The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В OpenBSD добавлена возможность синхронной работы PF на нескольких серверах

22.06.2009 10:30

Дэвид Гвинн (David Gwynne) сообщил об успешном запуске в промышленной эксплуатации и интеграции в дерево исходных текстов OpenBSD-Current кода pfsync c реализацией "active-active stateful" режима работы пакетного фильтра pf, позволяющего синхронизировать таблицы трекинга состояния соединений для нескольких пакетных фильтров, что, в сочетании с механизмом CARP, может применяться для создания отказоустойчивых и распараллеленных на несколько машин межсетевых экранов.

  1. Главная ссылка к новости (http://undeadly.org/cgi?action...)
  2. OpenNews: Создание отказоустойчивого брандмауэра на OpenBSD с использованием CARP и pfsync
  3. OpenNews: Дизайн новой версии протокола pfsync
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: openbsd, pf, cluster, carp, balance, firewall
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (54) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, daemontux (?), 12:34, 22/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    OpenBSD Движется к ентерпрайзу))


     
  • 1.5, Анонимиоуос (?), 13:37, 22/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что значит OpenBSD? pf движется, он не только в OpenBSD
     
     
  • 2.6, mma (?), 13:46, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    двигает PF впервую очередь команда openbsd, в той же фряхе pf далеко не первой свежести, можете загадывать когда возможность синхронной работы будет во фряхе.
     
  • 2.16, GR (??), 18:06, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Весь девелопмент в pf сосредоточен в OpenBSD. На фряху идёт порт уже релизнутого и без добавления фич. pfsync думаю в 8-ку засунут, вещь то крутейшая.
     
     
  • 3.62, Денис Юсупов (?), 16:01, 09/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Чего стоим, кого ждём?

    ---
    HISTORY
         The pfsync device first appeared in OpenBSD 3.3.  The pfsync device was
         imported to FreeBSD 5.3.

    FreeBSD 7.2                      June 6, 2006                      FreeBSD 7.2
    ---

     

  • 1.7, аноним (?), 14:03, 22/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    по-моему оно и раньше там было, но только вроде active passive
    iptables вроде тоже мог active passive
     
     
  • 2.21, dry (?), 19:55, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем оно надо то?
    Нет, с идеологической точки зрения для HA вещь очень полезная, но, вот подумайте, как оно с практической стороны.
    Что есть "фаервол"? (не люблю это слово, ну да ладно).
    Сие есть машина с железом не очень производительного класса, единственое требование предъявляемое к оному фильтровать или иным образом оперировать с сетевым трафиком, проходящим через него.
    Т.е. если речь идет не о каких то load балансерах или свичах выше L3, то для выполнения этих функций даже на GigE сети достаточно железяки (о x86 речь) уровня 500Мгц, от 128Мб оперативы и это даже шикарно, на практике я думаю можно еще умерить аппетиты.

    Теперь о собственно HA и репликации состояния pf.
    Где вы реально это собрались использовать? вернее даже сказать на каком железе.
    Лично я не знаю где можно найти стоечные машины такого уровня.
    А использовать для этих задач полноценное железо - да бог с вами, кошки дешевле встанут раза в два.
    Вот и получается, что формально оно есть, а практически нет подходящего железа, где бы это можно было реально применять. Ну разве что на тестовом стенде поиграться.

    Единственная надежда, что какая-нибудь китайская конторка начнет производство железа под это дело, но цена конечного продукта будет опять же под вопросом и скорее всего сопоставима с теми же кошаками.

     
     
  • 3.22, iZEN (ok), 20:13, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Зачем оно надо то?

    ...
    >Лично я не знаю где можно найти стоечные машины такого уровня.
    >А использовать для этих задач полноценное железо - да бог с вами,
    >кошки дешевле встанут раза в два.

    Кошки? За такую цену, что стоит нормальный шлюз с PF уровня L3-L4, можно приобрести лишь кошку-свитч L2 с V-LAN'ами.

     
     
  • 4.24, dry (?), 20:17, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Зачем оно надо то?
    >
    >...
    >>Лично я не знаю где можно найти стоечные машины такого уровня.
    >>А использовать для этих задач полноценное железо - да бог с вами,
    >>кошки дешевле встанут раза в два.
    >
    >Кошки? За такую цену, что стоит нормальный шлюз с PF уровня L3-L4,
    >можно приобрести лишь кошку-свитч L2 с V-LAN'ами.

    Например? (ссылки на железки которые используете)

     
     
  • 5.25, iZEN (ok), 20:27, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Например? (ссылки на железки которые используете)

    Ищите сами 4-8 портовые гигабитные роутеры.


     
     
  • 6.26, dry (?), 20:59, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Например? (ссылки на железки которые используете)
    >
    >Ищите сами 4-8 портовые гигабитные роутеры.

    Зачем так сразу в кусты то... Вдруг и правда есть.

     
  • 3.28, Mikhail (??), 22:37, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    используем Cisco ASA 5580 в кластерном режиме(как раз load balancing), но можно и более младшие модели так использовать
     
     
  • 4.32, Аноним (-), 00:20, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Asa и pix это вроде и есть на основе линукса, у них и команды немного другие, а у младших asa 5505 роцессор geod от amd

    epic win короче ;)

     
     
  • 5.34, Mikhail (??), 00:28, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Asa и pix это вроде и есть на основе линукса, у них
    >и команды немного другие, а у младших asa 5505 роцессор geod
    >от amd
    >
    >epic win короче ;)

    "вроде и есть на основе линукса" - нет, дополнительные модули - да
    на asa 5505, если не ошибаюсь, celeron

    но смысл поста был о реально используемых "балансировщиках" файеволов

     
  • 3.42, nikos (??), 10:07, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Э.  Как это на таком железе  обработать Гигабит (Вы  упретесь в PCI значительно раньше). Спор  "кошка против NIX" давний, сколько ни пробовал по деньгам  таки очень похожие решения,  плюсы и минусы - не для здесь спорить.
     
     
  • 4.43, аноним (?), 10:42, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >(Вы  упретесь в PCI значительно раньше)

    сходи уж в википедию почитай про скорость pci шины, особенно обрати внимание на pci express и на то, что можно два скажем контроллера pci поставить от северного моста

     
     
  • 5.48, nikos (??), 15:39, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если Вы  найдете  Piii500 c экспересом - то  используйте.
    Шина  PCI - классическая - на любом мосту  упрется ранее 700Mbit  нагрузки в одну сторону.
    Вику читать по таким  вопросам - как-то не привык.
    Успехов в хамстве.
     
  • 3.60, Аноним (-), 22:20, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
        это нужно в первую очередь для IPv6 firewalling

     
  • 3.63, Денис Юсупов (?), 16:03, 09/09/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Теперь о собственно HA и репликации состояния pf.
    >Где вы реально это собрались использовать? вернее даже сказать на каком железе.
    >
    >Лично я не знаю где можно найти стоечные машины такого уровня.
    >А использовать для этих задач полноценное железо - да бог с вами,
    >кошки дешевле встанут раза в два.
    >Вот и получается, что формально оно есть, а практически нет подходящего железа,
    >где бы это можно было реально применять. Ну разве что на
    >тестовом стенде поиграться.

    Не понял, в чём у вас проблема-то? Файервол на краю сети, выпускающий клиентов в интернет - классическое приложение, без всяких проблем с "нет подходящего железа".

     
  • 2.45, piavlo (?), 10:58, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    В linux есть conntrack-tools с active-active mode
    http://conntrack-tools.netfilter.org/manual.html#sync-aa
     

  • 1.8, rm (??), 14:47, 22/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    блин хочу pf под линух ...жалко давно хочу:)
     
     
  • 2.9, sHaggY_caT (ok), 15:07, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >блин хочу pf под линух ...жалко давно хочу:)

    Все хотят. В других BSD оно есть из-за Netgraph. Вот будет нетграф, будет и пф, и нормальный поптоп, и много других фишек.
    Но нетграфа в Линуксе и на горизонте не видно:(

     
     
  • 3.10, Andrew Kolchoogin (?), 15:31, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > В других BSD оно есть из-за Netgraph.

        Save me Trouble!!!

        Netgraph -- это FreeBSD-specific. PF никаким образом на Netgraph не завязан.

     
  • 3.13, tau (?), 16:09, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вот раньше говорили: "будет Netgraph -- будет счастье". Netgraph есть, а счастья нет... (Ильф и Петров так говорили про радио).

    Netgraph не панацея от всех проблем и реально необходим только для нестандартных ситуаций, вроде объединения разнородных сетей, где нужны разнообразные инкапсуляции. Для этого он и был задуман. Но современные FreeBSDшники на нем рехнулись: сделали GEOM по аналогии, зачем-то понатащили в ядро подсистемы с перекрывающейся функциональностью: три файрвола, три NAT, несколько реализаций QoS, и пытаются компенсировать их недостатки за счет объединения с помощью Netgraph, вместо того, чтобы довести до ума какую-то одну из них. Вот OpenBSD team пилит один pf и правильно делает. Keep it simple, stupid.

     
     
  • 4.14, Осторожный (ok), 16:25, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я фигею ...

    netgraph - это opensource-разработка, которую вел какой-то университет несколько лет в исследовательских целях.
    Реализация была сделана для FreeBSD.
    Что предлагается ее теперь викинуть чтобы не было ни одной реализации вообще ?

    >Сделали GEOM по аналогии.

    Допустим сделали по аналогии. И что теперь ?
    Я могу сказать, что LVM2 тоже сделали по аналогии с GEOM. Давайте выкинем LVM2 !!!

    >Зачем-то понатащили в ядро три firewall.

    Во-первых ipfw - родной firewall,
    во-вторых ipfilter - не родной firewall,
    в-третьих pf - firewall из OpenBSD.
    Чем тебе лично мешает наличие трех firewall в системе ?
    Не нравится - не пользуйся.
    Ты предлагаешь викинуть два и оставить только один ?
    Те кто пользовался ipfw - продолжают им пользоваться.
    ipfilter (ipf) вообще делает отдельный человек, не связанный с FreeBSD.
    Например кто-то использует pf в OpenBSD. Он без проблем перейдет на использование pf в FreeBSD. Или ему предлагается изучать ipfw или ipf потому что тебе так хочется ?

    Сам не будь stupid.
    И без веской причины не указывай другим что им делать.

     
     
  • 5.15, tau (?), 17:46, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > netgraph - это opensource-разработка, которую вел какой-то университет несколько лет в исследовательских целях.

    У меня другая информация на это счет: http://citrin.ru/netgraph/

    > Допустим сделали по аналогии. И что теперь ?

    Я могу сказать, что LVM2 тоже сделали по аналогии с GEOM. Давайте выкинем LVM2 !!!

    Прочитайте еще раз, что такое GEOM, и что такое LVM2, хорошо? Я не говорю, что надо что-то выкидывать, речь о том, что не надо создавать overhead ради какой-то общности решения, которая никому на практике не нужна. Пользователи и админы Linux и OpenBSD прекрасно обходятся и без Netgraph.

    > Чем тебе лично мешает наличие трех firewall в системе ?

    Тем, что один файрвол (ipfw) делает одно, другой (pf) -- другое. При этом их функции в значительной степени пересекаются, что противоречит Unix way, когда каждый инструмент делает что-то свое. В результате, на некоторых конфигурациях приходится юзать оба. С dummynet и ALTQ -- та же история. Итого: чем больше подсистем с разными интерфейсами, тем сложнее админить. Вот люди из Netfilter team увидели, что у них функционал размазан по сотне с чем-то модулей, схватились за голову и стали переделывать. FreeBSD по мере накопления нод для Netgraph предстоит то же самое.

     
     
  • 6.19, iZEN (ok), 19:23, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Есть ещё TCP Wrappers. Так что же, и этот слой выкинуть? :))

    Насчёт того, что функционал у них пересекается, так чедь никто не заставляет пользоваться всеми тремя одновременно!
    Выучи один из них и спокойно пользуйся только одним. Чудак-человек, это ж не Linux, где "одни костыли служат подпорками другим, а по-одному не работают".

     
     
  • 7.31, vitek (??), 00:07, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    пипец. у iZEN с linux видимо личные счёты. я бы даже сказал - интимные.
    выкинте линуксуляторы для начала, спецы блин.
     
     
  • 8.39, iZEN (ok), 09:13, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Прекратите делать блобы под линух, блин ... текст свёрнут, показать
     
     
  • 9.41, vitek (??), 09:49, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    точно ... текст свёрнут, показать
     
  • 9.46, AdVv (ok), 11:42, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Да да Wine еще не забудьте удалить ... текст свёрнут, показать
     
     
  • 10.56, oops (?), 07:37, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вы уже избавились от OpenSSH ... текст свёрнут, показать
     
     
  • 11.58, vitek (??), 16:04, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    а Вы его всё ещё gcc компилите -D... текст свёрнут, показать
     
  • 6.30, xxx (??), 23:24, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Тем, что один файрвол (ipfw) делает одно, другой (pf) -- другое. При этом их функции в значительной степени пересекаются, что противоречит Unix way, когда каждый инструмент делает что-то свое.

    С твоими рассуждениями можно прийти к тому, что Windows - это unix way, а что одна большая ОС, которая делает свое грязное дело =) Файрвол, типа pf - это комплексное решение которое "юнихвеем" и не пахнет. А netgraph это подсистема с помощью которой можно сделать файрвол, но не только, и бредить по поводу его ненужности бессмысленно. Netgraph -это как pipe в unix, благодаря чему и возможен unix way, и вот как раз ipfw реализованный поверх netgraph будет в полной мере соответсвовать unix way.

    > Я не говорю, что надо что-то выкидывать, речь о том, что не надо создавать overhead ради какой-то общности решения, которая никому на практике не нужна.

    Это я понимаю про GEOM? Тебе на практике не нужны raid различного уровня, поддержка рзделов их шифрование т. д.?

    > Пользователи и админы Linux и OpenBSD прекрасно обходятся и без Netgraph.

    Пользователи FreeBSD и Linux прекрасно обходятся и без pf.
    Пользователи FreeBSD и Linux прекрасно обходятся и без OpenBSD sensor framework.
    Пользователи Solaris прекрасно обходятся без *BSD, Linux и т. д =)
    И что из этого всего следует? Да, ровным счётом ничего.

     
     
  • 7.35, tau (?), 00:57, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > С твоими рассуждениями можно прийти к тому, что Windows - это unix way, а что одна большая ОС, которая делает свое грязное дело =)

    В Windows по большей части используется объектно-ориентированный подход. И аналог модулей ядра там тоже есть. Но не бессмысленное размазывание одной функции по куче модулей.

    > Netgraph -это как pipe в unix, благодаря чему и возможен unix way, и вот как раз ipfw реализованный поверх netgraph будет в полной мере соответсвовать unix way.

    Я не против Netgraph как такового, я против того, чтобы все делать только с его помощью, распыляя элементарные операции по множеству модулей. Из-за этого простые вещи, вроде сбора Netflow средствами ядра, приходится решать довольно странными методами. Вот пример настройки Netflow во FreeBSD: http://tmp.barev.net/htmlart/unix/ngnetflow.html В OpenBSD с недавнего времени аналогичная операция делается значительно проще: поднятием и конфигурацией интерфейса pflowX.

    $ sudo ifconfig pflow0 create
    $ sudo ifconfig pflow0 flowsrc 10.0.0.200 flowdst 10.0.0.1:1234
    $ ifconfig pflow0

    pass out inet proto tcp keep state (pflow)

    Три простых команды, не считая правил для файрвола. Сравните это с тем секасом, который приходится делать во FreeBSD.

     
     
  • 8.44, Myc (??), 10:50, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Для начала посмотрите на дату ссылки С тех пор все значительно упростилось Бре... текст свёрнут, показать
     
     
  • 9.49, tau (?), 16:31, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ну тогда давайте без пустого теоретизирования Расскажите или напишите статью, к... большой текст свёрнут, показать
     
     
  • 10.55, Myc (??), 23:03, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Далеко ходить не будем http www slashtmp ru 2009 05 06 tag-ng_netflow http ... большой текст свёрнут, показать
     
  • 10.61, tester (??), 19:00, 09/07/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Сокеты в BSD являются файлами, прикинь И ты можешь работать с ними как с файл... текст свёрнут, показать
     
  • 4.18, Dan (??), 18:45, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>понатащили в ядро подсистемы с перекрывающейся функциональностью: три файрвола, три NAT

    а еще там поддержка нескольких файловых систем есть, представляете? Вот где уж точно перекрываются функции! А PF в ядре нет по-умолчанию :)

     
     
  • 5.20, iZEN (ok), 19:25, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    PF поставляется как модуль ядра FreeBSD GENERIC. Но его можно вкомпилировать в ядро.
     
  • 5.36, tau (?), 01:09, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>>понатащили в ядро подсистемы с перекрывающейся функциональностью: три файрвола, три NAT
    >
    >а еще там поддержка нескольких файловых систем есть, представляете? Вот где уж
    >точно перекрываются функции! А PF в ядре нет по-умолчанию :)

    Вообще говоря, пока что полноценно поддерживается только одна, не считая "сетевых ФС". Это не аргумент. Вы еще про два транспортных протокола забыли: TCP и UDP. Три файрвола, делающих примерно одно и то же, но с разным синтаксисом правил и разными ограничениями -- это странно. Три неполноценных реализации QoS (dummynet, ALTQ и ng_car) -- тоже.

     
     
  • 6.52, Linus Torvalds (?), 19:09, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    И чё ты так переживаешь то тау? Если оно такое плохое - зачем юзаешь? Ответ прост - да всё у них нормально и с фаерволами и с остальным. Или давай Линкс ругать что слишком много FS поддерживает вместо одной - правильной! :)

    Меня лично не напрягает когда есть выбор из нескольких хороших вещей, меня напрягают совки которые всё запрешаютЪ и  не-пущаютЪ ... :-р

     
  • 3.17, morten (?), 18:06, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    В NetBSD и OpenBSD никакого нетграфа нет... :)

    А мне pf не нужен в linux. Что в нём такого волшебного? Многие FreeBSD-шники используют до сих пор ipfw и не собираются переходить на что-то другое...

     
     
  • 4.23, iZEN (ok), 20:16, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А мне pf не нужен в linux. Что в нём такого волшебного?
    >Многие FreeBSD-шники используют до сих пор ipfw и не собираются переходить
    >на что-то другое...

    Волшебного? Да просто тысячи правил IPTABLES на PF можно переписать в сотню и держать их все в голове благодаря высокоуровневому языку описания (DSL-подобный синтаксис).

     
     
  • 5.27, Аноним (-), 21:28, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А мне pf не нужен в linux. Что в нём такого волшебного?
    >Многие FreeBSD-шники используют до сих пор ipfw и не собираются переходить
    >на что-то другое...
    >>Волшебного? Да просто тысячи правил IPTABLES на PF можно переписать в сотню и держать их >>все в голове благодаря высокоуровневому языку описания (DSL-подобный синтаксис).

    Согласен! PF намного лучше iptables

     
     
  • 6.33, vitek (??), 00:23, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    ну и что. мне вот и iptables хватает.
    Вы ещё в крестовый поход соберитесь. и лозунг - "наш брандмауэра единственно верный! смерть неверным брандмауэрам!"
    и возглавить вас есть кому. айзен - бздишное сердце.

     
  • 6.38, morten (?), 06:36, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Согласен! PF намного лучше iptables

    Нетфильтер намного мощнее. Не умеете пользоваться, сидите с PF. Рядом вон новость про то что ipfw портировали в linux. Вообще смех на палочке, а ведь найдутся желающие этим пользоваться. Ну и ладно...

     
     
  • 7.57, EVS21 (??), 13:44, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Нетфильтер намного мощнее. Не умеете пользоваться, сидите с PF. Рядом вон новость
    >про то что ipfw портировали в linux. Вообще смех на палочке,
    >а ведь найдутся желающие этим пользоваться. Ну и ладно...

    А некоторые велосипедами пользуются! :) Вот смех, ведь есть автомобили... :) А еще пешком некоторые любят ходить :) ЛОЛ :)

     
  • 5.37, morten (?), 06:32, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    "Волшебного? Да просто тысячи правил IPTABLES на PF можно переписать в сотню и держать их все в голове благодаря высокоуровневому языку описания (DSL-подобный синтаксис)."

    Это что за задача, где надо как минимум 100 правил для pf и 1000 для netfilter? :-D

     
     
  • 6.40, iZEN (ok), 09:17, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >"Волшебного? Да просто тысячи правил IPTABLES на PF можно переписать в сотню
    >и держать их все в голове благодаря высокоуровневому языку описания (DSL-подобный
    >синтаксис)."
    >
    >Это что за задача, где надо как минимум 100 правил для pf
    >и 1000 для netfilter? :-D

    Такая, например: http://www.lissyara.su/?id=1833

     
     
  • 7.50, tau (?), 16:45, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>
    >>Это что за задача, где надо как минимум 100 правил для pf
    >>и 1000 для netfilter? :-D
    >
    >Такая, например: http://www.lissyara.su/?id=1833

    Вы же не знаете, как конфигурируется QoS в Linux. О чем тогда можно с вами говорить? Очереди и полосы пропускания конфигурируются с помощью tc, трафик классифицируется там же (http://luxik.cdi.cz/~devik/qos/htb/manual/userg.htm). Таблица для брутфорсеров ssh формируется с помощью модулей ipset и hashlimit. Синтаксис правил будет сложнее, чем в pf, но их будет явно не в 10 раз больше.

     

  • 1.47, morten (?), 12:17, 23/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если вам на офис из 4-х компьютеров надо 1000 правил нетфильтра, то медицина, увы, бессильна!!! :-D
     
  • 1.59, Аноним (-), 22:19, 24/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    это нужно в первую очередь для IPv6 firewalling
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру