Rusty Russel - один из основных участников проекта netfilter, кратко описал (http://ozlabs.org/~rusty/index.cgi/tech/2006-08-15.html) свои впечатления от пакетного фильтра pf, разработанного в рамках проекта OpenBSD.URL: http://ozlabs.org/~rusty/index.cgi/tech/2006-08-15.html
Новость: http://www.opennet.me/opennews/art.shtml?num=8133
Заголовок новости звучит как "Создатели Запорожца узнали, что у всех машин двигатель находится спереди"зы: ничего не имею проитв. всю жизнь пользуюсь iptables, просто настроение веселое :)
У хороших спортивных машин, кстати, двигатель сзади. :)
Среднее расположение еще лучше :-)
Это тот, что с педалями...
Так он ещё и двухколесный, или четырёх, ещё два маленьких чтоб не падал?
Вообщем-то и в файрволах разница такая же как и по всей системе - BSD сделан в основном красивее, где-то элегантнее, где-то удобнее, зато у Линукса больше возможностей.
>Вообщем-то и в файрволах разница такая же как и по всей системе - BSD сделан
>в основном красивее, где-то элегантнее, где-то удобнее, зато у Линукса больше возможностей.Но некоторые полезне фичи, как всегда, отсутсвуют:
"There's one place where pf would make Linux users green with envy, it's rate limiting and queueing"
нафига козе бАян, када у нее гармонь есть?
Линуховый QoS - лучше всяких трубочек.
те кто пытается на них строить
рабочую систему - получает полный П в фаерволе и далекое подобие человеческой работы
>>Вообщем-то и в файрволах разница такая же как и по всей системе - BSD сделан
>>в основном красивее, где-то элегантнее, где-то удобнее, зато у Линукса больше возможностей.
>
>Но некоторые полезне фичи, как всегда, отсутсвуют:
>
>"There's one place where pf would make Linux users green with envy,
>it's rate limiting and queueing"
А еще iptables и какой-нить QoS умещаются в железках типа ADSL модемов и soho router-ов и это еще и работает даже.В девайсах с пару сигаретных пачек размером.А bsd где?Гусары, молчать!
ну и наскока востребованы большинством админов эти фичи?
на 2% ?
МяФ!:) снова холи вар балбесов... едите iptables и едите дальше, мне нравиться pf, но он нарвиться мне, а rate limit и queue любой пров пользует который использует pf на рутере... тока не кречим про киски...;)
Вах, вах, вах .... да тут не Opennet, тут сборище провайдеров...
(я конечно понимаю, тут каждый админ в душе инженер сети городского или регионального провайдера)
Тот, кто активно использует именно Опенка на рутере, тот уж точно использует богатейшие возможности управления трафиком в pf. Те, кто говорит, что такая функциональность не нужна просто никогда ничего серьезного и/или по-серьезному не настраивали. Pf - прекрасный пример хорошего продукта.
я что-то проспал и дисциплины в линусе отменили ?
Ниче ты не пропустилпросто Создатели iptables нашли костыль в pf и были рады отметить, что в iptables такого нет.
в линухе: котлеты - отдельно, мухи - отдельно. если нужно убрать/поправить шейпер траффика - пжалста. фаерволл же остаетсо при этом нетронутым.
и наоборот.
>Ниче ты не пропустил
>
>просто Создатели iptables нашли костыль в pf и были рады отметить, что
>в iptables такого нет.
>в линухе: котлеты - отдельно, мухи - отдельно. если нужно убрать/поправить шейпер
>траффика - пжалста. фаерволл же остаетсо при этом нетронутым.
>и наоборот.
gygygy. _Nick_, ty na svoi-to shapery posmotri. Tam vse tak nameshano, chto dazhe kommentirovat' ne hochetsya. Takoe oshushenie, chto tvoi muhi/kotlety melko nashinkovali, potom zapihnuli v myasorubku, a potom eshe i na terke propustili - tak chto vot ne nado vot. Ty b prezhde chem kidat'sya, u sebya b v hozyajstve poryadok navel (ya ponimayu, chto tam ne tol'ko ty ruki prilozhil, no vse odno).Da, mozhno cherez tc tol'ko managit' bw (obrashajsya za primerom - cherez htb - no vot tol'ko chitabel'nymi nazvat' output tc tyazhelo), mozhno, no pochemu-to vse vidennye mnoyu do etogo linux-based shapery s managementom queues/etc razmerom bol'she 10ka pravil lepilis' v takyu zhutkuyu svyzaku s tc/ip/iptables markup, chto mne kak-to maloponyatny shutki pro kostyli (nu, mozhet adminy krivorukie - im tak udobnee s etim iproute2 - a mozhet, arhitektura predpolagaet takie svyazki).
A chto do udobstva eshe - vot vam pozhalujsta - umel'tzy, kotorye smogut otflushit' tablitzy rulesov cherez ip CLI - v studiyu. Ya videl uzhe chetyre skripta (dva ili tri - v mailliste netfiltera), kazhdyj iz kotoryh flushit chast' - no ni odin polnost'yu.
Думаю что до такого функционала какой в линуксе дает стандартная связка iptables + iproute pf да и вообще любому *nix-овому фаерволу далеко.
Помню как пытался на фришном роутере два 2-хмегабитных канала с множеством правил настроить -- ужжас, 2 defaultrout-а ipfw без извратов не умеет, да и пакеты теряет если настроить через fwd.
Пришлость перетащить на линукс, в нем все проерасно настроил и заработало.
>Помню как пытался на фришном роутере два 2-хмегабитных канала с множеством правил настроить -- ужжасИ где ужас?? Хоть 2 сотни - никаких проблем. У меня реально всего 8 правил(!) для задания типа ограничения + 8 правил на то, что должно подпадать под ограничения, для того чтобы нарезать 8 вида ограничений (в моем случае 4 разные одинаковые в обе стороны полосы пропускания)
>2 defaultrout-а ipfw без извратов не умеет
Пояни что имел вв виду. default на то и default чтобы быть одним. Условная маршрутизация настраивается тоже без проблем.
P.S. Сдается мне ты ни статью эту не читал, ни доки на файры не смотрел (уж точно не до конца)
P.P.S. 4 категории симетричных полос пропускания, т.е. в моем случае каждому IP ставится своя полоса, т.е. Реальных "трубочек" на порядок больше где-то около 500 шт. И все это 16 правилами в ipfw ;-)
Так проблема то не в сложности настройки и количестве правил, а в том как все это настроенное работает. ipfw + pipes на юзеров и разделением трафика на ua-ix и мир с помощью таблиц куда забит аггрегированный список сетей с динамической маршутизацией при трафике в 4 мегабита теряет пакеты на celeron 450 мгц. Гуглением нашел выход -- советовалось пересобрать ядро с увеличенной частотой опроса чего-то там. Но в каком-то хауту прочел что ipfw не выдерживает трафик в 10мегабит и решил что лучше все-таки все перенастроить на линуксе где все это решается без проблем с производительностью и масштабированием. Кстати статью я прочел и документацию тоже почитываю, только вот не всегда гладко по бумажке можно и настроить, такие глюки во фре бывают, лучше уж линукс использовать - его больше народу тестит и область применения у него шире.
>при трафике в 4 мегабита теряет пакеты на celeron 450 мгц>в каком-то хауту прочел что ipfw не выдерживает трафик в 10мегабит
Давно такой ахинеи не читал
>>при трафике в 4 мегабита теряет пакеты на celeron 450 мгц
>
>>в каком-то хауту прочел что ipfw не выдерживает трафик в 10мегабит
>
>Давно такой ахинеи не читал
+1.
А в ядре он, очевидно, не догадался включить DEVICE_POLLING
Если Вы смогли настроить что-то на системе А, но у Вас не получилось на системе Б, это не значит, что это на системе Б не возможно. Про пайпы и очереди надо было почитать по подробней.
Если через водопроводную трубу в 4 литра в сек попробовать прокачать 5, то пролезет только 4, а остальное будет хлестать в обратку.
>Если Вы смогли настроить что-то на системе А, но у Вас не
>получилось на системе Б, это не значит, что это на системе
>Б не возможно. Про пайпы и очереди надо было почитать по
>подробней.
>Если через водопроводную трубу в 4 литра в сек попробовать прокачать 5,
>то пролезет только 4, а остальное будет хлестать в обратку.ваша теория либо доказывает, что ipfw - содержит ограничение в 4 л/с.
Либо если "это все сервер тормозит" - то это его Линух так разгоняет,
роутер успевает все отработать? :)
Я хотел сказать, что если чел настроил 4 Мбит/с то больше роутер не прокачает и будут потери, если пытаться засунуть более не снижая скорости и cel 450 для 4 Мбит/с хватает под любой ОСкой. Сильно сомневаюсь, что именно Фряхи + ipfw человеку не хватало, и что именно Линь решил его проблемы. Здается, что под Линь он настроил "правильней", что не означает, что ipfw плох. Кстати, для фряхи есть еще pf с altq.
"Линух разгоняет" - это прям "Pentium 3 ускоряющий Интернет". ;-)
>"Линух разгоняет" - это прям "Pentium 3 ускоряющий Интернет". ;-)чисто выводы по Вашим словам ;)
>Если Вы смогли настроить что-то на системе А, но у Вас не
>получилось на системе Б, это не значит, что это на системе
>Б не возможно. Про пайпы и очереди надо было почитать по
>подробней.
>Если через водопроводную трубу в 4 литра в сек попробовать прокачать 5,
>то пролезет только 4, а остальное будет хлестать в обратку.Труба 4 литра в секунду - это круто!!! Это высокоинтеллектуальная труба!
>Так проблема то не в сложности настройки и количестве правил, а в
>том как все это настроенное работает. ipfw + pipes на юзеров
>и разделением трафика на ua-ix и мир с помощью таблиц
>куда забит аггрегированный список сетей с динамической маршутизацией при трафике
>в 4 мегабита теряет пакеты на celeron 450 мгц. Гуглением нашел
>выход -- советовалось пересобрать ядро с увеличенной частотой опроса чего-то там.
Хм. На 90% уверен что "пересобрать ядро с увеличенной частотой опроса чего-там" это значило собрать ядро с options HZ=1000, что указано даже в man dummynet как Strongly recommended. Похоже все возвращается к непрочитанной документации :)Вообще сликшмо много "в каком-то хауту", "чего-то там" -- никакой конкретики.
Информацию о производительности ipfw я взял из хэндбука, раздел "Накладные расходы и оптимизация IPFW". Хотя там на 486-м тестировали. Настраивал все по документации с опеннета. Все равно получил сильные задержки и потери пакетов. С линуксом сразу запахало. Ну что же, будем фришку еще пытать, раз должно работать.
Действительно скорость работы ipfw тут вроде не причем, потеря пакетов связана скорее всего с нерабочим fwd http://www.opennet.me/openforum/vsluhforumID1/50946.html#3
Думаю, что не знание предмета тут на лицо. Потеря покетов тут не причем.
Да, и "нерабочесть" fwd опять же связана с не прочтением документации и не отслеживанием списков рассылок, что бы быть в курсе, что же там изменилось.
К слову о 4х мегабитах, прокачиваем через Linux QoS более 100 мегабит инета. Жужжит. и загрузка проца 3-4 процента(p4-2Ghz). аптайм к году стремится.
>К слову о 4х мегабитах, прокачиваем через Linux QoS более 100 мегабит
>инета. Жужжит. и загрузка проца 3-4 процента(p4-2Ghz). аптайм к году стремится.
>Да не вопрос, сотней мегабит нынче никого не удивишь. Я, правда после перехода на гигабит, на фре отказался от шейпера (сначала был ipfw + altq, а потом pf портировали), но тут ситуация другая - с винтов отдаётся до 300+ мбит/с и машинке и так не очень хорошо, на I/O много уходит с таким железом (p4-2G + ata/sata побрякушки). Попробовать, что ли, шейпер включить и порезать кого-нибудь для интереса..
Кстати, на втором уровне pf (фрюшный порт) работать не умеет. Надо было как то по MAC'ам отфильровать, в итоге пришлось на ipfw пересобирать систему.
Че вы ругаетесь то?
pf отличный firewall,сам пересел с ipfw..главное,что не тормозит. А вот ipfw+natd у меня тормозил,что проц хавал,что время отклика сильно увеличивалось.
К ста о гиговых сетках.. Кому-то удалось на FreeBSD получить хотябы 500-600мбит?
у меня даже по lo0 всего 200мбит
>Че вы ругаетесь то?
>pf отличный firewall,сам пересел с ipfw..главное,что не тормозит. А вот ipfw+natd у
>меня тормозил,что проц хавал,что время отклика сильно увеличивалось.
>К ста о гиговых сетках.. Кому-то удалось на FreeBSD получить хотябы 500-600мбит?
>
>у меня даже по lo0 всего 200мбит
У меня на FreeBSD 6.2 500 Мбит было (больше просто канал не позволил). Правда, и загрузка проца была ого-го, причём самое интересно - включенный polling уменьшал нагрузку в разы, однако дропал пакеты напропалую, оставалось буквально 200Мбит.
Мать какая-то Asus, сетевухи bge, P4 3,3GHz.
Получалось вытянуть 959 Мбит.>pciconf -lv
vendor = 'Intel Corporation'
device = '82546EB Dual Port Gigabit Ethernet Controller'>uname -sr
FreeBSD 6.3-PRERELEASE
>sysctl hw.model
hw.model: AMD Athlon(tm) 64 Processor 3000+
Поллинг выключен.
Фаэрвол ipfw (2240 правил)
>Фаэрвол ipfw (2240 правил)и первое правило гласит:
allow all from any to any%)
(шутко)