Редизайн сайт NetBSD.org

0

0

Официальный сайт проекта NetBSD подвергся редизайну.

←	Программный ремонт USB-flash в Linux

Запуск "1C" в контейнере Solaris

→

← 1 2 →

[#] Ответ на: Re: Редизайн сайт NetBSD.org от anonymous 06.07.2007 17:57:03

Re: Редизайн сайт NetBSD.org

> Еще один не осилил iptables... казалось бы, что может быть проще???

как что -- pf! :)

(06.07.2007 18:57:56)

[#] Ответ на: Re: Редизайн сайт NetBSD.org от netracer 06.07.2007 9:44:25

Re: Редизайн сайт NetBSD.org

>Чтоб iptables, который ничего не умеет, не патчить :)

От пердунка кроме как газификации луж ждать больше и нечего, нах. Примеры для сравнения где?

anonymous (06.07.2007 19:17:32)

[#] Ответ на: Re: Редизайн сайт NetBSD.org от anonymous 06.07.2007 19:17:32

Re: Редизайн сайт NetBSD.org

понюхать хочешь?!?!

anonymous (06.07.2007 20:09:47)

[#] Ответ на: Re: Редизайн сайт NetBSD.org от soko1 06.07.2007 14:40:06

Re: Редизайн сайт NetBSD.org

> сложно, потому что помимо утилиты pf есть здоровый кусок в ядре (netgraph).

netgraph никак не относится к pf.

оригинально (в опенбсд) хуки у pf воткнуты прямо в стек.. потому 
что в опенбсд это единственный файервол (до сих пор удивляюсь зачем
их несколько..). посему придется до порта pf в линукс изобретать
некий слой абстракции, чтобы можно было подсунуть как pf, так и
netfilter.

помимо этого, думается есть еще более-менее платформо-зависимые вещи
в pf'е типа логгирования (pflog) и еще наверняка пары вызовов старинных 
BSD функций, которые линуксисты уже миллион лет назад похерили (сцуки
адназначна! ;)

насчет преимуществ.. я не силен в iptables, но то что сразу бросается
в глаза -- отсутствие аналога IP- и TCP-нормализации трафика и отсутствие
таблиц -- вообще не вижу оправданий этому. херачить тысячи однотипных
правил это маразм.

anonymous (06.07.2007 20:10:23)

[#] Ответ на: Re: Редизайн сайт NetBSD.org от anonymous 06.07.2007 20:10:23

Re: Редизайн сайт NetBSD.org

>херачить тысячи однотипных правил это маразм.

Возможно ты просто не в курсе возможностей iptables?

anonymous (06.07.2007 20:47:40)

[#] Ответ на: Re: Редизайн сайт NetBSD.org от anonymous 06.07.2007 20:47:40

Re: Редизайн сайт NetBSD.org

> Возможно ты просто не в курсе возможностей iptables?

возможно ты мне приведешь пример, изобличающий мою ложь?

anonymous (06.07.2007 20:50:05)

[#] Ответ на: Re: Редизайн сайт NetBSD.org от anonymous 06.07.2007 20:10:23

Re: Редизайн сайт NetBSD.org

>отсутствие аналога IP- и TCP-нормализации трафика

что подразумевается под нормализацией IP/TCP трафика ? (не шейпер надеюсь)

anonizmus

(06.07.2007 23:29:06)

[#] Ответ на: Re: Редизайн сайт NetBSD.org от anonizmus 06.07.2007 23:29:06

Re: Редизайн сайт NetBSD.org

> что подразумевается под нормализацией IP/TCP трафика ? (не шейпер надеюсь)

ну я понимаю что даже в гугл не поискать... подробная дока:
http://www.icir.org/vern/papers/norm-usenix-sec-01-html/index.html

если кратко, то директива scrub в pf:

- производит нормализацию трафика (http://www.icir.org/vern/papers/norm-usenix-sec-01-html/node18.html)
- производит дефрагметацию фрагментов различными способами;
- рандомизирует значения ID в IP пакетах;
- умеет енфорсить минимально допустимый TTL и MSS;
- умеет снимать Don't Fragment (DF) бит с проходящих пакетов;

+ фича reassemble tcp, смотрите описание тут:
  http://www.openbsd.org/faq/pf/scrub.html

anonymous (07.07.2007 0:24:10)

[#] Ответ на: Re: Редизайн сайт NetBSD.org от anonizmus 06.07.2007 12:01:25