Обработка строк файерволом FreeBSD

1

2

Существует ли во FreeBSD аналог модуля string в iptables или что то похожее по функционалу?

Ссылка

←	OpenVPN урезает скорость

Ввести компьютер в домен

→

может и есть, но я не нашел
https://www.freebsd.org/doc/handbook/firewalls.html

reprimand ★★★★★
(08.10.14 17:09:35 MSK)

Ответ на: комментарий от reprimand 08.10.14 17:09:35 MSK

http://nuclight.livejournal.com/122098.html Как вариант.

InventoR
(08.10.14 22:31:09 MSK)

Ссылка

Ты хочешь фильтровать по строковому выражению? Но как же фрагментация пакетов? Не знаю, умеет ли pf матчить по целостному выражению,собирая все пакеты вместе? Если не умеет, то когда фаер будет искать строку «dropthis», злоумышленник отправит два пакета с «drop» и «this», пройдя через фаер. Профит.

ИМХО, лучше матчить чем-нибудь другим. Осторожнее быть с ним.

Реальный случай: на одном ДНС-сервере поставили фильтр в iptables по string. У клиента не отправлялась почта на какой-то домен, искали причину. Долго искали. В итоге оказалось, что название домена в комбинации с какими-то байтами в пакете подпадали под зловещий string, и пакет дропался.

leader32 ★
(09.10.14 10:36:34 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	OpenVPN урезает скорость

Admin

Ввести компьютер в домен

→

Похожие темы