- A hozzászóláshoz be kell jelentkezni
- 3033 megtekintés
Hozzászólások
ha jol sejtem van meg mit behozni, hogy utolerjek az iptables szintjet...
- A hozzászóláshoz be kell jelentkezni
Ezt miből sejted? Tud ilyet az iptables? (Nem flame akar lenni, csak nem nagyon használok iptables-t és érdekel, hogy mit tud.)
- A hozzászóláshoz be kell jelentkezni
vegyunk ket udp kapcsolatot ketto gep kozott.
pf mar nem tud kozottuk kulonbseget tenni, mig netfilter igen. elobb is netfiltert kellett volna irnom, mielott meg valaki leorrol.
masreszt a netfilter tenyleg stateful packet filter, a pf meg megtette az elso lepest ennek iranyaba.
asd
- A hozzászóláshoz be kell jelentkezni
A pf stateful packet filter, a levél nem erről szól. (Vagy nem ugyanúgy használjuk a stateful kifejezést.)
- A hozzászóláshoz be kell jelentkezni
Egeszen biztos vagy benne, hogy nem tud koztuk kapcsolatot tenni???
Elolvastad a linket? Ha igen nem beszelnel hulyeseget:-)) A moka arrol szol, hogy ha pl. tobb DMZ-ben levo webszervernek natolsz befele (round robin "load balance) akkor ugyanaz a kliens mindig ugyanahhoz mundig ugyanahhoz a webszerverhez fog beszeni. Na tud ilyet a netfilter?
[En ennyire egyiket sem ismerem, de olvasni azert meg tudok >;->> ]
udv,
- A hozzászóláshoz be kell jelentkezni
Kedves Asd!
Elmesélnéd a fentieket honnan vetted? Csak úgy fejből: először vala a Darren Reed-féle ipfilter, amely tud stateful filteringet (valódit, TCP-re, UDP-re és ICMP-re is). Ennek megvalósításáról van a neten egy nagyon jó kis cikkecske a szerzőtől, aki annak elméleti alapjait lerakta (nem D. R., hanem Guido Rooij: http://www.usenix.org/events/sec01/invitedtalks/rooij.pdf vagy ha az nem lenne jó: http://www.unixcircle.com/ipf/tcp_filtering.pdf ). Ugyebár az OBSD-s pf az ipfilter után "szabadon" jött létre, lehetőség szerint azzal kompatibil akart lenni (többek között az állapottartást is tartja). És ha jól emlékszem Kadlecsik Józsinak a tavalyi Linux-konfon tartott előadására, a netfilter connection-tarcking rendszerét a fent említett ipfilteres megvalósítás alapján írták.
Szóval?
Zahy
Ui: eddig türtőztettem magam, de ezt a marhaságot már nem bírtam - csak ezért regisztráltam :-(
- A hozzászóláshoz be kell jelentkezni
A PF a kezdetektol fogva stateful, mivel az IPF kivaltasara keszult, ami szinten stateful.
A Netfilter annyiban tobb a PFnel ilyen szempontbol, hogy connectiont is tud trackelni, ami nem jelenti, hogy a PF nem stateful.
Ajanlott olvasmany: http://openbsd.org/faq/pf/ [openbsd.org].
- A hozzászóláshoz be kell jelentkezni
Csak a linkel email summaryjet olvastam vegig, de ugy velem azokbol a
netfilter mindent meg tud valositani.
- A hozzászóláshoz be kell jelentkezni