pf на Linux

errmaker Guest	#1 Это нравится:0 Да/0 Нет 12.12.2008 17:00:36 Можно ли установить pf на линукс ? или накрайняк ipfw. чето не могу их в apt найти

SOLDIER Guest	#2 Это нравится:0 Да/0 Нет 12.12.2008 17:09:21 А, простите, на кой? iptables - не кошерный файрволл?

°°°Trojan°°°™

Guest

Это нравится:0 Да/0 Нет

12.12.2008 17:20:58

Цитата
errmaker пишет: Можно ли установить pf на линукс ?

pf вроде токо на БЗДях садится ...

Цитата
errmaker пишет: или накрайняк ipfw.

и он тож ...

в правду а че не нравится iptales ???

SOLDIER

Guest

Это нравится:0 Да/0 Нет

12.12.2008 17:25:47

pf и ipfw работают на уровне ядра (которое BSD). Посему их портирование в Линух невозможно. Для этого ядро BSD надо портировать в Линукс.

iptables работает в юзерспейсе (хотя фреймворк Netfilter работает на ядерном уровне). Cобссна:

Цитата

What is netfilter/iptables?

netfilter and iptables are building blocks of a framework inside the Linux 2.4.x and 2.6.x kernel. This framework enables packet filtering, network address [and port] translation (NA[P]T) and other packet mangling. It is the re-designed and heavily improved successor of the previous Linux 2.2.x ipchains and Linux 2.0.x ipfwadm systems.

netfilter is a set of hooks inside the Linux kernel that allows kernel modules to register callback functions with the network stack. A registered callback function is then called back for every packet that traverses the respective hook within the network stack.

iptables is a generic table structure for the definition of rulesets (iptables - общая табличная структура для определений правил). Each rule within an IP table consists of a number of classifiers (iptables matches) and one connected action (iptables target).

netfilter, iptables and the connection tracking as well as the NAT subsystem together build the whole framework.

errmaker Guest	#5 Это нравится:0 Да/0 Нет 12.12.2008 17:34:04 Теперь все ясно спасибо. iptables просто изучать не хотелось. значит придется

linux_helper Guest	#6 Это нравится:0 Да/0 Нет 12.12.2008 19:17:14 мужики, а было бы неплохо иметь модуль синтаксиса ipfw в iptables, хотя бы для пересаживания фряшников на Linux

SOLDIER

Guest

Это нравится:0 Да/0 Нет

12.12.2008 21:00:33

Вот умом я это понимаю - да. То есть - зачем переучиваться.

Но тогда возникает закономерный вопрос - а на фига пересаживаться?

Ну и небольшой оффтоп - лично я нашёл синтаксис ipfw ну очень понятным (хотя для меня и iptables не вызывает затруднения). А потом - когда на меня повесили CISCO - еённые правила в виде ACL показались очень похожими на ipfw.

errmaker

Guest

Это нравится:0 Да/0 Нет

12.12.2008 22:08:41

сидел на фре несколько лет. потом перешел на ноуты и достало отсутствие wifi и спячки.. посидев на винде пол года понял что дерградирую перед людьми стыдно становится вот и нашел вариант где все работает и поддерживается в убунте. iptables после работы с ipfw показался каким то убогим..

Andrey Y. Ostanovsky

Guest

Это нравится:0 Да/0 Нет

12.12.2008 23:20:36

Цитата
errmaker пишет: сидел на фре несколько лет. потом перешел на ноуты и достало отсутствие wifi и спячки..

У меня под фрей на двух разных ноутах попавшийся PCMCI D-Link завелся на счет "раз".

Хотя, проблемы с мультимедийными вещами, типа отсутствия нативного работающего скайпа, gizmo или флэша - под фрей действительно есть.

Цитата
посидев на винде пол года понял что дерградирую перед людьми стыдно становится вот и нашел вариант где все работает и поддерживается в убунте. iptables после работы с ipfw показался каким то убогим..

Зачем на ноуте, работающем периодически, и почти не предоставляющем собственных сервисов, что-то сложнее глобального запрета входящих и разрешения исходящих, с чем iptables блестяще справляется?

errmaker

Guest

#10

Это нравится:0 Да/0 Нет

12.12.2008 23:31:29

напокупался я разных длинковских карт wifi отдельных..доходило до маразма когда драйвер переставал пахать брал новую карту..зачем так извращатся ? должно пахать встроенное то что есть ...ноут спать должен уметь нормально иначе как работать то ? в убунте нет проблем залил на 3 ноута и работает все что нужно ..причем один из них низачто бы не потянул висту а в убунте прекрасно работает compiz и все спецэффекты..приятно работать.
с iptables вопрос встал изза того что встроенный pptp клиент гнома отваливался и коннект терялся..щас модуль фаервола вообще выгрузил и проблема оказалась не в этом..пинг идет минуту и коннект отваливается (( хрен знает почему

errmaker

Guest

#11

Это нравится:0 Да/0 Нет

12.12.2008 23:35:20

Using interface ppp0
Dec 12 23:25:00 errmaker-laptop pppd[15936]: Connect: ppp0 <--> /dev/pts/2
Dec 12 23:25:01 errmaker-laptop pppd[15936]: CHAP authentication succeeded
Dec 12 23:25:01 errmaker-laptop pppd[15936]: MPPE 128-bit stateless compression enabled
Dec 12 23:25:03 errmaker-laptop pppd[15936]: local IP address 14.210.0.99
Dec 12 23:25:03 errmaker-laptop pppd[15936]: remote IP address 14.210.0.1
Dec 12 23:25:03 errmaker-laptop pppd[15936]: primary DNS address 14.200.0.1
Dec 12 23:25:07 errmaker-laptop pppd[15936]: Modem hangup
Dec 12 23:25:07 errmaker-laptop pppd[15936]: Connect time 0.1 minutes.
Dec 12 23:25:07 errmaker-laptop pppd[15936]: Sent 3153 bytes, received 698 bytes.
Dec 12 23:25:07 errmaker-laptop pppd[15936]: Connection terminated.
Dec 12 23:25:08 errmaker-laptop pppd[15936]: Exit.
Dec 12 23:25:18 errmaker-laptop pppd[16169]: Plugin /usr/lib/pppd/2.4.4/nm-pptp-pppd-plugin.so loaded.
Dec 12 23:25:18 errmaker-laptop pppd[16169]: pppd 2.4.4 started by root, uid 0
Dec 12 23:25:18 errmaker-laptop pppd[16169]: Using interface ppp0
Dec 12 23:25:18 errmaker-laptop pppd[16169]: Connect: ppp0 <--> /dev/pts/2
Dec 12 23:25:19 errmaker-laptop pppd[16169]: CHAP authentication succeeded
Dec 12 23:25:19 errmaker-laptop pppd[16169]: MPPE 128-bit stateless compression enabled
Dec 12 23:25:21 errmaker-laptop pppd[16169]: local IP address 14.210.0.99
Dec 12 23:25:21 errmaker-laptop pppd[16169]: remote IP address 14.210.0.1
Dec 12 23:25:21 errmaker-laptop pppd[16169]: primary DNS address 14.200.0.1
Dec 12 23:25:24 errmaker-laptop pppd[16169]: Modem hangup
Dec 12 23:25:24 errmaker-laptop pppd[16169]: Connect time 0.1 minutes.
Dec 12 23:25:24 errmaker-laptop pppd[16169]: Sent 1768 bytes, received 220 bytes.
Dec 12 23:25:24 errmaker-laptop pppd[16169]: Connection terminated.
Dec 12 23:25:25 errmaker-laptop pppd[16169]: Exit.
Dec 12 23:33:02 errmaker-laptop pppd[16704]: Plugin /usr/lib/pppd/2.4.4/nm-pptp-pppd-plugin.so loaded.
Dec 12 23:33:02 errmaker-laptop pppd[16704]: pppd 2.4.4 started by root, uid 0
Dec 12 23:33:02 errmaker-laptop pppd[16704]: Using interface ppp0
Dec 12 23:33:02 errmaker-laptop pppd[16704]: Connect: ppp0 <--> /dev/pts/2
Dec 12 23:33:03 errmaker-laptop pppd[16704]: CHAP authentication succeeded
Dec 12 23:33:03 errmaker-laptop pppd[16704]: MPPE 128-bit stateless compression enabled
Dec 12 23:33:05 errmaker-laptop pppd[16704]: local IP address 14.210.0.99
Dec 12 23:33:05 errmaker-laptop pppd[16704]: remote IP address 14.210.0.1
Dec 12 23:33:05 errmaker-laptop pppd[16704]: primary DNS address 14.200.0.1
Dec 12 23:33:59 errmaker-laptop pppd[16704]: Modem hangup
Dec 12 23:33:59 errmaker-laptop pppd[16704]: Connect time 0.9 minutes.
Dec 12 23:33:59 errmaker-laptop pppd[16704]: Sent 42410 bytes, received 13000 bytes.
Dec 12 23:33:59 errmaker-laptop pppd[16704]: Connection terminated.
Dec 12 23:33:59 errmaker-laptop pppd[16704]: Exit.

Andrey Y. Ostanovsky

Guest

#12

Это нравится:0 Да/0 Нет

13.12.2008 00:04:29

Цитата
Dec 12 23:33:03 errmaker-laptop pppd[16704]: MPPE 128-bit stateless compression enabled

Я бы, на Вашем месте, выключил компрессию, ну и потрассировал tcpdump-ом соединение. Странно, что оно отваливается на ровном месте. Кстати, посмотрите на кореляцию размера MTU пакета и процент потерь - возможно грабли в сетевухе, или где-то дальше в свиче с виланами.

Изменено: Andrey Y. Ostanovsky - 13.12.2008 00:06:48

^rage^

Guest

#13

Это нравится:0 Да/0 Нет

13.12.2008 00:20:24

я бы ещё посоветовал увеличить величину lcp timeout.

Цитата
errmaker пишет: iptables после работы с ipfw показался каким то убогим..

это только кажется из-за непривычного синтаксиса, а на самом деле наоборот ситуация.
В любом случае, надо просто запомнить packet flow на layer3, после чего посмотреть полный packet flow с учётом layer2.

layer3
ещё layer3
всё целиком

errmaker

Guest

#14

Это нравится:0 Да/0 Нет

13.12.2008 00:51:39

гугл говорит такая трабла не у меня одного. На том конце отлаженный pfsense и на нем висят кучи виндовых компов без глюков. с линухи из дома выхожу по wifi через длинк роутер. видимо проще воткнуть на pfsense racoon и не парится.

^rage^ Guest	#15 Это нравится:0 Да/0 Нет 13.12.2008 01:36:55 а как связаны racoon и pptp?

Guest

#16

Это нравится:0 Да/0 Нет

13.12.2008 07:26:09

Цитата
linux_helper пишет: мужики, а было бы неплохо иметь модуль синтаксиса ipfw в iptables, хотя бы для пересаживания фряшников на Linux

В ubuntu есть простенький фронтенд ufw, реализующий базовый синтаксис ipfw.

buggzy is back

Guest

#17

Это нравится:0 Да/0 Нет

13.12.2008 13:20:29

В линуксе был ipfw, потом ipchains, потом iptables. А щас, после стольких лет, вам ipfw подавай, потому что синтаксис учить лень. Хахаха.

Кстати, а с чего это iptables в юзерспейсе работает? Вернее, какая часть iptables работает в юзерспейсе, кроме пользовательского интерфейса? Это наоборот в бсд даже нат в юзерспейс вынесен...

errmaker

Guest

#18

Это нравится:0 Да/0 Нет

13.12.2008 15:39:19

Цитата
^rage^ пишет: а как связаны racoon и pptp?

просто на pfsense удобней тогда назависимо иметь оба варианта ) коли оба поддерживаются..одни для виндов второй для unix

^rage^

Guest

#19

Это нравится:0 Да/0 Нет

13.12.2008 16:50:20

Цитата
buggzy is back пишет: Кстати, а с чего это iptables в юзерспейсе работает? Вернее, какая часть iptables работает в юзерспейсе, кроме пользовательского интерфейса?

вообще, весь iptables в юзерспейсе

а вот netfilter - да, в ядре.

nat в freebsd давно уже в ядре и реализаций их 5шт.

buggzy is back

Guest

#20

Это нравится:0 Да/0 Нет

13.12.2008 17:49:37

Цитата
^rage^ пишет: вообще, весь iptables в юзерспейсе. а вот netfilter - да, в ядре.

а я думал, что iptables - это ни что иное как cli для netfilter, и потому, если кто-то говорит "файрвол iptables", он подразумевает netfilter. и что, говоря о расположении файрвола (userspace \ kernel), обсуждается та часть файрвола, которая обрабатывает пакеты, а не какой-то его пользовательский интерфейс.

Цитата
^rage^ пишет: nat в freebsd давно уже в ядре и реализаций их 5шт.

Во фре не силен. Давай посчитаем...

natd - юзерспейс (через диверт)

1) ipnat - ядро (с пользовательским интерфейсом в юзерспейсе)
а еще четыре, которые давно в ядре?

Изменено: buggzy is back - 13.12.2008 17:55:03

Читают тему

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?