафика по нужным именно тебе критериям, который в свою очередь может управлять firewall-ом. Для анализа информации в пакетах нужен не "уровень TCP/IP", а вполне конкретный уровень паранойи или столь же конкретный "злой умысел".
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от savio (??) on 17-Июн-09, 23:00
	>[оверквотинг удален] >>TCP/UDP, а содержимое этого пакета по протоколу TCP/UDP чтоб смотреть >>какой уровень нужен? > >Если под "содержимым" подразумеваются флаги в TCP, то может. >Если под "содержимым" подразумевается непосредственно информация, передаваемая в пакетах, то нужен НЕ >firewall, а анализатор трафика по нужным именно тебе критериям, который в >свою очередь может управлять firewall-ом. > >Для анализа информации в пакетах нужен не "уровень TCP/IP", а вполне конкретный >уровень паранойи или столь же конкретный "злой умысел". умысел не злой. нужно блокировать пересылку файлов через icq для некоторых юзеров(потребовало начальсво) при передаче файлов аськой в пакете содержится строка "_FT", c помощью iptables эту проблему просто решить. у меня же FreeBSD с ipfw
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от Pahanivo (ok) on 18-Июн-09, 07:37
	>[оверквотинг удален] >>свою очередь может управлять firewall-ом. >> >>Для анализа информации в пакетах нужен не "уровень TCP/IP", а вполне конкретный >>уровень паранойи или столь же конкретный "злой умысел". > >умысел не злой. нужно блокировать пересылку файлов через icq для некоторых юзеров(потребовало >начальсво) >при передаче файлов аськой в пакете содержится строка "_FT", >c помощью iptables эту проблему просто решить. у меня же FreeBSD с >ipfw очередной юный чайнег который взялся за то чего не понимает а если другая софтина начнет отправлять пакеты с данным контентом? и что там прямо во всех пакетах одинаковый тег? ) ты видимо даже не понимаешь сколько времени потребуется фаеру на разбор каждого пакета в данном случае да и про уровни ISO/OSI никогда не слышал для разбора прикладных протоколов надо использовать соответствующий прокси а не страдать извращенным ананизмом
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от savio (??) on 18-Июн-09, 10:03
	>[оверквотинг удален] >> >>умысел не злой. нужно блокировать пересылку файлов через icq для некоторых юзеров(потребовало >>начальсво) >>при передаче файлов аськой в пакете содержится строка "_FT", >>c помощью iptables эту проблему просто решить. у меня же FreeBSD с >>ipfw > >очередной юный чайнег который взялся за то чего не понимает >а если другая софтина начнет отправлять пакеты с данным контентом? и что >там прямо во всех пакетах одинаковый тег? ) ты бы читал мои посты повнимательней, тогда не задавал глупых бы ыопросов. много софта шлет строку "_FT" по порту 5190? думаю что только аська :) >ты видимо даже не понимаешь сколько времени потребуется фаеру на разбор каждого >пакета в данном случае да и про уровни ISO/OSI никогда не >слышал >для разбора прикладных протоколов надо использовать соответствующий прокси а не страдать извращенным >ананизмом ну да, ты же не слыхал наверное что такое iptables? да? представляеш, он может на ходу разбирать пакет.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от Pahanivo (ok) on 18-Июн-09, 11:49
	>[оверквотинг удален] >>>ipfw >> >>очередной юный чайнег который взялся за то чего не понимает >>а если другая софтина начнет отправлять пакеты с данным контентом? и что >>там прямо во всех пакетах одинаковый тег? ) > >ты бы читал мои посты повнимательней, тогда не задавал глупых бы ыопросов. > >много софта шлет строку "_FT" по порту 5190? думаю что только аська >:) угумс - а с каких пор передачу файлов в асе стала идти по порту 5190 ? >>ты видимо даже не понимаешь сколько времени потребуется фаеру на разбор каждого >>пакета в данном случае да и про уровни ISO/OSI никогда не >>слышал >>для разбора прикладных протоколов надо использовать соответствующий прокси а не страдать извращенным >>ананизмом > >ну да, ты же не слыхал наверное что такое iptables? да? представляеш, >он может на ходу разбирать пакет. iptables как и любой другой фаервол по определению не умеет АНАЛИЗИРОВАТЬ (разбирать) пакет по содержанию для особо одаренных и грамотных перцев я поясню: чтобы анализировать сетевой трафик не достаточно одного пакета - пакет не есть данные (в смысле трафик) - пакет часть данных (трафика), чтобы осуществлять анализ боле-менее приемлимо надо захватить весь поток - а фаер этого делать не умеет и не должен. фаер (в твоем случае iptables) умеет только СРАВНИВАТЬ поле данных (имеется ввиду паке ip) с ШАБЛОНОМ. вполне верояно для определенных ПРИКЛАДНЫХ протоколов существуют стандартные инициирующие данные на этапе соединения - но это только для некоторых протоколов - в общем случае абсолютно ничего нельзя гарантировать. к тому же если протокол поддерживает минимальное шифрование - то вообще все усилия впустую. дополнительно получаем глюки со всеми пакетами в которых случайно оказалась данная последовательность - теорию вероятности знаешь? посчитать примерную вероятно дропнуть левый пакет? в ASCII 128 символов - возводим в 3 степень и получаем вероятность возникновение определенной последовательности и 3 символов (_FT) итого вероятность 1/2097152 - те при случайном потоке символов и равномерном распределении (пример упрощен чисто для расчета) из каждых 2097152 бай вероятность случайного появления последовательности будет 1 ! те очень вероятно ! Пакет ip - 1400 байтоф => 2097152 / 1400 =~ 1500 => итого из 1500 пакетов практически гарантированно бутед один которые не пройдет через фаревол - хотя должен - да конечено TCP протокол повторно передаст данные )) и он опять не пройдет ибо данные теже )) гарантированно получаем подвисшее соединение. и самое печальное во всем этом - что этот глюк практически невозможно отловить - ибо анализ очень сложен грамотные читатель скажет что я задрал вероятности - да, я рассмотрел идеальных случай - НО, (причем оооочень большое НО) если взять шифрованное соединение в котором все символы равномерно распределены (это есть основы шифрования) то мой расчет идеально подходит ... те фактически при поиске случайной последовательности из трех символов мы практически гарантированно имеем глюки с соединениями в которых передается более 2Мб ... вот таквот, понимающий ты наш )) ты наверно и не слыхал что такое теория вероятности? да? представляешь - она работает!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от savio (??) on 18-Июн-09, 12:57
	>[оверквотинг удален] >грамотные читатель скажет что я задрал вероятности - да, я рассмотрел идеальных >случай - НО, (причем оооочень большое НО) если взять шифрованное соединение >в котором все символы равномерно распределены (это есть основы шифрования) то >мой расчет идеально подходит ... >те фактически при поиске случайной последовательности из трех символов мы практически гарантированно >имеем глюки с соединениями в которых передается более 2Мб ... > >вот таквот, понимающий ты наш )) >ты наверно и не слыхал что такое теория вероятности? да? представляешь - >она работает! вся твоя теория вероятности не подходит, так как рассматриваем только трафик по порту 5190, так что... а по поводу шифрования то это да, согласен....
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от Pahanivo (ok) on 18-Июн-09, 14:14
	>[оверквотинг удален] >>те фактически при поиске случайной последовательности из трех символов мы практически гарантированно >>имеем глюки с соединениями в которых передается более 2Мб ... >> >>вот таквот, понимающий ты наш )) >>ты наверно и не слыхал что такое теория вероятности? да? представляешь - >>она работает! > >вся твоя теория вероятности не подходит, так как рассматриваем только трафик по >порту 5190, так что... а по поводу шифрования то это да, >согласен.... кто тебе сказал что ася шлет файлы только по этому порты?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от angra (ok) on 18-Июн-09, 13:23
	>ты наверно и не слыхал что такое теория вероятности? да? представляешь - она работает! А вот ты, Pahanivo, о ней как раз только слышал, но никогда не вникал. Не отрицая общую мысль поста категорически не согласен с математическими выкладками.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от Pahanivo (ok) on 18-Июн-09, 14:13
	>>ты наверно и не слыхал что такое теория вероятности? да? представляешь - она работает! > >А вот ты, Pahanivo, о ней как раз только слышал, но никогда >не вникал. Не отрицая общую мысль поста категорически не согласен с >математическими выкладками. абаснуй ) перетрем )
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от angra (ok) on 18-Июн-09, 15:05
	Лень :) Но можно пару пунктов для затравки. 1. ascii это конечно 128, но вот данные передаются в байтах и не подчиняются ascii, как следствие 256, а не 128 комбинаций. 2. Упростим до двоичного кода и уберем термины. Поставим условие, что 0 и 1 встречаются с равной вероятностью, ужесточим это тем, что в каждой последовательной паре из двух символов один будет 0 другой 1, тем самым исключая вариант типа 111111000000. Какая вероятность 11 или 00? Что насчет таких последовательностей: 010101010101 и 01100110110?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от Pahanivo (ok) on 18-Июн-09, 17:47
	>Лень :) >Но можно пару пунктов для затравки. >1. ascii это конечно 128, но вот данные передаются в байтах и >не подчиняются ascii, как следствие 256, а не 128 комбинаций. естественно байтами - но и каждый символ передается в отдельном байте - первый или последний бит просто мертвый (варианты mime запаковки я не рассматриваю) получаем всетаки 128 комбинаций - тем более что чувак ищет именно символы - хотя они конечно могут быть и в двухбитной кодировке - вообще условие мутное изначно поэтому и расчет "на пальцах" >2. Упростим до двоичного кода и уберем термины. Поставим условие, что 0 >и 1 встречаются с равной вероятностью, ужесточим это тем, что в >каждой последовательной паре из двух символов один будет 0 другой 1, >тем самым исключая вариант типа 111111000000. Какая вероятность 11 или 00? >Что насчет таких последовательностей: 010101010101 и 01100110110? ммм изначально условие проще - поток символов (байты) - мы ищем три байта подряд - причеме перебираем не по три, а все варианты последовательно беря последовательно каждый байт за начало последовательности ) да хер с ними с расчетами - главное то, что грабли обеспечены да еше причем какие!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от angra (ok) on 19-Июн-09, 08:02
	>естественно байтами - но и каждый символ передается в отдельном байте - >первый или последний бит просто мертвый (варианты mime запаковки я не >рассматриваю) >получаем всетаки 128 комбинаций - тем более что чувак ищет именно символы >- хотя они конечно могут быть и в двухбитной кодировке - Сдай своего драгдиллера или просто поделись травой :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от Pahanivo (ok) on 19-Июн-09, 08:42
	>>естественно байтами - но и каждый символ передается в отдельном байте - >>первый или последний бит просто мертвый (варианты mime запаковки я не >>рассматриваю) >>получаем всетаки 128 комбинаций - тем более что чувак ищет именно символы >>- хотя они конечно могут быть и в двухбитной кодировке - > >Сдай своего драгдиллера или просто поделись травой :) чото не так? )
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от angra (ok) on 20-Июн-09, 05:58
	1. Двухбитная кодировка это нечто 2. Национальные однобайтовые кодировки и псевдографика используют как раз расширенный ascii, то есть верхние 128 из 256 возможных значений байта 3. mime запаковки превращают поток произвольных символов в подмножество ascii, а не наоборот 4. Бинарный файл(а это подавляющее большинство) абсолютно не связан с ascii и использует полный байт.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от Pahanivo (??) on 21-Июн-09, 21:39
	>1. Двухбитная кодировка это нечто естно байтная ) очепятко >2. Национальные однобайтовые кодировки и псевдографика используют как раз расширенный >ascii, то >есть верхние 128 из 256 возможных значений байта в протоколах для передачи управляющих последовательностей както не особо используются символы отличные от латиницы ) а для нее и 128 по самое нимагу >3. mime запаковки превращают поток произвольных символов в подмножество ascii, а не >наоборот а я сказал наооброт? ) >4. Бинарный файл(а это подавляющее большинство) абсолютно не связан с ascii и >использует полный байт. да юох с ним - давай считать 256 а не 128 ) дело сути не меняет 128^3=2097152 256^3=16777216 - вероятно меньше в 8 раз - те не каждая серия из 1500 пакетов будет "потенциально глюкавой", а серия из 12000 )
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от Pahanivo (??) on 17-Июн-09, 20:57
	>[оверквотинг удален] >>>P.S. >>>по поводу длины пакета я разобрался. в ipfw опция iplen >>>а есть лианалогичная опция для содержимого пакета в ipfw? >> >>читать умеешь? >>если умеешь перечитай топ от начала НЕ ПРОПУСКАЯ строк > >перечитал. ничего нового не увидел. возможно ты имееш ввиду что до уровня >TCP/UDP, а содержимое этого пакета по протоколу TCP/UDP чтоб смотреть >какой уровень нужен? какой уровень? ты это у МЕНЯ спрашиваешь какой ТЕБЕ нужен уровень? пространственно-тупой вопрос - адекватный ответ
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от Merlin_ua (??) on 18-Июн-09, 14:18
	Если вопрос стоит только в том, чтоб заблокировать передачу файлов через ICQ то вот что нашол: http://forum.uined.ru/archive/index.php?t-40.html
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от savio (??) on 18-Июн-09, 21:37
	>Если вопрос стоит только в том, чтоб заблокировать передачу файлов через ICQ >то вот что нашол: >http://forum.uined.ru/archive/index.php?t-40.html пока вы тут байты обсуждали, прочитал что при конекте через http-прокси файлы не передаются. проблема в том что прозрачный прокси для icq не работает. для клиента должно быть все прозрачно. ничего чтоб не настраивал. если ли какая-то програмулина которая может любой(не совсем любой) трафик перенаправлять через http прокси? под виндовс есть FreeCAP. но она запускается на клиентской стороне. хочеться по аналогии тоже самое но под unix и на серверной
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от Слава (??) on 19-Июн-09, 04:33
	>Если вопрос стоит только в том, чтоб заблокировать передачу файлов через ICQ >то вот что нашол: >http://forum.uined.ru/archive/index.php?t-40.html Дату постов посмотрели? 2005 год тогда это действительно легко блокировалось, а сейчас аська умеет обмениваться файлами, если не получается напрямую, исключительно через свои AOL сервера, т.е. по порту 5190 и заблокировать это можно действительно только применяя REGEXP именно к телу пакета, а не к заголовкам. Автор прав в iptables это стандартная фича и там не надо ловить весь поток, достаточно дропнуть этот один пакетик и аська обломается передать/получить файл, так что вопрос очень даже актуален +1 так сказать Подозреваю, что на FreeBSD это можно реализовать с помощью netgraph, но не смотрел, есть ли у него подобный модуль, доберусь до сервера, гляну.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от savio (??) on 19-Июн-09, 10:17
	>[оверквотинг удален] >не получается напрямую, исключительно через свои AOL сервера, т.е. по порту >5190 >и заблокировать это можно действительно только применяя REGEXP именно к телу пакета, >а не к заголовкам. >Автор прав в iptables это стандартная фича и там не надо ловить >весь поток, достаточно дропнуть этот один пакетик и аська обломается передать/получить >файл, так что вопрос очень даже актуален +1 так сказать >Подозреваю, что на FreeBSD это можно реализовать с помощью netgraph, но не >смотрел, есть ли у него подобный модуль, доберусь до сервера, гляну. > очень интересно, посмотрите плиз, а то я пока с netgraph строго на "Вы"
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Филтьрация пакетов в FreeBSD"		+/–
	Сообщение от shutdown now on 02-Июл-09, 01:51
	>[оверквотинг удален] >>а не к заголовкам. >>Автор прав в iptables это стандартная фича и там не надо ловить >>весь поток, достаточно дропнуть этот один пакетик и аська обломается передать/получить >>файл, так что вопрос очень даже актуален +1 так сказать >>Подозреваю, что на FreeBSD это можно реализовать с помощью netgraph, но не >>смотрел, есть ли у него подобный модуль, доберусь до сервера, гляну. >> > >очень интересно, посмотрите плиз, а то я пока с netgraph строго на >"Вы" http://nuclight.livejournal.com/122098.html
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору