两张规则匹对流程图

Ruler_l · 发表于 2007-9-6 10:03:52

发两张规则匹配流程图，方便我们这些新手们理解panabit的过滤机制，好让我们更好设计出合适的控制策略

[ 本帖最后由 Ruler_l 于 2007-9-6 10:06 编辑 ]

panabit · 发表于 2007-9-6 10:29:51

原帖由 Ruler_l 于 2007-9-6 10:03 发表
发两张规则匹配流程图，方便我们这些新手们理解panabit的过滤机制，好让我们更好设计出合适的控制策略

很好，间接清晰！！！
辛苦了！！！

netmaster · 发表于 2007-9-6 10:54:56

原帖由 Ruler_l 于 2007-9-6 10:03 发表
发两张规则匹配流程图，方便我们这些新手们理解panabit的过滤机制，好让我们更好设计出合适的控制策略

看了图，但有两个个地方没看懂
1、如果匹配到了但没有任何动作呢？
2、匹配到了，允许，真的时候为什么还要继续匹配，不是已经匹配到了吗？假的时候就是不允许吗？如果那样的话为什么还到出口？
我觉得这个图画的有问题……

panabit · 发表于 2007-9-6 11:30:53

原帖由 netmaster 于 2007-9-6 10:54 发表

看了图，但有两个个地方没看懂
1、如果匹配到了但没有任何动作呢？
2、匹配到了，允许，真的时候为什么还要继续匹配，不是已经匹配到了吗？假的时候就是不允许吗？如果那样的话为什么还到出口？
我觉得这个 ...

1.如果匹配到了但没有任何动作呢？
这种情况不存在，任何一条规则都有动作

2. 匹配到了，允许，真的时候为什么还要继续匹配
假象这样一种应用情形：我要限制某个用户的最大下行总带宽为512k，同时我要限制其p2p最大下行总带宽为100k，这样的好处
是用户在下载的同时不会影响其上网。
对于上述情形，可以通过以下规则实现：(假设其IP为192.168.1.100)

1 any --> 192.168.1.100 任意协议允许单IP限速512 继续匹配
2 any --> 192.168.1.100 p2p下载允许单IP限速100 继续匹配

3. 如果没有匹配到任何规则，系统默认为通过，这个同一般的防火墙不一样，为什么要这样设计呢？
Panabit是应用层分析的，对于一个TCP连接，在其特征出现之前，SYN, ACK这些数据报是被当作未知流量的
因此如果你将SYN, ACK丢弃的话，会有问题。

netmaster · 发表于 2007-9-6 11:50:56

原来是这样，学习了！
还有，我昨天测试的时候看到 TTL 有的是负数，怎么回事呢？

panabit · 发表于 2007-9-6 12:42:49

原帖由 netmaster 于 2007-9-6 11:50 发表
原来是这样，学习了！
还有，我昨天测试的时候看到 TTL 有的是负数，怎么回事呢？

ager还没有scan到它。

netmaster · 发表于 2007-9-6 17:03:55

原帖由 panabit 于 2007-9-6 12:42 发表

ager还没有scan到它。

没懂…………………………

lio.a · 发表于 2009-5-7 23:33:16

终于懂了。。谢谢楼主的启蒙！

tzredhat · 发表于 2009-5-8 01:46:03

我也留个记号！备查！

jimmyxing001 · 发表于 2009-5-8 15:11:31

太好了，谢谢老大，正在深入学习中

		自动登录	找回密码
密码			注册