..:.:.:: Ufa FreeBSD News][ ::.:.:..

РАЗДЕЛЫ ::.:.:..

НОВОСТИ RSS ::.:.:..

Увидела свет операционная система NetBSD 6.1
19.05.2013 @03.05
После семи месяцев разработки анонсирован релиз операционной системы NetBSD 6.1, в котором реализована очередная порция новых возможностей. Одновременно доступен корректирующий выпуск 6.0.2, содержащий только исправление ошибок. Для загрузки подготовлены установочные образы, размером 330 Мб.
Проект Compat, позволяющий использовать новые драйверы в устаревших ядрах Linux, переименован в Backports
19.05.2013 @03.05
Разработчики проекта compat-drivers, в рамках которого ведётся подготовка пакета с набором драйверов, бэкпортированных из новых версий ядра Linux для более старых веток ядра, объявили о переименовании проекта в "backports". Причиной переименования является пересечение старого названия с подсистемой ядра Compat, что приводило к путанице, например, пользователи часто присылали патчи не по адресу.
Начало бета-тестирования Firefox 22 и создание aurora-ветки Firefox 23
18.05.2013 @06.05
Firefox 22 перешёл на стадию бета-тестирования, что ознаменовало прекращение формирования базовой функциональности и сосредоточение всего внимания на выявлении ошибок и контроле качества. Одновременно сформирована aurora-ветка Firefox 23. Новые возможности Firefox 23 ещё точно не утверждены, так как на стадии тестирования aurora-ветки будет произведена оценка готовности для релиза тех или иных новшеств. Загрузить бета-выпуск можно на данной странице, а aurora-версию здесь. Релиз Firefox 22 намечен на 25 июня, релиз Firefox 23 ожидается 6 августа.

Главная > Tips & tricks > Динамические правила в ipfw (keep-state)

09.02.2012 @04:41 | Динамические правила в ipfw (keep-state)

Есть такое правило

ipfw add allow tcp from any to me 22 keep-state

Я сидя где то в интернет хочу приконектица по SSH к своему серверу. ip внешнего интерфейса у сервера скажем xx.xx.xx.xx. ip у меня yy.yy.yy.yy.

Я открываю SSH клиент и вбиваю xx.xx.xx.xx:22. Пакетик через интернет приходит на сервер и попадвает в ipfw. IPFW видит это как yy.yy.yy.yy:43234 -> xx.xx.xx.xx:22

Пакет попадает под вышеописанное правило и ipfw его пропускает. Дальше SSH хочет чтото ответить и слеш ответ, который снова ловит IPFW. IPFW видит это как xx.xx.xx.xx:22 -> yy.yy.yy.yy:43234 и такого правила нет, пакет не проходит, соеденение не установилось. Только так произойдет если небудет написано keep-state.

Если написано keep-state, то когда придет пакет от меня на сервер типа yy.yy.yy.yy:43234 -> xx.xx.xx.xx:22 ipfw создаст динамическое обратное правило:

ipfw add allow tcp from xx.xx.xx.xx:22 to yy.yy.yy.yy:43234

И когда SSH пошлет ответ он пройдет через это правило и соеденение установится. Также у динамических правил есть keep-alive гдето 20сек надо смотреть в ман сейчас непомню, после чего правила удаляются, если небыло активности.

Еще пример.

Нам надо пустить пользовтелей серфить инет. Мы можем написать так:

ipfw add allow tcp from 192.168.0.0/16 to any 80
ipfw add allow tcp from any 80 to 192.168.0.0/16

В этом случае любой инициировавший соединение с 80 порта сможет приконектица к любой tcp службе в подсети 192.168.0.0/16

Для того чтобы этого избежать нужно писать:

ipfw add allow tcp from 192.168.0.0/16 to any 80 keep-state

И пройдут только те пакеты что идут от веб серверов к браузерам клиентов локальной сети. Только от тех веб серверов с которыми захотели общаться клиенты локальной сети.

Использование keep-state очень удобно тем что мы светим только динамические правила во внешний мир и никто к нам приконектица не может пока мы этого не захотим.

Автор KIRALEX