НА сегодняшний день - это наверняка будет лучшим фильтром для РС - ИМХО специально для тех кто говорил о достоинствах Нет Фильтр в Линукс - про МАК адреса (- защиту от подмены -) - там это очевидно уже будет решаться проще - но в FreeBSD - это делалось через арпвотч и заморозкой МАК! (- а то некоторые анонимусы говорили что в БСД такая возможность просто отсутствует -)

Гм хорошо работают=) Интересно было бы увидеть коментарии Darren Reed'a по поводу написаного...

Народ, объясните, почему команда OpenBSD не может дописать ipf? Ведь лицензия BSD вроде позволяет...

Либо они изобретут новый велосипед.
Либо напишут все с нуля.
С нуля тоже бывает полезно писать :-)

2GORINYCH
Ну, Вы, батенька, ваще...

Во-первых, мне чертовски нравится формулировка "это наверняка будет лучшим фильтром для РС ". Вот знаете ли когда будет, тогда и поговорим...
Во-вторых, кроме мак адреса в нетфильтре есть еще куча всяких вкусностей, которых, кажется, в бсд нет.. (но я могу ошибаться).
Ну а в-третьих, "будет лучшим фильтром для РС " - это совсем уж круто... прямо слезы умиления на глазах... Вы хоть что-нибудь ("на сегодняшний день" :)) )кроме фряшно-линуксовых пакетных фильтров то видели?

2Krause - я говорил про РС!!! - вы хотите мне рассказать о достоинствах АТГуарда или Симантек НЕТ Гуард - ах ну да они же под винсокет - ах как жаль - зато столько возможностей!))() - блин - а что у ВАС еще кроме фряхи и Линуха на РС нормально работает - Винда!! - Вы хотите может сказать что в винде может быть неплохой фильтр???!!!??? а так мне вообще-то PIX очень по душе! - но не в том же вопрос! - у меня такое впечатление - что мне все же про Майкрософт хотят что-то впарить - не так ли уважаемый??? - как Вы можете на таком дерьмовом сокете еще какие-то там нет фильтры делать?? Да кстате совсем забыл - когда будешь ставить другой фильтр на машину РС которая "не Фряха и не Линакс" - айпишник сервера выстави-ка в форуме! Я точно знаю что для РС - "все остальное" в плане фильтров это чесс!!

2Krause - фильтров я видел предостаточно)()(

2Krause - давайте по порядку - какой конкретно фильтр и на какой платформе? ну на раз назовите мне?

Gorinych

ваш стиль писАния вызван тем, что головы по очереди говорят? ;) wbr ps. ну не смог удержаться :)

2 anonymous (*) (2001-06-26 12:14:45.0) 5 Баллов!

> Народ, объясните, почему команда OpenBSD не может дописать ipf? > Ведь лицензия BSD вроде позволяет...

Никита, оно не open-source. И не BSD. Даррен сменил лицензию IPFilter на "freeware в сорцах". Собственно, поэтому де Раадт начал OpenIPF.

2GORINYCH
Эдак, тебя, Батенька, разнесло то...
"Винда!! "
- Где????!!!
Про винду я, кажется, ничего не говорил.
"давайте по порядку - какой конкретно фильтр и на какой платформе? ну на раз назовите мне?"
На платформе - PC
OC Solaris 7 для интел
CheckPoint Fw-1
Заделайте мне, на фряшном фильтре или на линуксом IPtables, не говоря об ipchains файрвол со Stateful inspection, с НОРМАЛЬНОЙ трансляцией адресов, с нормальной и удобной системой администрирования удаленных файрвольных машинок (те кто правил скрипты ipchains по SSH на машинах в каком-нибудь мухосранске с таймаутом в 2-3 секунды меня поймут)с нормальным просмотром логов в онлайне и тд.

Вы можете, уважаемый, на фряшном фильтре на сегодняшний день поставить ограничение на количество открытых коннектов с одной машины? А PortScan detection? А? А рубить фрагменты пакетов по длинне? А Ограничение действия правила по времени суток без крона? А ограничение количества проходящих пакетиков за время (ну за секунду например)? Traffic Shaping Вы можете на фряшном фильтре заделать?
Да, про чекпойнт я молчу, все пречисленное в последнем абзаце можно сделать на IpTables. Если я насчет фряхи ошибся (при всем моем к ней уважении) кто-нибудь поправьте меня. А Вы, GORINYCH, перед этим отрорвитесь от компа и суньте голову под кран с холодной водой. Я кажется в Вами эта... вполне вежливо разговаривал. Или Вы с рождения нервный?:))

ps. Чекпойнт есть и под линукс, но это отдельная (и местами грустная) песня, и под винды... Может и под фряху, я не знаю, не слышал ничего об этом.

ДА, список можно продолжить. Astaro Security для Linux, T.REX Firewall (я с ними не работал). Может еще чего вспомню.

> Заделайте мне, на фряшном фильтре или на линуксом IPtables, не > говоря об ipchains файрвол со Stateful inspection IPF, NetFilter оба stateful. Вам напомнить про FTP-bug в FW-1? ;) И про то, какое там stateful? ;))) И про то, что единственным способом избариться от проблем с FW-1 на солярисе долго была сборка и установка IPF там же.

Впрочем, хорошо известно, что для оптимальной защиты нужно сочетать packet-filter с stateful inspection и application level proxy.

А скрипты с IPchains никто по ssh не правит. все делают файл правил на локальной машине а потом по scp заливают туда и говорят ipchains-restore.

То, что сказано вами в последнем абзаце проделывается с IPF в том числе.

Таким образом иных достоинств короме консоли управления у FW-1 не обнаружено.

PS. Чует мое сердце, придет Арканоид... ;)

> ваш стиль писАния вызван тем, что головы по очереди говорят? ;)
Здорово подмечено:) Сразу соответствующая картина перед глазами
возникла, давно я так не смеялся:)))

> оно не open-source. И не BSD. Даррен сменил лицензию IPFilter на "freeware в сорцах". Собственно, поэтому де Раадт начал OpenIPF.

Это нетак. Лицензия на ipfilter не менялась, и как и была так и остается OpenSource.

> А скрипты с IPchains никто по ssh не правит. все делают файл правил на локальной машине а потом по scp заливают туда и ... scp говоришь? Это чтоб все править могили, я чувствую! Добрый ты ... ;-)

2Krause - ну опять Вы про удобства и "открытые возможности" - ценность фильтра не в этом -

2 GORINYCH "Да кстате совсем забыл - когда будешь ставить другой фильтр на машину РС которая "не Фряха и не Линакс" - айпишник сервера выстави-ка в форуме! Я точно знаю что для РС - "все остальное" в плане фильтров это чесс!! " Валяй, мыло оставь свое, я тебе IP скину... :) Только не в форуме, извини. Логи потом затрахаюсь разгребать.

2oxonian "IPF, NetFilter оба stateful" На уровне протоколов приложений? Линуксовый точно нет. Попробуйте отфильтруйте на нем урлы или заголовки почты.

"Вам напомнить про FTP-bug в FW-1? ;)" Баги, кажется, есть везде. В iptables c FTP http://netfilter.samba.org/security-fix/index.html И в фряхе http://void.ru/content/640

"И про то, что единственным способом избариться от проблем с FW-1 на солярисе долго была сборка и установка IPF там же. " Так это когда было то. И где тогда линуксовые и фряшные фильтры были? Сейчас от той Dos атаки можно избавится очень просто.

"А скрипты с IPchains никто по ssh не правит. все делают файл правил на локальной машине а потом по scp заливают туда и говорят ipchains-restore. " Да, можно и так. Только когда вот лопухнешься слегка, ну типа буковку не ту напечатал, лично мне чертовски лень было по SCP файлик снова заливать. Я его там правил:))

"Впрочем, хорошо известно, что для оптимальной защиты нужно сочетать packet-filter с stateful inspection и application level proxy. " Зачем? Я в этот конструтктор "сделай-сам" наигрался уже. Поначалу меня это прикалывало даже. Там апликуху подвесил, тут другую аппликуху, скриптик написал, смотрим у тебя и VPN появился и все что надо. Только когда три файрвольные машинки было - все было тики так. А когда стало шесть - тоже тики так, но администрить это руками надоело. Особенно когда звонит какой-нибудь филиальный недобиток и орет что ему сочно доступ туда то и туда то нужен. То есть я хочу сказать что у меня и сейчас все на линуксе работало бы прекрасно, но, знаешь, так времени на всю эту рутину гораздо меньше уходит. И давай про деньги за Fw-1 один говорить не будем - если контора платит, а у меня все жужжит - мне эти деньги до фонаря, это пусть у финанситстов голова болит:)))

А UFP или/u CVP servers слабо подключить к IPF? A IDS ? A acl на routerы сбрасывать? A load balance ? A VPN? A QoS? и чтоб все это работало и взаимодействовало между собой. А вообще statefull не идеален но быстр и гибок :)

" Валяй, мыло оставь свое, я тебе IP скину... :) Только не в форуме, извини. Логи потом затрахаюсь разгребать." - у тебя логов вообще не останется

знамо дело - в логах маршрутизатора - будет с кого спросить!

2GORINYCH "ну опять Вы про удобства и "открытые возможности" - ценность фильтра не в этом" Например?

"у тебя логов вообще не останется" Упс.. У нас прыщавый кулхацкер завлся... Ой боюс-боюс... Короче, товарисч! Давай по делу и с аргументами. А то пустословие это читать осто#$ло до безобразия.

GORINYCH:Раскажи ка нам как ломается правильно сконфигурированный FW-1. P.S. Понизим акции CheckPointa а то зажрались блин евреи.

> Вы можете, уважаемый, на фряшном фильтре на сегодняшний день поставить ограничение на количество открытых коннектов с одной машины? А PortScan detection? А? А рубить фрагменты пакетов по длинне? А Ограничение действия правила по времени суток без крона? А ограничение количества проходящих пакетиков за время (ну за секунду например)? Traffic Shaping Вы можете на фряшном фильтре заделать?

Отвечаю по порядку:
1) нет
2) я не разу не делал, но думаю, что можно на основе флагов пакетов
3) нет
4) а зачем, если крон есть? :)
5) да
6) да

> Если я насчет фряхи ошибся (при всем моем к ней уважении) кто-нибудь поправьте меня.

Что я и делаю с уважением.

2Krause "Упс.. У нас прыщавый кулхацкер завлся... Ой боюс-боюс... Короче, товарисч! Давай по делу и с аргументами. А то пустословие это читать осто#$ло до безобразия. " 1)а ты бы лучше почитал на досуге 272.273.274 статьи в Мануале УК РФ! чтобы наезжать -кулхацкер - это похоже все же про Вас! айпишкин он видите-ли мне даст! - соучастничек! 2)на $рена вам скандетектор? 3)"Только не в форуме, извини. Логи потом затрахаюсь разгребать. " - Вы же говорили что логи у вас в нормальном виде и удобочитаемые?? сами себе противоречите - 4)заметь - про хацкеров с моей стороны упоминаний было - нуль - а вот ты и проболтался! - чернильное пятно тобишь - так что называй -ка ТОВАРЫСЧАМИ своих коллег по хаку а не опонентов в форуме администраторов.

2Krause - Вы только не горячитесь - всех переловят в конце концов расхитителей - а пока лучше про хаки-креки забудьте и поставьте на левой машинке новый Ipfilter когда это добро появиться - и составьте впечатление
- вместо того чтобы кричать "Ip-filter отстой и недомерок по сравнению с тем что у Меня ТУТ стоит!!"

-а проблемы есть то как например переполнение - иногда транслирует Линакс неправильно из локалки пакеты на НАТе - плохо у него выходит
и с несколькими запросами сразу -
- у БСД ipf тоже с глюками - но они как-то меньше наблюдаются -

2Krause 1)- не все фильтры одинаково полезны - знаете такое? 2)- все делается это в БСД - но только конечно не таким путем - но все это делается - Вы думаете как фильтруют на БСД - чего нельзя было сделать - это вряд ли - а вот мне совсем не нравиться когда в погоне за упрощением и новшествами допускаются досадные промази в коде (как нипример про НАТ из локалки ) 3)- имеет также значение взаимодействие фильтра непосредственно с механизмами управления памяти - хоть и косвенно конечно! 4) - большое значение работы фильтра при многократных вызывах коннекта с различных подсетей или со сложными звезд запросами - чем ipchains иногда паршивит( 5) - Солярка лучше не на РС работает - с этим вы же согласитесь?

Ответ Darren Reed <darrenr@reed.wattle.id.au>

From: Darren Reed <darrenr@reed.wattle.id.au>
To: albert@achtung.com (Albert Yang)
CC: ipfilter@coombs.anu.edu.au

In some email I received from Albert Yang, sie wrote:
> http://www.benzedrine.cx/pf.html
> 
> This I guess is the new filter for OpenBSD.  They say they syntax is the
> same as Ipfilter, but from the license hoopla, I assume that this is a
> scratch rewrite, and not taking from Ipfilter at all, or a fork from
> earlier ipfilter code?

Why don't you ask them ?

If you want my opinion, it appears to me to be an OpenBSD-centric
"IPFilter-Lite" and by "lite" I mean "very light".  By the looks
of it, they're still busy reinventing all the mistakes I made and/or
making their own which I avoided.

Further questions on "pf" should goto openbsd-misc or openbsd-tech.

Darren

2GORINYCH
"называй -ка ТОВАРЫСЧАМИ "
OK. Будешь "сударем"

Голову под кран засовывал? Не заметно. Вам, голубчик , сульфазину врезать надо.
"айпишкин он видите-ли мне даст! "
Cклероз сударь? Вы же сами просили... Прочитайте внимательно свой постинг от 2001-06-26 11:54:08.0.

"на $рена вам скандетектор?" - No comments

"а пока лучше про хаки-креки забудьте и поставьте на левой машинке"
У Вас с логикой как вообще? Я вот ну нихрена ход ваших мыслей понять не могу. Если не секрет, с чего в Вашу не совсем здоровую голову взбрела мысль, что он левый? Я, честно, не догоняю... Может объяснит кто...

"вместо того чтобы кричать "Ip-filter отстой и недомерок "
Вот этого я не говорил. Я эта.. кажется сказал только что (цитата)
"это наверняка будет лучшим фильтром для РС " (конец цитаты). не совсем действительности соответствует.

"а проблемы есть то как например переполнение - иногда транслирует Линакс неправильно из локалки пакеты на НАТе - плохо у него выходит
и с несколькими запросами сразу - "
Я это видел только в NETMAP target на коннектах с одной машинки на разные адреса. И в iptables 1-2-2 это типа пофиксали, но я не проверял. К слову сказать в чекпойнте аналогичная глюка проскакивала одно время.
А в Linux'е А на простом DNAT/SNAT у меня сидело единовременно пара-тройка сотен коннектов по http (остальные я не считал) и все тики так.

PS Если Вы считаете себя "оппонентом" в "форуме администраторов" следите за своим русским языком для начала...

2sem
"4) а зачем, если крон есть? :) "
да так проще :)

2GORINYCH
"( 5) - Солярка лучше не на РС работает - с этим вы же согласитесь? "
Соглашусь. Только производительность Linux NetFilter, Cp Fw-1 на интеловой солярке и фряшки чем мы мерить будем?. Понимаете, опять пузомерка получится. У меня Iptables на машине как держали ip_conntrack_max 8184 одновременных коннекта, так и чекпойнт столько держит. Про фряху я не знаю. Если бенчмарки найдете то посмотрим.

а урлу где скачать iptables не подскажете ?? и How-to на русском если можно а то только ipchains натыкаюсь :-)

2helpless http://netfilter.samba.org/ тут можно скачать

http://linux.yaroslavl.ru/Howto/Packet-Filtering/packet-filtering-HOWTO.html#toc 11

Тут русский хауту. Но наиболее содержательная дока - это собственно ман к программе.

Да, эта.. 1-2-2 становится только на ядро 2-4-5. Ну у меня на 2-4-4 не получилось. Может руки конечно...:)

большое спасибо :-))))

>Да, эта.. 1-2-2 становится только на ядро 2-4-5. а у меня на серваке как раз такое и стоит (или вернее работает :-)) > Ну у меня на 2-4-4 не получилось. Может руки конечно...:)

>Krause (*) (2001-06-26 18:08:31.0)

>А вообще statefull не идеален но быстр и гибок :)

а что это такое можно где нибудь почитать ? урл не никто не подскажет ?

http://www.checkpoint.com/products/technology/stateful1.html то же на русском http://www.uni.ru/chkpf/fw_1/stateful1.htm

2Krause вот спасибо :-)

жалко нету statefull в iptables под линухом хорошая штука вроде

> > оно не open-source. И не BSD. Даррен сменил лицензию IPFilter на "freeware в сорцах". Собственно, поэтому де Раадт начал OpenIPF.

> Это нетак. Лицензия на ipfilter не менялась, и как и была так и остается OpenSource.

maxcom: не open source и не free software Потому как нельзя модифицировать без разрешения автора.

я имел ввиду распространять модификации

В iptables есть statefull.

maxcom нарушил обет молчания...

Statefull довольно быстрый,но Proxy-application все равно рулит. Простой пример:Ставим FW-1,оттрываем наружу http, теперь изнутри пускаем telnet or ssh или еще чего по 80 порту ....и все проходит. Теперь ставим Raptor or Gauntlet или просто squid :))и забываем про FW-1,PIX,etc.Хотя сейчас делают proxy-apllication+statefull помоему это у NAI.

Вот хороший линк про statefull FW-1:
http://www.enteract.com/~lspitz/fwtable.html
без всякой ерунды и дифирамбов котороми набиты статьи от CP.

2maxcom (*)

>В iptables есть statefull. и как это инициируется ?? в ее манах это есть ?? а где нибудь на русском есть ?