forum.opennet.ru - "OpenNews: Построение iptables правил с учетом состояния TCP ..." (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"OpenNews: Построение iptables правил с учетом состояния TCP ..."

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Построение iptables правил с учетом состояния TCP ..."
Сообщение от opennews on 06-Янв-05, 19:54
В статье "Linux stateful firewall design (http://www.linuxexposed.com/internal.php?op=modload&name=News&file=article&sid=566)" кратко резюмируются основные приемы использования iptables, с оглядкой на учет текущего состояния соединения (-m state --state ESTABLISHED). URL: http://www.linuxexposed.com/internal.php?op=modload&name=News&file=article&sid=566 Новость: http://www.opennet.me/opennews/art.shtml?num=4874
Cообщить модератору \| Наверх \| ^

Оглавление

Построение iptables правил с учетом состояния TCP соединения, robin zlobin, 19:54 , 06-Янв-05, (1)
Построение iptables правил с учетом состояния TCP соединения, Moralez, 07:27 , 09-Янв-05, (2)

> почему нетфильтер до сих пор не умеет, poige, 10:14 , 10-Янв-05, (3)

> почему нетфильтер до сих пор не умеет, Moralez, 07:21 , 11-Янв-05, (4)

> почему нетфильтер до сих пор не умеет, Mr.Uef, 12:25 , 11-Янв-05, (5)
> почему нетфильтер до сих пор не умеет, poige, 15:19 , 11-Янв-05, (6)

> почему нетфильтер до сих пор не умеет, poige, 16:18 , 11-Янв-05, (7)

Сообщения по теме [Сортировка по времени, UBB]

1. "Построение iptables правил с учетом состояния TCP соединения"

Сообщение от robin zlobin on 06-Янв-05, 19:54

И это пишет CEO Gentoo...

Cообщить модератору | Наверх | ^

2. "Построение iptables правил с учетом состояния TCP соединения"

Сообщение от Moralez (??) on 09-Янв-05, 07:27

Интересно, почему нетфильтер до сих пор не умеет что-то аналогичное BSD-шному keep-state? Неужели считают ненужным? :о( IMHO, намного лучше древнего варианта с NEW + RELATED,ESTABLISHED :-( Или ошибаюсь?

Cообщить модератору | Наверх | ^

3. "> почему нетфильтер до сих пор не умеет"

Сообщение от poige (??) on 10-Янв-05, 10:14

   state
       This module, when combined with connection tracking, allows access to  the  connec-
       tion tracking state for this packet.
       --state state
              Where  state  is  a  comma separated list of the connection states to match.
              Possible states are INVALID meaning that the packet is  associated  with  no
              known  connection,  ESTABLISHED meaning that the packet is associated with a
              connection which has seen packets in both directions, NEW meaning  that  the
              packet  has started a new connection, or otherwise associated with a connec-
              tion which has not seen packets in both directions, and RELATED meaning that
              the  packet is starting a new connection, but is associated with an existing
              connection, such as an FTP data transfer, or an ICMP error.
/poige

Cообщить модератору | Наверх | ^

4. "> почему нетфильтер до сих пор не умеет"

Сообщение от Moralez (??) on 11-Янв-05, 07:21

Пожалуйста, прочитайте мой вопрос ещё несколько раз! :-(

Cообщить модератору | Наверх | ^

5. "> почему нетфильтер до сих пор не умеет"

Сообщение от Mr.Uef (??) on 11-Янв-05, 12:25

>Пожалуйста, прочитайте мой вопрос ещё несколько раз! :-(
А чем keep-state отличается от ESTABLISHED,RELATED?

Cообщить модератору | Наверх | ^

6. "> почему нетфильтер до сих пор не умеет"

Сообщение от poige (??) on 11-Янв-05, 15:19

ок, перечитываю еще 1 (один) раз.
>  Интересно, почему нетфильтер до сих пор не умеет что-то аналогичное BSD-шному keep-state?
потом набираю linux firewall keep state в google:
  http://www.google.com/search?q=linux+firewall+keep+state
и недоуменно смотрю на http://www.opennet.me/openforum/vsluhforumID3/4897.html#2
еще скажу, что keep state это вовсе не BSD'шное, а скорее ipfilter'ское. Причем появилось там оно даже не by Darren Reed: "
...
    JA: How much of the pf implementation is based on other packet filters?
    Daniel Hartmeier: The stateful connection tracking is based directly on Guido van Rooij's work (which is also the basis for IPFilter).
..."
(Guido van Rooij)
P. S. Мне снова что-нть перечитать? У меня полное впечатление, что я таки более осведомлен. :-)
/poige

Cообщить модератору | Наверх | ^

7. "> почему нетфильтер до сих пор не умеет"

Сообщение от poige (??) on 11-Янв-05, 16:18

Кстати, если имелся в виду FreeBSD's ipfw с его "keep-state" (а не ipfilter, с его синтаксисом "keep state"), то ничего особо не меняется:
> 14:17:38 2000 UTC (4 years, 11 months ago) by luigi
> Changes since 1.127: +451 -22 lines
> Diff to previous 1.127 (colored)
>
> Support for stateful (dynamic) ipfw rules. They are very
--^----^----^----^----^----^----^----^--
> similar to ipfilter's keep-state.
--^----^----^----^----^----^--
>
> Look at the updated ipfw(8) manpage for details.
P. S. Мне, как только я увидел, понравился BSDi's ipfw с синтаксисом типа:
tcp && srcaddr(192.168.1.25) && dstport(service(http/tcp)) {
        forcelocal;
        accept;
}
и пр..
Если кому интересно, вот здесь можно прочитать:
  http://www.kabinet.or.jp/cgi-bin/bsdi-man?ipfw
подробнее.
/poige
--
http://www.i.morning.ru/~poige/

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Построение iptables правил с учетом состояния TCP соединения"
Сообщение от robin zlobin on 06-Янв-05, 19:54
И это пишет CEO Gentoo...
Cообщить модератору \| Наверх \| ^

2. "Построение iptables правил с учетом состояния TCP соединения"
Сообщение от Moralez (??) on 09-Янв-05, 07:27
Интересно, почему нетфильтер до сих пор не умеет что-то аналогичное BSD-шному keep-state? Неужели считают ненужным? :о( IMHO, намного лучше древнего варианта с NEW + RELATED,ESTABLISHED :-( Или ошибаюсь?
Cообщить модератору \| Наверх \| ^


	3. "> почему нетфильтер до сих пор не умеет"
	Сообщение от poige (??) on 10-Янв-05, 10:14
	state This module, when combined with connection tracking, allows access to the connec- tion tracking state for this packet. --state state Where state is a comma separated list of the connection states to match. Possible states are INVALID meaning that the packet is associated with no known connection, ESTABLISHED meaning that the packet is associated with a connection which has seen packets in both directions, NEW meaning that the packet has started a new connection, or otherwise associated with a connec- tion which has not seen packets in both directions, and RELATED meaning that the packet is starting a new connection, but is associated with an existing connection, such as an FTP data transfer, or an ICMP error. /poige
	Cообщить модератору \| Наверх \| ^


	4. "> почему нетфильтер до сих пор не умеет"
	Сообщение от Moralez (??) on 11-Янв-05, 07:21
	Пожалуйста, прочитайте мой вопрос ещё несколько раз! :-(
	Cообщить модератору \| Наверх \| ^


	5. "> почему нетфильтер до сих пор не умеет"
	Сообщение от Mr.Uef (??) on 11-Янв-05, 12:25
	>Пожалуйста, прочитайте мой вопрос ещё несколько раз! :-( А чем keep-state отличается от ESTABLISHED,RELATED?
	Cообщить модератору \| Наверх \| ^


	6. "> почему нетфильтер до сих пор не умеет"
	Сообщение от poige (??) on 11-Янв-05, 15:19
	ок, перечитываю еще 1 (один) раз. > Интересно, почему нетфильтер до сих пор не умеет что-то аналогичное BSD-шному keep-state? потом набираю linux firewall keep state в google: http://www.google.com/search?q=linux+firewall+keep+state и недоуменно смотрю на http://www.opennet.me/openforum/vsluhforumID3/4897.html#2 еще скажу, что keep state это вовсе не BSD'шное, а скорее ipfilter'ское. Причем появилось там оно даже не by Darren Reed: " ... JA: How much of the pf implementation is based on other packet filters? Daniel Hartmeier: The stateful connection tracking is based directly on Guido van Rooij's work (which is also the basis for IPFilter). ..." (Guido van Rooij) P. S. Мне снова что-нть перечитать? У меня полное впечатление, что я таки более осведомлен. :-) /poige
	Cообщить модератору \| Наверх \| ^


	7. "> почему нетфильтер до сих пор не умеет"
	Сообщение от poige (??) on 11-Янв-05, 16:18
	Кстати, если имелся в виду FreeBSD's ipfw с его "keep-state" (а не ipfilter, с его синтаксисом "keep state"), то ничего особо не меняется: > 14:17:38 2000 UTC (4 years, 11 months ago) by luigi > Changes since 1.127: +451 -22 lines > Diff to previous 1.127 (colored) > > Support for stateful (dynamic) ipfw rules. They are very --^----^----^----^----^----^----^----^-- > similar to ipfilter's keep-state. --^----^----^----^----^----^-- > > Look at the updated ipfw(8) manpage for details. P. S. Мне, как только я увидел, понравился BSDi's ipfw с синтаксисом типа: tcp && srcaddr(192.168.1.25) && dstport(service(http/tcp)) { forcelocal; accept; } и пр.. Если кому интересно, вот здесь можно прочитать: http://www.kabinet.or.jp/cgi-bin/bsdi-man?ipfw подробнее. /poige -- http://www.i.morning.ru/~poige/
	Cообщить модератору \| Наверх \| ^