biomednet Schwarz Meister Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Главная ссылка проекта http://wipfw.sourceforge.net WIPFW - MS Windows действующая версия известного IPFW для РТА FreeBSD. Вы можете использовать те же самые функциональные возможности и конфигурировать это как, только Вы работаете с IPFW. Проект wipfw представляет собой, похожий по синтаксису с FreeBSD ipfw, интерфейс для управления пакетным фильтром Windows 2000/XP/2003. Из функциональности в первых версиях отсутствует возможность ограничения трафика, форвадинга и некоторые другие специфичные функции появившиеся в последнее время во FreeBSD.   IPFW - фильтрация пакета и система учета, которая постоянно находится в kernelmode, и имеет утилиту управления user-land control, ipfw. Вместе, они позволяют Вам определять и сделать запрос правил, используемых ядром в его решениях маршрутизации.   Есть две связанных части к ipfw. Раздел межсетевой защиты выполняет фильтрацию пакета. Есть также IP, считающий раздел, который прослеживает использование маршрутизатора, основанного на правилах, подобных используемым в разделе межсетевой защиты. Это позволяет администратору контролировать, сколько трафика маршрутизатор добирается от определенной машины, или сколько трафика WWW это отправляет, например.   В результате пути, которым проектирован ipfw, Вы можете использовать ipfw на машинах немаршрутизатора, чтобы выполнить фильтрацию пакета на приходе и уходящих подключениях. Это - специальный случай более общего использования ipfw, и те же самые команды и методики должны использоваться в этой ситуации.   Всего записей: 2295 | Зарегистр. 12-08-2002 | Отправлено: 13:04 17-03-2005

mookhin Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: да, а также recv, via, xmit, in, out, вобщем всё, касающееся описания сетевого интерфейса. От онО как..., Мыхалычъ!... мда... одним словом - пахать и пахать. Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 19:30 02-08-2011

mookhin Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: table 2 add 192.168.6.0/24{133,130}   Цитата: и не должно, синтаксис задан неверный.     и что я здесь не так сделал? вроде в мануалах все так... может че просмотрел?     Цитата: Обновил, логи корректно пишутся, всё вроде б работает корректно.     вижу. проделан ненапрасно титанический труд! и работающее ANY/ME - радует.   Цитата: Осталось только автозагрузку правил доделать при старте системы, и обработку имен интерфейсов.     есть предложение реализовать все это близко к оригиналу: пущай стартующий драйвер ищет настройки в etc/wipfw.conf. а?   а еще есть предложение (если я правильно догадываюсь): параметр net.inet.ip.fw.default_to_accept: 1 (read only) сделать конфигурабельным. то бишь регулировать последнее правило (pass/deny) через sysctl?     Добавлено: В догонку... а насколько реально вынести ссылку на последние реализации в шапку темы? Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 11:10 08-08-2011

c00ker Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 'me' пока не стоит пользоваться, не протестировано, и адреса адаптеров закидываются в драйвер только на момент команды ipfw enum   у таблиц синтаксис такой: Код:    ipfw table number add addr[/masklen] [value]  ipfw table number delete addr[/masklen]  ipfw table {number | all} flush     Цитата:   есть предложение реализовать все это близко к оригиналу: пущай стартующий драйвер ищет настройки в etc/wipfw.conf. а?   В оригинале правила тоже скриптом загружаются при запуске системы, не ядром   Хотя была идея содержимое текущих правил выгружать на диск при перезагрузке-завершении работы системы, и загружать при запуске, но это уже как раз отхождение от оригинала.   Цитата:   В догонку... а насколько реально вынести ссылку на последние реализации в шапку темы?   Как будет стабильный релиз, озадачимся вопросом   Всего записей: 12 | Зарегистр. 03-04-2006 | Отправлено: 11:30 08-08-2011 | Исправлено: c00ker, 11:36 08-08-2011

mookhin Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: 'me' пока не стоит пользоваться, не протестировано, и адреса адаптеров закидываются в драйвер только на момент команды ipfw enum да. есть такое дело. проверил - творится полная фигня. Цитата: у таблиц синтаксис такой:    ipfw table number add addr[/masklen] [value]    ipfw table number delete addr[/masklen]    ipfw table {number | all} flush а как тогда с: Цитата:  As an example, an address specified as 1.2.3.4/24{128,35-55,89}      or 1.2.3.0/24{128,35-55,89} will match the following IP      addresses: 1.2.3.128, 1.2.3.35 to 1.2.3.55, 1.2.3.89 .   table 1 add 192.168.0.0/20 table 2 add 192.168.6.0/24{130,133} table 3 add 192.168.6.12 table 3 add 192.168.6.113 table 4 add 172.16.0.0/23 table 5 add 192.168.15.255 table 5 add 224.0.0.0/4 table 5 add 255.255.255.255 table 6 add 172.16.10.255 table 6 add 192.168.0.255 table 6 add 192.168.7.255 table 6 add 192.168.16.255 table 6 add 192.168.31.255   и вот что получил: c:\Windows\System32\drivers\etc>ipfw table 1 list 192.168.0.0/20 0 192.168.6.0/24 0   c:\Windows\System32\drivers\etc>ipfw table 2 list 192.168.0.0/20 0 192.168.6.0/24 0   c:\Windows\System32\drivers\etc>ipfw table 3 list 192.168.6.12/32 0 192.168.6.28/32 0   c:\Windows\System32\drivers\etc>ipfw table 4 list 172.16.0.0/23 0 192.168.6.28/32 0   c:\Windows\System32\drivers\etc>ipfw table 5 list 192.168.6.0/24 0 192.168.7.255/32 0   c:\Windows\System32\drivers\etc>ipfw table 6 list 172.16.10.255/32 0 192.168.0.255/32 0   c:\Windows\System32\drivers\etc>ipfw table all list ---table(1)--- 192.168.0.0/20 0 192.168.6.0/24 0   чую, там че-то не так с "сишной" организацией списков... в каком исходнике это глянуть? у меня кой чего есть.   А второе - меня озадачила проблема: при запуске когда-то "боевой" конфигурации под XP/W2K-server оригинальная конструкция:   add check-state add deny tcp from any to any established add pass tcp from me to table(1) out setup keep-state add pass udp from me to table(1) out keep-state   после внесения изменений в  3-ю и 4-ю строчки:   add pass tcp from any to 192.168.0.0/20 out setup keep-state add pass udp from any to 192.168.0.0/20 out keep-state   периодически рвала соединения. а помогала мне в этом "тетя ася" - типа соединение потеряно. пришлось плотно поиграться с параметром: net.inet.ip.fw.dyn_short_lifetime. то решения найдено не было, хотя ipfw -de show показывал вроде бы правильные таблицы, но вот тайм-ауты че-то не были похожи на правду. может здесь уже проблема в правильности настроек TTL протокольного стека?   И последнее, может есть смысл убрать ненужную нумерацию в начале каждой строки протокола? эт еще и кусочек кода уберется, добавив чуток шустрости протоколирования Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 19:46 08-08-2011

mookhin Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору 5-й день работает в штатном режиме. замечания(table): - действует ограничение на количество записей: 2 - не заноситься в broadcast 255.255.255.255 пожелания(по сложности):   - 2-а варианта драйвера (allow/deny)   - работа с интерфейсами (via)   - fwd   - nat Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 13:41 12-08-2011

c00ker Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору глюк с таблицами - вина компилятора tcc, правила на самом деле вносятся, но отобразиться корректно не могут пока отложил Провозился с автоматической установкой im-драйвера, пока не очень успешно.   Залил релиз с доп. сервисом, подгружающим правила при запуске системы. Остальное в процессе. Всего записей: 12 | Зарегистр. 03-04-2006 | Отправлено: 03:06 17-08-2011 | Исправлено: c00ker, 03:08 17-08-2011

mookhin Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: глюк с таблицами - вина компилятора tcc, правила на самом деле вносятся, но отобразиться корректно не могут  пока отложил   замечено... теперь и просмотр/очистка таблиц завершается ошибкой Цитата:   Провозился с автоматической установкой im-драйвера, пока не очень успешно. я тоже убил день на "причесывание" inf-файлов. успехов мало. но идея добавить установку сервиса через inf, закладочки в свойствах ipfw и вывод доступной пока информации в системный лог,  гложет. Цитата:   Залил релиз с доп. сервисом, подгружающим правила при запуске системы. Остальное в процессе.   уже проверил. работает. ждем-с... VIA, ME, FWD, NAT. кстати, оставь в -h только то, что реализовано, а и при сборке - дату/версию файлов для обновления версий и для возможного с моей стороны: cat-файла.   Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 22:02 17-08-2011

mookhin Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору По поводу FWD. Правило парсится, но в список не добавляется. Ему не присваивается rule-номер. Возможно "рихтовка" будет мимнимальной... Пожелания: 1. Было бы разумно добавить умалчиваемые, как 65535, правила парсинга через lo0. То бишь allow all via lo0, deny to 127.* и deny from 127.* 2. *.fw.verbose - по-умолчанию = 1 Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 08:49 18-08-2011

mookhin Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору обнаружена еще одна бяка(?).   обработка токена unreach: вместо его заноситься reject, что есть не совсем хорошо и даже вредно. глянув в "сырцы" от Луиджи - обратил внмание, что упор сделан на unreach6.     Добавлено: Глюк не глюк (только что заметил)? нумерация правил идет от номера последнего. если последнее правило предположим 112, то последующие 212, 312, 412 etc... Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 08:46 19-08-2011

mookhin Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору блин... оказывается unreach host = reject 1 Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 13:18 20-08-2011

mookhin Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору c00ker,   Полностью перелопатил родные inf-файлы...   Как результат - необходимость в вызове функций install/remove отпал. все делается через inf(установка/удаление службы).   А теперь о пожеланиях... Есть ли смысл вообще в ipfw_svc? Она стартует только при загрузке системы, а потом останавливается. Только из-за того, что надо прогрузить конфиг? А почему бы тогда не заставить читать конфиг саму службу-драйвер при старте? При этом все параметры читать из реестра. Кстати о нем родимом. Мною добавлены инсталляционные моменты: 1.параметру config с путем к cmd-шке, по правилам хорошего тона, самое место в services\Ipfw\Parameters. Туда же я (от себя) внес параметр REG_EXPAND_SZ wipfw.conf с значением %12%\etc\wipfw.conf 2.инсталляция мини-порта сейчас добавляет (на перспективу) пользовательский интерфейс доступный через список оборудования->Сетевые платы -> Ipfw Miniport. Для наглядности там содержаться пока 3 параметра:   Accept (default_to_accept), Dynamic (размер динамических правил с шагом 64), Verbose (включение ведения лога). Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 19:48 23-08-2011

mookhin Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Все-таки какие то глюки с check-state имеют быть место. QiP "скачет" как дурной... Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 13:27 28-08-2011

mookhin Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору c00ker Загляни, pls, в "личку"... оч надо... Всего записей: 36 | Зарегистр. 28-02-2007 | Отправлено: 20:59 22-10-2011

dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору да. не плохой проект. жаль, что приходится пользоваться kerio лишь из-за наттинга. керио - бяка, по сравнению с wipfw. увы, придется терпеть. наттинг наверняка реализуют не скоро. хотя, 5 лет терпел. еще 5 лет протерплю. винклиентов не перетащить под никсы. дорого по времени. да что время. есть клиенты, которым жалко банально денег на роутер. хоть бери и дари) Всего записей: 2458 | Зарегистр. 08-11-2003 | Отправлено: 20:22 05-06-2012 | Исправлено: dariusii, 20:26 05-06-2012

Go4vial Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Привет! Есть ли новости о проекте? Очень интересует, будет ли корректно работать wipfw под win7 _x64_, а то в гугле только про win7 x32 написано И если да, то какая версия? Всего записей: 32 | Зарегистр. 07-11-2011 | Отправлено: 09:41 02-09-2012 | Исправлено: Go4vial, 09:42 02-09-2012

dariusii Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Go4vial   наттинга все равно не умеет. хоть, под windows 8. хоть под windows 10 x128.   Винда - это своя философия на все и вся. Дух Баллмера не позволит протиснуться сюда нормальному ПО. Тока керио, касперский, 1ц итц))   Хочешь, что бы работали консультанты, гаранты, блондинки - прогинайся под коммерческий костыльный софт аля керио, фематеч радмин и в том же духе. коропратЫв.   Не будет здесь настоящего ipfw. Ни через год, ни через 10 лет. Не укладывается коммерческая полтика мысы под такой вид совместимости.   А софту многа.. ага))) Всего записей: 2458 | Зарегистр. 08-11-2003 | Отправлено: 16:53 11-09-2012 | Исправлено: dariusii, 16:56 11-09-2012

Страницы: 1 2 3 4 5 6 7 8 9

Компьютерный форум Ru.Board » Компьютеры » Программы » WIPFW / IPFW

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование