LINUX.ORG.RU

1 2
Ответ на: комментарий от anonymous

> Еще один не осилил iptables... казалось бы, что может быть проще???

как что -- pf! :)

km ★★★
()
Ответ на: комментарий от netracer

>Чтоб iptables, который ничего не умеет, не патчить :)

От пердунка кроме как газификации луж ждать больше и нечего, нах. Примеры для сравнения где?

anonymous
()
Ответ на: комментарий от soko1 

> сложно, потому что помимо утилиты pf есть здоровый кусок в ядре (netgraph).

netgraph никак не относится к pf.

оригинально (в опенбсд) хуки у pf воткнуты прямо в стек.. потому 
что в опенбсд это единственный файервол (до сих пор удивляюсь зачем
их несколько..). посему придется до порта pf в линукс изобретать
некий слой абстракции, чтобы можно было подсунуть как pf, так и
netfilter.

помимо этого, думается есть еще более-менее платформо-зависимые вещи
в pf'е типа логгирования (pflog) и еще наверняка пары вызовов старинных 
BSD функций, которые линуксисты уже миллион лет назад похерили (сцуки
адназначна! ;)

насчет преимуществ.. я не силен в iptables, но то что сразу бросается
в глаза -- отсутствие аналога IP- и TCP-нормализации трафика и отсутствие
таблиц -- вообще не вижу оправданий этому. херачить тысячи однотипных
правил это маразм.

anonymous
()
Ответ на: комментарий от anonymous

>херачить тысячи однотипных правил это маразм.

Возможно ты просто не в курсе возможностей iptables?

anonymous
()
Ответ на: комментарий от anonymous 

> Возможно ты просто не в курсе возможностей iptables?

возможно ты мне приведешь пример, изобличающий мою ложь?

anonymous
()
Ответ на: комментарий от anonymous

>отсутствие аналога IP- и TCP-нормализации трафика

что подразумевается под нормализацией IP/TCP трафика ? (не шейпер надеюсь)

anonizmus
()
Ответ на: комментарий от anonizmus 

> что подразумевается под нормализацией IP/TCP трафика ? (не шейпер надеюсь)

ну я понимаю что даже в гугл не поискать... подробная дока:
http://www.icir.org/vern/papers/norm-usenix-sec-01-html/index.html

если кратко, то директива scrub в pf:

- производит нормализацию трафика (http://www.icir.org/vern/papers/norm-usenix-sec-01-html/node18.html)
- производит дефрагметацию фрагментов различными способами;
- рандомизирует значения ID в IP пакетах;
- умеет енфорсить минимально допустимый TTL и MSS;
- умеет снимать Don't Fragment (DF) бит с проходящих пакетов;

+ фича reassemble tcp, смотрите описание тут:
  http://www.openbsd.org/faq/pf/scrub.html

anonymous
()

Хмм.. что-то как-то непривычно..

MiracleMan ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Open Source