IPFW

handbook - IPFW

Опубликовано admin в Пнд, 09/08/2010 - 15:14


    Перевод англицкого раздела handbook - касающийся IPFW. Прислал Andy.


   Примечание: Данный раздел находится в разработке. Содержание всегда может быть неточным.

   IPFIREWALL (IPFW) является поддерживаемым файрволлом FreeBSD, авторы и люди развивающие данное программное обеспечение являются добровольцами. Он использует правила наследования состояния и наследовние техники программирования для достижения того, что называется логикой Simple Stateful (простое состояние).Читать далее

( categories: )

Netgraph ipfw и гибкий учет трафика через netflow

Опубликовано admin в Пнд, 26/07/2010 - 20:44
И снова здравствуйте!

Продолжим обзор модулей FreeBSD netgraph.
Сегодня у нас в гостях ng_ipfw, ng_one2many и старый друг ng_netflow.
С их помощью попробуем посчитать трафик по определенным условиям и посмотрим как это можно использовать на практике.

Что за модули?


ng_ipfw.gif
ng_ipfw — модуль, создающий интерфейс для доступа к подсистеме netgraph из фаервола IPFW. При загрузке в ядро, модуль автоматически создает свой узел в пространстве подсистемы netgraph с именем «ipfw:», и может присутствовать только в единственном экземпляре. Ng_ipfw принимает подключения к произвольным номерным хукам, номера хуков указываются в правилах ipfw. Каждый входящий в модуль пакет тэгируется по нескольким параметрам (ipfw правило, интерфейс, направление), для того чтобы его можно было идентифицировать при возврате обратно в ipfw. Не тэгированные пакеты, возвращаемые в фаервол, уничтожаются. Контрольных сообщений модуль не принимает.
Читать далее

Модификация ToS/DSCP/TTL/etc. на FreeBSD: ng_patch

Опубликовано admin в Пнд, 26/07/2010 - 14:03
Модификация ToS/DSCP/TTL/etc. на FreeBSD: ng_patch
Патчи, позволяющие матчить и изменять ToS/DSCP на FreeBSD, ходят в разных вариантах по сети уже лет шесть, вот очередная инкарнация (_http://www.freebsd.org/cgi/query-pr.cgi?pr=102471), например. К сожалению, ни один из них так и не попал в базовую систему, хотя пример по ссылке, скажем, для конкретной задачи удобнее того, что описано ниже. Даже возникает подозрение, что это всё потому, что предыдущие решения были недостаточно общие :) Вот ng_patch(4) (_http://www.freebsd.org/cgi/man.cgi?query=ng_patch) - и её, наконец, закоммиттили, а недавно смержили в 8-STABLE (r209843 (_http://svn.freebsd.org/changeset/base/209843)) и вчера - в 7-STABLE (r210019 (_http://svn.freebsd.org/changeset/base/210019)). Работает также на 6.4, если убрать в коде CSUM_SCTP, я проверял.
В настоящее время ng_patch - единственный штатный способ поменять что-то в проходящем пакете. Зато, в отличие от других решений (в том числе на других ОС), эта нода позволяет производить последовательность операций над произвольными байтами пакета, не только ToS или TTL. В мане рассмотрены примеры изменения ToS и TTL, я же расскажу чуть подробнее, с примером для DSCP.
Читать далее
( categories: )

Шейпирование трафика ng_car + ipfw на FreeBSD

Опубликовано admin в Сб, 23/05/2009 - 19:31

Статья взята с subnets.ru (_http://subnets.ru/blog/?p=763).

Основой данной статьи послужила публикация Дмитрия Шевченко (_http://subnets.ru/blog/?p=708).

Интересная идея заменить множество пайпов в файерволе на механизм предложенный в ng_car (_http://subnets.ru/blog/?tag=ng_car).

Для примера,схема такая, имеем:

Сервер FreeBSD (_http://subnets.ru/blog/?tag=freebsd), он подключает пользователей по PPPoE через mpd, интерфейс bge0 смотрит вверх.Читать далее

Шейп (traffic shaper) с помощью ng_car (netgraph) и IPFW на FreeBSD

Опубликовано admin в Сб, 23/05/2009 - 19:23

Статья взята с subnets.ru (_http://subnets.ru/blog/?p=708).

Наткнулся в Инете, возьмем на заметочку. Надо будет как нить попробовать :) Читать далее

Пример использования ng_nat, ng_netflow и ng_ipfw ОС FreeBSD 6.0.

Опубликовано admin в Сб, 23/05/2009 - 19:15

Статья взята с wiki.bsdportal.ru (_http://wiki.bsdportal.ru/doc:netgraph_ng_nat).

Довольно часто на разнообразных “сетевых” форумах всплывает тема учета трафика и сбора статистики. Причем в качестве самого сенсора используют много разных программ, но как правило, по своей природе они ненадежны и (или) достаточно требовательны к ресурсам. Т.к. вполне логично пользовать плюсами, а не недостатками конкретной ОС рассмотрим возможность получения информации о трафике в ОС FreeBSD 6.0, стараясь использовать ее сильные стороны.Читать далее

RSS-материал