The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Пример настройки пакетного фильтра PF на офисном шлюзе

11.01.2009 13:16

"PF: разбираем конфиг для офисов" - пример настройки пакетного фильтра PF на офисном шлюзе

  1. Главная ссылка к новости (http://www.lissyara.su/?id=183...)
Лицензия: CC-BY
Тип: яз. русский / Практикум
Короткая ссылка: https://opennet.ru/19730-pf
Ключевые слова: pf, firewall, openbsd
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (11) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, PereresusNeVlezaetBuggy (ok), 19:03, 11/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Некогда региться на Лисяре, так что замечу лишь тут, что автор ошибается насчёт очередей для in-пакетов: они действительно бесполезны, и этот вопрос не раз обсуждался в рассылках @openbsd.org. Другое дело, что in-пакеты создают в случае приведённого конфига states, в которые попадают и пакеты входящие, и пакеты исходящие. И именно исходящие пакеты (включая ACK'и) и шейпятся, что за счёт скользящего окна обеспечивает и определённую скорость входящих пакетов.
     
  • 1.2, Добрый Дохтур (?), 19:55, 11/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Неоднократно слышал утверждение о том, что "мы не можем управлять тем трафиком, который пришел к нам. Что пришло, то пришло". Это утверждение НЕ справедливо с точки зрения очередей ALTQ.

    аффтар слышал, но так и не осознал.
    кстати, а в чём смысл статьи? в ней есть нечто, чего не может прийти в голову после man pf.conf ?

     
     
  • 2.3, PereresusNeVlezaetBuggy (ok), 23:36, 11/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Неоднократно слышал утверждение о том, что "мы не можем управлять тем трафиком, который пришел к нам. Что пришло, то пришло". Это утверждение НЕ справедливо с точки зрения очередей ALTQ.
    >
    >аффтар слышал, но так и не осознал.
    >кстати, а в чём смысл статьи? в ней есть нечто, чего не
    >может прийти в голову после man pf.conf ?

    Вообще статья очень хорошая: по-моему, это первый детально разобранный пример достаточно сложного (не в плане понимания, а в плане используемой функциональности) конфига. Если б не этот досадный ляп с altq, то всё было бы вообще шикарно.

     
     
  • 3.5, Grishin_U_S (?), 08:19, 12/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>>Неоднократно слышал утверждение о том, что "мы не можем управлять тем трафиком, который пришел к нам. Что пришло, то пришло". Это утверждение НЕ справедливо с точки зрения очередей ALTQ.
    >>
    >>аффтар слышал, но так и не осознал.
    >>кстати, а в чём смысл статьи? в ней есть нечто, чего не
    >>может прийти в голову после man pf.conf ?
    >
    >Вообще статья очень хорошая: по-моему, это первый детально разобранный пример достаточно сложного
    >(не в плане понимания, а в плане используемой функциональности) конфига. Если
    >б не этот досадный ляп с altq, то всё было бы
    >вообще шикарно.

    какой ляп-то??

     
     
  • 4.7, Zula (?), 11:32, 12/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вы написали что "Это утверждение НЕ справедливо с точки зрения очередей ALTQ."

    Если глянуть FAQ ( http://www.openbsd.org/faq/pf/queueing.html#queueing )
    --------------
    Note that queueing is only useful for packets in the outbound direction. Once a packet arrives on an interface in the inbound direction it's already too late to queue it -- it's already consumed network bandwidth to get to the interface that just received it. The only solution is to enable queueing on the adjacent router or, if the host that received the packet is acting as a router, to enable queueing on the internal interface where packets exit the router.
    --------------

    На чем основывается Ваше утверждение? Вы ограничиваете скорость на исходящем внутреннем интерфейсе роутера. Если эта очередь будет заполнена, то роутер будет отбрасывать лишние пакеты.

     
     
  • 5.10, Grishin_U_S (?), 12:09, 12/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы написали что "Это утверждение НЕ справедливо с точки зрения очередей ALTQ."
    >Если глянуть FAQ ( http://www.openbsd.org/faq/pf/queueing.html#queueing )
    > .....
    >На чем основывается Ваше утверждение? Вы ограничиваете скорость на исходящем внутреннем интерфейсе
    >роутера. Если эта очередь будет заполнена, то роутер будет отбрасывать лишние
    >пакеты.

    а если глянуть дальше, то можно увидеть :
    ---
    Note that queue designation can happen on an interface other than the one defined in the altq on directive:
    altq on fxp0 cbq bandwidth 2Mb queue { std, ftp }
    queue std bandwidth 500Kb cbq(default)
    queue ftp bandwidth 1.5Mb
    pass in on dc0 from any to any port 21 queue ftp
    Queueing is enabled on fxp0 but the designation takes place on dc0. If packets matching the pass rule exit from
    interface fxp0, they will be queued in the ftp queue. This type of queueing can be very useful on routers.
    ---

    на этом и основывается

     
     
  • 6.11, Zula (?), 13:33, 12/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо :) Недоглядел.
     
  • 2.4, Аноним (4), 07:24, 12/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > аффтар слышал, но так и не осознал

    Вообще-то ALTQ умеет ECN, так что заявление о _полной_невозможности_ рулить входящим трафиком не соответствует действительности.

     
     
  • 3.6, Grishin_U_S (?), 08:50, 12/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >> аффтар слышал, но так и не осознал
    >
    >Вообще-то ALTQ умеет ECN, так что заявление о _полной_невозможности_ рулить входящим трафиком
    >не соответствует действительности.

    Не это имелось ввиду....
    оригинал :
    "мы не можем управлять тем трафиком, который пришел к нам. Что пришло, то пришло". Это утверждение НЕ справедливо >>>>>> с точки зрения очередей ALTQ <<<<<<."
    --
    Я не писал за счет чего это делается : за счет созданных состояний или еще чего.
    pf дает назначить очередь правилам входящего трафика pass in on $int_if ...
    только и всего.

     
     
  • 4.8, PereresusNeVlezaetBuggy (ok), 11:48, 12/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >
    >Не это имелось ввиду....
    >оригинал :
    >"мы не можем управлять тем трафиком, который пришел к нам. Что пришло, то пришло". Это утверждение НЕ справедливо >>>>>> с точки зрения очередей ALTQ <<<<<<."
    >--
    >Я не писал за счет чего это делается : за счет созданных
    >состояний или еще чего.
    >pf дает назначить очередь правилам входящего трафика pass in on $int_if ...
    >
    >только и всего.

    Назначить - да, позволяет. Но эта фикция существует только в рамках набора правил. То есть с точки зрения очередей altq это всё же справедливо. Ладно те, кто и так в курсе — статья-то в первую очередь не для них. Даже если вы имели в виду другое, не то, что кажется при первом прочтении, это всё равно проблема статьи (неоднозначность толкования). Повторюсь, статья в остальном прекрасная и я её обязательно сохраню в закладках, учить подрастающих юниксоидов. :)

     
     
  • 5.9, Grishin_U_S (?), 12:03, 12/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >
    >Назначить - да, позволяет. Но эта фикция существует только в рамках набора
    >правил. То есть с точки зрения очередей altq это всё же
    >справедливо. Ладно те, кто и так в курсе — статья-то в
    >первую очередь не для них. Даже если вы имели в виду
    >другое, не то, что кажется при первом прочтении, это всё равно
    >проблема статьи (неоднозначность толкования). Повторюсь, статья в остальном прекрасная и я
    >её обязательно сохраню в закладках, учить подрастающих юниксоидов. :)

    Хорошо, этот абзац перефразирую.
    Спасибо Вам за положительный отзыв и за конструктив.

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру