| |
| 2.3, Дмитрий Ю. Карпов (?), 23:11, 22/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
Затем, что ipfw - мощнейший инструмент (хотя его гибкость вызывает сложность в понимании и использовании). Например, один divert очень ценен, т.к. позволяет обработку пакетов в user-space.
| | |
| |
| 3.9, FrBrGeorge (ok), 00:29, 23/06/2009 [^] [^^] [^^^] [ответить]
| +5 +/– |
 > Например, один divert очень ценен, т.к. позволяет обработку пакетов в user-space.
iptables ... -j QUEUE или NFQUEUE
Это, конечно, не отменяет преимуществ ipfw, просто для справки :)
| | |
| 3.26, User294 (ok), 06:57, 23/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> Затем, что ipfw - мощнейший инструмент
Вы с айпитаблесами не попутали?Они могут почти все, но синтаксис чем-то напоминает язык программирования брэйнфак :)
| | |
| |
| 4.30, www2 (??), 07:10, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >Вы с айпитаблесами не попутали?Они могут почти все, но синтаксис чем-то напоминает язык программирования брэйнфак :)
Синтаксис может быть и не очень приятен, зато семантика гораздо лучше, чем у ipfw.
И вообще, может быть кто-нибудь назовёт те преимущества ipfw, которые не умеет iptables+iproute2+tc?
| | |
| |
| 5.39, User294 (ok), 07:43, 23/06/2009 [^] [^^] [^^^] [ответить]
| –2 +/– |
>Синтаксис может быть и не очень приятен, зато семантика гораздо лучше, чем
>у ipfw.
Ну, привыкнуть можно.А если влом - ну так можно скопипастить :) или генератором правил, блин, сгенерить.Не понимаю я их проблем (кроме нежелания осваивать тулзень).
>И вообще, может быть кто-нибудь назовёт те преимущества ipfw, которые не умеет
>iptables+iproute2+tc?
Я что-то не думаю что они это осилят... впрочем ждемс.Так как любопытно.Не, не то чтобы я супер-спец по айпитаблесам, но что им + упомянутой связкой можно изобразить - я как минимум видел в роутерных прошивках.Вполне себе прилично получается вроде - я вот так сходу не смог придумать чего бы мне захотелось но не изображалось бы данной связкой :).Может у бздунов больше фантазии?
| | |
| |
| 6.42, _umka_ (??), 08:09, 23/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | У User294 очередлой линупсячий понос наступил Пример из жизни - Изобразите на... большой текст свёрнут, показать | | |
| |
| |
| |
| 9.114, sauron (ok), 14:09, 23/06/2009 [^] [^^] [^^^] [ответить] | +2 +/– |  А теперь вложенные хеш-фильтры И да еще как мне там дисциплины крутить Использ... текст свёрнут, показать | | |
|
|
| 7.104, www2 (??), 12:36, 23/06/2009 [^] [^^] [^^^] [ответить]
| +2 +/– |
>как только уложитесь в 4 читаемых правила, а не 10-12 - покажите
>результат.
Как только велосипед сможет покрыть возможности и комфорт автомобиля, тогда и покажем как с помощью tc можно в то же количество строк можно описать то, что умеет делать dummynet.
Более богатые функции предполагают более трудное их использование.
| | |
| |
| |
| 9.236, www2 (??), 06:56, 25/06/2009 [^] [^^] [^^^] [ответить] | +/– | Больше функций - больше рычагов управления ими Примеры мотоцикл - легковой авт... текст свёрнут, показать | | |
|
|
|
|
| 5.41, _umka_ (??), 08:01, 23/06/2009 [^] [^^] [^^^] [ответить]
| –3 +/– |
Я не совсем понимаю как вы предлагаете сравнивать пакетый фильтр с связкой пакетный фильтр + управление роутингом + шейпер ? Странное сравние - теплого с мягким.
Может вы перепутали и имели ввиду ipfw+dummynet с iptables+tc? Так опять же не коректное сравние.
tc хоть и умеет разные дисциплины обслуживания у шейпера - но работает только для исходящего трафика (не надо мне рассказывать о ingress фильтрах - которые делаются через задний проход).
В этом ключе iptables+tc - правильнее сравнивать с ipfw + altq (да да, dummynet это не единственный шейпер с которым в связке может использоваться ipfw).
Но судя по всему вы не разбираетесь в вопросе - поэтому приводить вам аргументы не стоит.
Разбиритесь сначала что вы хотите сравнить - а потом поговорим.
| | |
| |
| 6.44, zmc (?), 08:15, 23/06/2009 [^] [^^] [^^^] [ответить]
| +2 +/– |
>tc хоть и умеет разные дисциплины обслуживания у шейпера - но работает только для исходящего
>трафика (не надо мне рассказывать о ingress фильтрах - которые делаются через задний проход).
Уважаемый _umka_, мне кажется вы че то напутали, шейпинг имеет смысл только на исходящем трафике и безразници где это в фряшном dummynet или линуксовый iproute.
Да да именно для вас tc входит в состав пакета iproute.
| | |
| |
| 7.61, nuclight (??), 09:15, 23/06/2009 [^] [^^] [^^^] [ответить] | +1 +/– | Еще один, не знающий, как работает TCP Ситуация домашний сервер, который NAT д... большой текст свёрнут, показать | | |
| |
| 8.65, zmc (?), 09:28, 23/06/2009 [^] [^^] [^^^] [ответить] | +1 +/– | Будьте любезны не тыкать мне Правила хорошего тона в общении еще не кто не отме... текст свёрнут, показать | | |
| |
| 9.75, nuclight (??), 09:49, 23/06/2009 [^] [^^] [^^^] [ответить] | +/– | Я вам пока еще не тыкал, и вообще веду себя более корректно, чем ваш уровень зна... большой текст свёрнут, показать | | |
| |
| |
| 11.118, www2 (??), 14:55, 23/06/2009 [^] [^^] [^^^] [ответить] | +/– | Ну зашейпил ты входящий канал, а там 99 флуда Буфер переполнился, полезные пак... текст свёрнут, показать | | |
| |
| |
| 13.129, www2 (??), 16:00, 23/06/2009 [^] [^^] [^^^] [ответить] | +/– | Ну например у тебя NAT-роутер Изнутри наружу установлено несколько соединений ... большой текст свёрнут, показать | | |
| |
| |
| |
| |
| 17.224, User294 (??), 18:04, 24/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | Обычные С технической точки зрения - всем глубоко похрену что там шлется в вашу ... большой текст свёрнут, показать | | |
|
|
| 15.178, www2 (??), 07:22, 24/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | Всё-таки вам очень тяжело объяснить очевидное Хорошо, попробуем описать ситуаци... большой текст свёрнут, показать | | |
| |
| |
| 17.194, www2 (??), 12:58, 24/06/2009 [^] [^^] [^^^] [ответить] | +/– | Как же он рассортирует пакеты по выходным буферам, если решение о том, по какому... текст свёрнут, показать | | |
| |
| 18.202, zmc (?), 13:37, 24/06/2009 [^] [^^] [^^^] [ответить] | +/– | Уважаемый www2, можно я обьясню D Видите ли в чем дело, просто nuclight уже осо... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 11.122, vitek (??), 15:12, 23/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | дык и нельзя объем входящего трафика всё равно этим не ограничешь сколько из в... текст свёрнут, показать | | |
|
| 10.148, zmc (?), 18:45, 23/06/2009 [^] [^^] [^^^] [ответить] | +1 +/– | Блин модераторы зачем пост зарезали там не так много матов было - Для особо уп... большой текст свёрнут, показать | | |
| |
| 11.172, User294 (??), 22:56, 23/06/2009 [^] [^^] [^^^] [ответить] | +1 +/– | Ну не понимает чувак что в общем случае ремота не обязана быть кооперативной и и... большой текст свёрнут, показать | | |
| |
| 12.210, zmc (?), 14:17, 24/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | Я конечно не такой умный как Но вот в связке iptables iproute tc , у меня б... большой текст свёрнут, показать | | |
|
|
|
| 9.239, Gra2k (?), 07:45, 25/06/2009 [^] [^^] [^^^] [ответить] | +1 +/– | Единственный способ контролировать вход это грамотно резать выход, а TCP сам вы... текст свёрнут, показать | | |
| |
| 10.240, zmc (?), 09:07, 25/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | А что вас поразило, то, что мы косвено можем контролировать вход балансируя выхо... текст свёрнут, показать | | |
| |
| 11.246, Gra2k (?), 20:17, 25/06/2009 [^] [^^] [^^^] [ответить] | +1 +/– | Вы уж тогда определитесь косвенно или единственный способ В любой книге написан... большой текст свёрнут, показать | | |
| |
| 12.253, zmc (?), 04:08, 26/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | Это вы о чем, мы с вами говорим совершенно о разных вещах, не поленитесь перечет... текст свёрнут, показать | | |
|
|
|
|
| 8.103, www2 (??), 12:31, 23/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | Перестаньте гнать пургу и ознакомьтесь со схемой iptables Ознакомьтесь с поняти... большой текст свёрнут, показать | | |
|
|
| 6.46, sauron (ok), 08:22, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
>tc хоть и умеет разные дисциплины обслуживания у шейпера - но работает
>только для исходящего трафика (не надо мне рассказывать о ingress фильтрах
>- которые делаются через задний проход).
Шейпер можно ставить только на исходящий трафик. Любые вещи мы повесили фильтр на входящий трафик эмулируются через добавление фильтра на тот интерфейс который является исходящим.
Учите теорию.
| | |
| |
| 7.56, iZEN (ok), 08:58, 23/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Шейпер можно ставить только на исходящий трафик.
Бред.
Шейпер нужен там, где необходимо резать канал на полосы пропускания с соответствующей политикой занятия полос: пользователи либо равномерно делят всю полосу пропускания канала, либо каждый имеют фиксированные полосы пропускания от общей полосы канала.
| | |
| |
| 8.60, zmc (?), 09:14, 23/06/2009 [^] [^^] [^^^] [ответить] | +2 +/– | Блин да скоко вам обьеснять мы можем контролировать шейпером тока НАШ ИСХОДЯЩИЙ ... текст свёрнут, показать | | |
| |
| 9.64, Аноним (-), 09:26, 23/06/2009 [^] [^^] [^^^] [ответить] | +2 +/– | Типичное заблуждение, входящий TCP трафик очень хорошо шейпится за счет удержива... текст свёрнут, показать | | |
| |
| 10.121, User294 (ok), 15:09, 23/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | При условии что ремота - кооперативна, а не просто срет в ваш адрес пакетами, по... большой текст свёрнут, показать | | |
| 10.124, vitek (??), 15:36, 23/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | т е другими словами, тотже эффект - шейпим исходящий трафик для внутренней сети... текст свёрнут, показать | | |
| |
| |
| 12.150, vitek (??), 19:07, 23/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | хреновый админ тогда однако у Вас же в бзде дерэйс есть там даже пароли на ssh... текст свёрнут, показать | | |
|
|
|
|
| 8.113, sauron (ok), 14:05, 23/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | Поясняю в случае исходящего трафика у вас есть бак с краниками и соотвественно в... текст свёрнут, показать | | |
| |
| 9.195, nuclight (??), 13:01, 24/06/2009 [^] [^^] [^^^] [ответить] | +2 +/– | Ну что же, если вы использовали такую аналогию, то сами подставились, я не винов... большой текст свёрнут, показать | | |
| |
| 10.197, www2 (??), 13:25, 24/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | Аналогия не верна и всё дальнейшее - чушь Это ещё могло бы подойти для описания... текст свёрнут, показать | | |
| 10.204, sauron (ok), 13:42, 24/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | Вы забыли одну вещь Краник 1 находится у провайдера, а не у вас крутить вы его ... большой текст свёрнут, показать | | |
|
|
|
| 7.63, nuclight (??), 09:22, 23/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>Шейпер можно ставить только на исходящий трафик. Любые вещи мы повесили фильтр
>на входящий трафик эмулируются через добавление фильтра на тот интерфейс который
>является исходящим.
>Учите теорию.
Да-дад, идите учите :) Ситуация наоборот верна, любой исходящий можно заменить входящим трафиком, а описаннное выше нет - ибо между входящим и исходящим интерфейсами есть вычет трафика, предназначенного самому роутящему хосту. См. https://www.opennet.ru/openforum/vsluhforumID3/56111.html#61
| | |
|
| 6.67, KO (?), 09:30, 23/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | gt оверквотинг удален На самом деле Вы сами предложили написать тоже самое, н... большой текст свёрнут, показать | | |
|
| 5.50, nuclight (??), 08:46, 23/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Например, tablearg, несколько разных тегов на пакете одновременно, OR-блоки внутри одного правила.
Да, чего нет в ipfw, что есть в ipt, можете мне не рассказывать, я с обоими знаком.
| | |
| |
| 6.116, Осторожный (ok), 14:49, 23/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>Например, tablearg, несколько разных тегов на пакете одновременно, OR-блоки внутри одного правила.
>
>
>Да, чего нет в ipfw, что есть в ipt, можете мне не
>рассказывать, я с обоими знаком.
А что есть IPT ?
http://en.wikipedia.org/wiki/IPT
| | |
|
| 5.59, Spase (?), 09:09, 23/06/2009 [^] [^^] [^^^] [ответить] | +1 +/– | Навскидку только ipfw, как просили - Таблицы адресов а не таблицы правил с ... большой текст свёрнут, показать | | |
| |
| 6.66, nuclight (??), 09:29, 23/06/2009 [^] [^^] [^^^] [ответить] | +/– | Ну, вообще-то оно нынче уже умеет указывать номер правила в подцепочке -I, --in... большой текст свёрнут, показать | | |
| 6.70, KO (?), 09:38, 23/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | Таблицы адресов присутствуют уже с полгода Этого не помню, возможно и нет Весь... большой текст свёрнут, показать | | |
| |
| 7.80, piavlo (?), 10:20, 23/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>- Таблицы адресов (а не таблицы правил) с чудным дополнением в виде
>>tablearg;
>
>Таблицы адресов присутствуют уже с полгода.
А чем таблицы адресов отличаются от ipset?
| | |
| |
| 8.88, Spase (?), 11:08, 23/06/2009 [^] [^^] [^^^] [ответить] | +/– | Отсутствием tablearg Опять же, не исключаю, что уже сделали Правда, с трудом п... текст свёрнут, показать | | |
|
| 7.89, Spase (?), 11:12, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Таблицы адресов присутствуют уже с полгода.
...skip
>Из всего этого напрашивается вывод что Вы не очень хорошо знаете ipt,
>хотя и не страдаете болезнью господ Умки с иЗеном.
Да, видимо, отстал от жизни.
| | |
| 7.92, Spase (?), 11:28, 23/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>- прямое добавление/удаление правил (попробуйте в iptables вставить/удалить правило в произвольное место
>>цепочки, а не строго в начало/конец, и проделать это несколько раз)
>
>Весьма и весьма давно, года эдак 4 назад как минимум умеем:
>-I, --insert chain [rulenum] rule-specification
Это не то. Во-первых, не может быть нескольких правил под одним и тем же номером (хотя, в теории, при такой необходимости их можно вынести в отдельную цепочку). Во-вторых, добавление правила сдвигает всю нумерацию.
>>
>>- из последнего вытекает skipto;
...аналогов которого я так же не наблюдаю.
| | |
|
|
| 5.94, Ыку (?), 11:43, 23/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>И вообще, может быть кто-нибудь назовёт те преимущества ipfw, которые не умеет
>iptables+iproute2+tc?
Вы сам его привели "iptables+iproute2+tc" вместо 1го файла с приятным и понятным синтаксисом
| | |
| |
| 6.105, www2 (??), 12:40, 23/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Вы сам его привели "iptables+iproute2+tc" вместо 1го файла с приятным и понятным
>синтаксисом
Ясно, преимуществ нет.
| | |
|
|
|
|
| 2.4, div (??), 23:12, 22/06/2009 [^] [^^] [^^^] [ответить]
| +2 +/– |
нужное дело делают. это не зоопарк, а расширение возможностей. выбор каждый сделает по предпочтениям. отсутствие желания расширять знания -- это личные умственные проблемы проблемы. учитывая сколько хорошего софта заточено под ipfw -- этот проект прекрасная возможность использовать его на линухах. ИМХО.
| | |
| 2.241, chuvy (??), 13:23, 25/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Лучшеб IMQ уже в ядро внесли совместными усилиями. А так без IMQ согласен вещь очень хорошую сделали. Умеет ограничивать входящий и исходящий траф. И самое главное умеет с таблицами работать(ipfw table), чего не умеет iptables.
| | |
|
| |
| 2.6, div (??), 23:29, 22/06/2009 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>Лучше бы PF портировали...
что это мешает сделать лично вам?
| | |
|
| 1.7, Ilya Evseev (?), 23:49, 22/06/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 > а зачем ? им делать нечего ?
ipfw проще в настройке, например, минимальный файрволл настраивается в четыре наглядных строки:
ipfw flush
ipfw add check-state
ipfw add allow all from me to any out keep-state
ipfw add deny all from any to any
В ipfw умеет работать с таблицами IP-адресов. Для iptables есть ipset,
но большинство дистрибутивных ядер пока собираются без него.
Но основное преимущество - это (IMHO!) простота настройки dummynet'a
по сравнению с LARTC для массового шейпирования.
| | |
| |
| 2.8, Ivan (??), 00:07, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> В ipfw умеет работать с таблицами IP-адресов.
Забавно. А если iptables этого не умеет, то почему жк он так называется? :-)
| | |
| |
| 3.10, FrBrGeorge (ok), 00:29, 23/06/2009 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> В ipfw умеет работать с таблицами IP-адресов.
>
>Забавно. А если iptables этого не умеет, то почему жк он так
>называется? :-)
Потому что он умеет работать с таблицами правил
| | |
| |
| 4.12, vitek (??), 00:49, 23/06/2009 [^] [^^] [^^^] [ответить]
| +2 +/– |
да куча уже упрощающих "настройщиков" для iptables. в бубунте вот ufw. типа:
ufw deny proto tcp from 2001:db8::/32 to any port 25
ufw allow proto tcp from any to any port 80,443,8080:8090
ufw limit ssh/tcp
ufw allow from 192.168.0.0/16 to any app Samba
и т.д., которые разворачиваются в несколько сот строчек.
и это фронтэнды. они делают своё дело, а iptables - своё.
| | |
|
| 3.57, nuclight (??), 09:09, 23/06/2009 [^] [^^] [^^^] [ответить] | +1 +/– | По недоразумению В линуксе вообще многое называется не так, как в точности след... большой текст свёрнут, показать | | |
| |
| 4.71, KO (?), 09:43, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
>в стандартную поставку, из-за чего админам иногда приходится эмулировать его руками
>(вспоминается DoS башорга).
Вообще-то проще его поставить руками.
| | |
| |
| 5.77, nuclight (??), 09:55, 23/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>в стандартную поставку, из-за чего админам иногда приходится эмулировать его руками
>>(вспоминается DoS башорга).
>
>Вообще-то проще его поставить руками.
Ну вот поинтересуйтесь у них, почему у них такой возможности не было, хотя они о нём знали. Пришлось им руками дерево эмулировать, 256 цепочек по октету IP-адреса.
| | |
| |
| 6.109, www2 (??), 12:56, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
>Ну вот поинтересуйтесь у них, почему у них такой возможности не было,
>хотя они о нём знали. Пришлось им руками дерево эмулировать, 256
>цепочек по октету IP-адреса.
Радиус кривизны рук наверное большой был, вот и решили не искать лёгких путей.
| | |
|
| 5.86, eye (?), 11:02, 23/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
 ага, тут выше приводят ссылку:
>Добавляем правила огранечения по меткам. Далее средствами iptables ставим эти метки.
>А теперь покажите мне в ipfw организовать хеш-фильтры https://www.opennet.ru/docs/RUS/LARTC/x1661.html
по ссылке эмулируют хеш лол. вот у них спросите почему они так делают. наверное по-другому не получается.
| | |
|
| 4.108, www2 (??), 12:55, 23/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | gt оверквотинг удален Это уже отдаёт самоцелью Даже теоретически не могу пред... большой текст свёрнут, показать | | |
| |
| 5.206, nuclight (??), 13:47, 24/06/2009 [^] [^^] [^^^] [ответить] | +1 +/– | gt оверквотинг удален Как раз-таки наоборот Линейная последовательность прави... большой текст свёрнут, показать | | |
| |
| 6.209, www2 (??), 14:14, 24/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | Не согласен В iptables не бывает переходов на правило с произвольным номером, т... большой текст свёрнут, показать | | |
| |
| 7.212, vitek (??), 14:49, 24/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Не согласен. В iptables не бывает переходов на правило с произвольным номером, только цепочки - аналог подпрограмм. А вот в ipfw есть skipto - элемент, образующий спагетти.
ну вообще-то ещё есть:
$ man iptables
.................
-g, --goto chain
This specifies that the processing should continue in a user specified chain. Unlike the --jump option return will not continue processing in this chain but instead in the chain that called us via --jump.
но это так, к слову.
| | |
|
|
|
|
|
| 2.33, poige (ok), 07:20, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
1) iptables -P INPUT DROP
2) iptables -A INPUT -i lo -j ACCEPT
3) iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
4) echo bingo-bingo
| | |
| |
| 3.35, www2 (??), 07:23, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
>1) iptables -P INPUT DROP
>2) iptables -A INPUT -i lo -j ACCEPT
>3) iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>4) echo bingo-bingo
Хотел запостить то же самое.
| | |
| |
| |
| 5.106, www2 (??), 12:47, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>И echo bingo-bingo тоже? :-D
Нет, тут я признаю ваше авторство!
echo bingo-bingo (с) poige
| | |
| |
| 6.107, poige (ok), 12:52, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
>Нет, тут я признаю ваше авторство!
>
>echo bingo-bingo (с) poige
Поржал, спасибо. :-)
| | |
|
|
|
| 3.91, none (??), 11:28, 23/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вы считаете, что это более читаемо, чем приведённый выше пример??
| | |
| |
| 4.100, poige (ok), 12:14, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Вы правда хотите услышать поговорку про то, что мешает плохому танцору, ещё раз? :-)
| | |
|
|
| 2.219, Дмитрий Ю. Карпов (?), 16:33, 24/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
> ipfw проще в настройке, например, минимальный файрволл настраивается в четыре наглядных строки:
>
> ipfw flush
> ipfw add check-state
> ipfw add allow all from me to any out keep-state
> ipfw add deny all from any to any
А в чём сакральный смысл этого набора правил? Разве не достаточно просто не запускать ненужных сервисов? Или дело в атаках типа "from me to me in"?
| | |
|
| |
| 2.27, User294 (ok), 06:59, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Отличная новость!! Долгоя этого момента ждал )))
Забыл съесть сникерса?Кому оно было надо - уже давно шейпили.Не, если у кого радиус кривизны рук заточен именно под эту штуку - отлично.Но как бы есть ряд решений по шейпингу и без этой штуки.На разные вкусы.Еще +1 - не есть плохо, но и супер-дупер достижением не является.Просто очередной прибабах на выбор.
| | |
|
| |
| 2.15, cyberpokemonus (?), 01:05, 23/06/2009 [^] [^^] [^^^] [ответить]
| –3 +/– | |
>УРАААААА!!!! ждем теперь PF!! вот его то особо не хватает!
да сносите вы нафиг свой Linux, сетапте опенка и будет вам еще много много счастья кроме PF =))
| | |
| |
| 3.16, bmnbmn (?), 01:32, 23/06/2009 [^] [^^] [^^^] [ответить]
| +2 +/– |
не ради холивора будет сказано, но как поддерживать то его??
поставил убунту - всё обновляется со скоростью света. и adobe flash player(!!!!!) и firefox и thunderbird... а с опнбсд? всё старое, дыревое, рекомендуемый способ установки - из прекомпилированных пакаджей. а оно там обновляется раз в год.. в общем возни с ним - не оберешься..
и где безопасность? да.. компилять.... каждый день что ли? мне же РАБОТАТЬ надо.
простите но это не для меня..
опенбсд на серваке хорош, где не много сервсисов крутится. Или где нужно вылизанное ядро(в плане секурити)... В общем не для нас.
| | |
| |
| 4.20, yason (?), 02:24, 23/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– |  Не вижу смысла в шейпинге на воркстейшене - нет проблем с флешплеером Сама сис... большой текст свёрнут, показать | | |
| |
| 5.28, User294 (ok), 07:04, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Не вижу смысла в шейпинге на воркстейшене -> нет проблем с флешплеером.
Интересная логика...
> и потребления электроэнергии.
А что, в OpenBSD какие-то крутые технологии энергосбережения, лучше чем у других?Или это намек на то что компьютер с оным, особенно если десктопный, имеет смысл включать только по праздникам?Ну там посмотреть, обновить и выключить.Все-равно большинству юзеров (почувствуйте разницу - не "фанатов марки" а именно обычных юзеров) такая "десктопная" система никуда не впилась.Конечно и ежа можно научить летать при помощи пинков.А опенка - быть десктопом.А это надо?Ну, фанатам марки - да, из принципа.А остальным оно нафига?
| | |
| |
| 6.83, yason (?), 10:26, 23/06/2009 [^] [^^] [^^^] [ответить] | +1 +/– | Логика простая - мы, вроде, про серверное применение говорили Нет Но вы подума... большой текст свёрнут, показать | | |
| 6.186, EVS21 (??), 11:40, 24/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>А это надо?Ну, фанатам марки - да, из принципа.А остальным оно нафига?
Как фанат фанату? :) Или все-таки каждый пользует то, что ему больше нравится и удобнее?
| | |
|
| 5.38, User294 (ok), 07:29, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
>- не проблема, а вот с некотроым софтом бывают заковырки -
>типа изменили формат конфига...
Дебианщики и убунтуйцы это достаточно хитро разруливают.До обновления версии системы они как максимум подновляют минорные версии софта в репах, а то и вовсе бэкпортят секурити фиксы на старые версии софта.Что отстреливает подобный тип проблем и достаточно кардинально.Зато порождает иные - иногда имеется несколько устаревший софт и убедить фруктов содержащих репы подтянуть его версию - геморрой тот еще.Они в этом плане весьма нервные.Что в убунте что в дебиане.
| | |
| |
| 6.102, www2 (??), 12:21, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
>убедить фруктов содержащих репы подтянуть его версию - геморрой тот
>еще.Они в этом плане весьма нервные.Что в убунте что в дебиане.
Про убунту не знаю, зато скажу про дебиан. Бога ради, даже не пытайтесь рассчитывать на положительный ответ. Это строгая регламентированная документом политика - это всё равно что пытаться подбить на преступление у всей общественности на глазах.
| | |
| |
| 7.173, User294 (??), 23:15, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
>это всё равно что пытаться подбить на преступление у всей общественности
>на глазах.
Ослиное упрямство не делает чести людям ИМХО.Я бы предпочел если бы вместо ослиного упрямства была бы разумная ориентировка по ситуации.Нацеленная не на формализм до буквы а на реальное качество дистрибутива.
А то очень уж все это напоминает фантастический рассказ про железного Бисмарка и тосты.
(http://lib.ru/INOFANT/SILVERBERG/rob.txt)
| | |
| |
| 8.177, www2 (??), 07:10, 24/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | А кто будет определять степень и грань разумности Не получится ли так, что кажд... большой текст свёрнут, показать | | |
| |
| 9.211, User294 (ok), 14:25, 24/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | Да, а в итоге все порой приходит к пичканию всех древним софтом for no reasons П... большой текст свёрнут, показать | | |
| |
| 10.213, www2 (??), 14:51, 24/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | У nginx вообще до недавних пор стабильных версий не было А это значит, что наря... большой текст свёрнут, показать | | |
| |
| 11.248, User294 (??), 23:08, 25/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | Вот это - хорошо сказано И именно в этом плане дебиан хорошая система Иногда Да... большой текст свёрнут, показать | | |
| |
| 12.254, www2 (??), 08:15, 26/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | Если _обычно_ - это уже не подходит На брудершафт не пили, но Вы вызываете у м... большой текст свёрнут, показать | | |
| |
| 13.255, User294 (ok), 17:55, 26/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | Т е предполагается что для майнтайнера включить мозг при пересборке пакета и пр... большой текст свёрнут, показать | | |
| |
| 14.257, www2 (??), 17:25, 27/06/2009 [^] [^^] [^^^] [ответить] | +/– | Предполагается что пользователи Debian должны быть на 100 уверены, что изменени... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
| 5.40, Brain (??), 07:45, 23/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
 Ну и сколько всего серверов? И что нибудь посерьёзней чем почта и proxy есть?
VPN сколько тянет подключений и на какой скорости?
| | |
| |
| 6.85, yason (?), 10:35, 23/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Ну и сколько всего серверов? И что нибудь посерьёзней чем почта и
>proxy есть?
>VPN сколько тянет подключений и на какой скорости?
А что вы понимаете под "посерьёзней"? У меня всё это для работы стоит.
3 сервера с рейд-массивами (своеобразное разделение файлсервера)
1 сервер бэкапов
1 почтарь с постфиксом, спамд и кламавом
1 прокся со сквидом, дружащим с AD
1 веб сервер
1 ВПН - конечная точка ipsec туннеля. Работает шлюзом для прокси и дает где-то 8 мбитный туннель до удалённого офиса. Плюс по мелочам пару человек из дома через него ходят в рабочую сеть.
| | |
|
|
| 4.87, тигар (ok), 11:07, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
>не ради холивора будет сказано, но как поддерживать то его??
>поставил убунту - всё обновляется со скоростью света. и adobe flash player(!!!!!)
>и firefox и thunderbird...
OMG. Я нашел человека который шейпит на десктопе. Или Вам на сервере нужен флешь и прочие продукты тормозилло фаундешн?;))
>а с опнбсд? всё старое, дыревое, рекомендуемый
>способ установки - из прекомпилированных пакаджей. а оно там обновляется раз
>в год.. в общем возни с ним - не оберешься..
А мужики из openbsd team и не знали, напишите им об этом.
p.s. поздравляю юзеров linux с появлением фаервола у них.
| | |
| 4.242, chuvy (??), 13:40, 25/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
Пипец. Во фре порты обновляются можно сказать мнгоновенно. Недавно вышел clamav обновил сразу после оповещения новости на опеннете. А в генту 2 недели ждал пока закинут.
| | |
|
|
|
| 1.23, RapteR (ok), 04:11, 23/06/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 Наверное Марта очень красивая, раз смогла возбудить, тфу, побудить Луиджи Риццо так быстро портировать то, что долгое время считалось не портабельным. :)
| | |
| 1.29, northbear (??), 07:05, 23/06/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
М-да... Вот что значит, выдернутая из контекста новость. Марта провела работу по ревизии кода и по четкому разделению userspace и kernel-dependent кода ipfw. Одним из следствий этой работы должно было стать простота портирования front-end'а ipfw на любую другую платформу. Что собственно и было продемонстрировано.
Сомневаюсь что кто-то всерьез будет поддерживать ipfw на платформе Linux. Никаких принципиальных преимуществ у ipfw перед iptables кроме чуть более простой интеграции за счет простоты структуры конфига, нет.
А вот от порта pf я бы действительно не отказался. Pf за счет поддержки внешних таблиц ip-адресов в плане возможностей автоматизации и интеграции наилучший на сегодняшний день.
| | |
| |
| 2.43, ImSolo (?), 08:09, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
Стоит сторонний софт, который по ssh работает только с ipfw. Фряху держали только ради него. Теперь там будет линукс и два сервера сольются в один.
| | |
| |
| 3.52, morten (?), 08:48, 23/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
А что вам мешало создать bash-скрипт /sbin/ipfw, который бы
элементарно синтаксис команд конвертил?! Уверен, что софт ничего сложного не делал - банальные allow/deny...
| | |
| |
| 4.132, Осторожный (ok), 16:32, 23/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>А что вам мешало создать bash-скрипт /sbin/ipfw, который бы
>элементарно синтаксис команд конвертил?! Уверен, что софт ничего сложного не делал -
>банальные allow/deny...
Фигня вопрос.
Тогда может полный синтаксис ipfw сделаешь ?
Там вообще одна полезная команда - add.
Ну что тебе стоит сделать одну команду ?
| | |
|
|
| 2.79, poige (ok), 10:01, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Pf за счет поддержки внешних таблиц ip-адресов в плане возможностей автоматизации
> и интеграции наилучший на сегодняшний день.
man ipset (google linux ipset)
| | |
| |
| 3.93, charon (ok), 11:39, 23/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
этот способ абсолютно не годится. ipset везде надо вручную вкомпиливать в ядро. Ядро Линукса обновляется почти каждый месяц. Вы думаете всем нефиг больше делать?
| | |
| |
| 4.97, Sergey Lychko (?), 11:55, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
Если Вы обновляете ядро на всех доступных машинах "почти каждый месяц" - Вам действительно нефиг делать :) Ничего личного, если что.
| | |
| |
| 5.98, charon (ok), 12:02, 23/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>Если Вы обновляете ядро на всех доступных машинах "почти каждый месяц" -
>Вам действительно нефиг делать :) Ничего личного, если что.
я обновляю ядро по мере появления критичных ошибок безопасности. И такое бывает весьма часто.
| | |
|
|
| 3.130, northbear (??), 16:00, 23/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>man ipset (google linux ipset)
Ну, я бы сильно удивился, если бы на Linux'е не было вообще никакого аналога. Кстати, спасибо за подсказку, посмотрю. Правда Linux у меня на десктопе стоит, тут ipset вряд ли работа найдется. Но для общей эрудиции будет полезно...
| | |
|
|
| |
| 2.53, morten (?), 08:48, 23/06/2009 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>лучше-бы под винду портанули
ipfw под винду УЖЕ НЕСКОЛЬКО ЛЕТ как есть
| | |
| |
| 3.256, Минас (ok), 03:58, 27/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
1. Под Windows есть
2. но только для до Windows XP включительно:
на Vista не работает
хуже того: похоже и не будет его под вистой: Microsoft поменяла ядро, и сняла все те механизмы.
| | |
|
|
| |
| 2.111, www2 (??), 13:49, 23/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>А как на счет совместимости лицензий?
А что с ними? Лицензия BSD позволяет брать код и выпускать его под любой лицензией. GPL'щики в BSD-кода кормятся точно так же, как и проприетарщики.
| | |
| |
| 3.179, oops (?), 07:24, 24/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>А как на счет совместимости лицензий?
>
>А что с ними? Лицензия BSD позволяет брать код и выпускать его
>под любой лицензией.
Лицензия BSD позволяет брать код, но лицензия на это код остается BSD.
GPL'щики в BSD-кода кормятся точно так же, как
>и проприетарщики.
Все кормятся друг у друга. Только с GPL это не афишируется.
| | |
| |
| 4.182, www2 (??), 07:40, 24/06/2009 [^] [^^] [^^^] [ответить] | –1 +/– | Ну-ка ну-ка, попросите у мицросовт BSD-шный сетевой стек из винды Или BSD-код J... большой текст свёрнут, показать | | |
| |
| 5.187, oops (?), 11:43, 24/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не путаем теплое с мягким. Я не говорю про дележку. Мой код остается МОИМ куда бы его не включили. Используете? - на здоровье. Т.е. применяя BSD я говорю - "господа, я тут что-то накропал. Если пригодится - берите ради бога". И потому сплю спокойно и имею хороший аппетит. Т.к. не переживаю, что кто-то заныкал часть собственного творчества. Не моего!.
| | |
| |
| 6.190, www2 (??), 12:38, 24/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
>Не путаем теплое с мягким. Я не говорю про дележку. Мой код
>остается МОИМ куда бы его не включили. Используете? - на здоровье.
>Т.е. применяя BSD я говорю - "господа, я тут что-то накропал.
>Если пригодится - берите ради бога". И потому сплю спокойно и
>имею хороший аппетит. Т.к. не переживаю, что кто-то заныкал часть собственного
>творчества. Не моего!.
И о чём спор? Вернитесь по ветке выше к самому первому вопросу: "А как на счет совместимости лицензий?" GLP+BSD=GPL Всё совместимо в пользу GPL, пользоваться фаерволлом из FreeBSD в Linux'е можно.
| | |
| |
| 7.215, oops (?), 15:13, 24/06/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
давайте вернемся:
> Лицензия BSD позволяет брать код и выпускать его под любой лицензией
это в корне неверно.
| | |
| |
| |
| 9.235, oops (?), 05:41, 25/06/2009 [^] [^^] [^^^] [ответить] | +1 +/– | Один раз вы уже попробовали http www opennet ru opennews art shtml num 11844 ... текст свёрнут, показать | | |
| |
| 10.237, www2 (??), 07:31, 25/06/2009 [^] [^^] [^^^] [ответить] | +1 +/– | Это называется Тео развонялся Он начал требовать изменения в коде драйвера ath5... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
| 1.119, solarw (?), 15:00, 23/06/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вопрос уважаемым знатокам!
Поставил себе на убунту ipfw
настроил раздачу инета через NAT в iptables
подгружаю модуль ipfw_mod, NAT прекращается
счетчик пакетов тикает в iptables цепочке FORWARD и правиле ipfw
но на POSTROUTING в iptables правила не срабатывают
в linux как понимаю нет natd, а inkernel nat просто не реализован в текущей версии ipfw для linux.
есть и ещё какие-нибудь решения по одновременно работе NAT и ipfw под linux?
| | |
| |
| 2.220, Дмитрий Ю. Карпов (?), 16:55, 24/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
Если я правильно протелепатировал, в модуле_ipfw по умолчанию "deny from any to any". Добавь разрешающее правило.
| | |
|
| 1.131, Аноним (-), 16:01, 23/06/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Некоторые так возмущаются о портирование будто вас призвали портировать а вы не хотите этого делать, раз начали портировать значит кому то это интересно а значит это имеет место быть
| | |
| 1.152, Илья (??), 21:04, 23/06/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
вот такое напишите на iptables ?
ipfw add 1 prob 0.01 deny icmp from any to me recv em0 xmit em2
| | |
| |
| 2.180, zmc (?), 07:31, 24/06/2009 [^] [^^] [^^^] [ответить] | +/– | Илья мне кажется вы плохо знаете ipfw Обьясню почему Чисто со стороны логики е... большой текст свёрнут, показать | | |
| |
| 3.189, poige (ok), 12:03, 24/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>оригиналу увы нет.
>
>iptables -t mangle -A POSTROUTING -p icmp -i eth1 -o eth2 -j
>PROB
>iptables -t mangle -A PROB -m statistic --mode random --probability 0.01 -j
>DROP
Так не покатит -- "Can't use -i with POSTROUTING" (но это можно обойти при помощи меток для пакетов). Что касается не/-правильности синтаксиса у приведённой строки на ipfw, то, увы, человек действительно не понимает, что он пишет.
| | |
| 3.199, Илья (??), 13:33, 24/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
у iptables к сожалению нет понятия "me", этого наиболее жаль. с вероятностями и in/out - практически одинаково, что на iptables, что на ipfw
| | |
|
| 2.181, zmc (?), 07:35, 24/06/2009 [^] [^^] [^^^] [ответить]
| +/– | |
Илья я конечно может многово не знаю, но мне вот на вскидку трудно найти применение этому правилу.
Это знаете типа - Илья умеет какать в бутылку, это никому на*ер не нужно но он умеет :-)
| | |
| |
| 3.200, Илья (??), 13:34, 24/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Илья я конечно может многово не знаю, но мне вот на вскидку
>трудно найти применение этому правилу.
>
>Это знаете типа - Илья умеет какать в бутылку, это никому на*ер
>не нужно но он умеет :-)
хотя бы аналог "me" покажите в iptables
| | |
| |
| 4.207, zmc (?), 13:50, 24/06/2009 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>хотя бы аналог "me" покажите в iptables
Да без БЭ - -m addrtype --dst-type LOCAL.
Если вы не осилили man iptables то это еще не говорит о том что ipfw конкурент iptables'у
Если бы сравнивали с pf - я еще понимаю, а ipfw не конкурент :-)
| | |
|
|
|
| 1.222, safron (?), 17:18, 24/06/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
насколько я помню в линуксе собирались переписать iptables ради человеческого синтаксиса. Как с этим обстоит дело?
| | |
| |
| 2.260, www2 (??), 12:48, 30/06/2009 [^] [^^] [^^^] [ответить]
| +/– |
>http://www.rootconf.ru/papers2009/12352.html
>Интересная инфа по ipfw
>Думаю ng пока непортирован под linux так что линуксоидам остается ждать ...
Чего ждать-то? Каких-то абстрактных вкусностей?
Линуксоиды решают конкретные практические задачи. В том числе с помощью Xen (полноценной поддержки которого во FreeBSD нет), OpenVZ (аналога которому во FreeBSD вообще нет). Наслаждаются полноценной работой системы на архитектурах MIPS и ARM, гоняют без геморроя Oracle, пользуются полноценными системами пакетного менеджмента, которые позволяют не пересобирать программу на каждый чих.
А вы о каком-то NetGraph и ipfw, который NAT на уровне ядра только-только научился (и до сих пор не позволяет несколько PPTP-подключений из-за NAT'а).
| | |
|
| 1.261, danmer (ok), 08:57, 04/07/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Вопрос к знатокам ipfw. Можно ли в нем реализовать нечто подобное?
$IPTABLES -A INPUT -p TCP --dport 22 -m state --state NEW -m recent --name SSHR --set
$IPTABLES -A INPUT -p TCP --dport 22 -m state --state NEW -m recent --name SSHR --update --seconds 60 --hitcount 4 -j DROP
$IPTABLES -A INPUT -p TCP --dport 22 -m state --state NEW -j ACCEPT
p.s. Вопрос не флэйма ради, а чисто из практической необходимости использовать аналогичную штуку под фрей.
| | |
|
