LINUX.ORG.RU

Новый перевод на Russian Linux Gazette


0

0

На сайте проекта RLG появился перевод статьи "Скрытые возможности IPTables", автор Chris Lowth, описывающей некоторые возможности "заплаток", входящих в состав Patch-o-matic проекта Netfilter. Из рассмотренных особенностей можно отметить создание ловушек и балансировку нагрузки на узел при помощи генератора случайных чисел. Спасибо за перевод Андрею Киселёву!

>>> Перевод



Проверено: Demetrio ()

угу... обалденная штука...

Kn1ght
()
Ответ на: комментарий от ananizmus

херассе. там оказывается картинки были :-)

anonymous
()
Ответ на: комментарий от anonymous

Кстати, кто-нибудь успешно замаскарадил pptp с последними pom на 2.4.22 ядрах?

У меня странно система себя вела - GRE начинали ходить, правильный SRC/DST т.е. вроде все маскарадится, при этом клиент долго долго соображал, потом говорил мол немогу что-то там по GRE..

anonymous
()
Ответ на: комментарий от anonymous

Ну с 22м - хз: давно это было. на 25м - работало. По поводу сабжа хочется отметить несколько моментов:

1. На родном сайте лежат старый POM и POM-NG. Последний пачит не только кернел, но и iptables и ориентирован в основном на iptables-1.2.10(cvs).

2. Многие возможности конфликтуют друг с другом - лучше ставить только то, что необходимо.

V0ID ★★★
()
Ответ на: комментарий от ananizmus

>Во народ дает. Им самый обыкновенный man дали, только с картинками. И их проперло!!! :)

А кто сказал что это плохо?!

Lautre ★★★★★
()
Ответ на: комментарий от V0ID

PS: фильтрация по содержимому выглядит внешне красиво, но практически почти не применима.(За исключением специфических случаев)

Начало и конец искомой строки могут находится в разных пакетах.

Поток (HTTP) может быть компресованным.

При интенсивном трафике такая фильтрация поставит на колени любой комп.

V0ID ★★★
()
Ответ на: комментарий от Kn1ght

=P я вот незнал что есть такие патчи ...

Этим патчам в обед сто лет будет. На дату создания файла последнего глянь-2003 годом датированы.

anonymous
()
Ответ на: комментарий от V0ID

2. Многие возможности конфликтуют друг с другом - лучше ставить только то, что необходимо.

Угу. И это хорошо если еще ядро собирется с этими патчами.

anonymous
()

ИМХО. Лучше бы не патчи делали, а в официяльную ветку ядра включили. А то одно работает только на моей машине, другое только для теста, третье в разработке и так уже х.з. сколько лет.

anonymous
()
Ответ на: комментарий от anonymous

>Кстати, кто-нибудь успешно замаскарадил pptp с последними pom на 2.4.22 ядрах? У меня странно система себя вела - GRE начинали ходить, правильный SRC/DST т.е. вроде все маскарадится, при этом клиент долго долго соображал, потом говорил мол немогу что-то там по GRE..

я маскарадил, но без pom. Проблема похожая была.

1) поставь последний pptp (тогда pptp корректно договаривается с виндой/FreeBSD о mtu/mru) 2) iptables -t nat -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

GladAlex ★★★★★
()
Ответ на: комментарий от borisych

> -j REJECT --reject-with icmp-port-unreachable
> надо уважать не только себя но и других.

И в итоге зафлудишь какую нибудь глубокоуважаемую личность
ответами на фейковые ICMP-пакеты какого то прыщавого
хулигана.
Так держать.

LeXa
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.