LINUX.ORG.RU

[#]  

Re: Команда OpenBSD пишет замену ipfilter

НА сегодняшний день - это наверняка будет лучшим фильтром для РС - ИМХО специально для тех кто говорил о достоинствах Нет Фильтр в Линукс - про МАК адреса (- защиту от подмены -) - там это очевидно уже будет решаться проще - но в FreeBSD - это делалось через арпвотч и заморозкой МАК! (- а то некоторые анонимусы говорили что в БСД такая возможность просто отсутствует -)

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

Гм хорошо работают=) Интересно было бы увидеть коментарии Darren Reed'a по поводу написаного...

anonymous ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

Народ, объясните, почему команда OpenBSD не может дописать ipf? Ведь лицензия BSD вроде позволяет...

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

Либо они изобретут новый велосипед.
Либо напишут все с нуля.
С нуля тоже бывает полезно писать :-)

* ()
[#]  
Krause

Re: Команда OpenBSD пишет замену ipfilter

2GORINYCH
Ну, Вы, батенька, ваще...

Во-первых, мне чертовски нравится формулировка "это наверняка будет лучшим фильтром для РС ". Вот знаете ли когда будет, тогда и поговорим...
Во-вторых, кроме мак адреса в нетфильтре есть еще куча всяких вкусностей, которых, кажется, в бсд нет.. (но я могу ошибаться).
Ну а в-третьих, "будет лучшим фильтром для РС " - это совсем уж круто... прямо слезы умиления на глазах... Вы хоть что-нибудь ("на сегодняшний день" :)) )кроме фряшно-линуксовых пакетных фильтров то видели?

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

2Krause - я говорил про РС!!! - вы хотите мне рассказать о достоинствах АТГуарда или Симантек НЕТ Гуард - ах ну да они же под винсокет - ах как жаль - зато столько возможностей!))() - блин - а что у ВАС еще кроме фряхи и Линуха на РС нормально работает - Винда!! - Вы хотите может сказать что в винде может быть неплохой фильтр???!!!??? а так мне вообще-то PIX очень по душе! - но не в том же вопрос! - у меня такое впечатление - что мне все же про Майкрософт хотят что-то впарить - не так ли уважаемый??? - как Вы можете на таком дерьмовом сокете еще какие-то там нет фильтры делать?? Да кстате совсем забыл - когда будешь ставить другой фильтр на машину РС которая "не Фряха и не Линакс" - айпишник сервера выстави-ка в форуме! Я точно знаю что для РС - "все остальное" в плане фильтров это чесс!!

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

2Krause - фильтров я видел предостаточно)()(

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

2Krause - давайте по порядку - какой конкретно фильтр и на какой платформе? ну на раз назовите мне?

* ()
[#]  

Gorinych

ваш стиль писАния вызван тем, что головы по очереди говорят? ;) wbr ps. ну не смог удержаться :)

anonymous ()
[#]  
Krause

Re: Команда OpenBSD пишет замену ipfilter

2 anonymous (*) (2001-06-26 12:14:45.0) 5 Баллов!

* ()
[#] Ответ на: Re: Команда OpenBSD пишет замену ipfilter от yozh 26.06.2001 12:06:04  
ivlad

Re: Re: Команда OpenBSD пишет замену ipfilter

> Народ, объясните, почему команда OpenBSD не может дописать ipf? > Ведь лицензия BSD вроде позволяет...

Никита, оно не open-source. И не BSD. Даррен сменил лицензию IPFilter на "freeware в сорцах". Собственно, поэтому де Раадт начал OpenIPF.

***** ()
[#]  
Krause

Re: Команда OpenBSD пишет замену ipfilter

2GORINYCH
Эдак, тебя, Батенька, разнесло то...
"Винда!! "
- Где????!!!
Про винду я, кажется, ничего не говорил.
"давайте по порядку - какой конкретно фильтр и на какой платформе? ну на раз назовите мне?"
На платформе - PC
OC Solaris 7 для интел
CheckPoint Fw-1
Заделайте мне, на фряшном фильтре или на линуксом IPtables, не говоря об ipchains файрвол со Stateful inspection, с НОРМАЛЬНОЙ трансляцией адресов, с нормальной и удобной системой администрирования удаленных файрвольных машинок (те кто правил скрипты ipchains по SSH на машинах в каком-нибудь мухосранске с таймаутом в 2-3 секунды меня поймут)с нормальным просмотром логов в онлайне и тд.

Вы можете, уважаемый, на фряшном фильтре на сегодняшний день поставить ограничение на количество открытых коннектов с одной машины? А PortScan detection? А? А рубить фрагменты пакетов по длинне? А Ограничение действия правила по времени суток без крона? А ограничение количества проходящих пакетиков за время (ну за секунду например)? Traffic Shaping Вы можете на фряшном фильтре заделать?
Да, про чекпойнт я молчу, все пречисленное в последнем абзаце можно сделать на IpTables. Если я насчет фряхи ошибся (при всем моем к ней уважении) кто-нибудь поправьте меня. А Вы, GORINYCH, перед этим отрорвитесь от компа и суньте голову под кран с холодной водой. Я кажется в Вами эта... вполне вежливо разговаривал. Или Вы с рождения нервный?:))

ps. Чекпойнт есть и под линукс, но это отдельная (и местами грустная) песня, и под винды... Может и под фряху, я не знаю, не слышал ничего об этом.

ДА, список можно продолжить. Astaro Security для Linux, T.REX Firewall (я с ними не работал). Может еще чего вспомню.







* ()
[#] Ответ на: Re: Команда OpenBSD пишет замену ipfilter от Krause 26.06.2001 17:05:22  
ivlad

Re: Re: Команда OpenBSD пишет замену ipfilter

> Заделайте мне, на фряшном фильтре или на линуксом IPtables, не > говоря об ipchains файрвол со Stateful inspection IPF, NetFilter оба stateful. Вам напомнить про FTP-bug в FW-1? ;) И про то, какое там stateful? ;))) И про то, что единственным способом избариться от проблем с FW-1 на солярисе долго была сборка и установка IPF там же.

Впрочем, хорошо известно, что для оптимальной защиты нужно сочетать packet-filter с stateful inspection и application level proxy.

А скрипты с IPchains никто по ssh не правит. все делают файл правил на локальной машине а потом по scp заливают туда и говорят ipchains-restore.

То, что сказано вами в последнем абзаце проделывается с IPF в том числе.

Таким образом иных достоинств короме консоли управления у FW-1 не обнаружено.

PS. Чует мое сердце, придет Арканоид... ;)

***** ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

> ваш стиль писАния вызван тем, что головы по очереди говорят? ;)
Здорово подмечено:) Сразу соответствующая картина перед глазами
возникла, давно я так не смеялся:)))

anonymous ()
[#] Ответ на: Re: Re: Команда OpenBSD пишет замену ipfilter от ivlad 26.06.2001 17:05:18  
maxcom

Re: Re: Re: Команда OpenBSD пишет замену ipfilter

> оно не open-source. И не BSD. Даррен сменил лицензию IPFilter на "freeware в сорцах". Собственно, поэтому де Раадт начал OpenIPF.

Это нетак. Лицензия на ipfilter не менялась, и как и была так и остается OpenSource.

***** ()
[#] Ответ на: Re: Re: Команда OpenBSD пишет замену ipfilter от ivlad 26.06.2001 17:18:03  

Re: Re: Re: Команда OpenBSD пишет замену ipfilter

> А скрипты с IPchains никто по ssh не правит. все делают файл правил на локальной машине а потом по scp заливают туда и ... scp говоришь? Это чтоб все править могили, я чувствую! Добрый ты ... ;-)

anonymous ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

2Krause - ну опять Вы про удобства и "открытые возможности" - ценность фильтра не в этом -

* ()
[#]  
Krause

Re: Команда OpenBSD пишет замену ipfilter

2 GORINYCH "Да кстате совсем забыл - когда будешь ставить другой фильтр на машину РС которая "не Фряха и не Линакс" - айпишник сервера выстави-ка в форуме! Я точно знаю что для РС - "все остальное" в плане фильтров это чесс!! " Валяй, мыло оставь свое, я тебе IP скину... :) Только не в форуме, извини. Логи потом затрахаюсь разгребать.

2oxonian "IPF, NetFilter оба stateful" На уровне протоколов приложений? Линуксовый точно нет. Попробуйте отфильтруйте на нем урлы или заголовки почты.

"Вам напомнить про FTP-bug в FW-1? ;)" Баги, кажется, есть везде. В iptables c FTP http://netfilter.samba.org/security-fix/index.html И в фряхе http://void.ru/content/640

"И про то, что единственным способом избариться от проблем с FW-1 на солярисе долго была сборка и установка IPF там же. " Так это когда было то. И где тогда линуксовые и фряшные фильтры были? Сейчас от той Dos атаки можно избавится очень просто.

"А скрипты с IPchains никто по ssh не правит. все делают файл правил на локальной машине а потом по scp заливают туда и говорят ipchains-restore. " Да, можно и так. Только когда вот лопухнешься слегка, ну типа буковку не ту напечатал, лично мне чертовски лень было по SCP файлик снова заливать. Я его там правил:))

"Впрочем, хорошо известно, что для оптимальной защиты нужно сочетать packet-filter с stateful inspection и application level proxy. " Зачем? Я в этот конструтктор "сделай-сам" наигрался уже. Поначалу меня это прикалывало даже. Там апликуху подвесил, тут другую аппликуху, скриптик написал, смотрим у тебя и VPN появился и все что надо. Только когда три файрвольные машинки было - все было тики так. А когда стало шесть - тоже тики так, но администрить это руками надоело. Особенно когда звонит какой-нибудь филиальный недобиток и орет что ему сочно доступ туда то и туда то нужен. То есть я хочу сказать что у меня и сейчас все на линуксе работало бы прекрасно, но, знаешь, так времени на всю эту рутину гораздо меньше уходит. И давай про деньги за Fw-1 один говорить не будем - если контора платит, а у меня все жужжит - мне эти деньги до фонаря, это пусть у финанситстов голова болит:)))

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

А UFP или/u CVP servers слабо подключить к IPF? A IDS ? A acl на routerы сбрасывать? A load balance ? A VPN? A QoS? и чтоб все это работало и взаимодействовало между собой. А вообще statefull не идеален но быстр и гибок :)

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

" Валяй, мыло оставь свое, я тебе IP скину... :) Только не в форуме, извини. Логи потом затрахаюсь разгребать." - у тебя логов вообще не останется

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

знамо дело - в логах маршрутизатора - будет с кого спросить!

* ()
[#]  
Krause

Re: Команда OpenBSD пишет замену ipfilter

2GORINYCH "ну опять Вы про удобства и "открытые возможности" - ценность фильтра не в этом" Например?

"у тебя логов вообще не останется" Упс.. У нас прыщавый кулхацкер завлся... Ой боюс-боюс... Короче, товарисч! Давай по делу и с аргументами. А то пустословие это читать осто#$ло до безобразия.

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

GORINYCH:Раскажи ка нам как ломается правильно сконфигурированный FW-1. P.S. Понизим акции CheckPointa а то зажрались блин евреи.

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

> Вы можете, уважаемый, на фряшном фильтре на сегодняшний день поставить ограничение на количество открытых коннектов с одной машины? А PortScan detection? А? А рубить фрагменты пакетов по длинне? А Ограничение действия правила по времени суток без крона? А ограничение количества проходящих пакетиков за время (ну за секунду например)? Traffic Shaping Вы можете на фряшном фильтре заделать?

Отвечаю по порядку:
1) нет
2) я не разу не делал, но думаю, что можно на основе флагов пакетов
3) нет
4) а зачем, если крон есть? :)
5) да
6) да

> Если я насчет фряхи ошибся (при всем моем к ней уважении) кто-нибудь поправьте меня.

Что я и делаю с уважением.

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

2Krause "Упс.. У нас прыщавый кулхацкер завлся... Ой боюс-боюс... Короче, товарисч! Давай по делу и с аргументами. А то пустословие это читать осто#$ло до безобразия. " 1)а ты бы лучше почитал на досуге 272.273.274 статьи в Мануале УК РФ! чтобы наезжать -кулхацкер - это похоже все же про Вас! айпишкин он видите-ли мне даст! - соучастничек! 2)на $рена вам скандетектор? 3)"Только не в форуме, извини. Логи потом затрахаюсь разгребать. " - Вы же говорили что логи у вас в нормальном виде и удобочитаемые?? сами себе противоречите - 4)заметь - про хацкеров с моей стороны упоминаний было - нуль - а вот ты и проболтался! - чернильное пятно тобишь - так что называй -ка ТОВАРЫСЧАМИ своих коллег по хаку а не опонентов в форуме администраторов.

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

2Krause - Вы только не горячитесь - всех переловят в конце концов расхитителей - а пока лучше про хаки-креки забудьте и поставьте на левой машинке новый Ipfilter когда это добро появиться - и составьте впечатление
- вместо того чтобы кричать "Ip-filter отстой и недомерок по сравнению с тем что у Меня ТУТ стоит!!"

-а проблемы есть то как например переполнение - иногда транслирует Линакс неправильно из локалки пакеты на НАТе - плохо у него выходит
и с несколькими запросами сразу -
- у БСД ipf тоже с глюками - но они как-то меньше наблюдаются -

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

2Krause 1)- не все фильтры одинаково полезны - знаете такое? 2)- все делается это в БСД - но только конечно не таким путем - но все это делается - Вы думаете как фильтруют на БСД - чего нельзя было сделать - это вряд ли - а вот мне совсем не нравиться когда в погоне за упрощением и новшествами допускаются досадные промази в коде (как нипример про НАТ из локалки ) 3)- имеет также значение взаимодействие фильтра непосредственно с механизмами управления памяти - хоть и косвенно конечно! 4) - большое значение работы фильтра при многократных вызывах коннекта с различных подсетей или со сложными звезд запросами - чем ipchains иногда паршивит( 5) - Солярка лучше не на РС работает - с этим вы же согласитесь?

* ()
[#]  

Ответ Darren Reed <darrenr@reed.wattle.id.au>

From: Darren Reed <darrenr@reed.wattle.id.au>
To: albert@achtung.com (Albert Yang)
CC: ipfilter@coombs.anu.edu.au

In some email I received from Albert Yang, sie wrote:
> http://www.benzedrine.cx/pf.html
> 
> This I guess is the new filter for OpenBSD.  They say they syntax is the
> same as Ipfilter, but from the license hoopla, I assume that this is a
> scratch rewrite, and not taking from Ipfilter at all, or a fork from
> earlier ipfilter code?

Why don't you ask them ?

If you want my opinion, it appears to me to be an OpenBSD-centric
"IPFilter-Lite" and by "lite" I mean "very light".  By the looks
of it, they're still busy reinventing all the mistakes I made and/or
making their own which I avoided.

Further questions on "pf" should goto openbsd-misc or openbsd-tech.

Darren

anonymous ()
[#]  
Krause

Re: Команда OpenBSD пишет замену ipfilter

2GORINYCH
"называй -ка ТОВАРЫСЧАМИ "
OK. Будешь "сударем"

Голову под кран засовывал? Не заметно. Вам, голубчик , сульфазину врезать надо.
"айпишкин он видите-ли мне даст! "
Cклероз сударь? Вы же сами просили... Прочитайте внимательно свой постинг от 2001-06-26 11:54:08.0.

"на $рена вам скандетектор?" - No comments

"а пока лучше про хаки-креки забудьте и поставьте на левой машинке"
У Вас с логикой как вообще? Я вот ну нихрена ход ваших мыслей понять не могу. Если не секрет, с чего в Вашу не совсем здоровую голову взбрела мысль, что он левый? Я, честно, не догоняю... Может объяснит кто...

"вместо того чтобы кричать "Ip-filter отстой и недомерок "
Вот этого я не говорил. Я эта.. кажется сказал только что (цитата)
"это наверняка будет лучшим фильтром для РС " (конец цитаты). не совсем действительности соответствует.

"а проблемы есть то как например переполнение - иногда транслирует Линакс неправильно из локалки пакеты на НАТе - плохо у него выходит
и с несколькими запросами сразу - "
Я это видел только в NETMAP target на коннектах с одной машинки на разные адреса. И в iptables 1-2-2 это типа пофиксали, но я не проверял. К слову сказать в чекпойнте аналогичная глюка проскакивала одно время.
А в Linux'е А на простом DNAT/SNAT у меня сидело единовременно пара-тройка сотен коннектов по http (остальные я не считал) и все тики так.

PS Если Вы считаете себя "оппонентом" в "форуме администраторов" следите за своим русским языком для начала...

2sem
"4) а зачем, если крон есть? :) "
да так проще :)



* ()
[#]  
Krause

Re: Команда OpenBSD пишет замену ipfilter

2GORINYCH
"( 5) - Солярка лучше не на РС работает - с этим вы же согласитесь? "
Соглашусь. Только производительность Linux NetFilter, Cp Fw-1 на интеловой солярке и фряшки чем мы мерить будем?. Понимаете, опять пузомерка получится. У меня Iptables на машине как держали ip_conntrack_max 8184 одновременных коннекта, так и чекпойнт столько держит. Про фряху я не знаю. Если бенчмарки найдете то посмотрим.

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

а урлу где скачать iptables не подскажете ?? и How-to на русском если можно а то только ipchains натыкаюсь :-)

* ()
[#]  
Krause

Re: Команда OpenBSD пишет замену ipfilter

2helpless http://netfilter.samba.org/ тут можно скачать

http://linux.yaroslavl.ru/Howto/Packet-Filtering/packet-filtering-HOWTO.html#toc 11

Тут русский хауту. Но наиболее содержательная дока - это собственно ман к программе.

Да, эта.. 1-2-2 становится только на ядро 2-4-5. Ну у меня на 2-4-4 не получилось. Может руки конечно...:)

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

большое спасибо :-))))

>Да, эта.. 1-2-2 становится только на ядро 2-4-5. а у меня на серваке как раз такое и стоит (или вернее работает :-)) > Ну у меня на 2-4-4 не получилось. Может руки конечно...:)

>Krause (*) (2001-06-26 18:08:31.0)

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

>А вообще statefull не идеален но быстр и гибок :)

а что это такое можно где нибудь почитать ? урл не никто не подскажет ?

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

2Krause вот спасибо :-)

* ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

жалко нету statefull в iptables под линухом хорошая штука вроде

* ()
[#] Ответ на: Re: Re: Re: Команда OpenBSD пишет замену ipfilter от maxcom 26.06.2001 17:58:03  

Re: Re: Re: Re: Команда OpenBSD пишет замену ipfilter

> > оно не open-source. И не BSD. Даррен сменил лицензию IPFilter на "freeware в сорцах". Собственно, поэтому де Раадт начал OpenIPF.

> Это нетак. Лицензия на ipfilter не менялась, и как и была так и остается OpenSource.

maxcom: не open source и не free software Потому как нельзя модифицировать без разрешения автора.

anonymous ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

я имел ввиду распространять модификации

anonymous ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

maxcom нарушил обет молчания...

anonymous ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

Statefull довольно быстрый,но Proxy-application все равно рулит. Простой пример:Ставим FW-1,оттрываем наружу http, теперь изнутри пускаем telnet or ssh или еще чего по 80 порту ....и все проходит. Теперь ставим Raptor or Gauntlet или просто squid :))и забываем про FW-1,PIX,etc.Хотя сейчас делают proxy-apllication+statefull помоему это у NAI.

anonymous ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

Вот хороший линк про statefull FW-1:
http://www.enteract.com/~lspitz/fwtable.html
без всякой ерунды и дифирамбов котороми набиты статьи от CP.

anonymous ()
[#]  

Re: Команда OpenBSD пишет замену ipfilter

2maxcom (*)

>В iptables есть statefull. и как это инициируется ?? в ее манах это есть ?? а где нибудь на русском есть ?

* ()
BSD