可以匹配MAC 不错 但是功能看不出来有什么特点 他能做的 天网(很基本的FIREWALL)也能做到 当然简单的SKYNET不能做NAT
是不是在性能上比较优越呢 牵涉到内核NETFILTER
譬如包转发跟处理的能力跟稳定性上
水中风铃 回复于:2005-02-18 23:10:31 |
看看IPtables指南就会明白了,天网跟它没有什么可比性。功能非常强大,性能也很优异的,主要看管理员的水平 |
speed_fj 回复于:2005-02-19 01:09:55 |
天网是比较不上台面的 我随便说说 只是iptables有什么别人做不到 或者做不好的特点马 譬如有个弄能 我只能做脚本定期查日志实现 iptables有选项可以直接做到马 我资料没有查到 就是我可以定义在N分钟内跟我通讯的一个ip超过一定次数 就是建立socket 我就自己drop他 我估计还是要写sh 不过我写的那个不太好 老是会抽 不知道谁有好的马 |
JohnBull 回复于:2005-02-19 02:00:38 |
根本原因是因为iptables(确切地说是netfilter)是内核态防火墙--这就是它的先天优势--天网这种用户态防火墙于之相比不过是儿童玩具。 当网络接口收到报文的时候通过IRQ通知驱动程序,操作系统内核通过驱动程序把报文从网卡的缓存拷贝到内核态内存,然后就不同了:内核态防火墙就地处理然后决定报文下一步的去向;而用户态防火墙不行,因为用户态代码不能直接访问内核态内存,报文必须还要从内核态内存拷贝到用户态内存中,等用户态进程等到它的时间片之后(最长可能要10毫秒)处理这个报文,决定下一步处理,然后基于同样原因,这个报文还要从用户态内存拷贝到核心态内存,然后才有可能发出。 明白了?用户态防火墙不是效率高地的问题,而是根本谈不上“效率”二字! 用户态防火墙给Windows这种网络效率极差的系统作自我防护用还是可以的,但用在Linux/NetBSD这种网络性能比较强大的系统就太可笑了。 以上是性能方面,还有功能方面就更没法比了:netfilter支持基于状态检测的包过滤、支持完整的SNAT/DNAT、支持TCP/IP报头的篡改...... 总之:以后再不要拿Linux的netfilter与什么天网放在一起比较了! |
speed_fj 回复于:2005-02-19 09:22:15 |
OK 学到了 谢谢 主要是效率上的不是一个档次 是吗 |
hhuilinux 回复于:2005-02-19 11:26:59 |
[quote:c83931bdb1="JohnBull"]根本原因是因为iptables(确切地说是netfilter)是内核态防火墙--这就是它的先天优势--天网这种用户态防火墙于之相比不过是儿童玩具。 当网络接口收到报文的时候通过IRQ通知驱动程序,操作系统内核通过驱动程..........[/quote:c83931bdb1] 看此回帖,对比之下,深感自己是门外汉呀,惭愧ING...... |
speed_fj 回复于:2005-02-19 11:47:55 |
不愧是斑竹 |
水中风铃 回复于:2005-02-19 12:31:43 |
[quote:beb5e012b9="JohnBull"]当网络接口收到报文的时候通过IRQ通知驱动程序,操作系统内核通过驱动程序把报文从网卡的缓存拷贝到内核态内存,然后就不同了:内核态防火墙就地处理然后决定报文下一步的去向;而用户态防火墙不行,因为用户态代码不能直接访问内核态内存,报文必须还要从内核态内存拷贝到用户态内存中,等用户态进程等到它的时间片之后(最长可能要10毫秒)处理这个报文,决定下一步处理,然后基于同样原因,这个报文还要从用户态内存拷贝到核心态内存,然后才有可能发出。 明白了?用户态防火墙不是效率高地的问题,而是根本谈不上“效率”二字! [/quote:beb5e012b9] 原来如此 :em02: :em02: :em02: :em02: :em02: |
speed_fj 回复于:2005-02-19 14:08:44 |
请问MS ISA算是哪种的? |
sandsoft 回复于:2005-02-19 20:24:16 |
天网算什么??会问这样的问题,我都在想要是iptables移植到windows下,windows下会强大很多!!!!!!! |
采风 回复于:2005-02-19 20:28:01 |
[quote:0537fd1ce3="sandsoft"]天网算什么??会问这样的问题,我都在想要是iptables移植到windows下,windows下会强大很多!!!!!!![/quote:0537fd1ce3] iptables移植到Windows下。。。那还要ISA Server干什么? :shock: |
skylove 回复于:2005-02-19 20:53:56 |
补充一下,如果你shell比较熟悉,配合着iptables做动态的防火墙等等也很不错。 |
speed_fj 回复于:2005-02-19 21:44:21 |
isa 不错的 可操作性很大 可惜效率不高 skynet我随便说说的 个位何必弄出一副不削的样子呢 |
水中风铃 回复于:2005-02-19 22:06:27 |
[quote:59abca043f="speed_fj"]isa 不错的 可操作性很大 可惜效率不高 skynet我随便说说的 个位何必弄出一副不削的样子呢[/quote:59abca043f] 我用过它的硬件防火墙,一年硬件得坏好几次,你说行不行? |
sunny0236 回复于:2005-02-19 22:43:05 |
iptables移到windows下不太可能.需要操作系统内核支持才行.呵呵,总不能改windows内核. |
netox 回复于:2005-02-19 23:09:36 |
学习了,长视野呀 |
守夜人 回复于:2005-02-19 23:49:05 |
iptables不错,亮点太多了.... 一般晚上上茅厕我拿它当蜡烛~~ 玩笑了 |
speed_fj 回复于:2005-02-20 16:58:21 |
小心防火 :) |
windstar 回复于:2005-02-21 01:28:13 |
iptable不错,isa其实用着也还可以哈 |
急不通 回复于:2005-02-21 09:57:33 |
[quote:7da4d28e16="sandsoft"]天网算什么??会问这样的问题,我都在想要是iptables移植到windows下,windows下会强大很多!!!!!!![/quote:7da4d28e16] 这种话都说出来了!iptables只是一个防火墙的操作接口,实际上防火墙的功能是在内核实现的.内核是什么?win和linux的根本区别就在内核了,你移植个看看! |
守夜人 回复于:2005-02-21 10:39:06 |
说实在的,isa再强大,功能再利害也没有,因为它是基于WIN的,在一块烂泥上是不可能建成坚固的高楼大厦的,除非将它移植到linux下可能和IPTABLES还有得一拼 |
speed_fj 回复于:2005-02-21 11:14:10 |
ISA有很多花头 匪夷所思 |
NetDC 回复于:2005-02-21 12:26:04 |
[quote:41dd6707f1="JohnBull"]根本原因是因为iptables(确切地说是netfilter)是内核态防火墙--这就是它的先天优势--天网这种用户态防火墙于之相比不过是儿童玩具。 当网络接口收到报文的时候通过IRQ通知驱动程序,操作系统内核通过驱动程..........[/quote:41dd6707f1] 想请教版主一下,netfilter中那个ip_conntrack_max最多可以设置到多大??我已经设置到了655350了,原先设置是65535,结果wc ip_conntrack发现快满了,就把max值调了一下,可是不知道这个上限是多少。。 内核配置文件/boot/config****中没找到这个值的设置。。 :em14: :em14: |
JohnBull 回复于:2005-02-21 13:37:47 |
[quote:66655ab6f4="NetDC"] 想请教版主一下,netfilter中那个ip_conntrack_max最多可以设置到多大??我已经设置到了655350了,原先设置是65535,结果wc ip_conntrack发现快满了,就把max值调了一下,可是不知道这个上限是多少。。 内核配?..........[/quote:66655ab6f4] 内核的头文件里我没找到这个值的硬上限,应该没有硬性限制。 但是简单地增大这个值可能降低性能。这个值初始设置为hash表容量的8倍,简单增加max值可能降低hash表的检索速度。 发现hash表的尺寸是在初始化ip_conntrack的时候确定的: (摘自 linux-2.4.26/net/ipv4/netfilter/ip_conntrack_core.c文件的ip_conntrack_init(void)) [code:1:66655ab6f4] ...... /* Idea from tcp.c: use 1/16384 of memory. On i386: 32MB * machine has 256 buckets. >= 1GB machines have 8192 buckets. */ if (hashsize) { ip_conntrack_htable_size = hashsize; } else { ip_conntrack_htable_size = (((num_physpages << PAGE_SHIFT) / 16384) / sizeof(struct list_head)); if (num_physpages > (1024 * 1024 * 1024 / PAGE_SIZE)) ip_conntrack_htable_size = 8192; if (ip_conntrack_htable_size < 16) ip_conntrack_htable_size = 16; } ip_conntrack_max = 8 * ip_conntrack_htable_size; printk("ip_conntrack version %s (%u buckets, %d max)" " - %Zd bytes per conntrack\n", IP_CONNTRACK_VERSION, ip_conntrack_htable_size, ip_conntrack_max, sizeof(struct ip_conntrack)); ...... [/code:1:66655ab6f4] 就是说hash表占用内存的1/16384但是不超过8192项。 我觉得更好的方法是修改这段源码,直接增加hash表的容量更合理一些。 |
NetDC 回复于:2005-02-21 14:07:16 |
唔,不知道用wc来计算conntrack数目是否准确,因为需要好几秒的时间,现在算了下,有68970行,超过了65535,而从系统的流量上看,现在还没有到使用的高峰期,最高峰是21M左右,现在是17M。 另外有一点不明白,我只使用了一个共网地址,这样实际上使用的是PAT,记得端口数最多是65535,还有一小部分是保留的,那么每个连接是不是都要使用一个本地的端口呢?如果这些连接都是TCP或UDP的,那样就会超出65535这个限制了,所以,我想,那些conntrack的限制会不会在这里? 提高conntrack_max的值我想对性能不会有太大的影响,至少在我的机子上,CPU使用在5%以下,内存1G只用了300多M,还有100多M是buffers,空余近600M,而上网的速度也没有受到什么影响。 BTW:我用的内核是2.4.18-1-686-smp的(系统有两颗CPU)。[/i] |
JohnBull 回复于:2005-02-21 15:29:11 |
[quote:1c866ba1d3="NetDC"][/quote:1c866ba1d3] 记住,不存在所谓的PAT。理由:没有PAT相关的RFC。 Linux实现的就是完整的NAT和NAPT,可以进行端口替换(参见RFC3022),但是端口并没有bind到本地协议栈上。所以不受本地端口资源的限制。 性能肯定要受影响,只不过这个影响在你的负载量下很小,测不到而已。你想想hash表一样大,内容增加了10倍,性能怎能不下降? |
NetDC 回复于:2005-02-21 15:47:30 |
[quote:dcf3697db0="JohnBull"] 记住,不存在所谓的PAT。理由:没有PAT相关的RFC。 Linux实现的就是完整的NAT和NAPT,可以进行端口替换(参见RFC3022),但是端口并没有bind到本地协议栈上。所以不受本地端口资源的限制。 性能肯定要受影?..........[/quote:dcf3697db0] ^_^,多谢,我要好好看看一下RFC3022。 |
孙轩 回复于:2005-02-21 16:59:33 |
其实iptables还有一个亮点就是他支持基于状态的过滤规则 |
sandsoft 回复于:2005-02-21 19:56:54 |
如果说iptables不能移植到windows下,那么bind是怎么回事。apache也应该在unix上,怎么回事。。:》 |
網中人 回复于:2005-02-21 21:49:54 |
分一下 user space 與 kernel space , 就知到哪些可移哪些不可移了.... |
bwlbwlbwl 回复于:2005-02-22 11:46:25 |
有些IPTABLES还是处理不了的,比如说应用层的非法攻击 |
JohnBull 回复于:2005-02-22 12:04:40 |
[quote:3a3d0b5866="bwlbwlbwl"]有些IPTABLES还是处理不了的,比如说应用层的非法攻击[/quote:3a3d0b5866] 谁说的?装一个叫layer7的模块试试。 |
水中风铃 回复于:2005-02-22 16:06:38 |
现在是出了其于应用层过滤的模快。可以去官方网站看看 |
hrcxf 回复于:2005-02-23 12:01:43 |
ipp2p和netfilter-layer7是iptables两个不错的扩充模块 |
skylove 回复于:2005-02-23 12:23:47 |
[quote:7238ab8f4d="speed_fj"]ISA有很多花头 匪夷所思[/quote:7238ab8f4d] 说说看你想实现的isa中的什么功能?或许我可以尝试用iptables做到同样的? |
speed_fj 回复于:2005-02-23 13:48:39 |
譬如你有2家ISP的线路 ISA可以实现第一次通讯测试这个包的目的地走哪条线速度快 然后到这个目的地的包就一直走这跳路由 |
水中风铃 回复于:2005-02-23 13:51:57 |
[quote:62d603e104="speed_fj"]譬如你有2家ISP的线路 ISA可以实现第一次通讯测试这个包的目的地走哪条线速度快 然后到这个目的地的包就一直走这跳路由[/quote:62d603e104] iptables可以做多路负载均衡 |
speed_fj 回复于:2005-02-23 14:09:04 |
ISA这个是自动测试的 |
水中风铃 回复于:2005-02-23 14:23:23 |
晕。无话可说 |
JohnBull 回复于:2005-02-23 14:56:09 |
[quote:573b5c57c5="speed_fj"]ISA这个是自动测试的[/quote:573b5c57c5] 白痴!不要再卖弄自己的无知了! :wink: 我问问你:它怎么检测的?它的检测以什么为依据?测时延?测占空比?还是测拥塞?当它测到变化的时候怎么改变?这个机制与NAT如何协调? 你是不是以为计算机里面住着一个小神仙? |
JohnBull 回复于:2005-02-23 14:58:16 |
[quote:df4b2e529a="speed_fj"]譬如你有2家ISP的线路 ISA可以实现第一次通讯测试这个包的目的地走哪条线速度快 然后到这个目的地的包就一直走这跳路由[/quote:df4b2e529a] 你不觉得这个策略很愚蠢吗? |
網中人 回复于:2005-02-23 15:35:11 |
[quote:83ac380743="speed_fj"]譬如你有2家ISP的线路 ISA可以实现第一次通讯测试这个包的目的地走哪条线速度快 然后到这个目的地的包就一直走这跳路由[/quote:83ac380743] 這不是 netfilter 的工作, 而是 kernel routing 的功能. 豈可混為一談? 有空看看 iproute2 的文件, 你說的這個"低級"功能不用怎麼複雜的設定也可跑的出來. |
KindGeorge 回复于:2005-02-23 17:16:24 |
佩服Johnbull和网中人的解析.十分赞同 |
skylove 回复于:2005-02-24 12:15:25 |
[quote:493b9796c3="speed_fj"]ISA这个是自动测试的[/quote:493b9796c3] 什么叫自动? 如果我cp好一个iptables rules给你直接用,或者我替你做一个linuxbox是不是更自动?? 如果你愿意出更多的钱,我替你管理,你只需要吩咐就行了,那不是更智能??? 你说的多策略,在iptables上和ip2上都可以做 iptables的做法是判断源地址/目的地址,然后mark一下,然后进行不同的路由; ip2的做法是新建2个路由表,然后也是按照from 或者to来进行判断 这些简单问题,只有isa能做到?笑话... 我这里2个电信出口,1个教育网出口就是在一台linux nat网关上搞定的. iptables和ip2都是很强大的工具的,你说它不好,或许是因为你没能把它用好; netman先生和johnbull先生在上,我班门弄斧不好意思多言了. |
skylove 回复于:2005-02-24 12:20:49 |
[quote:44d3523992="speed_fj"]譬如你有2家ISP的线路 ISA可以实现第一次通讯测试这个包的目的地走哪条线速度快 然后到这个目的地的包就一直走这跳路由[/quote:44d3523992] 仔细一看,这个策略不是很不可靠么? 如果我有电信/网通2条线,万一 电信/网通线路整改,我不是就可能有n多站点无法访问或者极慢了?? 类似这样的,还不如ip2中设置好from的ip段的方式来得科学... 什么是自动? 自动就是保留了80%功能丧失掉20%的懒惰妥协,但太多的时候我们管理员最需要的却是那20%...当然如果你是个人用户我无话可说 |
joyaid 回复于:2005-02-24 17:11:19 |
支持JohnBull!!说的好! 别那win32下面的家用产品比! 呵呵~~ |
joyaid 回复于:2005-02-24 17:20:27 |
哇哈哈哈~~我终于看到最好一页了!! 这里是CU! 如果说ISA 请去Winmag吧!! 哇哈哈哈~~~ |
speed_fj 回复于:2005-02-24 18:31:06 |
被猛挨批了 5555 |
cccjsxg 回复于:2005-02-24 20:54:20 |
长知识! |
speed_fj 回复于:2005-02-25 06:12:30 |
请问iptables如何随机化TCP序列号 |
joess 回复于:2005-02-25 13:26:26 |
其实windows 也有自己的内核防火墙机制(不是XP和2003上的那个),只是会用到的人不多,主要是没有很好的配置界面,功能还可以,就是处理流量的能力只有 45m/s 和 iptables 比各有千秋,至于ip2 的话可能梢强点。 |
網中人 回复于:2005-02-25 13:43:17 |
我曾聽說有人將 iptables 的功能做近 asic 芯片去. 最大的好處就是--- wire speed! |
joess 回复于:2005-02-25 14:05:11 |
[quote:3f435ae268="網中人"]我曾聽說有人將 iptables 的功能做近 asic 芯片去. 最大的好處就是--- wire speed![/quote:3f435ae268] 成硬件防火墙了!呵呵 |
skylove 回复于:2005-02-25 14:31:18 |
[quote:796a5030bc="joess"]其实windows 也有自己的内核防火墙机制(不是XP和2003上的那个),只是会用到的人不多,主要是没有很好的配置界面,功能还可以,就是处理流量的能力只有 45m/s 和 iptables 比各有千秋,至于ip2 的话可能梢?.........[/quote:796a5030bc] 你说的是ip安全策略吧... 那么,麻烦给我配置一个只能通过http的服务策略出来,要求如下: http服务,端口任意,均可以访问; 其他服务,即使使用80口,依然不准访问 您用ip安全策略实现看看?? 以上要求我用iptables加个模块就可以做到 |
網中人 回复于:2005-02-25 14:58:14 |
[quote:90e86c0a01="joess"] 成硬件防火墙了!呵呵[/quote:90e86c0a01] 這還不止哦, 聽說他的 asic 可嵌入網卡(NIC)去! 也就是, 每一台主機本身就是一個硬件式防火牆. 夠猛吧? ^_^ |
wsgtrsys 回复于:2005-02-25 15:53:14 |
[quote:1438fe17c4="網中人"] 這還不止哦, 聽說他的 asic 可嵌入網卡(NIC)去! 也就是, 每一台主機本身就是一個硬件式防火牆. 夠猛吧? ^_^[/quote:1438fe17c4] 哪里有介绍的文章? |
andyliu 回复于:2005-02-25 16:46:39 |
[quote:8ae0f50263="網中人"] 這還不止哦, 聽說他的 asic 可嵌入網卡(NIC)去! 也就是, 每一台主機本身就是一個硬件式防火牆. 夠猛吧? ^_^[/quote:8ae0f50263] 那是不是还要对网卡进行配置? |
aaaaaa 回复于:2005-02-25 17:22:16 |
也许你可以看看 * net-analyzer/snortsam Latest version available: 2.30 Latest version installed: [ Not Installed ] Size of downloaded files: 985 kB Homepage: http://www.snortsam.net/ Description: Snort plugin that allows automated blocking of IP addresses on several firewalls License: as-is iptables + snort + snortsam 应该比较容易实现这个。 [quote:7f892e0c8d="speed_fj"]天网是比较不上台面的 我随便说说 只是iptables有什么别人做不到 或者做不好的特点马 譬如有个弄能 我只能做脚本定期查日志实现 iptables有选项可以直接做到马 我资料没有查到 就是我可以定义在N分钟内跟我通..........[/quote:7f892e0c8d] |
wsgtrsys 回复于:2005-02-25 18:34:06 |
[quote:368549182f]. Maintaining a List of recent Connections to Match Against By using the recent extension one can dynamically create a list of IP addresses that match a rule and then match against these IPs in different ways later. One possible use would be to create a "temporary" bad-guy list by detecting possible port scans and to then DROP all other connections from the same source for a given period of time Port 139 is one of the most dangerous ports for Microsoft Windows& users as it is through this port that the Windows file and print sharing service runs. This also makes this port one of the first scanned by many port scanners or potential hackers and a target for many of the worms around today. We can use the recent matching extension to temporarily block any IP from connecting with our machine that scans this port as follows:[/quote:368549182f] iptables -A FORWARD -m recent --name portscan --rcheck --seconds 300 -j DROP iptables -A FORWARD -p tcp -i eth0 --dport 139 -m recent --name portscan --set -j DROP |
JohnBull 回复于:2005-02-25 20:12:19 |
[quote:57731969fb="speed_fj"]请问iptables如何随机化TCP序列号[/quote:57731969fb] 这叫什么馊主意?这将引起并发数和吞吐量的急剧下降,不可取。 这种事情由端系统处理比较好。 |
JohnBull 回复于:2005-02-25 20:16:57 |
[quote:4d6b743a8d="joess"]其实windows 也有自己的内核防火墙机制(不是XP和2003上的那个),只是会用到的人不多,主要是没有很好的配置界面,功能还可以,就是处理流量的能力只有 45m/s 和 iptables 比各有千秋,至于ip2 的话可能梢?..........[/quote:4d6b743a8d] 不可能的。windows是半微内核体系,TCP/IP是在用户态代码上实现的,不必考虑性能的比较。参见我最开始的帖子。 |
oid2000 回复于:2005-02-25 21:11:24 |
看来iptables确实很能干! 学习中! 楼上的发言很精彩! |
hync 回复于:2005-02-26 03:20:58 |
唔,放下iptables好久了,现一直在用BSD的ipf,看来要好好进一步学用iptables了。另外不知各高人对BSD+ipf如何看法? |
davidbu 回复于:2005-02-27 00:39:46 |
iptables 和checkpoint r55 比起来就差得远啦,我以前是iptables的忠实用户,但是觉得太麻烦,而且也不好管理。现在投靠Checkpoint 啦!!而且CP的功能要远远强过Iptables :em02: iptables和CP不是一个级别的的哦。性能嘛,我觉得firewall性能可以不计的,随便什么pc跑得就很好了。不过可能CP的性能不如iptables,不过iptables也不是万能的。要玩还是要玩专业点的东西好,而且玩iptables又挣不上钱 :roll: 呵呵,个人意见!! |
platinum 回复于:2005-02-27 00:52:02 |
iptables其实也很好理解,也不难管理,关键看管理员的水平如何 如果从商业目的考虑,checkpoint确实比iptables好的多的多…… :) |
speed_fj 回复于:2005-02-27 11:06:55 |
赚钱要紧 但是玩CHECKPOINT要有环境啊 |
yoninh 回复于:2005-02-27 11:14:53 |
[quote:ee1dd93f0b="水中风铃"]看看IPtables指南就会明白了,天网跟它没有什么可比性。功能非常强大,性能也很优异的,主要看管理员的水平[/quote:ee1dd93f0b] 感觉的确是这样。我是新手,但是我觉得iptables给自己了一个编程的环境,尽管是简单的编程。可能也是因为这样,所以管理员的水平也决定很多。 |
speed_fj 回复于:2005-02-27 17:29:25 |
iptables比较自由点吧 |
anqua 回复于:2005-02-27 20:59:36 |
我用iptables能为公司节省 it投资,自己也能得到锻炼的说. |
JohnBull 回复于:2005-02-27 23:29:40 |
[quote:37e1d4957b="davidbu"]iptables 和checkpoint r55 比起来就差得远啦,我以前是iptables的忠实用户,但是觉得太麻烦,而且也不好管理。现在投靠Checkpoint 啦!![/quote:37e1d4957b] 好管理?防火墙配置好以后难道还要整天玩弄不成?那个界面你每天用几次?太麻烦?别客气,是没学会吧? :em11: [quote:37e1d4957b="davidbu"] 而且CP的功能要远远强过Iptables iptables和CP不是一个级别的的哦。 [/quote:37e1d4957b] “不是一个级别的的哦”,还加一个“哦”?我哦你个头,你指的是价格吧? :lol: 当然,比netfilter高几个级别,利用神经网络/遗传算法进行分布式分层模式分析的产品当然有,但决不是CP。 [b:37e1d4957b]就烦这种FUD。说说吧,CP防火墙的哪些功能Linux内核实现不了?说出来了则已,说不出来的话,就把这种FUD的屁话收回去。 [/b:37e1d4957b] [quote:37e1d4957b="davidbu"] 性能嘛,我觉得firewall性能可以不计的,随便什么pc跑得就很好了。 [/quote:37e1d4957b] 高论啊高论!真乃神人也!! :wink: [quote:37e1d4957b="davidbu"] 不过可能CP的性能不如iptables,不过iptables也不是万能的。要玩还是要玩专业点的东西好,而且玩iptables又挣不上钱 [/quote:37e1d4957b] 你是不是觉得有一个看上去十分专业的GUI就说明这个软件特别的“专业”??“玩iptables又挣不上钱 ”这句话应该是CP向你们这些IQ=72的家伙们说的,我就是玩Linux的(我IQ=90),一个月挣1.5W,比您这个玩CP挣到钱的如何? :em11: [quote:37e1d4957b="davidbu"] 呵呵,个人意见!![/quote:37e1d4957b] 别紧张,我没说你是枪手。 :mrgreen: 只是在这个时间,这个地点说出这些话,就别想用“个人意见”堵人家嘴。 [/b] |
cx6445 回复于:2005-02-28 18:18:55 |
除了性能上,高档的硬件防火墙在功能上的确没啥能比iptables强的 在熟练工的角度来看,命令行比GUI高效得多 当然对于初学者有一个好看的GUI很重要 |
mumhero 回复于:2005-02-28 19:12:47 |
[quote:5a271704a5="hync"]另外不知各高人对BSD+ipf如何看法?[/quote:5a271704a5] |
bwlbwlbwl 回复于:2005-03-02 11:24:45 |
明白了原来是要装扩展模块哦.谢谢伺教.关于IPTABLES 应用层过滤问题.比如说动网论坛漏洞. |
ucdos2003 回复于:2005-03-02 11:29:27 |
看样子我也得好好练练iptables了!!! |
bwlbwlbwl 回复于:2005-03-02 11:38:16 |
SOLARIS IPF我还没用起来不知道谁能给点资料 |
skylove 回复于:2005-03-02 11:56:30 |
[quote:146da2d63d="bwlbwlbwl"]明白了原来是要装扩展模块哦.谢谢伺教.关于IPTABLES 应用层过滤问题.比如说动网论坛漏洞.[/quote:146da2d63d] l7过滤模块或者string过滤模块就行了,比如对url中的cmd.exe之类的进行禁止; |
atz0001 回复于:2005-03-02 16:27:14 |
[quote:23e40afa84="speed_fj"] 就是我可以定义在N分钟内跟我通讯的一个ip超过一定次数 就是建立socket 我就自己drop他 我估计还是要写sh 不过我写的那个不太好 老是会抽 不知道谁有好的马[/quote:23e40afa84] 贴主是 iptables 用户来的,不要光顾着猛批,解决他的问题是真。 你说的这个功能用 --limit 模块可以实现。 http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO-7.html#ss7.3 相关的还有 http://www.netfilter.org/documentation/HOWTO//netfilter-extensions-HOWTO-3.html#ss3.5 iptables 是一个非常容易扩展的体系结构,开发 iptables,应当用扩展的形式。 |
speed_fj 回复于:2005-03-02 16:44:54 |
谢谢 http://www.netfilter.org/documentation/HOWTO//netfilter-extensions-HOWTO.html#toc3 很好地方 :) [quote:86dfaf3fd5="atz0001"] 贴主是 iptables 用户来的,不要光顾着猛批,解决他的问题是真。 你说的这个功能用 --limit 模块可以实现。 http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO-7.html#ss7.3 相关?.........[/quote:86dfaf3fd5] |
雅鑫帝恩 回复于:2005-03-03 18:34:45 |
[quote:4e0c89b9fe="sandsoft"]天网算什么??会问这样的问题,我都在想要是iptables移植到windows下,windows下会强大很多!!!!!!![/quote:4e0c89b9fe] 这恐怕要和盖茨哥商量 |
joess 回复于:2005-03-08 17:34:25 |
[quote:a1d1f2ae39="skylove"] 你说的是ip安全策略吧... 那么,麻烦给我配置一个只能通过http的服务策略出来,要求如下: http服务,端口任意,均可以访问; 其他服务,即使使用80口,依然不准访问 您用ip安全策略实现看看?? 以上要求我用ipta..........[/quote:a1d1f2ae39] 当然可以,用ip安全策略过滤端口, 用安全策略配置服务. 懂了吧!不是不行,而是会配的人少.对WINDONS不熟就不要发声音. |
platinum 回复于:2005-03-08 17:42:16 |
[quote:c963a57c3b="joess"] 当然可以,用ip安全策略过滤端口, 用安全策略配置服务. 懂了吧!不是不行,而是会配的人少.对WINDONS不熟就不要发声音.[/quote:c963a57c3b] skylove说的是7层应用的匹配 匹配的不是地址,也不是端口,而是服务 也就是说,不管是http如何启动,在哪个地址上,在哪个端口上,大家均能访问 而其他服务,即使开在80端口上,别人也访问不了 这个WIN恐怕是无能为力…… |
joess 回复于:2005-03-08 17:43:22 |
[quote:b2b1f5408e="JohnBull"] 不可能的。windows是半微内核体系,TCP/IP是在用户态代码上实现的,不必考虑性能的比较。参见我最开始的帖子。[/quote:b2b1f5408e] 话这这么说,但是由于代码跟内核结合的很紧密了,所以说它有内核防火墙也未常不客,上次特别问微软的人的. |
joess 回复于:2005-03-08 17:45:47 |
[quote:74df9074fd="platinum"] skylove说的是7层应用的匹配 匹配的不是地址,也不是端口,而是服务 也就是说,不管是http如何启动,在哪个地址上,在哪个端口上,大家均能访问 而其他服务,即使开在80端口上,别人也访问不了 这个WIN恐怕是..........[/quote:74df9074fd] 这个也许不行,我没这样做过. |
延伸阅读
文章来源于领测软件测试网 https://www.ltesting.net/