LINUX.ORG.RU

Оптимизация правил межсетевого экрана PF


0

0

Daniel Hartmeier решил опубликовать несколько статей о PF. Изначально, статьи были написаны как части некой книги, но выпуск книги был отменён. К счастью, удалось спасти права на публикацию материалов, и Daniel решил опубликовать три статьи как эксклюзивный материал для читателей Undeadly.Org.

PF -- межсетевой экран, оригинально разработанный на OpenBSD, и портированный на другие операционные системы семейства BSD и Microsoft Windows 2000/XP.

>>> Часть 1: Firewall Ruleset Optimisation

★★★

Проверено: Obidos ()

Re: Оптимизация правил межсетевого экрана PF

А под портом на винду подразумевается CoreForce или еще чего есть?

anonymous ()

Re: Оптимизация правил межсетевого экрана PF

По-моему, портирование pf под Linux не самая простая задача. Ведь изначально этот фильтр писался под OpenBSD и ее сетевой стек. В OpenBSD, поправьте меня, если я ошибаюсь, используется KAME. А у Linux своя архитектура и не самя очевидная.

parser ★★ ()

Re: Оптимизация правил межсетевого экрана PF

У меня на фряшке прикручен pf. Вот все фтп-клиенты наружу пускает, кроме gftp!

....
PWD

257 "/"
Loading directory listing / from server (LC_TIME=ru_RU.KOI8-R)
PORT 192,168,1,130,164,236

200 PORT command successful. Consider using PASV.
LIST -a

На сём виснет.

Позже выдаёт:

425 Failed to establish connection.
Отключение от сервера 81.222.134.14

А всё остальное меня в нём вполне устраивает! ;)

vovans ★★★★★ ()

Re: Оптимизация правил межсетевого экрана PF

Н-да.. Просмотрел статью.. В инглише не силён... Можно как-нить запретить конкретному ip в локалке использовать какой-то порт с помощью pf? Типа:

block from 10.1.2.3 port icq

или как?

vovans ★★★★★ ()

Re: Оптимизация правил межсетевого экрана PF

пофиг ;)Сделал уже:

block out proto { tcp, udp } from 192.168.2.18 to any port 5190

ЗЫ сочувствуютебе ;) мы вот контору на линух переводим. А я сколько работаютут, так у меня ни разу венды не стояло ;) Теперь вотлюдей приобщаю ;)

vovans ★★★★★ ()

Re: Оптимизация правил межсетевого экрана PF

Спасибо, почитаем как-нибудь на досуге..

MiracleMan ★★★★★ ()

Re: Оптимизация правил межсетевого экрана PF

>block out proto { tcp, udp } from 192.168.2.18 to any port 5190
Хм.. на сколько помню в аське можно указывать к какому порту цепляться, так что не спасет.

anonymous ()

Re: Оптимизация правил межсетевого экрана PF

Те, кто заявляет про удобство, возможности и тп pf по сравнению с iptables могут мне ответить на простой вопрос? pf умеет трекать фтп? Если нет, то разговор закрыт.

green_forest ()

Re: Оптимизация правил межсетевого экрана PF


iptables модульный,легко расширяемый (pom, etc), гибкий. при большом трафике медленее pf намного

pf быстрее iptables,синтаксис от ipf,таблицы адресов,etc

PS прикрутить pf к netfilter не так уж и сложно..тока это нафиг никому не надо, когда есть iptables

Cosmicman ★★ ()
Ответ на: Re: Оптимизация правил межсетевого экрана PF от green_forest

Re: Оптимизация правил межсетевого экрана PF

> Те, кто заявляет про удобство, возможности и тп pf по сравнению с
> iptables могут мне ответить на простой вопрос? pf умеет трекать фтп? 

pf как и нормальный фильтр пакетов не работает выше транспортного
уровня стека. поэтому -- разумеется нет. но никто не мешает для
поддержки прикладного уровня использовать отдельные прокси сервера.
для pf стандартным является вышеупомянутый pftpx (сейчас он заменил
старый ftp-proxy в OpenBSD). еще вариант: ftpsesame.

anonymous ()

Re: Оптимизация правил межсетевого экрана PF

>iptables модульный,легко расширяемый (pom, etc), гибкий. при большом трафике медленее pf намного

если медленность заключается в прохождении каждого правила в цепочке, то:

1) http://www.netfilter.org/projects/ipset/index.html
2) http://www.hipac.org/

dotcoder ★★★★★ ()

Re: Оптимизация правил межсетевого экрана PF

> >iptables модульный,легко расширяемый (pom, etc), гибкий. при большом > трафике медленее pf намного
>
> если медленность заключается в прохождении каждого правила в цепочке, > то:
> 
> 1) http://www.netfilter.org/projects/ipset/index.html
> 2) http://www.hipac.org/

вот как раз по этому админы OpenBSD и не понимают админов Linux:
в OpenBSD не надо систему собирать с миру-по-нитке, накладывая
мало-вменяемые патчи.

разница в подходе: у openbsd подход Just Works, или "всё включено".
у линукс: а не собрать ли нам велосипед.

однако, иногда сборка велосипеда (ну или хотя бы наличие нескольких
путей сделать что-то) в Linux дает горааааздо лучший результат: например
при выборе файловой системы.

однозначности нету, быть не может и это замечательно: используй молоток
когда нужно забивать гвозди и топор когда рубишь дрова...

под каждую задачу можно всегда найти более адекватный инструмент.

anonymous ()

Re: Оптимизация правил межсетевого экрана PF

>используй молоток когда нужно забивать гвозди и топор когда рубишь дрова...

помню, как-то в молодости забивал гвозди топором (обратной стороной, ессно). Интересно, меня за это расстреляют? :)))

по теме: linux гибче. Но за это приходится платить временем настройки. И это - мой путь (я лучше лишние два дня провожусь - но потом все будет работать как часы).

gr_buza ★★★★ ()

Re: Оптимизация правил межсетевого экрана PF

>помню, как-то в молодости забивал гвозди топором

А потому что ламерок и топор у тебя был - гавно, настоящий плотник за такие дела сразу руки и яйца оторвал бы.

Sun-ch ()

Re: Оптимизация правил межсетевого экрана PF

на самом деле, в Линуксе для каждой задачи - свой инструмент: для забивания гвоздей - молоток, для того, чтобы рубить дрова - топор, и т.д.

dotcoder ★★★★★ ()

Re: Оптимизация правил межсетевого экрана PF

>на самом деле, в Линуксе для каждой задачи - свой инструмент: для забивания гвоздей - молоток, для того, чтобы рубить дрова - топор, и т.д

А для администрирования - бубен и волшебная палочка.

Sun-ch ()

Re: Оптимизация правил межсетевого экрана PF

бубен - вообще универсальный инструмент, не только для линукса :)) помню пляски с данным орудием вокруг FBSD серваков в далекой молодости :)

isden ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.