LINUX.ORG.RU

Оптимизация правил межсетевого экрана PF


0

0

Daniel Hartmeier решил опубликовать несколько статей о PF. Изначально, статьи были написаны как части некой книги, но выпуск книги был отменён. К счастью, удалось спасти права на публикацию материалов, и Daniel решил опубликовать три статьи как эксклюзивный материал для читателей Undeadly.Org.

PF -- межсетевой экран, оригинально разработанный на OpenBSD, и портированный на другие операционные системы семейства BSD и Microsoft Windows 2000/XP.

>>> Часть 1: Firewall Ruleset Optimisation

★★★

Проверено: Obidos ()
Ответ на: комментарий от anonymous

>а ты как думаешь? если даже на Мастдай портировали? ссылку плииз мечта просто поменять iptables на pf

anonymous
()
Ответ на: комментарий от abbath

>freebsd.org шутник?ок тогда прямую ссылку я может дурак не нашел там пакета например для дженты?или debiana:)

anonymous
()
Ответ на: комментарий от anonymous

> ссылку плииз мечта просто поменять iptables на pf

Ох, не у вас одного :))

codebuger
()

А под портом на винду подразумевается CoreForce или еще чего есть?

anonymous
()
Ответ на: комментарий от anonymous

По-моему, портирование pf под Linux не самая простая задача. Ведь изначально этот фильтр писался под OpenBSD и ее сетевой стек. В OpenBSD, поправьте меня, если я ошибаюсь, используется KAME. А у Linux своя архитектура и не самя очевидная.

parser ★★
()

У меня на фряшке прикручен pf. Вот все фтп-клиенты наружу пускает, кроме gftp!

....
PWD

257 "/"
Loading directory listing / from server (LC_TIME=ru_RU.KOI8-R)
PORT 192,168,1,130,164,236

200 PORT command successful. Consider using PASV.
LIST -a

На сём виснет.

Позже выдаёт:

425 Failed to establish connection.
Отключение от сервера 81.222.134.14

А всё остальное меня в нём вполне устраивает! ;)

vovans ★★★★★
()
Ответ на: комментарий от vovans

попробуй pftpx из портов - это новая реализация из OpenBSD

anonymous
()

Н-да.. Просмотрел статью.. В инглише не силён... Можно как-нить запретить конкретному ip в локалке использовать какой-то порт с помощью pf? Типа:

block from 10.1.2.3 port icq

или как?

vovans ★★★★★
()
Ответ на: комментарий от FatBastard

pftpx это что? Синтаксис конфига тот же? и вообще.. Чем оно отличается от pf?

vovans ★★★★★
()
Ответ на: комментарий от Bohtvaroh

>Скажите, чем pf лучше iptables + iproute2 ? удобство синтаксис возможности

anonymous
()
Ответ на: комментарий от Bohtvaroh

пофиг ;)Сделал уже:

block out proto { tcp, udp } from 192.168.2.18 to any port 5190

ЗЫ сочувствуютебе ;) мы вот контору на линух переводим. А я сколько работаютут, так у меня ни разу венды не стояло ;) Теперь вотлюдей приобщаю ;)

vovans ★★★★★
()

Спасибо, почитаем как-нибудь на досуге..

MiracleMan ★★★★★
()
Ответ на: комментарий от vovans

>block out proto { tcp, udp } from 192.168.2.18 to any port 5190
Хм.. на сколько помню в аське можно указывать к какому порту цепляться, так что не спасет.

anonymous
()

Те, кто заявляет про удобство, возможности и тп pf по сравнению с iptables могут мне ответить на простой вопрос? pf умеет трекать фтп? Если нет, то разговор закрыт.

green_forest
()
Ответ на: комментарий от MakcuM

block in quick on $ExtIf inet proto tcp from { 205.188.0.0/16, 64.12.0.0/16 } to any flags S/SA
block in quick on $IntIf inet proto tcp from any to { 205.188.0.0/16, 64.12. 0.0/16 } flags S/SA

Sun-ch
()


iptables модульный,легко расширяемый (pom, etc), гибкий. при большом трафике медленее pf намного

pf быстрее iptables,синтаксис от ipf,таблицы адресов,etc

PS прикрутить pf к netfilter не так уж и сложно..тока это нафиг никому не надо, когда есть iptables

Cosmicman ★★
()
Ответ на: комментарий от green_forest

> Те, кто заявляет про удобство, возможности и тп pf по сравнению с
> iptables могут мне ответить на простой вопрос? pf умеет трекать фтп? 

pf как и нормальный фильтр пакетов не работает выше транспортного
уровня стека. поэтому -- разумеется нет. но никто не мешает для
поддержки прикладного уровня использовать отдельные прокси сервера.
для pf стандартным является вышеупомянутый pftpx (сейчас он заменил
старый ftp-proxy в OpenBSD). еще вариант: ftpsesame.

anonymous
()
Ответ на: комментарий от Cosmicman

>iptables модульный,легко расширяемый (pom, etc), гибкий. при большом трафике медленее pf намного

если медленность заключается в прохождении каждого правила в цепочке, то:

1) http://www.netfilter.org/projects/ipset/index.html
2) http://www.hipac.org/

dotcoder ★★★★★
()
Ответ на: комментарий от dotcoder

> >iptables модульный,легко расширяемый (pom, etc), гибкий. при большом > трафике медленее pf намного
>
> если медленность заключается в прохождении каждого правила в цепочке, > то:
> 
> 1) http://www.netfilter.org/projects/ipset/index.html
> 2) http://www.hipac.org/

вот как раз по этому админы OpenBSD и не понимают админов Linux:
в OpenBSD не надо систему собирать с миру-по-нитке, накладывая
мало-вменяемые патчи.

разница в подходе: у openbsd подход Just Works, или "всё включено".
у линукс: а не собрать ли нам велосипед.

однако, иногда сборка велосипеда (ну или хотя бы наличие нескольких
путей сделать что-то) в Linux дает горааааздо лучший результат: например
при выборе файловой системы.

однозначности нету, быть не может и это замечательно: используй молоток
когда нужно забивать гвозди и топор когда рубишь дрова...

под каждую задачу можно всегда найти более адекватный инструмент.

anonymous
()
Ответ на: комментарий от anonymous

>используй молоток когда нужно забивать гвозди и топор когда рубишь дрова...

помню, как-то в молодости забивал гвозди топором (обратной стороной, ессно). Интересно, меня за это расстреляют? :)))

по теме: linux гибче. Но за это приходится платить временем настройки. И это - мой путь (я лучше лишние два дня провожусь - но потом все будет работать как часы).

gr_buza ★★★★
()
Ответ на: комментарий от gr_buza

>помню, как-то в молодости забивал гвозди топором

А потому что ламерок и топор у тебя был - гавно, настоящий плотник за такие дела сразу руки и яйца оторвал бы.

Sun-ch
()
Ответ на: комментарий от Sun-ch

Эх, как же я мечтаю сменить pf на iptables....

anonymous
()
Ответ на: комментарий от anonymous

на самом деле, в Линуксе для каждой задачи - свой инструмент: для забивания гвоздей - молоток, для того, чтобы рубить дрова - топор, и т.д.

dotcoder ★★★★★
()
Ответ на: комментарий от dotcoder

>на самом деле, в Линуксе для каждой задачи - свой инструмент: для забивания гвоздей - молоток, для того, чтобы рубить дрова - топор, и т.д

А для администрирования - бубен и волшебная палочка.

Sun-ch
()
Ответ на: комментарий от Sun-ch

бубен - вообще универсальный инструмент, не только для линукса :)) помню пляски с данным орудием вокруг FBSD серваков в далекой молодости :)

isden ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.