Subnets.ru

[makky]

Если как по мне, то pf более гибок и более понятны сами правила (чем-то схожи с CISCО), в отличие от Ipfw.
О какой версии ядра ты говоришь?
Я просто сорсы скачал с диска и все. Версия фрихи 6.2, 6.3, 7.0 - это те, на которых работает этот конфиг под ядро+сам нат.

Ну насчет циски незнаю - у нас контора не нуждается в ней. ПФ у тя юзается к любом случае старый, но это понятно, что некритично
А по поводу пф не соглашусь.. Чем это он понятнее? Пример приведи, пожалуйста.

[Андрей]

чем понятен? Эммм.

Код: Выделить всё

block in all #блокировать входящие отовсех
block out all #блокировать исходящие ко всем.
pass in quick proto tcp from any to <me> port {3306} flags S/SA keep state #разрешить входящие от любых ко мне на 3306 порт
pass out quick proto tcp from <me> to any port {3306} flags S/SA keep state #разрешить исходящие на любые от меня по 3306 порту


ну это примитивные правила.
Чтобы особо не спорить - приведи пример ipfw.

А почему старый pf? что надо сделать чтоб было новее?

[makky]

чем понятен? Эммм.

Код: Выделить всё

block in all #блокировать входящие отовсех
block out all #блокировать исходящие ко всем.
pass in quick proto tcp from any to <me> port {3306} flags S/SA keep state #разрешить входящие от любых ко мне на 3306 порт
pass out quick proto tcp from <me> to any port {3306} flags S/SA keep state #разрешить исходящие на любые от меня по 3306 порту


ну это примитивные правила.
Чтобы особо не спорить - приведи пример ipfw.

А почему старый pf? что надо сделать чтоб было новее?

Ничего не сделаешь, его портируют с опенка. Причем этот пакетный фильтр претерпевал серьезные изменения,причем такие что старые наборы правил работали некорректно.

allow all from me 3306 any to # разрешил исходящие с всех моих ип с порта 3306
allow all from any to me 3306 # разрешил входящие отовсюду на все мои ип системы на порт 3306
deny all from any to any #блокернул ваще все, если надо входящие или исходящие также добавь out или in

Вот у тя правила идут снизу вверх,а у меня сверху вниз + нумерция ещё есть (мож в пф тоже есть, я незнаю), skipto у меня есть

[Андрей]

Ну в принципе тоже не плохо.
В любом случае лучше линуксовых iptables.

[makky]

Ну в принципе тоже не плохо.
В любом случае лучше линуксовых iptables.

ой не говори, я на фриюниксе остался из-за пф и портов когда-то давно.
Начинал с слакваре линукса, очень сложно мне тогда было.

[Андрей]

я слаквару так и не установил толком. Хотел чтоб с иксами, а в итоге на fedora ушел. там и иксы, и все равно сейчас работаю в консоли.

[makky]

кстати, при использовании keep-state можно блокировку делать одним правилом =) Мне кажется в пф тоже так можно, то есть мы не слишком компактные правила привели в пример друг другу =)

[root]

да чего спорить, на вкус и цвет... как говорится
я пользую ipfw, потому что мне с ним удобнее и я к нему привык, но иногда, исходя из задач, приходится прибегать и к PF
каждый из них по своему хорош

[makky]

а для чего используешь pf.. Очень интересно чего он такого умеет.. =)

[root]

а для чего используешь pf..

ну тот же PBR или когда нужно отсечь пакет ДО попадания в IPFW
т.к. PF отрабатывает раньше чем IPFW, часто такой схемой (PF+IPFW) пользуюсь на серверах трафикосчиталках