shaping provozu
Miroslav Chlastak
chlastak at sloane.cz
Tue Feb 13 16:10:54 CET 2007
Dan Lukes wrote:
> Zbyněk Burget napsal/wrote, On 02/07/07 09:25:
>
>> Ten snort nevypada na prvni pohled uplne spatne. obavam se ale, ze
>> system analyzy logu a podle nej prepisovani ipfw ruli nejakym skriptem
>> nebude realny u site s tokem ve spicce kolem 10 mbit.
>> Kdyby to bylo 50 pocitacu, jeste by se to asi dalo osefovat, ale u
>> neceho vetsiho asi uz ne.
>> Jo, kdyby snort mohl vratit packet do IPFW s nejakym flagem, na zaklade
>> ktereho bych rozhodl, co s nim dal, to by bylpresne to, co potrebuju.
>> Ale tohle bohuzel asi neumi - tedy ja nic takoveho aspon v dokumentaci
>> snortu nenasel a ani o takovem mechanismu v IPFW nevim.
>>
>
>
> Mechanismus v IPFW2 je. TAGovani paketu jako takove mozne je po dobu
> jejich zpracovani v kernelu. IPFW umi paket oznacit a (ne)existence
> oznaceni lze pouzit v matchovaci podmince nejakeho pravidla, nicmene,
> TAGy jsou v ramci kernelu opravdu dostupne opravdu obecne, takze tento
> mechanismus mohou pouzivat i jine komponenty, ktere se k paketum v jadre
> dostanou.
>
> Ale obavam se, ze tento mechanismus je SNORTu nedostupny. Ja ho sice
> neznam, ale podle toho, co padlo tady, tak on sedi na nejakem read-only
> rozhrani (bpf?), analyzuje pakety, a kdyz chce vyvolat nejakou akci, tak
> musi pouzit nekoho jineho - zmenit pravidla ipfw nebo tak. Sam pakety
> podle vseho menit neumi.
>
Taky me tato kombinace napadla. A pak me napadlo jeste neco jineho.
Hledal jsem nastroj na omezovani
P2P siti (obdobu linuxoveho ipp2p). Kdyz ted ipfw umi tagovat pakety,
nedalo by se toto tagovani nejak rozsirit,
aby paketu zustal tag, kdyz bude pres divert poslan do user space
aplikace a posleze navracen zpet do kernelu(resp. firewallu)? Pak uz by
teoreticky nemelo byt tak slozite naprogramovat user land aplikaci,
ktera by poslouchala (obdobne jako natd) a tagovala pakety podle
obdobnych pravidel jako snort rozpoznava provoz. Pakety by byly nasledne
vraceny zpet do firewallu a dle tagu by se zpracovaly.
Lze to takto nejak uskutecnit?
--
Mira
> Jinak je ale na siti s tokem ~10Mbps davat pozor i na tohle - na te uz
> je videt kazde pravidlo, kterym paket v ipfw musi projit, takze je
> jejich pocet dulezite drzet na co nejmensim cisle.
>
> Na takovehle siti, podle pripojeni soudim, ze to je velka sit, uz mam
> ale za jiste, ze technicka opatreni jsou sice mozna, ale vhodnejsi
> metodou reseni jsou opatreni organizacni.
>
> Dan
>
>
>
>
More information about the Users-l
mailing list