The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость, позволяющая обойти блокировку пакетным фильтром pf во FreeBSD"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость, позволяющая обойти блокировку пакетным фильтром pf во FreeBSD"  +/
Сообщение от opennews (?), 09-Сен-23, 08:22 
Во FreeBSD выявлена уязвимость (CVE-2023-4809) в коде пакетного фильтра pf, позволяющая обойти заданные для IPv6 правила блокировки через манипуляцию с фрагментированными пакетами IPv6. Проблема проявляется при использовании pf для фильтрации трафика IPv6 при включённом режиме...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59731

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  –1 +/
Сообщение от Анонит (?), 09-Сен-23, 08:22 
Ip6 почти не используется как мне думается. В любом случае его отключение никак не сказывается у меня.
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +7 +/
Сообщение от Аноним (3), 09-Сен-23, 08:32 
Это фряха почти не используется.
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  –1 +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 08:59 
Надо называть, кто сетевой стек BSD заюзал или сам знаешь? Выходит, что он самый популярный в мире )))
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 09-Сен-23, 09:10 
И у них есть v6, к сожалению, и им тоже пришлось.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +1 +/
Сообщение от Аноним (3), 09-Сен-23, 09:41 
Ох уж эти сказки фанатиков. Весь этот заимствованный код уже давно тыщу раз переписан и в мейнлайн фряхи вернули ровно ничего. Вот фряха и загнулась.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

23. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 10:12 
Не преувеличивайте, а лучше расскажите, что было референсной реализацией IPv6 и IPsec )))
Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  –1 +/
Сообщение от Аноним (3), 09-Сен-23, 12:34 
Лучше расскажите какой смысл топить за фряху в 2023 году. Ничего кроме мутных историй от неё не осталось.
Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 14:05 
А кто топил?
Ответить | Правка | Наверх | Cообщить модератору

144. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от IdeaFix (ok), 10-Сен-23, 00:37 
Ну, вся эта возня как минимум позволяет поддерживать хоть какую-то видимость того, что стартап жив.
Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

65. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (65), 09-Сен-23, 13:36 
Реализацией Ipv6 в BSD был (и остаётся) Kame. Так вот он кусок Г, и, кроме того, сделан совершенно отдельно от стека v4, и дублирует кучу всего.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

93. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (93), 09-Сен-23, 17:49 
> Надо называть, кто сетевой стек BSD заюзал или сам знаешь?

Назови, не стесняйся. Жутко любопытно, кто же так прокололся-то?

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

100. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 18:00 
>> Надо называть, кто сетевой стек BSD заюзал или сам знаешь?
> Назови, не стесняйся. Жутко любопытно, кто же так прокололся-то?

Скачай сорцы Дарвина погрепай их на предмет "KAME Project" и "Berkley". То же самое можешь сделать с утекшими сорцами XP. На ПыСухах даже больше, чем просто сетевой стек.

Ответить | Правка | Наверх | Cообщить модератору

124. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (124), 09-Сен-23, 21:16 
Эх, Тимур-Тимур. Уж от кого не ожидал такую чушь услышать, так это от тебя. Понимаешь ли, Тимур, в 1983 году в Беркли изобрели весьма годную абстракцию для сетевых сокетов, которую так и назвали — Berkeley sockets. Абстракция оказалась настолько удачной, что с тех пор расползалсь практически по всем системам, в которых есть сетевые сокеты. Но потом какой-то дурачок увидел где-то в документации знакомое слово, и решил, что это жадный Майкрософт украл код из BSD. Так как дураку хоть кол на голове теши, а ненавидеть Майкрософт — это такой особый вид спорта в хакерском комьюнити ещё с тех времён, миф распространился как лесной пожар. И через сорок лет очередной хранитель тайного знания не стесняясь своего невежества пересказывает его на публике.

Расстроил ты меня этим, Тимур. Сильно расстроил.

Ответить | Правка | Наверх | Cообщить модератору

126. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 21:24 
Я надеюсь ты в курсе, что, как и в ядре линукса, сетевые протоколы отдельно от сокетов в другой папке лежат? Или действительно решил ВСЕ сорцы грепать? Беркли так-то далеко не только этими вещами отличилась, но к теме разговора сорцы тех же утилит отношения не имеют.
Ответить | Правка | Наверх | Cообщить модератору

146. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (93), 10-Сен-23, 05:40 
По совершенно не относящемуся к началу разговора сумбуру делаю вывод, что тебе стало немного стыдно за свои слова. Это хорошо. Плохо, что ты пытаешься спасти ситуацию, которую спасти невозможно. Я был о тебе куда лучшего мнения, Тимур.
Ответить | Правка | Наверх | Cообщить модератору

150. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 10-Сен-23, 07:30 
На котиках тренируйся, если сорцы Дарвина найти не можешь.
Ответить | Правка | Наверх | Cообщить модератору

173. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (173), 11-Сен-23, 01:11 
а как вы с Тимуром познакомилися? :-)
Ответить | Правка | К родителю #146 | Наверх | Cообщить модератору

206. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (206), 12-Сен-23, 18:27 
> а как вы с Тимуром познакомилися? :-)

Есть сайты всякие, по freebsdm :)

Ответить | Правка | Наверх | Cообщить модератору

170. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Sem (??), 10-Сен-23, 22:47 
Забей с анонимами спорить.
Ответить | Правка | К родителю #126 | Наверх | Cообщить модератору

177. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от EULA (?), 11-Сен-23, 05:49 
В сырцах Дарвина, внезапно, и часть фряхи, и часть openBSD, и часть NetBSD, и часть March. Сетевой стек там от NetBSD. Поэтому уязвимости Дарвина не работают на Фряхе, и наоборот - уязвимости Фряхи не работают в Дарвине.
Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору

184. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 11-Сен-23, 11:42 
https://www.netbsd.org/docs/network/ipsec/ - IPv6 и IPsec от KAME.
Ответить | Правка | Наверх | Cообщить модератору

202. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от EULA (?), 12-Сен-23, 07:07 
> https://www.netbsd.org/docs/network/ipsec/ - IPv6 и IPsec от KAME.

Реализация NetBSD отличается от реализации FreeBSD, хоть проект и один.

Ответить | Правка | Наверх | Cообщить модератору

216. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 13-Сен-23, 08:28 
>> https://www.netbsd.org/docs/network/ipsec/ - IPv6 и IPsec от KAME.
> Реализация NetBSD отличается от реализации FreeBSD, хоть проект и один.

Ну конечно же )))

Ответить | Правка | Наверх | Cообщить модератору

145. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Имя1 (?), 10-Сен-23, 02:46 
В PlayStation Sony использует модифицированную фряху
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +1 +/
Сообщение от Аноним (4), 09-Сен-23, 08:47 
как мне думается ipv6 популярнее, чем FreeBSD
а сколько уязвимостей еще предстоит выявить? А между прочим Linux проходит школу молодого бойца. И унего не плохо получается. Вон, на коммоде уже запустили. Универсальный солдат!
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

38. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (38), 09-Сен-23, 11:11 
Не запустили. Только на эмуляторе, к которому дополнительную память пришлось прикрутить.
Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 14:59 
У нас местами IPv6 вообще стал обязательным.
Но количество реальных пользователей такового начало снижаться, почему-то (в самом деле, почему, бобик сдох ещё на взлёте...).
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

77. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 15:00 
Вчера звонил клиент, просил IPv6 выключить... проблемы. Сам на роутере не может.
Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 15:22 
> Вчера звонил клиент, просил IPv6 выключить... проблемы. Сам на роутере не может.

У клиента может RA сообщения не ловить (или не обрабатывать корректно) и, например, при использовании динамического префикса, он может оказаться со старыми адресами из-за банальной перезагрузки роутера. Но вообще, если клиент докопался до того, что знает причину проблемы, то он должен мочь её сам и исправить, а не это ваше "я не знаю, как это сделать в роутере".

Ответить | Правка | Наверх | Cообщить модератору

106. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 19:46 
Там клиент такой, что дайте вот мне, сам на роутеры лазить не хочет.
Ответить | Правка | Наверх | Cообщить модератору

113. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 19:57 
Динамического префикса? С IPv6?
А вы знаете толк в...
Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

119. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 21:06 
Увы, но так делает подавляющее большинство провайдеров не только у нас.
Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 19:45 
Не, он у него после вендорского автообновления роутера включился, и видимо где-то так поплохело, что клиент заныл. Ребята зашли в управлялку, выключили для его роутеров (по умолчанию оставлено на усмотрение клиента), отчитались, забыли.
Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

6. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 08:57 
Выходи из анабиоза, IPv6 даже государственный Ростелеком подключил уже.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

26. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  –1 +/
Сообщение от swarus (ok), 09-Сен-23, 10:41 
ростелеком нет поддержки IPv6
ресурсы доступные только по IPv6 через tor смотрю
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (30), 09-Сен-23, 10:53 
У меня отлично работает, только поднимается с пинками после ppoe подключения
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 11:12 
Давно уже работает в большинстве регионов, выдают /56 префикс.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

179. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от FSA (??), 11-Сен-23, 09:28 
Только провайдерские терминалы унылое оно. Такое оно, что Ростелеком просто блокирует все входящие в сторону клиента, чтобы клиента не взломали и не хочет отключать, типа мы поддерживаем только IPv4. Ну и раздать /56 через CPE нет никакой возможности, так что без своего маршрутизатора это всё равно, что у тебя /64.
Ответить | Правка | Наверх | Cообщить модератору

183. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 11-Сен-23, 11:40 
> Только провайдерские терминалы унылое оно. Такое оно, что Ростелеком просто блокирует все
> входящие в сторону клиента, чтобы клиента не взломали и не хочет
> отключать, типа мы поддерживаем только IPv4. Ну и раздать /56 через
> CPE нет никакой возможности, так что без своего маршрутизатора это всё
> равно, что у тебя /64.

Не используй арендуемое провадерское оборудование. Они тебя не заставляют этого делать.

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 11:18 
На Ростелекоме, вопреки утверждениям Википедии, даже Encrypted Client Hello (бывший ESNI) работает, что несказанно меня удивило. Но блокировки они накатывают первыми и это минус.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

20. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (20), 09-Сен-23, 09:50 
https://en.wikipedia.org/wiki/IPv6_deployment
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

24. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 10:15 
39-43 по данным гугла. У меня около 70 процентов трафика (если считать в байтах) в IPv6.
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Анонит (?), 09-Сен-23, 10:42 
Совсем видосики не смотрите что ли,на шортсах и Тиктоке можно залипнуть на полночи и не заметить...
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 11:13 
Нет, не смотрю. А что там, IPv6 нету? Или огромный пласт культуры мимо меня пронёсся?
Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Анонит (?), 09-Сен-23, 14:26 
Думаю,что у меня бы возникли проблемы с ipv6,а я на популярных платформах частый гость. Соответственно при 70% трафика на v6 вы там не появляетесь. Культура же там изменчива день ото дня, я за ней не поспеваю сам.
Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (20), 09-Сен-23, 14:51 
IPV6 не заменяет IPV4.
Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 15:34 
> IPV6 не заменяет IPV4.

Повторяй это снова и снова, но уже давно есть провайдеры только IPv6, а те, кто хочет IPv4, должны юзать всякие трансляторы, которые даже запилены в эти ваши телефоны.

Ответить | Правка | Наверх | Cообщить модератору

107. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 19:47 
Ну, я бы этих провайдеров стороной обходил.
Ответить | Правка | Наверх | Cообщить модератору

120. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 21:11 
В Штатах это сделать не так просто. Телефоны с контрактом, весь район с момента постройки уже продан одному провайдеру.
Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 15:17 
> Думаю,что у меня бы возникли проблемы с ipv6,а я на популярных платформах
> частый гость. Соответственно при 70% трафика на v6 вы там не
> появляетесь. Культура же там изменчива день ото дня, я за ней
> не поспеваю сам.

Это что за платформы популярные, которые до сих пор не поддерживают (и не используют по дефолту в дуалстеке) IPv6? Зашёл в браузере в about:networking#sockets - большая часть IPv6.

Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

84. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Анонит (?), 09-Сен-23, 16:02 
Чет не подумал об поддержке обоих протоколов.
Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 17:40 
> Чет не подумал об поддержке обоих протоколов.

Большинство (но не всё) современного софта умеет оба протокола. Проблема только в том, какую логику использовать для выбора одного или другого. Те же браузеры банально шлют запрос АААА, потом А и ждут, какой из них получит ответ быстрее. А там уже не факт, что первым прилетит АААА. Но в общем случае IPv6 в 9 из 10 случаев будет выбран, если только DNSv4 не фильтрует специально IPv6 выхлоп. Траблов с дуалстеком в общем случаем не должно быть, но на практике бывают из-за жлобности провадеров, которые могут не выдавать префиксы или часто их менять. Тот же systemd одно время имел баг, который не позволял ему корректно менять префикс IPv6 адреса. IPv6 чуть больше нагрузку создаёт при обработке адресов (даже инструментально её надо ещё умудриться замерить), но с другой стороны избавляет роутер от достаточно хлопотной задачи по переписыванию адресов (NAT). Отсутствие NAT'а конечно же не может не радовать. Если бы ещё провайдеры не были жмотами и выдавали фиксированные префиксы...

Ответить | Правка | Наверх | Cообщить модератору

122. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 21:13 
- в общем случае IPv6 в 9 из 10 случаев будет выбран
Вот поэтому клиент и позвонил скорее всего.
У него роутинг пошёл через задницу.
Ответить | Правка | Наверх | Cообщить модератору

127. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 21:31 
> - в общем случае IPv6 в 9 из 10 случаев будет выбран
> Вот поэтому клиент и позвонил скорее всего.
> У него роутинг пошёл через задницу.

Там немного может пойти не так при переключении на IPv6. Если только софт не решил через ULA долбиться наружу по какой-то причине. Например, если на роутере NDP-прокси врубили. Но и то я не уверен, что это не баг софта. Корявых стеков, слава богу, меньше, чем 15-20 лет назад.

Ответить | Правка | Наверх | Cообщить модератору

128. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 22:08 
Делай иногда traceroute. И желательно не до соседней общаги.
С маршрутами в IPv6 всё до сих пор действительно очень плохо.
Ответить | Правка | Наверх | Cообщить модератору

131. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 22:26 
Какая общага? И какое отношение маршруты имеют к клиенту?
Ответить | Правка | Наверх | Cообщить модератору

129. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 22:09 
Я хз почему у народа часть пиров IPv4-only, причём это даже у крупняка встречается, но увы и ах.
Ответить | Правка | К родителю #127 | Наверх | Cообщить модератору

130. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 22:11 
Точнее я не совсем хз, мы тоже на одну упоротую фигню с этим щщастьем недавно налетели, но это не для паблика.
Ответить | Правка | Наверх | Cообщить модератору

132. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 22:27 
Из того что могу раскрыть - по мере роста числа сетей IPv6 начнутся проблемы похлеще того, что было с IPv4, рост в достаточно серьёзное железо тоже не заложен.
Ответить | Правка | К родителю #130 | Наверх | Cообщить модератору

133. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 22:32 
Трансмишн с IPv6 косепорил до недавнего времени. И в дуалстеке фактически получался только IPv4. За последние пару версий не скажу, т.к. не тестировал на этот счёт.
Ответить | Правка | Наверх | Cообщить модератору

136. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 22:42 
Ну, это уже проблемы рук.
Проблема когда эта проблема не в трансмишне, а в серьёзном, мать его, железе.
Про пиры и прочее я не с потолка, увы, тут при последней плановой шёрстке активного состояния обнаружил, что мы IPv6 трафик до одного из апстримов через соседнюю страну гоняем. Начал разбираться, почему так, и кому выписать лечебных швабр, но обнаружил заботливо расстеленные детские грабли. Проблему пока заткнули, но она снова вылезет.
Ответить | Правка | К родителю #133 | Наверх | Cообщить модератору

137. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 22:45 
А вообще у нас рабочее соотношение IPv4/IPv6 трафика примерно 95/5, можно было и не трогать.
Ответить | Правка | К родителю #136 | Наверх | Cообщить модератору

138. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 22:49 
Причины там к сожалению банальные.
32*32*32=32768, а вот 128*128*128 - уже 2097152.
Менять из-за этого разом оборудование ядра - это слишком накладно.
Ответить | Правка | К родителю #136 | Наверх | Cообщить модератору

140. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 22:51 
(нет это не объём, но тоже важный показатель, который ныне читерится, потомушто)
Ответить | Правка | К родителю #138 | Наверх | Cообщить модератору

141. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 22:52 
Читерится по-разному. У новья ценой конских усилий^Wденег меньше.
Ответить | Правка | К родителю #140 | Наверх | Cообщить модератору

143. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 23:00 
Академики в своих пейперах уже докатились до того, что для приемлемого лукапа впору нейросвёртку использовать.
И бумаг по методу лукапа - одна лучше другой, каждый год, а возница и ныне в том же болоте увязла.
Честно - я бы всё это давно выкинул, несмотря на вложенные тонны паровозов. Но приходится с этим жить.
Ответить | Правка | К родителю #138 | Наверх | Cообщить модератору

88. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (-), 09-Сен-23, 17:07 
> Ip6 почти не используется как мне думается. В любом случае его отключение
> никак не сказывается у меня.

На наобум взятых торентах процентов 25-30 это ipv6 пиры. При том довольно шустрые как правило. Вот и думай.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

91. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Анонит (?), 09-Сен-23, 17:27 
Хорошая причина.
Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 19:47 
Китайскую порнушку качаешь?
Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

117. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Анонит (?), 09-Сен-23, 20:48 
Пока не приходилось, но вдруг понадобится.
Ответить | Правка | Наверх | Cообщить модератору

121. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 21:12 
Больше пиров хороших и разных!
Ответить | Правка | К родителю #108 | Наверх | Cообщить модератору

134. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (-), 09-Сен-23, 22:35 
> Китайскую порнушку качаешь?

Да хоть убунту качай, какая нафиг разница, IPv6 дофига уже везде, куда ни ткни. Даже россияне с IPv6 уже прорезаются. Как впрочем и остальные. А что делать если айпишников в v4 на всех не хватает? Сказки про белого бычка как все ЗБС? А оно не ЗБС, а очень даже уродливые костыли.

Ответить | Правка | К родителю #108 | Наверх | Cообщить модератору

156. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от zog (??), 10-Сен-23, 13:57 
Ну может быть в России IPv6 и не используется, а мне провайдер бесплатно выделил /56 подсеть. Наше местное министерство связи обязало всех провайдеров предоставлять IPv6 бесплатно.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. Скрыто модератором  –1 +/
Сообщение от Аноним (3), 09-Сен-23, 08:32 
Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором  +/
Сообщение от kazancevss (ok), 09-Сен-23, 08:50 
Ответить | Правка | Наверх | Cообщить модератору

8. Скрыто модератором  +2 +/
Сообщение от КриоМух (?), 09-Сен-23, 09:00 
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

10. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от crypt (ok), 09-Сен-23, 09:06 
я отказался от pf во FreeBSD сразу после тестов, когда выяснилось, что в

1. pf во FreeBSD отстает от актуальной кодовой базы в OpenBSD и по нему просто не найти актуальной документации.

2. ошибка pf with bridge приводит к глухому зависанию системы. лично репортил этот баг после выхода F13.

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 09-Сен-23, 09:18 
как будто у тебя есть варианты? Не простыню же ipfw использовать.

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от crypt (ok), 09-Сен-23, 09:36 
> как будто у тебя есть варианты? Не простыню же ipfw использовать.

когда объем конфига стал основным критерием качества?

у ipfw больше возможностей. он может работать на линк-левел. кодовая база стабильнее.

другое дело, что все файрволы во FreeBSD - говно по сравнению с линуксовыми чисто by design. все пакеты валятся в одно ведро и нет разделения на input/forward/output. отлаживать любой файрвол на фрибзд - это какой-то ад, потому что пакеты чекаются одним и тем же правилом на всех направлениях, а часть правил их еще и инжектирует повторно.:(

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (3), 09-Сен-23, 09:43 
А смысл это всё править если фряха никем давно уже не используется?
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от crypt (ok), 09-Сен-23, 09:45 
> А смысл это всё править если фряха никем давно уже не используется?

я тоже не вижу причин, почему они тащат 3 файрвола. логично оставить какой-то один. видимо, чтобы явно не ломать системы тащать помаленьку, как могут. но имхо соляровский тащить, когда сам солярис от него избавил, вообще бредово.

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (20), 09-Сен-23, 10:07 
Тут как раз тот случай, когда лучше волевым усилием всё сломать. Иначе скоро и ломать будет нечего.
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от crypt (ok), 09-Сен-23, 10:34 
> Тут как раз тот случай, когда лучше волевым усилием всё сломать. Иначе
> скоро и ломать будет нечего.

ой, ну все. аноним предрек скорую смерть проекту! ну линукс так и делает. с systemd, например...

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  –2 +/
Сообщение от Аноним (28), 09-Сен-23, 10:49 
Стоит заметить что с системд очень даже хорошо получилось.
Один рейх, один фю..., одна система инициализации. Никаких портянок поставлять в пакет больше не надо, кто сидит на девуане - сам в рц.локал добавит. Мне как паковальщику это дало огромное облегчение.
Было у системды огромное количество детских болезней, но это полечили. Я доволен. Единственное чего не хватает иногда - это поддержки юникода в поле дескрипшн, но без этого я научился обходиться.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +2 +/
Сообщение от crypt (ok), 09-Сен-23, 10:53 
> добавит. Мне как паковальщику это дало огромное облегчение.

видишь ли, это только паковщикам и дало облегчение. потому что делал его программист, который нихрена не шарит в системном программировании и администрировании. так что твой аргумент "мне паковищку ок, значит ок" - г*вно. кроме твоей профессии есть еще работа непосредственно использовать систему.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 09-Сен-23, 10:57 
>> добавит. Мне как паковальщику это дало огромное облегчение.
> видишь ли, это только паковщикам и дало облегчение. потому что делал его

причем - лишнее. Неспособность поправить две строчки в skeleton.rc - вон из профессии.

> так что твой аргумент "мне паковищку ок, значит ок" - г*вно.
> кроме твоей профессии есть еще работа непосредственно использовать систему.

и от таких паковщиков она легче не становится, потому что они и тут сделают максимально неудобно и косоруко. "И так сойдет!" Таск закрыт, следующий, следующий.

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  –1 +/
Сообщение от Аноним (28), 09-Сен-23, 11:41 
Внезапно, спешу тебя удивить, но делая работу нужно закрывать таски, а не ононировать на баш-портянки. И именно удобство системды и есть её основное преимущество. Так что пожалуйста, вон из профессии. А поправят 2 строчки и без тебя, ну не нужен для этого аж целый пох, который последние 40 лет обучался ремеслу правки именно тех 2-х строчек.
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (38), 09-Сен-23, 11:16 
> кроме твоей профессии есть еще работа непосредственно использовать систему.

Работа пользователем линукса? Сколько платят и где вакансии посмотреть можно?

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

46. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от crypt (ok), 09-Сен-23, 11:21 
>> кроме твоей профессии есть еще работа непосредственно использовать систему.
> Работа пользователем линукса? Сколько платят и где вакансии посмотреть можно?

не, ты зря раскатал губу, мой юный друг. за использование у тебя дома тебе никто платить не будет. использовать в корпоративном секторе. пожалуйста, не встревай во взрослые разговоры, если не понимаешь, о чем речь.

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (28), 09-Сен-23, 11:35 
Вне зависимости от твоего желания, как и у меня дома, так и у меня в проде используется та самая системда. Обтекай. Просто потому что она лучше/удобнее для админов.
> пожалуйста, не встревай во взрослые разговоры, если не понимаешь, о чем речь.
Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (38), 09-Сен-23, 11:45 
Ну так дома я ее и не использую, я себе не враг. В кровавом энтерпрайзе тоже только на серваках видел, вот и заинтересовался.
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

208. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (208), 12-Сен-23, 18:41 
> видишь ли, это только паковщикам и дало облегчение.

1) Паковщик тоже человек.
2) Это положительно повлияло на безопасность систем.
3) Внезапно, это упростило и улучшило управление системой. И +1 повод не юзать сабжей.

> потому что делал его программист, который нихрена не шарит в системном программировании

Да нормально он шарит - и помощь зала нормальная получилась. У остальных это даже и так не получилось. В винде SCM убогий, в соляре и эппле оверинженерия с XML покусала, а вон те, с дыркой в полу и листьями в качестве туалетной бумаги - вообще не котируются.

> и администрировании. так что твой аргумент "мне паковищку ок, значит ок" - г*вно.
> кроме твоей профессии есть еще работа непосредственно использовать систему.

В этом смысле системд вполне окей. Я проверял. А если кто необучаемый - вот как раз и заменят заодно. Вместе с характерной эффективностью уровня пох.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

94. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 17:49 
> Было у системды огромное количество детских болезней, но это полечили.

Если бы это было так, то на него бы не жаловались. Да, затея скорее благая, я тут спорить не стану. Но детские болезни тут и там вылезают с завидной регулярностью. Вот чуть выше упоминал про ту же поддержку RA сообщений о смене префикса. Я в своё время задолбался причину искать. И это не единичный случай. Подсистема DNS (особенно его реализация over TLS) мне тоже кровушки попила изрядно.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

148. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (20), 10-Сен-23, 06:00 
> Если бы это было так, то на него бы не жаловались.

Так вот сколько тех жалобщиков? Процент, два?

Ответить | Правка | Наверх | Cообщить модератору

209. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (208), 12-Сен-23, 18:42 
>> Если бы это было так, то на него бы не жаловались.
> Так вот сколько тех жалобщиков? Процент, два?

Ну так у тех у кого все работает и кого все устраивает - нет стимула строчить в интернет, доказывая кому-то что-то с пеной у рта.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (20), 09-Сен-23, 10:59 
Сколько ненавистников системды среди линуксоидов? Процент? Два?
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

36. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от crypt (ok), 09-Сен-23, 11:05 
> Сколько ненавистников системды среди линуксоидов? Процент? Два?

все старшее поколение админов, которое привыкло работать на старых системах. systemd настолько ломает воркфлоу, переизобретая все, начиная с крона и заканчивая системой логирования, что работать с ним могут ньюфаги, которые начали с освоения системы с systemd.

и поттеринг, который поочередено копировал идеи из виндовс и макос, услуги никому не сделал. сразу надо было его в m$...

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (28), 09-Сен-23, 11:32 
Так вали вон из отрасли. Отдай её лучше ньюфагам. Тем самым паковщикам, на которых ты так вызверился. И да, такие как ты, понторезы нам не нужны, если понимаешь о чём я.
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (20), 09-Сен-23, 11:33 
А, ну старперы, которые ничему учиться не хотят, это да.
Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

58. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от crypt (ok), 09-Сен-23, 12:09 
> А, ну старперы, которые ничему учиться не хотят, это да.

дело не в этом. просто у нас больше опыта, чем у человека, который это разрабатывал. мы уже знаем, где это может сломаться и в каких случаях это хуже работает. и я не вижу смысла обсуждать это с анонимами-школьниками.

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (20), 09-Сен-23, 13:03 
Узнаю бородатых сисодминов. Самомнения выше крыши, лучше всех знают, как надо, опыта больше, чем у разработчиков, но… по-прежнему сисодмины.
Ответить | Правка | Наверх | Cообщить модератору

123. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 21:15 
Сисадмины вовсе не обязаны перетекать в программисты. Даже наоборот, не должны. У них другой карьерный рост. Начальники кстати из них куда лучше, чем из кодеров.
Ответить | Правка | Наверх | Cообщить модератору

135. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (20), 09-Сен-23, 22:37 
Воооот
Зачем чему-то учиться, когда лучше командовать.
«Кто умеет делать — делает. Кто не умеет — учит.
Кто не может учить — управляет.»
Ответить | Правка | К родителю #123 | Наверх | Cообщить модератору

64. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (64), 09-Сен-23, 13:13 
Чувак, ну вот у меня опыта 26 лет
Я считаю systemd  лучшим, что случалось с управлением сервисами в линухе, а nftables лучшим, что случалось с файрволлами(ты наверное и не помнишь какой-нибудь ipchains, ты же еще не родился тогда, а это было ужасно)
Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

166. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 10-Сен-23, 21:20 
> Чувак, ну вот у меня опыта 26 лет

говорят с возрастом приходит опыт. К сожалению, в твоем случае возраст пришел один.

> Я считаю systemd  лучшим, что случалось с управлением сервисами в линухе,
> а nftables лучшим, что случалось с файрволлами(ты наверное и не помнишь

но объяснить чего хорошего в этой неуправляемой каше - разумеется, не можешь.
Вон один race condition с быстронажиманием enter чего стоит.

> какой-нибудь ipchains, ты же еще не родился тогда, а это было
> ужасно)

нет. ужасающее дер-мо - твои фетиши. С ipchains все было вполне нормально, некоторые вещи из них так и не перенесли в iptables потому что гениальному архитектору видите ли некогда-некогда-некогда...ой, прое...лся вместе со своими обещаниями как только так сразу.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (64), 09-Сен-23, 13:11 
> все старшее поколение админов, которое привыкло работать на старых системах

Люблю когда ваньки говорят за всех
Я админю с 1997 года, принял systemd с радостью и считаю лучшим, что случалось в управлении сервисами за все годы

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

68. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (20), 09-Сен-23, 13:58 
Ну человек же пишет — ПРИВЫКЛИ. Это как с «XP — лучшая винда ever».
Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (64), 09-Сен-23, 14:23 
Ну он видимо у тех у кого уже алкогольная деменция
Я быстро сменил привычки, почитал доки и стал писать свои юниты, радуюсь удобству
Ответить | Правка | Наверх | Cообщить модератору

167. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  –2 +/
Сообщение от пох. (?), 10-Сен-23, 21:21 
> Ну он видимо у тех у кого уже алкогольная деменция
> Я быстро сменил привычки, почитал доки и стал писать свои юниты, радуюсь
> удобству

значит точно п-дишь. Потому что никакого удобства для _админа_ (которому лазить в юнит приходится именно когда там что-то требуется сделать сложное и необычное) в помине нет.

Ответить | Правка | Наверх | Cообщить модератору

102. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 18:05 
> Я админю с 1997 года, принял systemd с радостью и считаю лучшим,
> что случалось в управлении сервисами за все годы

Я тоже так считаю, ибо оно на пользовательские системы ориентировалось и, слава богу, сетевым админам относительно мало жизнь попортило.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

169. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 10-Сен-23, 21:28 
> Я тоже так считаю, ибо оно на пользовательские системы ориентировалось и, слава
> богу, сетевым админам относительно мало жизнь попортило.

Как работали в основном под виндой, так и работали, ога.

Нахрена ж нам еще одна всем хуже?

Ответить | Правка | Наверх | Cообщить модератору

185. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 11-Сен-23, 11:44 
Под макосью нынче одмины работают, под макосью. А на тех, кто на венде, смотрят как на лузеров )))
Ответить | Правка | Наверх | Cообщить модератору

191. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 11-Сен-23, 16:02 
Блин, где ты берешь макосесовместимые ком-порты? Или модные сетевые админы нонче тоже просто метко плюют в экран?

Ответить | Правка | К родителю #185 | Наверх | Cообщить модератору

192. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 11-Сен-23, 16:19 
Один лузер-вендоадмин нашёлся уже )))
Ответить | Правка | К родителю #191 | Наверх | Cообщить модератору

147. Скрыто модератором  +/
Сообщение от Аноним (93), 10-Сен-23, 05:46 
Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

168. Скрыто модератором  +/
Сообщение от пох. (?), 10-Сен-23, 21:26 
Ответить | Правка | Наверх | Cообщить модератору

210. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (208), 12-Сен-23, 18:47 
> все старшее поколение админов, которое привыкло работать на старых системах.

Если дедули учиться не могут - значит, их уйдут на пенсию. Они отработанный материал, такова жизнь. А кто может учиться - тем системд почему-то нормалек.

> systemd настолько ломает воркфлоу, переизобретая все, начиная с крона
> и заканчивая системой логирования,

...что теперь аж можно посмтреть логи не в 10 местах а в 1. И они по крайней мере есть при обломе старта программ, в отличие от!

И список того что и почему стартует тоже в 1 утилсе есть. Это такой слом, такой слом! Или скорее, вы принюхались к вони своего болота где overview системы на 1 тазике полдня занимает получить, что не замечали. А тем кто только зашел, вот, запашок - не ахти был. И они имели свой пойнт. А когда тазиков более 1 становится, вон та эффективность начинает напрягать. И выписывание каждой портяночки - тоже. Особенно если хочется еще гайки подзакрутить, от системы изолировать и проч, потому что случаи бывают разные.

> что работать с ним могут ньюфаги, которые начали с освоения системы с systemd.

Я прекрасно переучился с sysv init и назад почему-то не хочется. Странно.

> и поттеринг, который поочередено копировал идеи из виндовс и макос, услуги никому
> не сделал. сразу надо было его в m$...

Он сделал лучше чем в оригиналах. Такая ерунда. И теперь в догоняющих - они.

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

95. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 17:51 
> Сколько ненавистников системды среди линуксоидов? Процент? Два?

Ну да, большая часть просто не в курсе, что есть что-то кроме их Федоры или Убунты )))

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

97. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (20), 09-Сен-23, 17:54 
И обратите внимание — это совершенно не мешает им жить!
Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 18:02 
> И обратите внимание — это совершенно не мешает им жить!

Незнание вообще никому жить не мешает. Екклезиаста читай.

Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (20), 09-Сен-23, 18:50 
Читайте Конан Дойла. Шерлоку Холмсу незнание того, что Земля обращается вокруг Солнца, жить совершенно не мешало.
Ответить | Правка | Наверх | Cообщить модератору

104. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 19:22 
Особенно с феями у него публикации интересные вышли в газетах. Тот ещё интеллектуал и авторитет.
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 09-Сен-23, 10:55 
>> как будто у тебя есть варианты? Не простыню же ipfw использовать.
> когда объем конфига стал основным критерием качества?
> у ipfw больше возможностей. он может работать на линк-левел. кодовая база стабильнее.

Его невозможно отлаживать если конфигурация побольше чем умещается в окошке 80x25. Совсем, никак. Именно потому что огромная простыня совершенно нечитаема.

Про divert sockets и все эти ужасы я уж молчу.

> другое дело, что все файрволы во FreeBSD - говно по сравнению с
> линуксовыми чисто by design. все пакеты валятся в одно ведро и
> нет разделения на input/forward/output. отлаживать любой файрвол на фрибзд - это

именно. Зато есть совершенно неочевидные переходы по простыне из-за divert или из-за того что ipsec работает в обход но не всегда и не совсем (аж запилили отдельный вариант с выделенным интерфейсом, только чтоб ничего в этом ужасе не трогать).

> какой-то ад, потому что пакеты чекаются одним и тем же правилом
> на всех направлениях, а часть правил их еще и инжектирует повторно.:(

pf все же несколько проще и писать и отлаживать. Да, все равно всем хуже, чем iptables где иерархию продумал ты, а не робот по автогенерации неуправляемых простыней. Но существенно лучше чем ipfw, пока не вляпаешься в необходимость user space helpers.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

35. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от crypt (ok), 09-Сен-23, 11:00 
> именно. Зато есть совершенно неочевидные переходы по простыне

шаришь. но так pf же эти проблемы не решает. это вопросов хуков захвата пакетов в сетевом стеке.

> pf все же несколько проще и писать и отлаживать.

по итогу, когда упираешься в ограничения или натыкаешься на баг, оно себя не оправдывает.

файрвол - это да, то, что мне меньше всего нравится на фрибзд

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (85), 09-Сен-23, 16:09 
>потому что пакеты чекаются одним и тем же правилом на всех направлениях, а часть правил их еще и инжектирует повторно.:(

есть правила in, out, via. С добрым утром.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

154. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Ананиммм (?), 10-Сен-23, 10:38 
Еще xmit с recv, но у айпичейнщиков ничиво нету :(( Как страшно жить.
Ответить | Правка | Наверх | Cообщить модератору

164. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 10-Сен-23, 21:12 
>>потому что пакеты чекаются одним и тем же правилом на всех направлениях, а часть правил их еще и инжектирует повторно.:(
> есть правила in, out, via. С добрым утром.

это не правила, это фильтр в правилах. Именно такой подход делает большие сложные наборы правил совершенно нечитаемыми. Но владельцам подвальных локалхостов этого явно не понять.

А других тут не бывает.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

171. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +1 +/
Сообщение от Sem (??), 10-Сен-23, 22:54 
Вот гораздо лучше, чем iptables/ip6tables. И с тем и с тем поддерживал простыни правил. В iptables-extensions есть интересные и удобные штуки, но все они в ущерб производительности.

Правила разбиваются на input/output/forward и вообще на блоки при помощи skipto. Т.е. как ты организуешь правила - сугубо твоя воля.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

178. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от User (??), 11-Сен-23, 09:19 
Почему goto у кодеров "харам" вы, конечно, не задумывались?
Не то, чтобы "коробочка с фрибызды" вида "офисный СЕРВЕР с NAT'ом, squid'Ом ftp и БИЛЛИНГОМ" сейчас имела ну хоть какой-нибудь смысл, но во времена оны поддерживать ЭТО на skipto $input\$output было... гм, ув-ле-ка-тель-но.
Ответить | Правка | Наверх | Cообщить модератору

193. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Ананий (?), 11-Сен-23, 16:32 
хз где и у кого оно там харам, выйти из кучи вложенных циклов одним махом, вместь кучи условий или бриков, вполне себе халял.
Асло эти твои кодеры когда-нибудь видели во что конпелируется их синтаксический сахар? там смесь "коротких" условных переходов в конбинации с "длинными" goto.
Ответить | Правка | Наверх | Cообщить модератору

199. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от User (??), 11-Сен-23, 18:29 
> хз где и у кого оно там харам, выйти из кучи вложенных
> циклов одним махом, вместь кучи условий или бриков, вполне себе халял.
> Асло эти твои кодеры когда-нибудь видели во что конпелируется их синтаксический сахар?
> там смесь "коротких" условных переходов в конбинации с "длинными" goto.

Да-да найдем ОЧЕНЬ редкое исключение и назовем его "правилом" - classic! Попробуйте сдать тимлиду страничек пять кода, написанного ТОЛЬКО на goto + макросах и послушайте, что он вам скажет. А лучше - попробуйте поотлаживать что-то вроде вышеописанной мной конфигурации. Если что я - пробовал, больше не хочу, спасибо.

Ответить | Правка | Наверх | Cообщить модератору

174. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Ivan_83 (ok), 11-Сен-23, 02:50 
1. Вы не правы.
Они разделились и развиваются дальше по отдельности.
Во время PF стал многопоточным насколько я помню в 10 версии, в опенбсд позже это может и допилили.

2. Ну зарепортил и что дальше?
Деньги занёс? Патч занёс?
Так чего же ты хочешь!?


У меня и патчи то годами висят, а репорты и подавно :)
Единственный шанс что то быстро порешать - найти где ошибка, кто туда коммитил и добавить его и ревьюверов в СС.
Но найти где ошибка - это 80% работы по исправлению ошибки )

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

196. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от crypt (ok), 11-Сен-23, 16:49 
> 1. Вы не правы.
> Они разделились и развиваются дальше по отдельности.

И в чем я не прав? В том, что файрвол с минимальной юзербазой, отсутствующей документацией и который намертво вешает систему, нафиг никому не нужен? "Развивается" - это немного не то слово.

Я забыл, ты на лоре был зарегистрирован или нет?

> 2. Ну зарепортил и что дальше?

А что, должно быть что-то дальше? Я логику не понял. Я говорю, что о проблеме знаю не по наслышке, а ты мне отвечаешь, что я должен содержать разработчиков системы. Ты о фоме, я о яреме. Ты думаешь, я систему, чтобы в ней баги находить и исправлять, ставлю? Ты ошибаешься. Некоторые ее ставят как раз за тем, чтобы этого не делать.

Ответить | Правка | Наверх | Cообщить модератору

200. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Ivan_83 (ok), 11-Сен-23, 19:56 
1. Документации полным-полно, как в man/handbook так и просто статей в инете, и было дофига ещё в 2009 году когда я только начал осваивать PF. С тех пор там не так много поменялось.

2. Вы наверное и холодильник покупаете чтобы там продукты сами по себе заводились, да?)

Ответить | Правка | Наверх | Cообщить модератору

201. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от crypt (ok), 11-Сен-23, 20:11 
> 1. Документации полным-полно, как в man/handbook так и просто статей в инете,
> и было дофига ещё в 2009 году когда я только начал
> осваивать PF. С тех пор там не так много поменялось.

Поменялось то, что синтаксис openbsd pf поменялся. А документация вся для OpenBSD, т.к. это их основной файрвол. И вот находить портянки и пытаться угадать в каком pf они будут работать -- это нифига не смешно. Они должны были как минимум называться по-разному!!! Как ipchanes/iptables. man/handbook freebsd - это вообще курам на смех. там нет ни одного сложного случая.  с их помощью вообще ни одной задачи решить нельзя. это даже близко не ситуация с документацией по всем трем версиям линуксовых файрволов.


> 2. Вы наверное и холодильник покупаете чтобы там продукты сами по себе
> заводились, да?)

При чем тут продукты? Я покупаю холодильник, чтобы он их хранил. Я включил его и он работает. Удивительно, но он это делает годами. А ты (будем на "ты") почему-то считаешь, что я должен принять как должно, что у него каждый год прорывает систему охлаждения, считаешь, что я должен разобраться в системе охлаждения, составить технически верное описание проблемы с чертежами и фото, выслать на завод и еще и _заплатить_ за исправление конкретно моей проблемы! У тебя проф.деформации случаем нет? Прикинь, мне холодильник нужен _для_ _хранения_ продуктов!!! Где я беру продукты, тебя совершенно не касается! И я не хочу тратить свою жизнь на вечную чинку холодильника! Это не входит в мои хобби!

И, пожалуйста, не нужно приводить аргумент из 199х just for fun. Эти системы уже давно используются в продакшн. У нас уже давно есть доступные альтернативы, которые имеют хорошую стабильность и доступны по цене. Что ты мне сейчас пытаешься доказать? Что FreeBSD не обязана быть качественной ОС? И это типа нормально, что она ломается раз в год, потому что я за нее не заплатил? Это глупо.

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (11), 09-Сен-23, 09:06 
Выглядит академично.
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +1 +/
Сообщение от пох. (?), 09-Сен-23, 09:16 
Кстати, кто-то может подтвердить или опровергнуть наличие очередного глюка?
https://www.truenas.com/community/threads/unmap-failed.85345/
https://forums.freebsd.org/threads/zfs-unmap-and-vmware-esxi.../
https://forum.netgate.com/topic/167882/scsi-error-on-vm

приборы и материалы - esxi/сфера выше 6.0 с vmfs6 по умолчанию и freebsd выше 11.1 c zfs.
Возможно, понадобится сделать снапшот.

Ожидаемый результат - полный лог воплей про сперва failed unmap, а потом про failed scsi command (и мертвое взвисание файловой системы через некоторое время работы в таком режиме, но можно не дожидаться).

А то баг, похоже, так никем и не оформлен. Всем рассказывателям сказочек про незаброшенность-незаброшенность на их локалхостах конечно же пoxpeн, но может тут найдется кто-то неленивый и имеющий подходящую инфраструктуру?

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  –1 +/
Сообщение от crypt (ok), 09-Сен-23, 09:44 
> найдется кто-то неленивый и имеющий подходящую инфраструктуру?

если сфера не сертифицирована на фряху, то кому это надо

Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 17:52 
>> найдется кто-то неленивый и имеющий подходящую инфраструктуру?
> если сфера не сертифицирована на фряху, то кому это надо

Сертифицированные юниксы? Это ты про Макось? Ни Линукс, ни одна из версий БСДи таковых сертификатов вроде не получали.

Ответить | Правка | Наверх | Cообщить модератору

149. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (64), 10-Сен-23, 07:22 
Опять ты в лужу пук
Дистрибутив Linux от Huawei получал такой сертификат, так что одна из пересборок CentOSа была сертифицированным Unix(сейчас уже нет, срок сертификата истек)
*BSD не получали и никогда не получат, конечно, у всех трех пользователей этого добра нет денег на сертификацию
Ответить | Правка | Наверх | Cообщить модератору

151. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 10-Сен-23, 07:38 
Ссылку на сертификат было бы проще добавить.
Ответить | Правка | Наверх | Cообщить модератору

181. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (64), 11-Сен-23, 11:22 
https://www.opengroup.org/openbrand/register/brand3622.htm
Да держи
Ответить | Правка | Наверх | Cообщить модератору

182. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 11-Сен-23, 11:37 
Признаю, был неправ.
Ответить | Правка | Наверх | Cообщить модератору

186. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (64), 11-Сен-23, 12:46 
Мое уважение
Обычно здешняя публика даже после посылки в сертификат отказывается признавать реальность

Ну, а по факту, собственно эта сертификация одной из сборок CentOS'а, пусть для конкретных серверов, говорит, что любой дистрибутив GNU/Linux может пройти сертификацию и стать Unix™, просто никто кроме Huawei не видел в этом смысла(в дистрибутивах на базе musl и uclibc, а не GNU libc не уверен, если честно, они может и не смогут)

Ответить | Правка | Наверх | Cообщить модератору

187. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 11-Сен-23, 13:28 
> Мое уважение
> Обычно здешняя публика даже после посылки в сертификат отказывается признавать реальность

Да я действительно не знал, т.к. просто пропустил это событие в новостях. Что тут спорить?

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от n80 (?), 09-Сен-23, 09:56 
А ответ по последней ссылке не помогает?

> For me this issue was caused by thin provisioning on the virtual hard drive.
> I followed VMware's instructions to "inflate" the disk to thick provisioning and I stopped getting these errors.

Ну или на стороне фряхи trim отключить.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

29. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 09-Сен-23, 10:49 
не знаю - у меня нет шестой. А там где есть - я клиент а не админ.

Вопрос был в другом - у кого есть техническая возможность подтвердить наличие проблемы в современных версиях - т.е. развернута инфра с vmfs6 и есть пол-часа свободного времени, скачать образ и запустить.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (28), 09-Сен-23, 11:53 
По моему хотению, по щучьему велению...
Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +1 +/
Сообщение от пох. (?), 09-Сен-23, 13:58 
ну вот поэтому ваш опенсорс такое унылое г-но.
Я могу переправить баг тем кто возможно возьмется его исправлять, но у меня нет лишних ресурсов чтобы правильно его сдать.

Впрочем, у посетителей опеннета их тоже нет, а еще и умения.

У них либо подвальные локалхосты, либо они девляпсы высокого полета, а систему им мэйлрушечка в удобной упаковочке предоставляет.

Ответить | Правка | Наверх | Cообщить модератору

125. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 09-Сен-23, 21:18 
Ну у венды-то ты вообще за пять минут баг напрямую разработчикам отправишь репорт. Конски ржу. Эти черти целую службу отфутболивания держат, лишь бы усеры не мешали им "творить будущее".
Ответить | Правка | Наверх | Cообщить модератору

139. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  –1 +/
Сообщение от пох. (?), 09-Сен-23, 22:50 
Я хрен знает как это получается, но у винды - нет такой проблемы. Нечего репортить.

А у фри - есть, но среди экспертов опеннета не нашлось ни одного человека, способного потратить пятнадцать минут.

Ответить | Правка | Наверх | Cообщить модератору

157. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (93), 10-Сен-23, 18:52 
> у меня нет лишних ресурсов чтобы правильно его сдать

Ну раз нет, значит и не нужно тебе это. Было бы нужно, нашёл бы. Да хоть на AWS вмварный кластер накликать мышкой себе на пятнадцать минут проверить что и как. Чай не обеднеешь, ты ж вроде видный спец, зарплата у тебя о-го-го должна быть.

Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

44. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (38), 09-Сен-23, 11:19 
Больше половины опеннета сидят на таком и плачут то когда 32 бита дропнут, то ещё что
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

55. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (28), 09-Сен-23, 11:50 
А зачем вообще нужна система, падающая из-за thin provisioning образа диска. Бери линукс, там таких проблем нет. Или твой любимый вантуз, даже там таких проблем нет.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

67. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 09-Сен-23, 13:51 
она падает не из-за thin provisioning, а из-за того что вмварь неправильно эмулирует mpt (вероятнее всего - я не знаю что произойдет с паравиртуальным драйвером). Команды которые на настоящем контроллере просто работают, тут внезапно возвращают странные ошибки.

Ответить | Правка | Наверх | Cообщить модератору

109. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 19:49 
Ну вот поэтому я всегда пихаю всем (иногда глубоко и жёстко) паравиртуальные драйверы. Даже клиентам.
Ответить | Правка | Наверх | Cообщить модератору

115. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 09-Сен-23, 20:03 
Я не уверен что с паравиртуальным этот баг тоже не проявится. Но у меня - mpt.

Ответить | Правка | Наверх | Cообщить модератору

175. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Ivan_83 (ok), 11-Сен-23, 02:59 
У нас фряха с ZFS поверх железа и зоопарка гипервизоров.
В старых версиях 10 и наверное 11, может даже 12 (кажется нет) был косяк с ZFS когда систему переставляли поверх без зануления дисков то могли случатся всякие непонятные глюки с ZFS, как будто он подхватывал какие то старые кластеры с данными как актуальные или что то такое.

У нас тогда был костыль который перед инсталяцией занулял сколько то там гигабайт и вроде работало.
Вроде с 12 версии такого не было и костыль был убран, в 13+ точно всё нормально с этим.

Конкретно вашу ошибку с unmap я вроде не видел, по крайней мере это не так проблема которая у нас актуальна.
Возможно дело в наших тюнингах системы, они примерно как мои домашние: http://netlab.dhis.org/download/software/os_cfg/FBSD/13/

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

180. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +1 +/
Сообщение от 1 (??), 11-Сен-23, 10:25 
Когда ругань должна появиться ?

vSphere 7
VMFS 6

Нарезал машинку, установил распоследний TrueNAS (TrueNAS-13.0-U5.3), создал пул - mirror, погонял туда сюда.
Сделал снапшот, опять данные погонял погонял. Никакого unmap не обнаружил.

М.б. дело в "dedicated storage controller in passthru mode" ?

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

188. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 11-Сен-23, 13:50 
У меня - прямо при загрузке. Собственно, оно делает ровно одну попытку, обнаруживает что что-то пошло не так и сваливается в вокараунд который у меня тоже не работает (и вероятнее всего работает в последних версиях - но вот это и надо бы проверять)

> М.б. дело в "dedicated storage controller in passthru mode" ?

нет, нет - обычный диск на обычном datastore, в виртуалку отдан, обратить внимание - как mpt, а не как pv.
Что выдает dmesg|grep da0 ?

Ответить | Правка | Наверх | Cообщить модератору

194. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от 1 (??), 11-Сен-23, 16:48 
> обычный диск на обычном datastore, в виртуалку отдан, обратить внимание - как mpt, а не как pv.

Теперь объясняй как этого добиться ? Потому как он в pv. Тупо делал next next mext done

====================================================
da0 at pvscsi0 bus 0 scbus2 target 0 lun 0
da0: <VMware Virtual disk 2.0> Fixed Direct Access SPC-4 SCSI device
da0: 750.000MB/s transfers
da0: Command Queueing enabled
da0: 8192MB (16777216 512 byte sectors)
da0: quirks=0x140<RETRY_BUSY,STRICT_UNMAP>
da0 at pvscsi0 bus 0 scbus2 target 0 lun 0
da0: <VMware Virtual disk 2.0> Fixed Direct Access SPC-4 SCSI device
da0: 750.000MB/s transfers
da0: Command Queueing enabled
da0: 8192MB (16777216 512 byte sectors)
da0: quirks=0x140<RETRY_BUSY,STRICT_UNMAP>
=====================================================

Ответить | Правка | Наверх | Cообщить модератору

197. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 11-Сен-23, 17:41 
> Теперь объясняй как этого добиться ?

э... тут нужен спецконсультант из италии...

Щас гляну что у меня, но учти что у меня неправильные пчолы.

так... next-next-next- other freebsd 12 64 - next - попадаешь на customize hardware - new scsi controller (уже выбран) - LSI Logic SAS - ok, finish.

Вроде, так.

Ответить | Правка | Наверх | Cообщить модератору

203. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от 1 (??), 12-Сен-23, 09:24 
Спросонья поменял в настройках SCSI на LSI Logic Parallel

root@truenas[~]# dmesg | grep da0
da0 at mpt0 bus 0 scbus2 target 0 lun 0
da0: <VMware Virtual disk 2.0> Fixed Direct Access SPC-4 SCSI device
da0: 320.000MB/s transfers (160.000MHz, offset 127, 16bit)
da0: Command Queueing enabled
da0: 8192MB (16777216 512 byte sectors)
da0: quirks=0x140<RETRY_BUSY,STRICT_UNMAP>

А после кофе поменял на LSI Logic SAS
root@truenas[~]# dmesg | grep da0
da0 at mpt0 bus 0 scbus2 target 0 lun 0
da0: <VMware Virtual disk 2.0> Fixed Direct Access SPC-4 SCSI device
da0: 300.000MB/s transfers
da0: Command Queueing enabled
da0: 8192MB (16777216 512 byte sectors)
da0: quirks=0x140<RETRY_BUSY,STRICT_UNMAP>

Задействование снапшотов тоже не дало никаких результатов.

Единственно - у меня OS "FreeBSD 13 or later versions (64-bit)"

P.S. А скорость то всё меньше и меньше ;-)

Ответить | Правка | Наверх | Cообщить модератору

205. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 12-Сен-23, 16:07 
Спасибо, будем считать что проблема в свежей версии отсутствует.

Хотя и непонятно, почему, при таких quirks.

> P.S. А скорость то всё меньше и меньше ;-)

у Scsi оно из мегагерцев рассчитывается, а у sas видимо просто "маркетологические мегабайты, по 1000 килобайт".

Ответить | Правка | Наверх | Cообщить модератору

198. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 11-Сен-23, 17:43 
Кстати, забавно что quirks те же что у меня (и это не полный набор, должно быть больше, если я правильно понял объяснения)

Ответить | Правка | К родителю #194 | Наверх | Cообщить модератору

189. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 11-Сен-23, 13:56 
А, ну и да - снапшот, естественно, надо делать в вмвари а не в zfs.
(но у меня без всяких снапшотов вылезает... впрочем, это я так думаю, прямого управления vm  у меня нет)

Ответить | Правка | К родителю #180 | Наверх | Cообщить модератору

195. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от 1 (??), 11-Сен-23, 16:49 
Это понятно
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (45), 09-Сен-23, 11:20 
Почему создатели IPv6 не додумались просто взять IPv4 и расширить поле адреса?
Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +1 +/
Сообщение от пох. (?), 09-Сен-23, 11:36 
потому что тогда пилить гранты десятки лет было бы невозможно.
Впрочем, там много чего не так помимо поля адреса. Которое как раз не особо требовало расширения, можно было вообще оставить все как есть (нехватка v4 адресов создана совершенно искусственно. Можешь назвать свой новый протокол v4.0.0.1 и ничего вообще не менять кроме кода протокола. Вся проблема рассосется сама собой, поскольку не будет громадных А и пачек B выданных какой-нибудь давно мертвой novell, nortel, или вечноживой ibm, использовавшей их совершенно не для того для чего выдавались.)

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +1 +/
Сообщение от Аноним (59), 09-Сен-23, 12:29 
Скорее Беркли и другим универам. Был же прикол в начале нулевых, что реальных ип в Беркли больше чем во всём Китае. Они даже от чего-то отказывались, но всё равно у них и других универов адресов до сих пор много. Даже у нас, когда в науч. институте работал на лабу было выделено около 100 реальных ип, хотя сотрудников за всю историю столько никогда не было. Я их переберал, когда банили за ослов и мулов.
Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (3), 09-Сен-23, 12:37 
История как товарищ в 1998 захотел купить два айпи, а купил две сети класса C.
Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 09-Сен-23, 13:50 
эти - реальные. А те что выделены давно мертвому нортелю - просто объект спекуляции и ничего больше.
Т.е. у нашего 4.0.0.1 были бы все шансы взлететь.

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

78. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +1 +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 15:02 
Дывотда.
Потомушто хотели решить все воображаемые проблемы разом, и надо было докторскую защитить.
На деле вышло как с каждой второй докторской - языком почесали, а во внедрении полная она.
Достаточно было ASN к IP присобачить - софта и железа надо было бы менять всё столько же, но зато не было бы столько проблем с адаптацией.
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

79. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 15:04 
[и с роутингом проблем бы было гораздо меньше - можно бы было целиком ASN анонсить в очень большом ряде случаев]
Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 15:05 
[и с IPv4->IPvX для старого железа тоже - ASN источника присобачить на выходе и снять на входе при трансляции портов не велика беда]

Но нет, мы не ищем простых путей.

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

211. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  –1 +/
Сообщение от Аноним (-), 12-Сен-23, 18:52 
> Достаточно было ASN к IP присобачить - софта и железа надо было
> бы менять всё столько же, но зато не было бы столько
> проблем с адаптацией.

"Если бы я спросил клиентов что они хотят, они бы сказали - более быстрых лошадей" (c) Форд.

Благодаря более вменяемым людям у нас есть протоколы, работающие так как задумано изначальным дизайном, без костылей типа нат, и айпишников теперь надолго хватит. А проблемы необучашек решаются путем вывода на пенсию и увольнений так то. Зачем кому-то необучаемый хрыч клинящий все и вся?

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

212. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 12-Сен-23, 20:17 
Вот только одна проблема: трафика от вашего протокола - в районе 5%.
За исключением хухла и прочих CDN.
Ответить | Правка | Наверх | Cообщить модератору

213. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 12-Сен-23, 20:17 
(а протоколу уже 20 с хвостом лет, и надо сказать, раздаём мы его свободно - по первому запросу, почти никому банально не надо)
Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (93), 09-Сен-23, 17:58 
Потому, что когда стандарт разрабатывали опеннета ещё не было, негде было экспертов спросить.
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

112. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 09-Сен-23, 19:52 
Ды блин, там всё в рамках совсем уж банальной логики, даже опеннета не требовалось.
Но нет, вместо спойлера заменили двери и двигло... на те, что от трактора.
Ответить | Правка | Наверх | Cообщить модератору

158. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (93), 10-Сен-23, 18:58 
> вместо спойлера заменили двери и двигло... на те, что от трактора.

Это особенно комично выглядит, если учесть, что IPv4 — это сбежавшая из лаборатории C:\laba1, а IPv6 — результат кропотливой работы опытных инженеров, основанный на опыте годов эксплуатации глобальных сетей. Но вот поди ж ты, кексперты опеннета недовольны. Слишком сложно, думать надо.

Ответить | Правка | Наверх | Cообщить модератору

160. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 10-Сен-23, 19:09 
>> вместо спойлера заменили двери и двигло... на те, что от трактора.
> Это особенно комично выглядит, если учесть, что IPv4 — это сбежавшая из

это выглядит ровно как и должно быть.

> лаборатории C:\laba1, а IPv6 — результат кропотливой работы опытных инженеров, основанный

предыдущий результат работы таких же вот опытных инж... извините, они не инженеры а профессора - стек протоколов OSI.
К счастью, тогда они не имели возможности навязывать индустрии свои правила, и их поделку выбросили на помойку истории.

> на опыте годов эксплуатации глобальных сетей. Но вот поди ж ты,

да-да, мы помним годы эксплуатантов x.400 да и x.25 тоже
И как оно у них все пошло по п-де, заменившись первое - на протокол начинающийся со слова simple, а сети - на "сбежавшее из лаборатории". Потому что никому нахрен было не нужно такое оверинжинеренное уродство.

Ответить | Правка | Наверх | Cообщить модератору

161. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 10-Сен-23, 20:48 
Ещё H.323 сюда можно добавить - такая же матёрая поделка матёрых академиков, которая, тьфу-тьфу, наконец-то на свалке.
Ответить | Правка | Наверх | Cообщить модератору

163. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 10-Сен-23, 21:01 
ну ее ты зря обижаешь - по сравнению с sip эта поделка проста как палка (потому что sip тоже профессора писали). Именно по этой причине ее напихали в кучу копеечных в наши дни железок (в ненаши они были дорогостоящими просто потому что пипл хавал а не потому что там не пожадничали на процессор от кофеварки)

То что она застревает в файрволах и натах намертво - это не ее вина. Это у нас наты такие и авторы кода для кофеварочных процессоров туда же.

Ответить | Правка | Наверх | Cообщить модератору

165. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 10-Сен-23, 21:12 
Ды не, сип - это полуакадемики-полукомерсы, для своего мстояка деланый. Потом его подхватили для беспроводки, и понеслось. Ну и VJ тут надо должное отдать - он в комерсах делал очень многое правильно по инженерии, хоть и начинал академиком по сути.
Ответить | Правка | Наверх | Cообщить модератору

190. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от IPsec (?), 11-Сен-23, 15:56 
Тогда уж надо было вспомнить IPsec.
Ответить | Правка | К родителю #161 | Наверх | Cообщить модератору

204. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от пох. (?), 12-Сен-23, 16:03 
C ipsec все хорошо. Все нехорошо с xauth в ike, но это необязательное дополнение.

Ответить | Правка | Наверх | Cообщить модератору

214. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 13-Сен-23, 08:22 
С самим IPSec всё терпимо, он простой как доска.
IKE вот да - гениальный плод маразма, но IKEv2 немножко это решает.
Ответить | Правка | К родителю #190 | Наверх | Cообщить модератору

162. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 10-Сен-23, 20:49 
> что IPv4 — это сбежавшая из лаборатории C:\laba1

Точнее, из /classified1

Военные немножко практичнее академиков оказались - до сих пор живо и радует.


Ответить | Правка | К родителю #158 | Наверх | Cообщить модератору

172. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 10-Сен-23, 22:55 
[это не значит, что академики не нужны - это значит, что без предварительной термической обработки исходные продукты лучше не в рот не класть]
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Alex (??), 09-Сен-23, 11:39 
Что там, в жуниперах как дела?
Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Аноним (28), 09-Сен-23, 11:52 
Там фрибжда только как запускалка проприетарных блобов. В бздешных фаерволах там нужды нет вообще.
Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от name (??), 09-Сен-23, 14:22 
Жуниперы давно на линуксах, с разморозкой.
Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

152. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от timur.davletshin (ok), 10-Сен-23, 07:40 
Ага, в той же степени, что и циска.
Ответить | Правка | Наверх | Cообщить модератору

215. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Tron is Whistling (?), 13-Сен-23, 08:24 
ASR9K последние очень серьёзно на линухах.
Там оно не только для управления, оно по сути занимается всем, кроме форвардинга.
Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от YetAnotherOnanym (ok), 09-Сен-23, 16:47 
> пакет фрагментируется с использованием только одного фрагмента

Кто-нибудь может подкинуть юзкейс, где это может быть нужно?

Ответить | Правка | Наверх | Cообщить модератору

176. "Уязвимость, позволяющая обойти блокировку пакетным фильтром ..."  +/
Сообщение от Ivan_83 (ok), 11-Сен-23, 03:29 
> scrub fragment reassemble

Этим мало кто пользуется, ИМХО.
Раньше было ещё drop-ovl - отбрасывать пакеты с накладывающимися фрагментами, но в 2015 году это упихали в reassemble. Так же как и crop.

# reassemble: Fragments are buffered until they form a complete packet #low perf, def
# crop: PF track the frag and cache small range descriptor. Duplicate frag are
#     dropped and overlaps are cropped, no NAT support yet (2010)
# drop-ovl: Like crop, overlapping or duplicate fragments will be dropped

20150827:
    pf no longer supports 'scrub fragment crop' or 'scrub fragment drop-ovl'
    These configurations are now automatically interpreted as
    'scrub fragment reassemble'.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру