1.2, Moralez (??), 07:27, 09/01/2005 [ответить]
| +/– |
Интересно, почему нетфильтер до сих пор не умеет что-то аналогичное BSD-шному keep-state? Неужели считают ненужным? :о( IMHO, намного лучше древнего варианта с NEW + RELATED,ESTABLISHED :-( Или ошибаюсь? | |
|
2.3, poige (??), 10:14, 10/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
state
This module, when combined with connection tracking, allows access to the connec-
tion tracking state for this packet.
--state state
Where state is a comma separated list of the connection states to match.
Possible states are INVALID meaning that the packet is associated with no
known connection, ESTABLISHED meaning that the packet is associated with a
connection which has seen packets in both directions, NEW meaning that the
packet has started a new connection, or otherwise associated with a connec-
tion which has not seen packets in both directions, and RELATED meaning that
the packet is starting a new connection, but is associated with an existing
connection, such as an FTP data transfer, or an ICMP error.
/poige
| |
|
|
4.5, Mr.Uef (??), 12:25, 11/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Пожалуйста, прочитайте мой вопрос ещё несколько раз! :-(
А чем keep-state отличается от ESTABLISHED,RELATED?
| |
4.6, poige (??), 15:19, 11/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
ок, перечитываю еще 1 (один) раз.
> Интересно, почему нетфильтер до сих пор не умеет что-то аналогичное BSD-шному keep-state?
потом набираю linux firewall keep state в google:
http://www.google.com/search?q=linux+firewall+keep+state
и недоуменно смотрю на http://www.opennet.me/openforum/vsluhforumID3/4897.html#2
еще скажу, что keep state это вовсе не BSD'шное, а скорее ipfilter'ское. Причем появилось там оно даже не by Darren Reed: "
...
JA: How much of the pf implementation is based on other packet filters?
Daniel Hartmeier: The stateful connection tracking is based directly on Guido van Rooij's work (which is also the basis for IPFilter).
..."
(Guido van Rooij)
P. S. Мне снова что-нть перечитать? У меня полное впечатление, что я таки более осведомлен. :-)
/poige | |
|
5.7, poige (??), 16:18, 11/01/2005 [^] [^^] [^^^] [ответить]
| +/– |
Кстати, если имелся в виду FreeBSD's ipfw с его "keep-state" (а не ipfilter, с его синтаксисом "keep state"), то ничего особо не меняется:
> 14:17:38 2000 UTC (4 years, 11 months ago) by luigi
> Changes since 1.127: +451 -22 lines
> Diff to previous 1.127 (colored)
>
> Support for stateful (dynamic) ipfw rules. They are very
--^----^----^----^----^----^----^----^--
> similar to ipfilter's keep-state.
--^----^----^----^----^----^--
>
> Look at the updated ipfw(8) manpage for details.
P. S. Мне, как только я увидел, понравился BSDi's ipfw с синтаксисом типа:
tcp && srcaddr(192.168.1.25) && dstport(service(http/tcp)) {
forcelocal;
accept;
}
и пр..
Если кому интересно, вот здесь можно прочитать:
http://www.kabinet.or.jp/cgi-bin/bsdi-man?ipfw
подробнее.
/poige
--
http://www.i.morning.ru/~poige/ | |
|
|
|
|
|