The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выполнено портирование ipfw и dummynet для Linux

22.06.2009 21:41

Луиджи Риццо (Luigi Rizzo) сообщил в списке рассылки freebsd-ipfw о том, что им совместно с Мартой Карбоне (Marta Carbone) было выполнено портирование пакетного фильтра ipfw и системы для ограничения пропускной способности dummynet на платформу Linux. Для загрузки доступны как исходные тексты, так и готовые модули для Linux ядра 2.6.28, Ubuntu 9.04 и дистрибутива OpenWRT (для Broadcom BCM947xx/953xx ASUS WL-500g Premium).

Марта Карбоне - участница программы Google SoC 2009 работающая под руководством Luigi Rizzo над улучшениями в ipfw и dummynet. Марта провела работу по ревизии кода и по четкому разделению кода ipfw, работающего на уровне пользователя и ядра, что привело к значительному упрощению процесса портирования на другие платформы. В будущем, кроме Linux, ожидается перенос и на платформу Windows.

  1. Главная ссылка к новости (http://lists.freebsd.org/piper...)
  2. OpenNews: Вышла новая версия wipfw 0.2.8
  3. OpenNews: ipfw для Windows
Автор новости: terminus
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/22266-ipfw
Ключевые слова: ipfw, dummynet, linux, freebsd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (190) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 23:07, 22/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    а зачем ? им делать нечего ?
     
     
  • 2.3, Дмитрий Ю. Карпов (?), 23:11, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Затем, что ipfw - мощнейший инструмент (хотя его гибкость вызывает сложность в понимании и использовании). Например, один divert очень ценен, т.к. позволяет обработку пакетов в user-space.
     
     
  • 3.9, FrBrGeorge (ok), 00:29, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Например, один divert очень ценен, т.к. позволяет обработку пакетов в user-space.

    iptables ... -j QUEUE или NFQUEUE

    Это, конечно, не отменяет преимуществ ipfw, просто для справки :)

     
  • 3.26, User294 (ok), 06:57, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Затем, что ipfw - мощнейший инструмент

    Вы с айпитаблесами не попутали?Они могут почти все, но синтаксис чем-то напоминает язык программирования брэйнфак :)

     
     
  • 4.30, www2 (??), 07:10, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Вы с айпитаблесами не попутали?Они могут почти все, но синтаксис чем-то напоминает язык программирования брэйнфак :)

    Синтаксис может быть и не очень приятен, зато семантика гораздо лучше, чем у ipfw.

    И вообще, может быть кто-нибудь назовёт те преимущества ipfw, которые не умеет iptables+iproute2+tc?

     
     
  • 5.39, User294 (ok), 07:43, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Синтаксис может быть и не очень приятен, зато семантика гораздо лучше, чем
    >у ipfw.

    Ну, привыкнуть можно.А если влом - ну так можно скопипастить :) или генератором правил, блин, сгенерить.Не понимаю я их проблем (кроме нежелания осваивать тулзень).

    >И вообще, может быть кто-нибудь назовёт те преимущества ipfw, которые не умеет
    >iptables+iproute2+tc?

    Я что-то не думаю что они это осилят... впрочем ждемс.Так как любопытно.Не, не то чтобы я супер-спец по айпитаблесам, но что им + упомянутой связкой можно изобразить - я как минимум видел в роутерных прошивках.Вполне себе прилично получается вроде - я вот так сходу не смог придумать чего бы мне захотелось но не изображалось бы данной связкой :).Может у бздунов больше фантазии?

     
     
  • 6.42, _umka_ (??), 08:09, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У User294 очередлой линупсячий понос наступил Пример из жизни - Изобразите на... большой текст свёрнут, показать
     
     
  • 7.45, sauron (ok), 08:20, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Добавляем правила огранечения по меткам. Далее средствами iptables ставим эти метки.
    А теперь покажите мне в ipfw организовать хеш-фильтры https://www.opennet.ru/docs/RUS/LARTC/x1661.html
     
     
  • 8.51, nuclight (??), 08:48, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ipfw add pipe tablearg all from table 1 to any и или ipfw pipe 1 config mas... текст свёрнут, показать
     
     
  • 9.114, sauron (ok), 14:09, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А теперь вложенные хеш-фильтры И да еще как мне там дисциплины крутить Использ... текст свёрнут, показать
     
  • 7.55, zmc (?), 08:58, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    tc qdisc add dev eth1 root handle 1 htb default 10 tc ... большой текст свёрнут, показать
     
  • 7.104, www2 (??), 12:36, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >как только уложитесь в 4 читаемых правила, а не 10-12 - покажите
    >результат.

    Как только велосипед сможет покрыть возможности и комфорт автомобиля, тогда и покажем как с помощью tc можно в то же количество строк можно описать то, что умеет делать dummynet.

    Более богатые функции предполагают более трудное их использование.

     
     
  • 8.233, leshiy.by (?), 00:07, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    можешь как-то аргументировать ... текст свёрнут, показать
     
     
  • 9.236, www2 (??), 06:56, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Больше функций - больше рычагов управления ими Примеры мотоцикл - легковой авт... текст свёрнут, показать
     
     
  • 10.245, leshiy.by (?), 18:14, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    летать на автомобиле сложнее чем на самолёте, любитель метафор ... текст свёрнут, показать
     
     
  • 11.252, User294 (??), 23:41, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Про айпитаблесы он все правильно говорит Геморройны в управлении Но умеют дофига... текст свёрнут, показать
     
  • 5.41, _umka_ (??), 08:01, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Я не совсем понимаю как вы предлагаете сравнивать пакетый фильтр с связкой пакетный фильтр + управление роутингом + шейпер ? Странное сравние - теплого с мягким.
    Может вы перепутали и имели ввиду ipfw+dummynet с iptables+tc? Так опять же не коректное сравние.
    tc хоть и умеет разные дисциплины обслуживания у шейпера - но работает только для исходящего трафика (не надо мне рассказывать о ingress фильтрах - которые делаются через задний проход).
    В этом ключе iptables+tc - правильнее сравнивать с ipfw + altq (да да, dummynet это не единственный шейпер с которым в связке может использоваться ipfw).
    Но судя по всему вы не разбираетесь в вопросе - поэтому приводить вам аргументы не стоит.
    Разбиритесь сначала что вы хотите сравнить - а потом поговорим.
     
     
  • 6.44, zmc (?), 08:15, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >tc хоть и умеет разные дисциплины обслуживания у шейпера - но работает только для исходящего
    >трафика (не надо мне рассказывать о ingress фильтрах - которые делаются через задний проход).

    Уважаемый _umka_, мне кажется вы че то напутали, шейпинг имеет смысл только на исходящем трафике и безразници где это в фряшном dummynet или линуксовый iproute.
    Да да именно для вас tc входит в состав пакета iproute.

     
     
  • 7.61, nuclight (??), 09:15, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Еще один, не знающий, как работает TCP Ситуация домашний сервер, который NAT д... большой текст свёрнут, показать
     
     
  • 8.65, zmc (?), 09:28, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Будьте любезны не тыкать мне Правила хорошего тона в общении еще не кто не отме... текст свёрнут, показать
     
     
  • 9.75, nuclight (??), 09:49, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Я вам пока еще не тыкал, и вообще веду себя более корректно, чем ваш уровень зна... большой текст свёрнут, показать
     
     
  • 10.115, Осторожный (ok), 14:46, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    согласен а то некоторые тут уверяют, что шейпить входящий траффик нельзя ... текст свёрнут, показать
     
     
  • 11.118, www2 (??), 14:55, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ну зашейпил ты входящий канал, а там 99 флуда Буфер переполнился, полезные пак... текст свёрнут, показать
     
     
  • 12.120, Осторожный (ok), 15:09, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Что есть флуд на входящем канале - конкретнее Телепат Кто тебе сказал, что не... текст свёрнут, показать
     
     
  • 13.123, vitek (??), 15:20, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    как пример выше - фикция виртуальный роутер - уже внутри сети с таким же успе... текст свёрнут, показать
     
  • 13.129, www2 (??), 16:00, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ну например у тебя NAT-роутер Изнутри наружу установлено несколько соединений ... большой текст свёрнут, показать
     
     
  • 14.156, Осторожный (ok), 21:54, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Эмммм А ты firewall nat вообще настраивал хоть раз в жизни Потому как если на... большой текст свёрнут, показать
     
     
  • 15.171, User294 (??), 22:43, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да что вы говорите А я всю жизнь думал что сначала вам по вашему каналу пакеты в... текст свёрнут, показать
     
     
  • 16.183, Осторожный (ok), 08:25, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какие пакетики на закрытый TCP-порт Да еще чтобы траффика было много Если эт... текст свёрнут, показать
     
     
  • 17.224, User294 (??), 18:04, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Обычные С технической точки зрения - всем глубоко похрену что там шлется в вашу ... большой текст свёрнут, показать
     
  • 15.178, www2 (??), 07:22, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всё-таки вам очень тяжело объяснить очевидное Хорошо, попробуем описать ситуаци... большой текст свёрнут, показать
     
     
  • 16.192, nuclight (??), 12:50, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, действительно, очень тяжело объяснять очевидное, когда собеседник имеет очен... большой текст свёрнут, показать
     
     
  • 17.194, www2 (??), 12:58, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Как же он рассортирует пакеты по выходным буферам, если решение о том, по какому... текст свёрнут, показать
     
     
  • 18.202, zmc (?), 13:37, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Уважаемый www2, можно я обьясню D Видите ли в чем дело, просто nuclight уже осо... текст свёрнут, показать
     
  • 11.122, vitek (??), 15:12, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    дык и нельзя объем входящего трафика всё равно этим не ограничешь сколько из в... текст свёрнут, показать
     
  • 11.146, User294 (??), 17:50, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Картина маслом я шлю вам SYN пакеты или какие угодо иные пакеты долетающие до ... текст свёрнут, показать
     
     
  • 12.147, Одмин (?), 18:45, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мде Благородный дон, если бы весь трафик состоял из атак то может быть ты бы ... текст свёрнут, показать
     
     
  • 13.149, vitek (??), 19:03, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    больша часть трафа - http и иже с ним толку что он tcp соединение устанавлив... текст свёрнут, показать
     
     
  • 14.193, nuclight (??), 12:53, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Действительно, прекращайте С понятием slow start в tcp вы явно не знако... текст свёрнут, показать
     
     
  • 15.214, vitek (??), 14:52, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    когда ж ты угомонишься то ну пролетел ты, с кем не бывает -D... текст свёрнут, показать
     
  • 15.226, User294 (??), 18:20, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Есть одна проблема - все это допускает что все ремотные юзеры белые, пушистые и ... текст свёрнут, показать
     
  • 13.162, User294 (??), 22:12, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Проблем нет ровно до тех пор пока удача улыбается вам лицом А если повернетс... большой текст свёрнут, показать
     
  • 13.229, Хм... (?), 21:24, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И пров тоже не поможет потомукак его канал тоже флудом забит ... текст свёрнут, показать
     
     
  • 14.251, User294 (??), 23:39, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Забить прововские каналы флудом труднее чем одну тощую соску Которую обычно и хо... текст свёрнут, показать
     
  • 12.158, Осторожный (ok), 21:58, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А я что где-то говорил, что нельзя за-DDOS-ить роутер ... текст свёрнут, показать
     
     
  • 13.167, User294 (??), 22:20, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Это строго говоря не ддос сие не обязано быть распределенной атакой, ни даже sy... большой текст свёрнут, показать
     
  • 10.117, User294 (ok), 14:54, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только блаародный дон упускает несколько моментов 1 В природе есть не т... большой текст свёрнут, показать
     
     
  • 11.198, nuclight (??), 13:28, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и Протоколы приложения, которым не пофиг, организуют свои собственные мех... большой текст свёрнут, показать
     
     
  • 12.217, User294 (ok), 15:21, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Допустим есть VoIP Как правило - UDP Ему не пофиг латентность и потери пакетов И... большой текст свёрнут, показать
     
  • 10.148, zmc (?), 18:45, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Блин модераторы зачем пост зарезали там не так много матов было - Для особо уп... большой текст свёрнут, показать
     
     
  • 11.172, User294 (??), 22:56, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну не понимает чувак что в общем случае ремота не обязана быть кооперативной и и... большой текст свёрнут, показать
     
  • 11.196, nuclight (??), 13:17, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, то есть вы предлагаете шейпить ответные ACK и от клиента к отправителю Заг... большой текст свёрнут, показать
     
     
  • 12.210, zmc (?), 14:17, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я конечно не такой умный как Но вот в связке iptables iproute tc , у меня б... большой текст свёрнут, показать
     
  • 9.239, Gra2k (?), 07:45, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Единственный способ контролировать вход это грамотно резать выход, а TCP сам вы... текст свёрнут, показать
     
     
  • 10.240, zmc (?), 09:07, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что вас поразило, то, что мы косвено можем контролировать вход балансируя выхо... текст свёрнут, показать
     
     
  • 11.246, Gra2k (?), 20:17, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы уж тогда определитесь косвенно или единственный способ В любой книге написан... большой текст свёрнут, показать
     
     
  • 12.253, zmc (?), 04:08, 26/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это вы о чем, мы с вами говорим совершенно о разных вещах, не поленитесь перечет... текст свёрнут, показать
     
  • 8.103, www2 (??), 12:31, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Перестаньте гнать пургу и ознакомьтесь со схемой iptables Ознакомьтесь с поняти... большой текст свёрнут, показать
     
     
  • 9.136, Fantomas (??), 16:40, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Причем здесь iptables, mangle, OUTPUT, FORWARD Речь идет про ipfw С ipfw сдел... текст свёрнут, показать
     
     
  • 10.143, vitek (??), 17:04, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    обратно отправишь типа - никого нет дома, заберите назад -D в любом случае, п... текст свёрнут, показать
     
     
  • 11.170, User294 (??), 22:29, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Пожалуется в ООН наверное - вон та нехорошая ремота наплевала на мои тщетные по... текст свёрнут, показать
     
  • 7.262, Freebsdun (?), 23:24, 24/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Если машина - только роутер, и всё - то да Но ipfw может защищать и регулироват... большой текст свёрнут, показать
     
  • 6.46, sauron (ok), 08:22, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >tc хоть и умеет разные дисциплины обслуживания у шейпера - но работает
    >только для исходящего трафика (не надо мне рассказывать о ingress фильтрах
    >- которые делаются через задний проход).

    Шейпер можно ставить только на исходящий трафик. Любые вещи мы повесили фильтр на входящий трафик эмулируются через добавление фильтра на тот интерфейс который является исходящим.
    Учите теорию.


     
     
  • 7.56, iZEN (ok), 08:58, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Шейпер можно ставить только на исходящий трафик.

    Бред.
    Шейпер нужен там, где необходимо резать канал на полосы пропускания с соответствующей политикой занятия полос: пользователи либо равномерно делят всю полосу пропускания канала, либо каждый имеют фиксированные полосы пропускания от общей полосы канала.

     
     
  • 8.60, zmc (?), 09:14, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Блин да скоко вам обьеснять мы можем контролировать шейпером тока НАШ ИСХОДЯЩИЙ ... текст свёрнут, показать
     
     
  • 9.64, Аноним (-), 09:26, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Типичное заблуждение, входящий TCP трафик очень хорошо шейпится за счет удержива... текст свёрнут, показать
     
     
  • 10.68, zmc (?), 09:30, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А как это сделать с помощью tc и pipe в dummynet ... текст свёрнут, показать
     
  • 10.121, User294 (ok), 15:09, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    При условии что ремота - кооперативна, а не просто срет в ваш адрес пакетами, по... большой текст свёрнут, показать
     
  • 10.124, vitek (??), 15:36, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    т е другими словами, тотже эффект - шейпим исходящий трафик для внутренней сети... текст свёрнут, показать
     
     
  • 11.141, Fantomas (??), 16:52, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А если он шакал, не дал админу пароль на торрент ... текст свёрнут, показать
     
     
  • 12.150, vitek (??), 19:07, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    хреновый админ тогда однако у Вас же в бзде дерэйс есть там даже пароли на ssh... текст свёрнут, показать
     
  • 9.139, Fantomas (??), 16:49, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Элементарно Режешь сразу после ната ... текст свёрнут, показать
     
     
  • 10.227, User294 (??), 18:57, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ха-ха, вы снаала получаете пакеты а потом можете их прибить, отполисовать и проч... текст свёрнут, показать
     
  • 8.113, sauron (ok), 14:05, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Поясняю в случае исходящего трафика у вас есть бак с краниками и соотвественно в... текст свёрнут, показать
     
     
  • 9.195, nuclight (??), 13:01, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну что же, если вы использовали такую аналогию, то сами подставились, я не винов... большой текст свёрнут, показать
     
     
  • 10.197, www2 (??), 13:25, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Аналогия не верна и всё дальнейшее - чушь Это ещё могло бы подойти для описания... текст свёрнут, показать
     
     
  • 11.244, Аноним (-), 16:02, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И что характерно у этих упёртых получается Как ни странно входящие шейперы раб... текст свёрнут, показать
     
  • 10.204, sauron (ok), 13:42, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы забыли одну вещь Краник 1 находится у провайдера, а не у вас крутить вы его ... большой текст свёрнут, показать
     
  • 7.63, nuclight (??), 09:22, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Шейпер можно ставить только на исходящий трафик. Любые вещи мы повесили фильтр
    >на входящий трафик эмулируются через добавление фильтра на тот интерфейс который
    >является исходящим.
    >Учите теорию.

    Да-дад, идите учите :) Ситуация наоборот верна, любой исходящий можно заменить входящим трафиком, а описаннное выше нет - ибо между входящим и исходящим интерфейсами есть вычет трафика, предназначенного самому роутящему хосту. См. https://www.opennet.ru/openforum/vsluhforumID3/56111.html#61

     
  • 6.67, KO (?), 09:30, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    gt оверквотинг удален На самом деле Вы сами предложили написать тоже самое, н... большой текст свёрнут, показать
     
  • 5.50, nuclight (??), 08:46, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Например, tablearg, несколько разных тегов на пакете одновременно, OR-блоки внутри одного правила.

    Да, чего нет в ipfw, что есть в ipt, можете мне не рассказывать, я с обоими знаком.

     
     
  • 6.116, Осторожный (ok), 14:49, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Например, tablearg, несколько разных тегов на пакете одновременно, OR-блоки внутри одного правила.
    >
    >
    >Да, чего нет в ipfw, что есть в ipt, можете мне не
    >рассказывать, я с обоими знаком.

    А что есть IPT ?
    http://en.wikipedia.org/wiki/IPT

     
  • 5.59, Spase (?), 09:09, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Навскидку только ipfw, как просили - Таблицы адресов а не таблицы правил с ... большой текст свёрнут, показать
     
     
  • 6.66, nuclight (??), 09:29, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, вообще-то оно нынче уже умеет указывать номер правила в подцепочке -I, --in... большой текст свёрнут, показать
     
  • 6.70, KO (?), 09:38, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Таблицы адресов присутствуют уже с полгода Этого не помню, возможно и нет Весь... большой текст свёрнут, показать
     
     
  • 7.80, piavlo (?), 10:20, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>- Таблицы адресов (а не таблицы правил) с чудным дополнением в виде
    >>tablearg;
    >
    >Таблицы адресов присутствуют уже с полгода.

    А чем таблицы адресов отличаются от ipset?

     
     
  • 8.88, Spase (?), 11:08, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Отсутствием tablearg Опять же, не исключаю, что уже сделали Правда, с трудом п... текст свёрнут, показать
     
  • 7.89, Spase (?), 11:12, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Таблицы адресов присутствуют уже с полгода.

    ...skip
    >Из всего этого напрашивается вывод что Вы не очень хорошо знаете ipt,
    >хотя и не страдаете болезнью господ Умки с иЗеном.

    Да, видимо, отстал от жизни.

     
  • 7.92, Spase (?), 11:28, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>- прямое добавление/удаление правил (попробуйте в iptables вставить/удалить правило в произвольное место
    >>цепочки, а не строго в начало/конец, и проделать это несколько раз)
    >
    >Весьма и весьма давно, года эдак 4 назад как минимум умеем:
    >-I, --insert chain [rulenum] rule-specification

    Это не то. Во-первых, не может быть нескольких правил под одним и тем же номером (хотя, в теории, при такой необходимости их можно вынести в отдельную цепочку). Во-вторых, добавление правила сдвигает всю нумерацию.

    >>
    >>- из последнего вытекает skipto;

    ...аналогов которого я так же не наблюдаю.

     
  • 5.94, Ыку (?), 11:43, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >И вообще, может быть кто-нибудь назовёт те преимущества ipfw, которые не умеет
    >iptables+iproute2+tc?

    Вы сам его привели "iptables+iproute2+tc" вместо 1го файла с приятным и понятным синтаксисом


     
     
  • 6.105, www2 (??), 12:40, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы сам его привели "iptables+iproute2+tc" вместо 1го файла с приятным и понятным
    >синтаксисом

    Ясно, преимуществ нет.

     
  • 2.4, div (??), 23:12, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    нужное дело делают. это не зоопарк, а расширение возможностей. выбор каждый сделает по предпочтениям. отсутствие желания расширять знания -- это личные умственные проблемы проблемы. учитывая сколько хорошего софта заточено под ipfw -- этот проект прекрасная возможность использовать его на линухах. ИМХО.
     
  • 2.241, chuvy (??), 13:23, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лучшеб IMQ уже в ядро внесли совместными усилиями. А так без IMQ согласен вещь очень хорошую сделали. Умеет ограничивать входящий и исходящий траф. И самое главное умеет с таблицами работать(ipfw table), чего не умеет iptables.
     

     ....большая нить свёрнута, показать (92)

  • 1.5, kukulkan (??), 23:22, 22/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Лучше бы PF портировали...
     
     
  • 2.6, div (??), 23:29, 22/06/2009 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Лучше бы PF портировали...

    что это мешает сделать лично вам?

     
     
  • 3.13, Dan (??), 00:53, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +3 +/
    он занят писательством комментариев
     

  • 1.7, Ilya Evseev (?), 23:49, 22/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > а зачем ? им делать нечего ?

    ipfw проще в настройке, например, минимальный файрволл настраивается в четыре наглядных строки:
    ipfw flush
    ipfw add check-state
    ipfw add allow all from me to any out keep-state
    ipfw add deny all from any to any

    В ipfw умеет работать с таблицами IP-адресов. Для iptables есть ipset,
    но большинство дистрибутивных ядер пока собираются без него.

    Но основное преимущество - это (IMHO!) простота настройки dummynet'a
    по сравнению с LARTC для массового шейпирования.

     
     
  • 2.8, Ivan (??), 00:07, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В ipfw умеет работать с таблицами IP-адресов.

    Забавно. А если iptables этого не умеет, то почему жк он так называется? :-)

     
     
  • 3.10, FrBrGeorge (ok), 00:29, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> В ipfw умеет работать с таблицами IP-адресов.
    >
    >Забавно. А если iptables этого не умеет, то почему жк он так
    >называется? :-)

    Потому что он умеет работать с таблицами правил

     
     
  • 4.12, vitek (??), 00:49, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    да куча уже упрощающих "настройщиков" для iptables. в бубунте вот ufw. типа:
    ufw deny proto tcp from 2001:db8::/32 to any port 25
    ufw allow proto tcp from any to any port 80,443,8080:8090
    ufw limit ssh/tcp
    ufw allow from 192.168.0.0/16 to any app Samba
    и т.д., которые разворачиваются в несколько сот строчек.
    и это фронтэнды. они делают своё дело, а iptables - своё.
     
  • 3.57, nuclight (??), 09:09, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По недоразумению В линуксе вообще многое называется не так, как в точности след... большой текст свёрнут, показать
     
     
  • 4.71, KO (?), 09:43, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/

    >в стандартную поставку, из-за чего админам иногда приходится эмулировать его руками
    >(вспоминается DoS башорга).

    Вообще-то проще его поставить руками.

     
     
  • 5.74, KO (?), 09:46, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >
    >>в стандартную поставку, из-за чего админам иногда приходится эмулировать его руками
    >>(вспоминается DoS башорга).
    >
    >Вообще-то проще его поставить руками.

    Более того:
    http://packages.ubuntu.com/search?keywords=ipset
    ставится apt-get-ом.

     
  • 5.77, nuclight (??), 09:55, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>в стандартную поставку, из-за чего админам иногда приходится эмулировать его руками
    >>(вспоминается DoS башорга).
    >
    >Вообще-то проще его поставить руками.

    Ну вот поинтересуйтесь у них, почему у них такой возможности не было, хотя они о нём знали. Пришлось им руками дерево эмулировать, 256 цепочек по октету IP-адреса.

     
     
  • 6.109, www2 (??), 12:56, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Ну вот поинтересуйтесь у них, почему у них такой возможности не было,
    >хотя они о нём знали. Пришлось им руками дерево эмулировать, 256
    >цепочек по октету IP-адреса.

    Радиус кривизны рук наверное большой был, вот и решили не искать лёгких путей.

     
  • 5.86, eye (?), 11:02, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ага, тут выше приводят ссылку:

    >Добавляем правила огранечения по меткам. Далее средствами iptables ставим эти метки.
    >А теперь покажите мне в ipfw организовать хеш-фильтры https://www.opennet.ru/docs/RUS/LARTC/x1661.html

    по ссылке эмулируют хеш лол. вот у них спросите почему они так делают. наверное по-другому не получается.

     
  • 4.108, www2 (??), 12:55, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    gt оверквотинг удален Это уже отдаёт самоцелью Даже теоретически не могу пред... большой текст свёрнут, показать
     
     
  • 5.206, nuclight (??), 13:47, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    gt оверквотинг удален Как раз-таки наоборот Линейная последовательность прави... большой текст свёрнут, показать
     
     
  • 6.209, www2 (??), 14:14, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не согласен В iptables не бывает переходов на правило с произвольным номером, т... большой текст свёрнут, показать
     
     
  • 7.212, vitek (??), 14:49, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Не согласен. В iptables не бывает переходов на правило с произвольным номером, только цепочки - аналог подпрограмм. А вот в ipfw есть skipto - элемент, образующий спагетти.

    ну вообще-то ещё есть:
    $ man iptables
    .................
    -g, --goto chain
                  This  specifies that the processing should continue in a user specified chain. Unlike the --jump option return will not continue processing in this chain but instead in the chain that called us via --jump.

    но это так, к слову.

     
  • 2.33, poige (ok), 07:20, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    1) iptables -P INPUT DROP
    2) iptables -A INPUT -i lo -j ACCEPT
    3) iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    4) echo bingo-bingo
     
     
  • 3.35, www2 (??), 07:23, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >1) iptables -P INPUT DROP
    >2) iptables -A INPUT -i lo -j ACCEPT
    >3) iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    >4) echo bingo-bingo

    Хотел запостить то же самое.

     
     
  • 4.47, poige (ok), 08:29, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И echo bingo-bingo тоже? :-D
     
     
  • 5.106, www2 (??), 12:47, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >И echo bingo-bingo тоже? :-D

    Нет, тут я признаю ваше авторство!

    echo bingo-bingo (с) poige

     
     
  • 6.107, poige (ok), 12:52, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Нет, тут я признаю ваше авторство!
    >
    >echo bingo-bingo (с) poige

    Поржал, спасибо. :-)

     
  • 3.91, none (??), 11:28, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы считаете, что это более читаемо, чем приведённый выше пример??
     
     
  • 4.100, poige (ok), 12:14, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы правда хотите услышать поговорку про то, что мешает плохому танцору, ещё раз? :-)

     
  • 2.219, Дмитрий Ю. Карпов (?), 16:33, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > ipfw проще в настройке, например, минимальный файрволл настраивается в четыре наглядных строки:
    >
    > ipfw flush
    > ipfw add check-state
    > ipfw add allow all from me to any out keep-state
    > ipfw add deny all from any to any

    А в чём сакральный смысл этого набора правил? Разве не достаточно просто не запускать ненужных сервисов? Или дело в атаках типа "from me to me in"?

     

  • 1.11, pipboy_13 (?), 00:40, 23/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отличная новость!! Долгоя этого момента ждал )))
    Шейпить в 10 раз проще станет!
     
     
  • 2.27, User294 (ok), 06:59, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Отличная новость!! Долгоя этого момента ждал )))

    Забыл съесть сникерса?Кому оно было надо - уже давно шейпили.Не, если у кого радиус кривизны рук заточен именно под эту штуку - отлично.Но как бы есть ряд решений по шейпингу и без этой штуки.На разные вкусы.Еще +1 - не есть плохо, но и супер-дупер достижением не является.Просто очередной прибабах на выбор.

     
     
  • 3.37, TrueHead (ok), 07:28, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я как раз ищу решения для шейпинга, может подскажите? https://www.opennet.ru/openforum/vsluhforumID1/85691.html#0
     

  • 1.14, bmnbmn (?), 00:59, 23/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    УРАААААА!!!! ждем теперь PF!! вот его то особо не хватает!
     
     
  • 2.15, cyberpokemonus (?), 01:05, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >УРАААААА!!!! ждем теперь PF!! вот его то особо не хватает!

    да сносите вы нафиг свой Linux, сетапте опенка и будет вам еще много много счастья кроме PF =))

     
     
  • 3.16, bmnbmn (?), 01:32, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    не ради холивора будет сказано, но как поддерживать то его??
    поставил убунту - всё обновляется со скоростью света. и adobe flash player(!!!!!) и firefox и thunderbird... а с опнбсд? всё старое, дыревое, рекомендуемый способ установки - из прекомпилированных пакаджей. а оно там обновляется раз в год.. в общем возни с ним - не оберешься..
    и где безопасность? да.. компилять.... каждый день что ли? мне же РАБОТАТЬ надо.
    простите но это не для меня..
    опенбсд на серваке хорош, где не много сервсисов крутится. Или где нужно вылизанное ядро(в плане секурити)... В общем не для нас.
     
     
  • 4.20, yason (?), 02:24, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не вижу смысла в шейпинге на воркстейшене - нет проблем с флешплеером Сама сис... большой текст свёрнут, показать
     
     
  • 5.28, User294 (ok), 07:04, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Не вижу смысла в шейпинге на воркстейшене -> нет проблем с флешплеером.

    Интересная логика...

    > и потребления электроэнергии.

    А что, в OpenBSD какие-то крутые технологии энергосбережения, лучше чем у других?Или это намек на то что компьютер с оным, особенно если десктопный, имеет смысл включать только по праздникам?Ну там посмотреть, обновить и выключить.Все-равно большинству юзеров (почувствуйте разницу - не "фанатов марки" а именно обычных юзеров) такая "десктопная" система никуда не впилась.Конечно и ежа можно научить летать при помощи пинков.А опенка - быть десктопом.А это надо?Ну, фанатам марки - да, из принципа.А остальным оно нафига?

     
     
  • 6.83, yason (?), 10:26, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Логика простая - мы, вроде, про серверное применение говорили Нет Но вы подума... большой текст свёрнут, показать
     
  • 6.186, EVS21 (??), 11:40, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А это надо?Ну, фанатам марки - да, из принципа.А остальным оно нафига?

    Как фанат фанату? :) Или все-таки каждый пользует то, что ему больше нравится и удобнее?

     
  • 5.38, User294 (ok), 07:29, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >- не проблема, а вот с некотроым софтом бывают заковырки -
    >типа изменили формат конфига...

    Дебианщики и убунтуйцы это достаточно хитро разруливают.До обновления версии системы они как максимум подновляют минорные версии софта в репах, а то и вовсе бэкпортят секурити фиксы на старые версии софта.Что отстреливает подобный тип проблем и достаточно кардинально.Зато порождает иные - иногда имеется несколько устаревший софт и убедить фруктов содержащих репы подтянуть его версию - геморрой тот еще.Они в этом плане весьма нервные.Что в убунте что в дебиане.

     
     
  • 6.102, www2 (??), 12:21, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >убедить фруктов содержащих репы подтянуть его версию - геморрой тот
    >еще.Они в этом плане весьма нервные.Что в убунте что в дебиане.

    Про убунту не знаю, зато скажу про дебиан. Бога ради, даже не пытайтесь рассчитывать на положительный ответ. Это строгая регламентированная документом политика - это всё равно что пытаться подбить на преступление у всей общественности на глазах.


     
     
  • 7.173, User294 (??), 23:15, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >это всё равно что пытаться подбить на преступление у всей общественности
    >на глазах.

    Ослиное упрямство не делает чести людям ИМХО.Я бы предпочел если бы вместо ослиного упрямства была бы разумная ориентировка по ситуации.Нацеленная не на формализм до буквы а на реальное качество дистрибутива.

    А то очень уж все это напоминает фантастический рассказ про железного Бисмарка и тосты.
    (http://lib.ru/INOFANT/SILVERBERG/rob.txt)

     
     
  • 8.177, www2 (??), 07:10, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А кто будет определять степень и грань разумности Не получится ли так, что кажд... большой текст свёрнут, показать
     
  • 8.188, EVS21 (??), 11:44, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вы бы предпочли, чтобы с вашей точки зрения упрямство было бы ну и т д Стр... текст свёрнут, показать
     
     
  • 9.191, www2 (??), 12:43, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    fixed ... текст свёрнут, показать
     
  • 9.211, User294 (ok), 14:25, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, а в итоге все порой приходит к пичканию всех древним софтом for no reasons П... большой текст свёрнут, показать
     
     
  • 10.213, www2 (??), 14:51, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У nginx вообще до недавних пор стабильных версий не было А это значит, что наря... большой текст свёрнут, показать
     
     
  • 11.248, User294 (??), 23:08, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот это - хорошо сказано И именно в этом плане дебиан хорошая система Иногда Да... большой текст свёрнут, показать
     
     
  • 12.254, www2 (??), 08:15, 26/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если _обычно_ - это уже не подходит На брудершафт не пили, но Вы вызываете у м... большой текст свёрнут, показать
     
     
  • 13.255, User294 (ok), 17:55, 26/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Т е предполагается что для майнтайнера включить мозг при пересборке пакета и пр... большой текст свёрнут, показать
     
     
  • 14.257, www2 (??), 17:25, 27/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Предполагается что пользователи Debian должны быть на 100 уверены, что изменени... большой текст свёрнут, показать
     
  • 5.40, Brain (??), 07:45, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и сколько всего серверов? И что нибудь посерьёзней чем почта и proxy есть?
    VPN сколько тянет подключений и на какой скорости?
     
     
  • 6.85, yason (?), 10:35, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну и сколько всего серверов? И что нибудь посерьёзней чем почта и
    >proxy есть?
    >VPN сколько тянет подключений и на какой скорости?

    А что вы понимаете под "посерьёзней"? У меня всё это для работы стоит.

    3 сервера с рейд-массивами (своеобразное разделение файлсервера)
    1 сервер бэкапов
    1 почтарь с постфиксом, спамд и кламавом
    1 прокся со сквидом, дружащим с AD
    1 веб сервер
    1 ВПН - конечная точка ipsec туннеля. Работает шлюзом для прокси и дает где-то 8 мбитный туннель до удалённого офиса. Плюс по мелочам пару человек из дома через него ходят в рабочую сеть.

     
  • 4.87, тигар (ok), 11:07, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >не ради холивора будет сказано, но как поддерживать то его??
    >поставил убунту - всё обновляется со скоростью света. и adobe flash player(!!!!!)
    >и firefox и thunderbird...

    OMG. Я нашел человека который шейпит на десктопе. Или Вам на сервере нужен флешь и прочие продукты тормозилло фаундешн?;))

    >а с опнбсд? всё старое, дыревое, рекомендуемый
    >способ установки - из прекомпилированных пакаджей. а оно там обновляется раз
    >в год.. в общем возни с ним - не оберешься..

    А мужики из openbsd team и не знали, напишите им об этом.
    p.s. поздравляю юзеров linux с появлением фаервола у них.

     
  • 4.242, chuvy (??), 13:40, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Пипец. Во фре порты обновляются можно сказать мнгоновенно. Недавно вышел clamav обновил сразу после оповещения новости на опеннете. А в генту 2 недели ждал пока закинут.
     
     
  • 5.247, Аноним (-), 22:16, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это ж от конкретного ментейнера зависит а не от системы.
     

     ....большая нить свёрнута, показать (23)

  • 1.23, RapteR (ok), 04:11, 23/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Наверное Марта очень красивая, раз смогла возбудить, тфу, побудить Луиджи Риццо так быстро портировать то, что долгое время считалось не портабельным. :)
     
  • 1.29, northbear (??), 07:05, 23/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    М-да... Вот что значит, выдернутая из контекста новость. Марта провела работу по ревизии кода и по четкому разделению userspace и kernel-dependent кода ipfw. Одним из следствий этой работы должно было стать простота портирования front-end'а ipfw на любую другую платформу. Что собственно и было продемонстрировано.

    Сомневаюсь что кто-то всерьез будет поддерживать ipfw на платформе Linux. Никаких принципиальных преимуществ у ipfw перед iptables кроме чуть более простой интеграции за счет простоты структуры конфига, нет.

    А вот от порта pf я бы действительно не отказался. Pf за счет поддержки внешних таблиц ip-адресов в плане возможностей автоматизации и интеграции наилучший на сегодняшний день.

     
     
  • 2.43, ImSolo (?), 08:09, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Стоит сторонний софт, который по ssh работает только с ipfw. Фряху держали только ради него. Теперь там будет линукс и два сервера сольются в один.
     
     
  • 3.52, morten (?), 08:48, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что вам мешало создать bash-скрипт /sbin/ipfw, который бы
    элементарно синтаксис команд конвертил?! Уверен, что софт ничего сложного не делал - банальные allow/deny...
     
     
  • 4.132, Осторожный (ok), 16:32, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А что вам мешало создать bash-скрипт /sbin/ipfw, который бы
    >элементарно синтаксис команд конвертил?! Уверен, что софт ничего сложного не делал -
    >банальные allow/deny...

    Фигня вопрос.
    Тогда может полный синтаксис ipfw сделаешь ?
    Там вообще одна полезная команда - add.
    Ну что тебе стоит сделать одну команду ?

     
  • 2.79, poige (ok), 10:01, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Pf за счет поддержки внешних таблиц ip-адресов в плане возможностей автоматизации
    > и интеграции наилучший на сегодняшний день.

    man ipset (google linux ipset)


     
     
  • 3.93, charon (ok), 11:39, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    этот способ абсолютно не годится. ipset везде надо вручную вкомпиливать в ядро. Ядро Линукса обновляется почти каждый месяц. Вы думаете всем нефиг больше делать?
     
     
  • 4.97, Sergey Lychko (?), 11:55, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если Вы обновляете ядро на всех доступных машинах "почти каждый месяц" - Вам действительно нефиг делать :) Ничего личного, если что.
     
     
  • 5.98, charon (ok), 12:02, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Если Вы обновляете ядро на всех доступных машинах "почти каждый месяц" -
    >Вам действительно нефиг делать :) Ничего личного, если что.

    я обновляю ядро по мере появления критичных ошибок безопасности. И такое бывает весьма часто.

     
  • 3.130, northbear (??), 16:00, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >man ipset (google linux ipset)

    Ну, я бы сильно удивился, если бы на Linux'е не было вообще никакого аналога. Кстати, спасибо за подсказку, посмотрю. Правда Linux у меня на десктопе стоит, тут ipset вряд ли работа найдется. Но для общей эрудиции будет полезно...

     

  • 1.48, whip (?), 08:42, 23/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    лучше-бы под винду портанули
     
     
  • 2.53, morten (?), 08:48, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >лучше-бы под винду портанули

    ipfw под винду УЖЕ НЕСКОЛЬКО ЛЕТ как есть

     
  • 2.84, hhg (ok), 10:32, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    с 2004 года есть.

    http://wipfw.sourceforge.net/

    http://sourceforge.net/project/showfiles.php?group_id=113599

    experimental 0.3.2
    current 0.2.8
    stable 0.2.7

     
     
  • 3.256, Минас (ok), 03:58, 27/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1. Под Windows есть
    2. но только для до Windows XP включительно:
    на Vista не работает

    хуже того: похоже и не будет его под вистой: Microsoft поменяла ядро, и сняла все те механизмы.

     

  • 1.110, sergey (??), 13:40, 23/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как на счет совместимости лицензий?
     
     
  • 2.111, www2 (??), 13:49, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >А как на счет совместимости лицензий?

    А что с ними? Лицензия BSD позволяет брать код и выпускать его под любой лицензией. GPL'щики в BSD-кода кормятся точно так же, как и проприетарщики.

     
     
  • 3.179, oops (?), 07:24, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>А как на счет совместимости лицензий?
    >
    >А что с ними? Лицензия BSD позволяет брать код и выпускать его
    >под любой лицензией.

    Лицензия BSD позволяет брать код, но лицензия на это код остается BSD.

    GPL'щики в BSD-кода кормятся точно так же, как
    >и проприетарщики.

    Все кормятся друг у друга. Только с GPL это не афишируется.

     
     
  • 4.182, www2 (??), 07:40, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну-ка ну-ка, попросите у мицросовт BSD-шный сетевой стек из винды Или BSD-код J... большой текст свёрнут, показать
     
     
  • 5.187, oops (?), 11:43, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не путаем теплое с мягким. Я не говорю про дележку. Мой код остается МОИМ куда бы его не включили. Используете? - на здоровье. Т.е. применяя BSD я говорю - "господа, я тут что-то накропал. Если пригодится - берите ради бога". И потому сплю спокойно и имею хороший аппетит. Т.к. не переживаю, что кто-то заныкал часть собственного творчества. Не моего!.
     
     
  • 6.190, www2 (??), 12:38, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Не путаем теплое с мягким. Я не говорю про дележку. Мой код
    >остается МОИМ куда бы его не включили. Используете? - на здоровье.
    >Т.е. применяя BSD я говорю - "господа, я тут что-то накропал.
    >Если пригодится - берите ради бога". И потому сплю спокойно и
    >имею хороший аппетит. Т.к. не переживаю, что кто-то заныкал часть собственного
    >творчества. Не моего!.

    И о чём спор? Вернитесь по ветке выше к самому первому вопросу: "А как на счет совместимости лицензий?" GLP+BSD=GPL Всё совместимо в пользу GPL, пользоваться фаерволлом из FreeBSD в Linux'е можно.

     
     
  • 7.215, oops (?), 15:13, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    давайте вернемся:
    > Лицензия BSD позволяет брать код и выпускать его под любой лицензией

    это в корне неверно.

     
     
  • 8.228, vitek (??), 18:58, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    зато в хоме отлично отрабатывает ... текст свёрнут, показать
     
     
  • 9.235, oops (?), 05:41, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Один раз вы уже попробовали http www opennet ru opennews art shtml num 11844 ... текст свёрнут, показать
     
     
  • 10.237, www2 (??), 07:31, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это называется Тео развонялся Он начал требовать изменения в коде драйвера ath5... большой текст свёрнут, показать
     
     
  • 11.250, User294 (??), 23:37, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Походу кому-то не нравятся последствия выбора лицензии А чем они думали выбирая ... текст свёрнут, показать
     
  • 8.249, User294 (??), 23:34, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, под почти любой Ограничений в BSDL немного Поэтому можно переиначить си... текст свёрнут, показать
     

     ....большая нить свёрнута, показать (11)

  • 1.119, solarw (?), 15:00, 23/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вопрос уважаемым знатокам!
    Поставил себе на убунту ipfw

    настроил раздачу инета через NAT  в iptables
    подгружаю модуль ipfw_mod, NAT прекращается

    счетчик пакетов тикает в iptables  цепочке FORWARD и правиле ipfw

    но на POSTROUTING  в iptables правила не срабатывают

    в linux как понимаю нет natd,  а inkernel nat просто не реализован в текущей версии ipfw для linux.
    есть и ещё какие-нибудь решения по одновременно работе NAT  и ipfw под linux?

     
     
  • 2.220, Дмитрий Ю. Карпов (?), 16:55, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Если я правильно протелепатировал, в модуле_ipfw по умолчанию "deny from any to any". Добавь разрешающее правило.
     
     
  • 3.243, chuvy (??), 13:54, 25/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    + ipfw nat смотрите
     

  • 1.131, Аноним (-), 16:01, 23/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Некоторые так возмущаются о портирование будто вас призвали портировать а вы не хотите этого делать, раз начали портировать значит кому то это интересно а значит это имеет место быть
     
  • 1.137, Аноним (-), 16:46, 23/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    по шейпу вход. трафика есть IMQ
    http://www.linuximq.net/usage.html
     
  • 1.152, Илья (??), 21:04, 23/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вот такое напишите на iptables ?


    ipfw add 1 prob 0.01 deny icmp from any to me recv em0 xmit em2


     
     
  • 2.153, poige (ok), 21:25, 23/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >ipfw add 1 prob 0.01 deny icmp from any to me recv
    >em0 xmit em2

    Вот такое напишите на ipfw2: http://www.netfilter.org/projects/patch-o-matic/pom-external.html

     
  • 2.180, zmc (?), 07:31, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Илья мне кажется вы плохо знаете ipfw Обьясню почему Чисто со стороны логики е... большой текст свёрнут, показать
     
     
  • 3.189, poige (ok), 12:03, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >оригиналу увы нет.
    >
    >iptables -t mangle -A POSTROUTING -p icmp -i eth1 -o eth2 -j
    >PROB
    >iptables -t mangle -A PROB -m statistic --mode random --probability 0.01 -j
    >DROP

    Так не покатит -- "Can't use -i with POSTROUTING" (но это можно обойти при помощи меток для пакетов). Что касается не/-правильности синтаксиса у приведённой строки на ipfw, то, увы, человек действительно не понимает, что он пишет.

     
  • 3.199, Илья (??), 13:33, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    у iptables к сожалению нет понятия "me", этого наиболее жаль. с вероятностями и in/out - практически одинаково, что на iptables, что на ipfw
     
  • 2.181, zmc (?), 07:35, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Илья я конечно может многово не знаю, но мне вот на вскидку трудно найти применение этому правилу.

    Это знаете типа - Илья умеет какать в бутылку, это никому на*ер не нужно но он умеет :-)

     
     
  • 3.200, Илья (??), 13:34, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Илья я конечно может многово не знаю, но мне вот на вскидку
    >трудно найти применение этому правилу.
    >
    >Это знаете типа - Илья умеет какать в бутылку, это никому на*ер
    >не нужно но он умеет :-)

    хотя бы аналог "me" покажите в iptables

     
     
  • 4.201, Andrey Mitrofanov (?), 13:37, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >хотя бы аналог "me" покажите в iptables

    Я не знаю, кто такой "me", но цепочки INPUT и OUTPUT - не оно?

     
  • 4.207, zmc (?), 13:50, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >хотя бы аналог "me" покажите в iptables

    Да без БЭ - -m addrtype --dst-type LOCAL.

    Если вы не осилили man iptables то это еще не говорит о том что ipfw конкурент iptables'у
    Если бы сравнивали с pf - я еще понимаю, а ipfw не конкурент :-)

     

  • 1.222, safron (?), 17:18, 24/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    насколько я помню в линуксе собирались переписать iptables ради человеческого синтаксиса. Как с этим обстоит дело?
     
     
  • 2.225, Andrey Mitrofanov (?), 18:06, 24/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    google.ru + nftables

    ...рассказал бы Вам, что http://www.netfilter.org/news.html#2009-03-18 вышел его первый релиз, который "is considered alpha quality and is not meant for users at this time", о чём писали многие новостные сайты. // http://marc.info/?l=linux-netdev&m=123735060618579 http://lwn.net/Articles/324989/ http:/openforum/vsluhforumID3/50862.html

    А так -- "мыж никогда не узнаем"(тм)

     

  • 1.259, tor (??), 10:09, 30/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://www.rootconf.ru/papers2009/12352.html
    Интересная инфа по ipfw
    Думаю ng пока непортирован под linux так что линуксоидам остается ждать ...
     
     
  • 2.260, www2 (??), 12:48, 30/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >http://www.rootconf.ru/papers2009/12352.html
    >Интересная инфа по ipfw
    >Думаю ng пока непортирован под linux так что линуксоидам остается ждать ...

    Чего ждать-то? Каких-то абстрактных вкусностей?

    Линуксоиды решают конкретные практические задачи. В том числе с помощью Xen (полноценной поддержки которого во FreeBSD нет), OpenVZ (аналога которому во FreeBSD вообще нет). Наслаждаются полноценной работой системы на архитектурах MIPS и ARM, гоняют без геморроя Oracle, пользуются полноценными системами пакетного менеджмента, которые позволяют не пересобирать программу на каждый чих.

    А вы о каком-то NetGraph и ipfw, который NAT на уровне ядра только-только научился (и до сих пор не позволяет несколько PPTP-подключений из-за NAT'а).

     

  • 1.261, danmer (ok), 08:57, 04/07/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вопрос к знатокам ipfw. Можно ли в нем реализовать нечто подобное?

    $IPTABLES  -A INPUT -p TCP --dport 22 -m state --state NEW -m recent --name SSHR --set
    $IPTABLES  -A INPUT -p TCP --dport 22 -m state --state NEW -m recent --name SSHR --update --seconds 60 --hitcount 4 -j DROP
    $IPTABLES  -A INPUT -p TCP --dport 22 -m state --state NEW -j ACCEPT

    p.s. Вопрос не флэйма ради, а чисто из практической необходимости использовать аналогичную штуку под фрей.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру