Kernel Blocking Firewall

Címkék

Jeff Merkey szerint az egyik legnagyobb problémája a spambotok hadseregével szembeni greylisting-gel vagy RBL blokkolással való fellépésnek az, hogy ezek a technikák nem állítják meg a botok folyamatos kapcsolódásából adódó connection flood-ot.

A fejlesztő szerint az iptables túl nehézkes, memóriaigényes és a kezelőfelületével is problémái vannak, ezért írt egy olyan tűzfalat, amely kernel szintű adatbázissal rendelkezik és képes együttműködni az olyan alkalmazásokkal, mint például a Postfix MTA.

A kód egy kernelmodul képében realizálódik, amely felépít egy RBL adatbázist a lemezre és ebből az adatbázisból egy 1GB fizikai memóriával rendelkező átlagos otthoni számítógépen 500 000-es darabszámig bezárólag képes IP címeket gyorsítótárazni. Nagyobb rendelkezésre álló memóriamennyiség esetén nagyobb lehet a cache, amelynek mérete konfigurálható, így egy 4GB memóriával rendelkező szerver memóriájában akár milliós nagyságrendben is lehet címeket tárolni.

A bejelentésben a fejlesztő egyéb más potenciális felhasználási területeket is említ.

A bejelentésre érkezett válaszában Willy Tarreau megkérdezte a fejlesztőt, hogy miért nem a Kadlecsik József által fejlesztett ipset-et használja erre a célra, hiszen az pont ilyen felhasználásra termett. A fejlesztő arra hivatkozott, hogy nincs adatbázisa, amely tudna 500 000+ IP címet cache-elni.

Willy szerint a Jeff munkája által nyújtott szolgáltatások nagy részét az ipset is tudja, de azt elismerte, hogy az LRU (Last Recently Used) algoritmus alapján működő gyorsítótár alkalmazása érdekes koncepció.

A beszélgetés közben Henrique de Moraes Holschuh arra a kérdésre keresett választ, hogy vajon az ipset mikor kerülhet be a mainline kernelbe, mert szerinte a PF_RING-en kívül csak az ipset tudja ellátni a következő fontos feladatokat: nem-triviális tűzfalazás és csomag elfogás (packet capture) nagysebességű linkeken, de - ahogy ő tudja - egyik sem része jelenleg a mainline kernelnek.

A kérdés egyelőre nyitott.

Hozzászólások

"A fejlesztő szerint az iptables túl nehézkes, memóriaigényes és a kezelőfelületével is problémái vannak" :DDD

nem tom sztem a pf-ben levo overload tokeletesen mukodik



block drop  in quick on $ext_if proto tcp from <spam> to $ip port 25

pass in quick on $ext_if proto tcp from any to $ip port 25 \
flags S/SA  keep state \
(max-src-conn-rate 5/30, overload <spam> flush global)

A cikkben szereplo magyar urral tortent interjuban olvasom ezt:

"Reduce számítógépes algebrai nyelv alá írtam Rlispben egy szimbolikus tenzort-algebrai csomagot."

Minden tiszteletem a tudasae, de ezen 3 percig sirva rohogtem :D

A számítógépes algebra lényegében absztrakt matematikai egyenlet(rendszerek) megoldása számítógép segítségével. Nagyon durván, például "oldja meg a gép" az a*x + b = 0 egyenletet x-re, a és b-vel kifejezve a megoldást. Persze ennél bonyolultabb, mert tipikusan tudnia kell a különböző hatvány-összefüggéseket, deriválást, integrálást, netán ábrázolja a megoldást tetszőleges a és b függvényében, stb.

Számítógépes algebrai program/nyelv több is van. Manapság talán a Mathematica a legnépszerűbb és legismertebb, de ott van még a Maple, Reduce és még jónéhány más is.

A Lisp az egyik legrégebbi formalizált programozási nyelv, amelynek egyik nagyon speciális dialektusa az RLisp (jóval kevesebb zárójellel a szintaxisában :-). Számítógépes algebrához a Lisp nagyon illik...

A tenzor nagyjából a mátrix (és a vektor) általánosítása több dimenzióra. Az eredeti feladat egy bizonyos többdimenziós mátrixokra vonatkozó parciális differenciálegyenlet-rendszer egyszerűbb alakra hozása és megoldása volt. Mivel kézzel kiszámolni meglehetősen reménytelennek tűnt, ezért célszerűbbnek látszott az akkor éppen elérhető számítógépes algebrai nyelvhez egy általános tenzor-algebrai modult írni, amellyel végül az eredeti feladat is megoldhatóvá vált.

Matlab ilyen szempontból mennyire játszik? Mátrix alapú és van benne szimbolikus algebra. Mondjuk az ára az nem a magyar intézményi pénztárcához van szabva... Gondolom abban az időben még nem volt olyan, mint most. (Állítólag jó pár volt BME-st foglalkoztat a MathWorks)

Üdv,
Dw.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

A Matlab amennyire tudom numerikus, kell hozzá MuPAD, hogy számítógépes algebrára használni lehessen.

A KFKI-ban egy kis Reduce közösség volt - az sem volt épp olcsó, de jó volt a kapcsolatunk Tony Hearnnel és néhány más fejlesztővel is, ami nagyon nagy segítséget jelentett.

Tényleg nem akarok nagyon OFF -olni, de nekem pl. a hozzászólásodból az jött le, hogy te értesz ehhez a témához, és kineveted az említett embert, mert szerinted hülyeséget írt.
Legközelebb majd egyértelműebben fogalmazz. :)

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."

"vajon az ipset mikor kerülhet be a mainline kernelbe"

Ha jól emlékszem a 2008-as Ubuntu konf-on azt mondta Józsi, hogy ha készen lesz az IPv6 támogatás meg a netlink interface-re átírás, akkor kerül majd csak bele a mainline-ba.
Nem követem a projektet, úgyhogy nem tudom ezek a dolgok hogy állnak...