Вопрос к понимающим архитектуру NetUP

mkb · Сообщение **mkb** » Пн апр 18, 2005 21:15

Доброго времени суток. Я еще не работал с NetUP, но видимо предвидится,
в связи с этим возник ряд вопросов. Основной вопрос заключается в том,
как конкретно NetUP работает с пакетным фильтром, какие модули
зайдействованы и так далее. Предполагается управление пакетным фильтром
на OpenBSD (pf) и в связи с тем, что он не является оффициально поддерживаемым
системой NetUP возник вопрос как можно научить его (NetUP) с работать с pf.

После ознакомления с документацией (кстати говоря достаточно подробной) по
NetUP, стало ясно, что хотелось бы реализовать нижеприведенную конфигурацию...

Код: Выделить всё

         internet
            |
+-------------------------+
|         OpenBSD         |
| pf &#40;access lists + nat&#41; |
+-------------------------+
             |
        +--------+         +--------------------+
        | switch |---------| NetUP core +       |
        +--------+         | PostgreSQL backend |
             |             +--------------------+
             |
   +--------------------+
   | OpenBSD router +   |
   | NetFlow statistics |
   |      generator     |
   +--------------------+
             |
          L  A  N

Хочется снимать NetFlow статистику с OpenBSD и рулить pf'ом на другом рутере.
Я так понял что с NetFlow проблем нет, а вот с pf заминка... Подскажите, в каком
направлении двигаться и возможно ли такое?

sg · Сообщение sg » Пн апр 18, 2005 21:56

Модуль rfw для управления фаерволом вызывает бинарник фильтра, указанный в настройках с полученными от ядра по шаблону параметрами, так что в принципе не важно, какой конкретно этот пакетный фильтр. Главное, чтоб rfw запустился под OpenBSD, что нужно проверять непосредственно на системе. И находится этот модуль может на любой машине, главное чтоб он мог законнектится по tcp с машиной, где крутится ядро UTM. Так что ваша схема вполне реализуема.

mkb · Сообщение **mkb** » Пн апр 18, 2005 22:40

sg писал(а):Модуль rfw для управления фаерволом вызывает бинарник фильтра, указанный в настройках с полученными от ядра по шаблону параметрами, так что в принципе не важно, какой конкретно этот пакетный фильтр. Главное, чтоб rfw запустился под OpenBSD, что нужно проверять непосредственно на системе. И находится этот модуль может на любой машине, главное чтоб он мог законнектится по tcp с машиной, где крутится ядро UTM. Так что ваша схема вполне реализуема.

благодарю за быстрый ответ. насчет rfw попробуем что-нибудь навроде линух-
эмуляции, в крайнем случае tcpdump'ом подсмотрим формат пакетов

sg · Сообщение sg » Вт апр 19, 2005 12:00

mkb писал(а):благодарю за быстрый ответ.

Пожалуйста

mkb писал(а):насчет rfw попробуем что-нибудь навроде линух-
эмуляции, в крайнем случае tcpdump'ом подсмотрим формат пакетов

Я не специалист по BSD, но у Нетапа есть сборка UTM под FreeBSD, может rfw оттуда и пойдет под OpenBSD, во всяком случае стоит попробовать.