Чем он лучше shorewall, arno iptables firewall, и т.д? Все это есть уже..

[b]Sheridan[/b]
[blockquote]Дополнения советы и рекомендации очень жду...
[/blockquote]
[b]Sheridan[/b]
[blockquote]Если комуто не нравится - плюньте и разотрите - мне похрену.
Я запостил это для тех кому пригодится.[/blockquote]

:-?

Да я не против, делай конечно. Но работа зряшная на мой взгляд, чисто для саморазвития если только. Лучше делать то, чего еще нет, или помочь готовому проекту, который уже прошел те стадии разработки, которые делаешь сейчас ты.

<offtop>
поддерживаю edge'а, зряшная работа, тем более того что ты написал - мало даже для домашней машины.. а наличие iproute2 это есть очень хорошо кстати...
</offtop>

по существу первое что в голову приходит после просмотра:
- не дропается траф от и к зарезервированным IANA подсетям
- не дропаются пакеты с состоянием INVALID, не используется модуль unclean
- слабенькая проверка флагов, не учтены SYN/RST и SYN/FIN
- нет работы с цепочкой mangle, не юзается TOS, не дропаются пакеты со всеми сброшенными флагами
- нет возможности DNAT'ить сервисы
- SNAT тоже нет
- слабенькая работа с /proc/sys/net/ipv4

нет шейпинга, qos, поддержки ipsec.. :)

Судя по вопросам, по-моему ты прикалываешься.. Не поверю, что не знаешь что такое сетки 10. 192. 127., что такое DNAT SNAT и тд.

2sheridan:
без обид, ну зачем пытаться изобретать велосипед с такими знаниями стека сетевых протоколов? (:

- список зарезервированных IANA подсетей ищется в гугле, кстати 224.0.0.0 ты тем не менее реджектишь..
- iptables -A InvalidPackets -m unclean -j DROP
- iptables -A InvalidPackets -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP (кристмас)
iptables -A InvalidPackets -p tcp --tcp-flags SYN,RST SYN,RST -j DROP (SYN/RST)
iptables -A InvalidPackets -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP (SYN/FIN)
- тут лениво расписывать, копать в сторону мишени TOS и соответственно параметру --set-tos, цепочки не в таблице FORWARD, а в mangle, на OUTPUT и PREROUTING, не цепочки а правила в смысле..
- Destination network address translation
- соответственно Source network address translation
- ууу, многа :)
/proc/sys/net/ipv4/ip_conntrack_max - максимальное количество соединений трассировщика
/proc/sys/net/ipv4/ip_local_port_range - диапозон локальных портов для сетевых соединений
/proc/sys/net/ipv4/conf/all/rp_filter - rp_filter
/proc/sys/net/ipv4/conf/all/accept_source_route - сурс роутинг пакетиков
/proc/sys/net/ipv4/conf/all/accept_redirects - icmp редиректы кажется
/proc/sys/net/ipv4/conf/all/log_martians - вести лог невозможных айпишников
и еще куча в ls -R /proc/sys/net/ipv4
- шейпинг имеется ввиду зарезка канала, например через tc пакета iproute2, IPSec вообще грех не знать, срочно читать..

"Как я понял 10, 192, 127 сети являются зарезервированными типа как 192 это домашняя сеть... так? Если так тогда все понятно. "
не совсем так.. http://www.iana.org/assignments/ipv4-address-space - отсюда брать то что помечено как IANA - Reserved, как видишь кроме 10.х/8 192.х/8 есть еще много других, 127.х/8 это loopback, 169.254.0.0/16 это link local для DHCP, 224.0.0.0/4 и 240.0.0.0/4 это подсеть класса D, первое еще известно как ipv4 multicast.
момент в другом, что не все ты дропаешь из этого списка, если ты будешь дропать 192.168.0.0/16, а в локалке адреса 192.168.0.1 например, то пакетики будут сразу дропаться при приближении к шлюзу :)

ну как я уже рекомендовал не трахать /proc (ибо я бы не был так у всерен что procfs именно туда смонтирована, что она смонтирована вообще, что ядро вообще умеет procfs), а всеже юзать sysctl

Ссылки:
1) http://www.unixwiz.net/techtips/iguide-ipsec.html - IPSEC, иллюстрированное описание протокола
2) http://www.nestor.minsk.by/sr/2003/09/30914.html - Зарезервированные сети (не самое лучшее описание, но пойдет)
3) http://www.jetinfo.ru/1998/7-8/1/article1.7-8.1998.html - в добавление к тому, что тебе предстоит сделать, стоит прочитать про IPv6, поскольку в 2008 кажется году начинается переезд на IPv6
4) http://megalib.com/books/1348/iptables-tutorial.html - описание iptables на русском. Тут и про DNAT и про SNAT, и про TOS и т.д. на русском.

[quote=WhiteDragon]ну как я уже рекомендовал не трахать /proc (ибо я бы не был так у всерен что procfs именно туда смонтирована, что она смонтирована вообще, что ядро вообще умеет procfs), а всеже юзать sysctl[/quote]

А что, по вашему, делает sysctl, как не "трахает /proc"?

sheridan: В UDP не бывает флагов SYN, FIN, PSH, и RST. В UDP нет подключений и нет механизмов управления подключениями.

В общем, учите матчасть... Лично я не доверил бы построение межсетевого экрана человеку, не знакомому с основами сетевого взаимодействия.

[b]edge[/b] постил ссылку http://megalib.com/books/1348/iptables-tutorial.html в первой части туториала автор касается флагов сетевых протоколов и поясняет некоторые неоднозначные ситуации. Полезное чтиво.

БОльшая часть неверных сочетаний флагов уже давно дропается в ядре автоматически, самому ничего делать не нужно.

SYN и ACK не единственные флаги заголовка tcp, твоим handbook'ом для начала должна была стать книга TCP/IP Сетевое администрирование Ханта и TCP/IP для профессионалов Паркера, ну а потом уже садиться за iptables tutorial :) серьезно, без обид.. iptables это инструмент..

лучше
RFC 768 - UDP
RFC 791 - IP
RFC 793 - TCP
RFC 792 - ICMP

WD как обычно не ищет легких путей ;)

[quote=maax]..... книга TCP/IP Сетевое администрирование Ханта и TCP/IP для профессионалов Паркера ....[/quote]
А есть вариант скачать данные произведения? Что-то я не нашел.... Мож у кого ссылочка завалялась....

есть на анг. стучи, вышлю)
кстате, кое-что есть тут:
ftp://ftp.uar.net/pub/e-books/
<span class='smallblacktext'>[ Редактирование 27.06.2006 - 12:40:13 ]</span>

в э этой жизне эти книги есть в переводе, TCP/IP Паркера издавалась издательством Питер, эту книжку наверно многие видели в книжных магазинах, но боялись ее купить ;) у нее два года назад цена была 1400 р. .. Хант более прагматичен, но не менее интересен... после обоих книг многие ранее непонятные вещи станут как прозрачная вода :) рекомендую читать..

[quote=sl1m]есть на анг. стучи, вышлю)
кстате, кое-что есть тут:
ftp://ftp.uar.net/pub/e-books/
[/quote]

Это-то, супер, но мне русский как-то лучше впитывается :-).... Все таки мож у кого есть на русском?

[quote=John][quote=sl1m]есть на анг. стучи, вышлю)
кстате, кое-что есть тут:
ftp://ftp.uar.net/pub/e-books/
[/quote]

Это-то, супер, но мне русский как-то лучше впитывается :-).... Все таки мож у кого есть на русском?[/quote]

да, книжки толковые, но в нете на русском не встречал. в магазине, сейчас, переводы этих изданий на русском стоят не более чем по пицот рэ..