> Ок. Замечаем - уязвимость в ipfw2 - компоненте цельного BSD - т.е. уязвимость во всем FreeBSD.

я имел ввиду что помимо ipfw2 во фре есть ipfw1 который данной уязвимостью не страдает

> И в чем же я неправ, мой костноязычный друг? > CVE-2005-3110: > A race condition in the ebtables netfilter module (ebtables.c), when running on an SMP system that is operating under a heavy load, might allow remote attackers to cause a denial of service (crash).

> Это, дружок, DoS в чистом виде, D - это от слова dead, когда ядру полный писец.

Нет, мой юный друк, не нужно путать теплое с мягким. Протри свои запотевшие лапки и узнай, что ebtables настолько малоиспользуемая фича, что сравнивать ее дырой в ipfw можно только перекушав с утра портвейна.

Для чистоты эксперимента необходимо найти такую уязвимость в iptables, при которой система падает на специально созданном трафике, а не на специально созданных правилах.

> Sun-ch # (12.01.2006 15:51:40)

> я имел ввиду что помимо ipfw2 во фре есть ipfw1 который данной уязвимостью не страдает

ipfw1 во FreeBSD нет.

> Для чистоты эксперимента необходимо найти такую уязвимость в iptables, при которой система падает на специально созданном трафике, а не на специально созданных правилах.

Такой эксперимент не будет чистым, потому что найденная уязвимость в ipfw не может свалить систему на _любых_ правилах, а только на специально созданных. :)

>> Для чистоты эксперимента необходимо найти такую уязвимость в iptables, при которой система падает на специально созданном трафике, а не на специально созданных правилах.

> Такой эксперимент не будет чистым, потому что найденная уязвимость в ipfw не может свалить систему на _любых_ правилах, а только на специально созданных.:-)

Хорошо, на любых reset, reject or unreach правилах :)

> Sorcerer * (12.01.2006 17:12:46)

CVE-2005-3275:
The NAT code in Linux kernel incorrectly declares a variable to be static, which allows remote attackers to cause a denial of service (memory corruption).

бебебе

> CVE-2005-3275:
> The NAT code in Linux kernel incorrectly declares a variable to be static, which allows remote attackers to cause a denial of service (memory corruption).

Это только NAT, а не вообще любое accept/reject правило.
Не нужно выдавать желаемое за действительное...

> Sun-ch # (12.01.2006 17:38:28)

> Хорошо, на любых reset, reject or unreach правилах :)

Да, тогда ты докажешь, что iptables более безопасен, чем ipfw до патча на reset, reject or unreach правилах. В то же время ipfw более безопасен, чем iptables до патча при использовании nat. Что из этого всего следует? Ничего особенного. К чему тогда этот спор? :)

> Чё Андрейка? Машину времени уже изобрели?

Да не, он софт какой-то под виндой хацкал, откатом времени на полгода в прошлое.

Да это только нат, это только бридж, но в любой случае будет kernel crash, в отличие от BSD, где просто будет нарушена работа брандмауэра.

Может ты еще покажешь какой нибудь стейтфул брандмауэр для линакса, помимо иптаблес?

Около года назад окончательно и бесповоротно мигрировал на pf(4), чего и вам всем желаю.

p.s.: ей-богу, смешно наблюдать вашу перепалку из серии "какая бага более бажная". Могу сказать одно - у ipfw есть альтернативы, и не все, кто использует пакетные фильтры на FreeBSD, делают ЭТО с помощью ipfw. Если бы подобная уязвимость была в iptables, пользователям Linux, наверное, было бы хуже, т.к. у них альтернатив нет.

>> Хорошо, на любых reset, reject or unreach правилах:-)

> Да, тогда ты докажешь, что iptables более безопасен, чем ipfw до патча на reset, reject or unreach правилах. В то же время ipfw более безопасен, чем iptables до патча при использовании nat. Что из этого всего следует? Ничего особенного. К чему тогда этот спор?:-)

Скажем так, машин с простыми reset, reject or unreach несравнимо больше, чем машин с NAT и bridge вместе взятых.
А спор абсолютно ни о чем, хотя можно и покричать, что FreeBSD отстой и т.п.

> Sorcerer * (12.01.2006 17:51:10)

> Да это только нат, это только бридж, но в любой случае будет kernel crash, в отличие от BSD, где просто будет нарушена работа брандмауэра.

III. Impact

An attacker can cause the firewall to crash by sending ICMP IP
fragments to or through firewalls which match any reset, reject or
unreach actions.

> Sun-ch # (12.01.2006 17:57:03)

> Может ты еще покажешь какой нибудь стейтфул брандмауэр для линакса, помимо иптаблес?

Легко.

www.hipac.org
Намного быстрее iptables по многим показателям.

> Sun-ch # (12.01.2006 17:58:38)

> Скажем так, машин с простыми reset, reject or unreach несравнимо больше, чем машин с NAT и bridge вместе взятых.

Это утверждение нельзя ни доказать, ни опровергнуть. :)

>> Скажем так, машин с простыми reset, reject or unreach несравнимо больше, чем машин с NAT и bridge вместе взятых.

> Это утверждение нельзя ни доказать, ни опровергнуть.:-)

Не нужно пробовать пищу, чтобы понять, что она испорчена.

> Sorcerer * (12.01.2006 18:30:34)

> Ну дык перегружаться надо, люди могут не понять

Ты что, последние пять лет с лениным в обнимку в одном мавзолее лежал? Есть волшебные команды rmmod iptables и modprobe iptables.

Фря бяка..

модератор - закрой тему о споре!

>> я имел ввиду что помимо ipfw2 во фре есть ipfw1 который данной уязвимостью не страдает

>ipfw1 во FreeBSD нет.

>Sorcerer * (*) (12.01.2006 17:07:56)

На самом деле оба не правы ;)

в FreeBSD 4.x есть ipfw1 & ipfw2
в FreeBSD 4.x начиная с какой-то версии можно собрать ipfw2

в FreeBSD 5.x и FreeBSD 6.x есть только ipfw2

В FreeBSD 6.0 в которой и обнаружена уязвимость нет ipfw1, так что сказать что ipfw1 не подвержен уязвимости - глупость

>стейтфул брандмауэр для линакса, помимо иптаблес?

А в чем проблема с ipchaines?

>Любой дистрибутив Linux, в определенной мере, есть цельная система

Офигеть. Когда удобно в споре - он цельная система. Когда неудобно - нецельная.

В linux три пакетных фильтра, если что. Если хоть раз собирал kernel, мог это увидеть.

И они (офигеть) даже работают.

>Возможно, это проблема есть только у Редхата, но тем не менее -- это бардак.

Это не бардак. Читайте же доки уже. По умолчанию считается, что ты используешь собранные ядра от RH.

Ядра от редхат имеют криптографическую подпись и ее проверка включена. Поддержка же загрузки модулей от других ядер отключена.

Все это сделано по соображениям безопасности (чтобы не орали - модульное ядро лучше).

Отключаешь, пересобираешь и хоть усобирай модули.

fat

> пользователям Linux, наверное, было бы хуже, т.к. альтернатив нет
как не странно - они есть.
и потом - большинство проблем с iptables - в экзотичных модулях.
но что ipfw - suxx по функционалу - это точно, также как и фрюхин встроенный nat .:)
pf навчерное таки значительно получше и сравним с iptables.

здрасьте всем а не подскажет ли кто как щас BSD или Linux брандмауэры, особенно если NAT применяется работают с всякого рода войсовыми протоколами.

> здрасьте всем а не подскажет ли кто как щас BSD или Linux брандмауэры, особенно если NAT применяется работают с всякого рода войсовыми протоколами.

В 2.6.16 возможно будет добавлен sip connection tracking модуль.

> anonymous (13.01.2006 7:50:32)

>Отключаешь, пересобираешь и хоть усобирай модули.

Не кипятитесь, отключали. Но ругалось оно не на подпись.

h323 уже можно через NAT пропускать?

//Loseki

> h323 уже можно через NAT пропускать?

SIP не есть h323.

The SIP conntrack/NAT modules support the connection tracking/NATing of
the data streams requested on the dynamic RTP/RTCP ports, as well as mangling of SIP requests/responses.

> //Loseki

В актуальном ванилла три пакетных фильтра?
[Netfilter]
[ ] <- Остальное тут заполнить

пасаны, по большому счету, чего смакуем-то ? обнаруженнную и исправленнную уязвимость во фре ? да ну его на йух, оно вам надо ?

> но что ipfw - suxx по функционалу - это точно, также как и фрюхин встроенный nat .:)

что значит "встроенный nat"? три пакетных фильтра - три пути делать nat.

>Их три штуки. ipfw ipf pf

Видимо чем меньше букв, тем меньше функциональности :)