Вопросы по firewall

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
lpoonyx
рядовой
Сообщения: 14
Зарегистрирован: 2012-09-20 12:33:57

Вопросы по firewall

Непрочитанное сообщение lpoonyx » 2012-10-08 12:47:41

Всем доброго дня. Сейчас работаем над варинтами терминации VLAN во FreeBSD.Сделан аналог ip unnumbered.
Всё работает как часы,всё отлично.Сейчас встала другая задача.
1.Проработать различные схемы работы файрвола, где для каждого интерфейса используется свой набор правил. Трафик входящий/исходящий на этом интерфейсе должен полноценно обрабатываться этими правилами, при этом по данным правилам не должны ни коим образом проходить пакеты из других интерфейсов.
2.Настроить шейпер на одну/две vlan, исходя из выводов, сделанных в п.1.
В данный момент смотрю в сторону ipfw+netgraph,но может что-то более интересное кто подскажет.Нагрузка на сервер всё же тоже интересна.С примерами работы было бы вообще замечательно ;-)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: Вопросы по firewall

Непрочитанное сообщение skeletor » 2012-10-08 12:54:15

netgraph достаточно сложен в изучении, зато больше возможностей. Почему нельзя просто использовать ipfw с via vlanXXX?

lpoonyx
рядовой
Сообщения: 14
Зарегистрирован: 2012-09-20 12:33:57

Re: Вопросы по firewall

Непрочитанное сообщение lpoonyx » 2012-10-12 8:59:48

skeletor писал(а):netgraph достаточно сложен в изучении, зато больше возможностей. Почему нельзя просто использовать ipfw с via vlanXXX?
Причина в том,что допустим у нас 100 vlan. Приходящий пакет на 99 vlan-ку начнёт дербанить все правила вплоть до 99 vlan-ки. А нам так не надо. Надо чтобы понимало ,что например пакет приходящий на 100 vlan начинал проверять правила например с 90 номера

lpoonyx
рядовой
Сообщения: 14
Зарегистрирован: 2012-09-20 12:33:57

Re: Вопросы по firewall

Непрочитанное сообщение lpoonyx » 2012-10-12 9:06:35

сейчас вот нашёл патч для Ipfw ,который добавляет возможность заносить в таблица имена интерфейсов. Буду копать.

Anoanus
проходил мимо

Re: Вопросы по firewall

Непрочитанное сообщение Anoanus » 2012-10-12 10:56:55

lpoonyx писал(а):
skeletor писал(а):netgraph достаточно сложен в изучении, зато больше возможностей. Почему нельзя просто использовать ipfw с via vlanXXX?
Причина в том,что допустим у нас 100 vlan. Приходящий пакет на 99 vlan-ку начнёт дербанить все правила вплоть до 99 vlan-ки. А нам так не надо. Надо чтобы понимало ,что например пакет приходящий на 100 vlan начинал проверять правила например с 90 номера
А чем аца русской демократии не устраивают skip to?

lpoonyx
рядовой
Сообщения: 14
Зарегистрирован: 2012-09-20 12:33:57

Re: Вопросы по firewall

Непрочитанное сообщение lpoonyx » 2012-10-12 11:22:38

ну а как ,Вы в любом случае будете проходить 500 правил.Одно дело если бы была группа например 500 вланов на одно правило ,а 500 на другое,тогда вопросов нету.

Anoanus
проходил мимо

Re: Вопросы по firewall

Непрочитанное сообщение Anoanus » 2012-10-12 11:27:29

skip to 400 ip from ... to ... via if1
Чем не годится?

Anoanus
проходил мимо

Re: Вопросы по firewall

Непрочитанное сообщение Anoanus » 2012-10-12 11:34:25

Например

skip to 4 ip from me to any out via if1
skip to 10 ip from any to me in via if1
skip to 999
ipfw add 4 allow ip from me to any 80 out via if1
ipfw add 5 allow ip from me to any 443 out via if1
skip to 999

ipfw add 10 allow ip from any 80 to me in via if1
ipfw add 11 allow ip from any 443 to me in via if1
skip to 999
ipfw add 999 deny from any to any

механизьм понятен?

mak_v_
проходил мимо

Re: Вопросы по firewall

Непрочитанное сообщение mak_v_ » 2012-10-12 11:40:45

Ну если так "карасиво", чтоб "интелектуально проверялись все лабиринты", то приходят в голову только анчоры на pf