Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Sergey A. Cherukhin                  2:5020/400     12 Oct 2004  15:03:48
 To : Moderator of RU.UNIX.BSD
 Subject : Re: FAQ
 -------------------------------------------------------------------------------- 
 
 Последняя редакция разделов FAQ про пакетные фильтры и NAT.
 
 Q.: Во FreeBSD существует несколько пакетных фильтров - bpf, PF, ipf,
 IPFilter, IPFW,
 IPFW2. Чем они отличаются?
 A.: Пакетный фильтр bpf не используется для построения МСЭ (межсетевых
 экранов aka firewall). Этот фильтр используется программами анализа и учета
 трафика, например, trafd. Правила фильтрации задаются программой на
 псевдо-машинном языке.
 Пакетные фильтры PF, IPFilter, IPFW и IPFW2 используются для построения МСЭ.
 
 IPFilter (он же ipf)  - небольшой по размеру пакетный фильтр, включенный в
 ядро FreeBSD с версии 3.3.3. До этого был доступен в виде порта.
 
 PF - пакетный фильтр, заимствованный из OpenBSD. В настоящее время доступен
 в виде порта. С точки зрения пользователя очень похож на IPFilter, но имеет
 дополнительную функциональность (нормализация пакетов, управление
 приоритетеми пакетов, управление полосой пропускания, фильтрация по uid/gid,
 аутентификация пользователя на маршрутизаторе и пассивное определение
 удаленной ОС).
 
 IPFW - пакетный фильтр по-умолчанию начиная с FreeBSD 2.0.
 IPFW2 является более новой версией IPFW, имеющей больше возможностей по
 сравнению с IPFW. Во FreeBSD 4.* и старше по-умолчанию используется IPFW, в
 версиях 5.* и новее - IPFW2.
 Q.: Что лучше использовать, IPFW, IPFilter или PF?
 А.: Hеобходимо использовать IPFW если:
         - нужно разделять или ограничивать полосу пропускания;
         - нужно использовать divert-сокеты (для natd или tcpmssd)
         - нужны правила с указанием uid/gid пакетов.
         - нужна оптимизация сложного дерева правил (сложнее, чем head/group
           в ipf).
 В противном случае - на Ваш выбор.
 Пакетные фильтры можно использовать совместно в разных комбинациях.
 Hапример, можно использовать для фильтрации пакетов IPFilter, а для
 управления полосой пропускания - DUMMYNET из IPFW.
 
 Q.: В каком порядке пакеты проходят через фильтры при использовании
 нескольких фильтров?
 A.: Если все фильтры вкомпилированы в ядро, то порядок следующий:
 interface in->bpf->ipnat->ipfilter->ipfw->pkt
 
 pkt->ipfilter->ipnat->ipfw->bpf->interface out
 
 Если фильтры подгружаются модулями, то порядок прохождения зависит от
 порядка загрузки.
 Q.: Что лучше использовать, natd или ipnat ?
 A.: Политика трансляции для natd задается в IPFW, что дает большую гибкость
 в настройках и позволяет, например, выполнять несимметричную фильтрацию,
 когда исходящие пакеты уходят через один интерфейс, а входящие приходят
 через другой.
 
 Кроме того, natd поддерживает transparent proxy для протоколов FTP, IRC,
 ICMP, PPTP, RTSP, PNA, NetBios over TCP/IP и Cisco Skinny Station protocol,
 а ipnat - только FTP, H.323, ipsec, NetBios over TCP/IP, raudio и rcmd.
 
 Однако natd работает в userland и на каждый пакет выполняется 2 переключения
 контекста, что дает overhead, заметный на слабом железе (i486,
 i586).
 
 В отличие от natd, ipnat потребляет значительно меньше процессорных
 ресурсов, ipnat можно настроить на GENERIC-ядре, подгрузив модуль ipl, а для
 natd придется перекомпилировать ядро с опцией IPDIVERT и ipnat работает с
 любым пакетным фильтром, а для natd обязательно нужен ipfw.
 
 Так что если у Вас слабое железо, Вы не хотите перекомпилировать ядро или не
 хотите использовать ipfw и функциональность ipnat Вас устраивает -
 используйте ipnat.
 --
 WBW
 Sergey A. Cherukhin
 --- ifmail v.2.15dev5.3
  * Origin: Demos online service (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 FAQ   Moderator of RU.UNIX.BSD   12 Oct 2004 11:32:05 
 Re: FAQ   Alexander Anistratenko   12 Oct 2004 15:07:35 
 Re: FAQ   Valentin Nechayev   13 Oct 2004 21:14:54 
 Re: FAQ   Cyrill Malevanov   15 Oct 2004 02:32:22 
 Re: FAQ   Valentin Nechayev   15 Oct 2004 15:18:43 
 Re: FAQ   Cyrill Malevanov   16 Oct 2004 01:28:44 
 Re: FAQ   Valentin Nechayev   16 Oct 2004 11:28:24 
 Re: FAQ   Demin Alexander   12 Oct 2004 13:00:51 
 Re: FAQ   Sergey A. Cherukhin   12 Oct 2004 15:03:48 
 FAQ   Vadim Goncharov   14 Oct 2004 05:01:44 
 FAQ   Anton Barabanov   14 Oct 2004 10:06:06 
 FAQ   Vadim Goncharov   14 Oct 2004 16:06:21 
 FAQ   Anton Barabanov   14 Oct 2004 16:21:06 
 FAQ   Vadim Goncharov   15 Oct 2004 03:02:32 
 Re: FAQ   Valentin Nechayev   15 Oct 2004 10:25:14 
 Re: FAQ   Stanislav Tolstov   15 Oct 2004 14:59:58 
 Re: FAQ   Anton V. Yuzhaninov   15 Oct 2004 09:45:49 
Архивное /ru.unix.bsd/65773599fe2b.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional