The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Впечатление создателей iptables от пакетного фильтра pf

17.08.2006 22:57

Rusty Russel - один из основных участников проекта netfilter, кратко описал свои впечатления от пакетного фильтра pf, разработанного в рамках проекта OpenBSD.

  1. Главная ссылка к новости (http://ozlabs.org/~rusty/index...)
Автор новости: dffh
Лицензия: CC-BY
Тип: английский / Тема для размышления
Короткая ссылка: https://opennet.ru/8133-pf
Ключевые слова: pf, iptables, filter
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:54, 18/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Заголовок новости звучит как "Создатели Запорожца узнали, что у всех машин двигатель находится спереди"

    зы: ничего не имею проитв. всю жизнь пользуюсь iptables, просто настроение веселое :)

     
     
  • 2.2, thedix (??), 12:06, 18/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    У хороших спортивных машин, кстати, двигатель сзади. :)
     

  • 1.3, Валера (??), 12:08, 18/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Среднее расположение еще лучше :-)
     
     
  • 2.4, CDigger (?), 12:21, 18/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Это тот, что с педалями...
     
     
  • 3.5, pavlinux (ok), 12:42, 18/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Так он ещё и двухколесный, или четырёх, ещё два маленьких чтоб не падал?
     

  • 1.6, Jelis (ok), 12:59, 18/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вообщем-то и в файрволах разница такая же как и по всей системе - BSD сделан в основном красивее, где-то элегантнее, где-то удобнее, зато у Линукса больше возможностей.
     
     
  • 2.7, chas (?), 13:53, 18/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Вообщем-то и в файрволах разница такая же как и по всей системе - BSD сделан
    >в основном красивее, где-то элегантнее, где-то удобнее, зато у Линукса больше возможностей.

    Но некоторые полезне фичи, как всегда, отсутсвуют:

    "There's one place where pf would make Linux users green with envy, it's rate limiting and queueing"

     
     
  • 3.10, _Nick_ (??), 18:09, 18/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    нафига козе бАян, када у нее гармонь есть?
    Линуховый QoS - лучше всяких трубочек.
    те кто пытается на них строить
    рабочую систему - получает полный П в фаерволе и далекое подобие человеческой работы
     
  • 3.34, Анонимоус (?), 22:35, 23/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>Вообщем-то и в файрволах разница такая же как и по всей системе - BSD сделан
    >>в основном красивее, где-то элегантнее, где-то удобнее, зато у Линукса больше возможностей.
    >
    >Но некоторые полезне фичи, как всегда, отсутсвуют:
    >
    >"There's one place where pf would make Linux users green with envy,
    >it's rate limiting and queueing"
    А еще iptables и какой-нить QoS умещаются в железках типа ADSL модемов и soho router-ов и это еще и работает даже.В девайсах с пару сигаретных пачек размером.А bsd где?Гусары, молчать!
     

  • 1.8, Аноним (-), 15:51, 18/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну и наскока востребованы большинством админов эти фичи?
    на 2% ?
     
     
  • 2.9, ZANSWER (ok), 16:55, 18/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    МяФ!:) снова холи вар балбесов... едите iptables и едите дальше, мне нравиться pf, но он нарвиться мне, а rate limit и queue любой пров пользует который использует pf на рутере... тока не кречим про киски...;)
     
     
  • 3.11, pavlinux (ok), 19:40, 18/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Вах, вах, вах .... да тут не Opennet, тут сборище провайдеров...
    (я конечно понимаю, тут каждый админ в душе инженер сети городского или регионального провайдера)
     

  • 1.14, Nick (??), 04:27, 19/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тот, кто активно использует именно Опенка на рутере, тот уж точно использует богатейшие возможности управления трафиком в pf.  Те, кто говорит, что такая функциональность не нужна просто никогда ничего серьезного и/или по-серьезному не настраивали. Pf - прекрасный пример хорошего продукта.
     
  • 1.15, кук (?), 08:50, 19/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    я что-то проспал и дисциплины в линусе отменили ?
     
     
  • 2.16, _Nick_ (??), 14:32, 19/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Ниче ты не пропустил

    просто Создатели iptables нашли костыль в pf и были рады отметить, что в iptables такого нет.
    в линухе: котлеты - отдельно, мухи - отдельно. если нужно убрать/поправить шейпер траффика - пжалста. фаерволл же остаетсо при этом нетронутым.
    и наоборот.

     
     
  • 3.28, MK (??), 18:18, 20/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Ниче ты не пропустил
    >
    >просто Создатели iptables нашли костыль в pf и были рады отметить, что
    >в iptables такого нет.
    >в линухе: котлеты - отдельно, мухи - отдельно. если нужно убрать/поправить шейпер
    >траффика - пжалста. фаерволл же остаетсо при этом нетронутым.
    >и наоборот.


    gygygy. _Nick_, ty na svoi-to shapery posmotri. Tam vse tak nameshano, chto dazhe kommentirovat' ne hochetsya. Takoe oshushenie, chto tvoi muhi/kotlety melko nashinkovali, potom zapihnuli v myasorubku, a potom eshe i na terke propustili - tak chto vot ne nado vot. Ty b prezhde chem kidat'sya, u sebya b v hozyajstve poryadok navel (ya ponimayu, chto tam ne tol'ko ty ruki prilozhil, no vse odno).

    Da, mozhno cherez tc tol'ko managit' bw (obrashajsya za primerom - cherez htb - no vot tol'ko chitabel'nymi nazvat' output tc tyazhelo), mozhno, no pochemu-to vse vidennye mnoyu do etogo linux-based shapery s managementom queues/etc razmerom bol'she 10ka pravil lepilis' v takyu zhutkuyu svyzaku s tc/ip/iptables markup, chto mne kak-to maloponyatny shutki pro kostyli (nu, mozhet adminy krivorukie - im tak udobnee s etim iproute2 - a mozhet, arhitektura predpolagaet takie svyazki).

    A chto do udobstva eshe - vot vam pozhalujsta - umel'tzy, kotorye smogut otflushit' tablitzy rulesov cherez ip CLI - v studiyu. Ya videl uzhe chetyre skripta (dva ili tri - v mailliste netfiltera), kazhdyj iz kotoryh flushit chast' - no ni odin polnost'yu.

     

  • 1.17, cryptoson (?), 14:37, 19/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Думаю что до такого функционала какой в линуксе дает стандартная связка iptables + iproute pf да и вообще любому *nix-овому фаерволу далеко.
    Помню как пытался на фришном роутере два 2-хмегабитных канала с множеством правил настроить -- ужжас, 2 defaultrout-а ipfw без извратов не умеет, да и пакеты теряет если настроить через fwd.
    Пришлость перетащить на линукс, в нем все проерасно настроил и заработало.
     
     
  • 2.18, Lenin (??), 20:02, 19/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Помню как пытался на фришном роутере два 2-хмегабитных канала с множеством правил настроить -- ужжас

    И где ужас?? Хоть 2 сотни - никаких проблем. У меня реально всего 8 правил(!) для задания типа ограничения + 8 правил на то, что должно подпадать под ограничения, для того чтобы нарезать 8 вида ограничений (в моем случае 4 разные одинаковые в обе стороны полосы пропускания)

    >2 defaultrout-а ipfw без извратов не умеет

    Пояни что имел вв виду. default на то и default чтобы быть одним. Условная маршрутизация настраивается тоже без проблем.

    P.S.  Сдается мне ты ни статью эту не читал, ни доки на файры не смотрел (уж точно не до конца)

     
     
  • 3.19, Lenin (??), 20:13, 19/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    P.P.S. 4 категории симетричных полос пропускания, т.е. в моем случае каждому  IP ставится своя полоса, т.е. Реальных "трубочек"  на порядок больше где-то около 500 шт. И все это 16 правилами в ipfw ;-)
     
  • 3.20, cryptoson (?), 21:30, 19/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Так проблема то не в сложности настройки и количестве правил, а в том как все это настроенное работает. ipfw + pipes на юзеров и разделением трафика на ua-ix и мир с помощью  таблиц куда забит аггрегированный список сетей  с динамической маршутизацией при трафике в 4 мегабита теряет пакеты на celeron 450 мгц. Гуглением нашел выход -- советовалось пересобрать ядро с увеличенной частотой опроса чего-то там. Но в каком-то хауту прочел что ipfw не выдерживает трафик в 10мегабит и решил что лучше все-таки все перенастроить на линуксе где все это решается без проблем с производительностью и масштабированием. Кстати статью я прочел и документацию тоже почитываю, только вот не всегда гладко по бумажке можно и настроить, такие глюки во фре бывают, лучше уж линукс использовать - его больше народу тестит и область применения у него шире.
     
     
  • 4.21, неаноним (?), 05:23, 20/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >при трафике в 4 мегабита теряет пакеты на celeron 450 мгц

    >в каком-то хауту прочел что ipfw не выдерживает трафик в 10мегабит

    Давно такой ахинеи не читал

     
     
  • 5.37, Dyr (??), 21:24, 12/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>при трафике в 4 мегабита теряет пакеты на celeron 450 мгц
    >
    >>в каком-то хауту прочел что ipfw не выдерживает трафик в 10мегабит
    >
    >Давно такой ахинеи не читал
    +1.
    А в ядре он, очевидно, не догадался включить DEVICE_POLLING
     
  • 4.22, Lenin (??), 08:29, 20/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Если Вы смогли настроить что-то на системе А, но у Вас не получилось на системе Б, это не значит, что это на системе Б не возможно. Про пайпы и очереди надо было почитать по подробней.
    Если через водопроводную трубу в 4 литра в сек попробовать прокачать 5, то пролезет только 4, а остальное будет хлестать в обратку.
     
     
  • 5.23, _Nick_ (??), 08:49, 20/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Если Вы смогли настроить что-то на системе А, но у Вас не
    >получилось на системе Б, это не значит, что это на системе
    >Б не возможно. Про пайпы и очереди надо было почитать по
    >подробней.
    >Если через водопроводную трубу в 4 литра в сек попробовать прокачать 5,
    >то пролезет только 4, а остальное будет хлестать в обратку.

    ваша теория либо доказывает, что ipfw - содержит ограничение в 4 л/с.
    Либо если "это все сервер тормозит" - то это его Линух так разгоняет,
    роутер успевает все отработать? :)

     
     
  • 6.24, Lenin (??), 10:08, 20/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Я хотел сказать, что если чел настроил 4 Мбит/с то больше роутер не прокачает и будут потери, если пытаться засунуть более не снижая скорости и cel 450 для 4 Мбит/с хватает под любой ОСкой. Сильно сомневаюсь, что именно Фряхи + ipfw человеку не хватало, и что именно Линь решил его проблемы. Здается, что под Линь он настроил "правильней", что не означает, что ipfw плох. Кстати, для фряхи есть еще pf с altq.
    "Линух разгоняет" - это прям "Pentium 3 ускоряющий Интернет". ;-)
     
     
  • 7.25, _Nick_ (??), 10:10, 20/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >"Линух разгоняет" - это прям "Pentium 3 ускоряющий Интернет". ;-)

    чисто выводы по Вашим словам ;)

     
  • 5.32, Free (??), 22:59, 21/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Если Вы смогли настроить что-то на системе А, но у Вас не
    >получилось на системе Б, это не значит, что это на системе
    >Б не возможно. Про пайпы и очереди надо было почитать по
    >подробней.
    >Если через водопроводную трубу в 4 литра в сек попробовать прокачать 5,
    >то пролезет только 4, а остальное будет хлестать в обратку.

    Труба 4 литра в секунду - это круто!!! Это высокоинтеллектуальная труба!

     
  • 4.27, unplaced (?), 15:55, 20/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Так проблема то не в сложности настройки и количестве правил, а в
    >том как все это настроенное работает. ipfw + pipes на юзеров
    >и разделением трафика на ua-ix и мир с помощью  таблиц
    >куда забит аггрегированный список сетей  с динамической маршутизацией при трафике
    >в 4 мегабита теряет пакеты на celeron 450 мгц. Гуглением нашел
    >выход -- советовалось пересобрать ядро с увеличенной частотой опроса чего-то там.


    Хм. На 90% уверен что "пересобрать ядро с увеличенной частотой опроса чего-там" это значило собрать ядро с options HZ=1000, что указано даже в man dummynet как Strongly recommended. Похоже все возвращается к непрочитанной документации :)

    Вообще сликшмо много "в каком-то хауту", "чего-то там" -- никакой конкретики.

     

  • 1.26, cryptoson (?), 15:49, 20/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Информацию о производительности ipfw я взял из хэндбука, раздел "Накладные расходы и оптимизация IPFW". Хотя там на 486-м тестировали. Настраивал все по документации с опеннета. Все равно получил сильные задержки и потери пакетов. С линуксом сразу запахало. Ну что же, будем фришку еще пытать, раз должно работать.
     
  • 1.29, cryptoson (?), 20:41, 20/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Действительно скорость работы ipfw тут вроде не причем, потеря пакетов связана скорее всего с нерабочим fwd https://www.opennet.ru/openforum/vsluhforumID1/50946.html#3
     
     
  • 2.30, Sem (??), 16:55, 21/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Думаю, что не знание предмета тут на лицо. Потеря покетов тут не причем.
     
  • 2.31, Sem (??), 16:57, 21/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Да, и "нерабочесть" fwd опять же связана с не прочтением документации и не отслеживанием списков рассылок, что бы быть в курсе, что же там изменилось.
     

  • 1.33, OnlySlon (??), 13:07, 22/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    К слову о 4х мегабитах, прокачиваем через Linux QoS более 100 мегабит инета. Жужжит. и загрузка проца 3-4 процента(p4-2Ghz). аптайм к году стремится.
     
     
  • 2.35, hvv (?), 12:50, 27/08/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >К слову о 4х мегабитах, прокачиваем через Linux QoS более 100 мегабит
    >инета. Жужжит. и загрузка проца 3-4 процента(p4-2Ghz). аптайм к году стремится.
    >

    Да не вопрос, сотней мегабит нынче никого не удивишь. Я, правда после перехода на гигабит, на фре отказался от шейпера (сначала был ipfw + altq, а потом pf портировали), но тут ситуация другая - с винтов отдаётся до 300+ мбит/с и машинке и так не очень хорошо, на I/O много уходит с таким железом (p4-2G + ata/sata побрякушки). Попробовать, что ли, шейпер включить и порезать кого-нибудь для интереса..

     

  • 1.36, bakake (?), 12:00, 29/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, на втором уровне pf (фрюшный порт) работать не умеет. Надо было как то по MAC'ам  отфильровать, в итоге пришлось на ipfw пересобирать систему.
     
     
  • 2.38, brag (ok), 19:44, 28/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Че вы ругаетесь то?
    pf отличный firewall,сам пересел с ipfw..главное,что не тормозит. А вот ipfw+natd у меня тормозил,что проц хавал,что время отклика сильно увеличивалось.
    К ста о гиговых сетках.. Кому-то удалось на FreeBSD получить хотябы 500-600мбит?
    у меня даже по lo0 всего 200мбит
     
     
  • 3.39, Dyr (??), 20:22, 28/05/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Че вы ругаетесь то?
    >pf отличный firewall,сам пересел с ipfw..главное,что не тормозит. А вот ipfw+natd у
    >меня тормозил,что проц хавал,что время отклика сильно увеличивалось.
    >К ста о гиговых сетках.. Кому-то удалось на FreeBSD получить хотябы 500-600мбит?
    >
    >у меня даже по lo0 всего 200мбит
    У меня на FreeBSD 6.2 500 Мбит было (больше просто канал не позволил). Правда, и загрузка проца была ого-го, причём самое интересно - включенный polling уменьшал нагрузку в разы, однако дропал пакеты напропалую, оставалось буквально 200Мбит.
    Мать какая-то Asus, сетевухи bge, P4 3,3GHz.
     
     
  • 4.40, RootOfEvil (?), 20:31, 02/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Получалось вытянуть 959 Мбит.

    >pciconf -lv

        vendor     = 'Intel Corporation'
        device     = '82546EB Dual Port Gigabit Ethernet Controller'

    >uname -sr

    FreeBSD 6.3-PRERELEASE

    >sysctl hw.model

    hw.model: AMD Athlon(tm) 64 Processor 3000+

    Поллинг выключен.
    Фаэрвол ipfw (2240 правил)

     
     
  • 5.41, NIck (?), 22:37, 02/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Фаэрвол ipfw (2240 правил)

    и первое правило гласит:
    allow all from any to any

    %)

    (шутко)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру