| |
| 2.18, Andrew Kolchoogin (?), 08:47, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
Class-based queueing для "тупого" CBWFQ, Hierarchical Fair Service Curve для сервисов, требующих гарантированного времени прохода пакета.
HFSC настраивается немного сложновато, но на асимметричных каналах работает лучше классически применяемого для аналогичных целей HTB (на симметричных каналах обе дисциплины работают примерно одинаково хороошо).
| | |
|
| 1.2, belkin (?), 15:49, 24/04/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Как и прежде - ни одной приктически полезной дисциплины. При сравнении pf, ipf и ipfw можно понять, что только в FreeBSD, что характерно, в родном ipfw это сделано для реального использования а не для "галочки". | | |
| |
| 2.10, Dyr (??), 22:20, 24/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
 +1.
Где, блин, аналог dummynet'овских раздаваний отдельных очередей на каждый ip одной маской?
Будет ли destination NAT для пула адресов? | | |
| |
| 3.16, Andrew Kolchoogin (?), 08:44, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
> Будет ли destination NAT для пула адресов?
Э-э-э-э-э?
Это как?
А что, его не было когда-то?
===
bitmask
The bitmask option applies the network portion of the redirection
address to the address to be modified (source with nat, destination
with rdr).
===
pf.conf(5) не читан? | | |
|
|
| 1.5, WAG (?), 20:52, 24/04/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Единственные плюсы PF -работа с таблицами адресов и удобный NAT.
Но для регулировки скорости -IPFW.
Так что пока два фаерволла оставляем :(
А хотелось бы один! | | |
| |
| |
| 3.20, Andrew Kolchoogin (?), 08:51, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
Оно уже научилось делать rate limit control со складываением оверлоадящих хостов в таблицу, доступную для манипуляции извне (из userland'а)?
| | |
| |
| 4.22, Дохтур (?), 09:10, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
 А практическое применение этому можно?
Гораздо болеее интересна ситуация, когда у нас есть сеть /22, которая разбита на 4 сетки по /24. Каждому хосту в 1й /24 надо дать 256кбит/с, каждому во 2й - 512кбит/с, каждому в 3й - 1мбит/с, а 4й отдать остатки.
| | |
| |
| 5.25, Andrew Kolchoogin (?), 09:23, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
> А практическое применение этому можно?
Ну, хотя бы вот такое, хрестоматийное (взято, кстати, по наводке с OpenNet.ru):
===
table <ssh-bruteforce> persist
pass all
block drop in quick on $if_195 from <ssh-bruteforce> probability 65%
block drop in quick on $if_62 from <ssh-bruteforce> probability 65%
pass in quick on $if_195 inet proto tcp from any to $if_195_ip port ssh flags S/SFRA keep state \
(max-src-conn 5, max-src-conn-rate 3/60, overload <ssh-bruteforce> flush global)
pass in quick on $if_62 inet proto tcp from any to $if_62_ip port ssh flags S/SFRA keep state \
(max-src-conn 5, max-src-conn-rate 3/60, overload <ssh-bruteforce> flush global)
===
Можно не обязательно block drop, можно, там, шейперу скормить, или ещё что-нибудь...
> Гораздо болеее интересна ситуация, когда у нас есть сеть /22, которая разбита на 4 сетки > по /24. Каждому хосту в 1й /24 надо дать 256кбит/с, каждому во 2й - 512кбит/с, каждому в > 3й - 1мбит/с, а 4й отдать остатки.
CBQ вполне с этим справляется. Делается суперкласс на пропускную способность апстрима, классы на каждую из трёх сетей с фиксированной bandwidth и borrow от суперкласса, и четвёртый класс на четвёртую сеть просто с borrow из суперкласса. | | |
| |
| 6.28, Дохтур (?), 09:51, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– | |
Ну так это... есть модуль recent в iptables. Содержимое его таблиц доступно через /proc, так что каких-либо проблем не вижу.
>CBQ вполне с этим справляется. Делается суперкласс на пропускную способность апстрима, >классы на каждую из трёх сетей с фиксированной bandwidth и borrow от суперкласса
ага-ага. И как у вас полоса поделится внутри одного класса? Какпопало? Всемпоровну?
| | |
| |
| 7.32, Andrew Kolchoogin (?), 10:29, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
> Ну так это... есть модуль recent в iptables. Содержимое его таблиц доступно через /proc, так что каких-либо проблем не вижу.
А поменять их тоже можно через /proc?
> ага-ага. И как у вас полоса поделится внутри одного класса? Какпопало? Всемпоровну?
Per flow. | | |
| |
| |
| |
| |
| |
| 12.56, гомег (?), 22:47, 27/04/2007 [^] [^^] [^^^] [ответить] | +/– | Тоже интересно стало про жопу, работаю с этой связкой уже долгое время и не разу... текст свёрнут, показать | | |
| |
| |
| 14.58, Dyr (??), 09:01, 28/04/2007 [^] [^^] [^^^] [ответить] | +/– | У нас ipfw, но сути это менять не должно PPTP самый обычный маршрутизируемый пр... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
|
|
| |
| 3.31, michelle (??), 10:10, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– | |
Угум!
Таблицы адресов есть, а ты можешь в одну таблицу вогнать очень много адресов???
Насколько я помню, длина строки там (ipfw) не более чем 255 символов!
| | |
|
|
| 1.7, dem (?), 21:32, 24/04/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
to belkin & co
Все что написал - бред сивой кобылы или не пробовал HFSC. | | |
| |
| |
| 3.27, Andrew Kolchoogin (?), 09:26, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– | |
А у keep-state есть лимит на количество динамических правил. Во _всех_ firewall'ах. И что теперь, пойти топиться в ближайшей луже? | | |
| |
| 4.29, Дохтур (?), 09:54, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– | |
>А у keep-state есть лимит на количество динамических правил. Во _всех_ firewall'ах. И что теперь, пойти топиться в ближайшей луже?
Ну в netfilter количество стейтов ограничено лишь количеством доступной памяти.
А число очередей в hfsc by default 64шт(и их количество hardcoded)
| | |
| |
| 5.33, Andrew Kolchoogin (?), 10:32, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
Ах, вот ты про что. Тогда не очередей, а классов, это разные вещи.
Ну, поправь константу HFSC_MAX_CLASSES в altq_hfsc.h, и пересобери ядро, делов-то. | | |
| |
| 6.40, Дохтур (?), 11:19, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
>Ну, поправь константу HFSC_MAX_CLASSES в altq_hfsc.h, и пересобери ядро, делов-то.
Это то да. А чего по дефолту столь маленькое значение? | | |
| |
| 7.41, Andrew Kolchoogin (?), 11:44, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
>> Ну, поправь константу HFSC_MAX_CLASSES в altq_hfsc.h, и пересобери ядро, делов-то.
> Это то да. А чего по дефолту столь маленькое значение?
А зачем больше-то?
Я так понимаю, это всё идёт ещё от оригинального ALTQ им. Sony Computing Laboratory, видимо, японцам так показалось адекватным. ;)
| | |
|
|
|
|
|
|
| 1.9, BB (??), 21:57, 24/04/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Судя по всему господа не видели реализации pf опене, так как во фре он кастрированный.Так что советую изначально внимательно прочитать заголовок новости, а потом уже нести свой "свободный поток сознания" :Е | | |
| |
| 2.13, Аноним (-), 06:45, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– | |
+1 freebsd'ишки пальцы веером и вперед. Прям атака клоунов, блин.:) Как еще linux и iptables при этом не задели. | | |
| |
| 3.21, Andrew Kolchoogin (?), 08:54, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– | |
А что, в OpenBSD уже спортировали NetGraph?-)
Нет?
То есть, mpd работать не будет? Мне не удастся лишить себя на OpenBSD'шном PPTP- (PPPoE-)концентраторе счастья видеть мульён запущеных ppoed/pptpd/pppd? | | |
| |
| 4.50, BB (??), 21:18, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– | |
А зачем оно ? :)Вернее спросим по другому, какие задачи можно решить исключительно с помощью netgraph и которые имеют непосредственное отношение к функциям fw ? | | |
| |
| 5.53, belkin (?), 10:45, 26/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
>А зачем оно ? :)Вернее спросим по другому, какие задачи можно решить
>исключительно с помощью netgraph и которые имеют непосредственное отношение к функциям
>fw ?
Потому что сказали о Linux с iptables вместо FreeBSD с PF. А мы ответили, что у Linux'a нет аналога MPD, а его главное непобедимое пока преимущество основано на применении ng.
| | |
|
|
|
| 2.19, Andrew Kolchoogin (?), 08:50, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
Э-э-э? И чем же он кастрированный? Конечно, multiple kernel forwarding tables во FreeBSD нет (пока?), тут я не спорю, ну а так -- реализация практически идентична.
Хотя, бесспорно, в OpenBSD все новшества появляются быстрее, PF под Опёнком разрабатывается. | | |
|
| |
| 2.24, Дохтур (?), 09:14, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
всяким поклоняющимся место в храме/у идола.
Личные предпочтения не должны играть роли при выборе рабочего инструмента. | | |
| |
| 3.26, Andrew Kolchoogin (?), 09:24, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– | |
-1
Самая короткая дорога -- та, которую лучше всего знает водитель.
Самый лучший инструмент -- тот, которым лучше всего владеет тот, кого заставляют работать. | | |
| |
| 4.54, TrecK (?), 17:34, 26/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
 +1
абсолютно точно
>-1
>
>Самая короткая дорога -- та, которую лучше всего знает водитель.
>Самый лучший инструмент -- тот, которым лучше всего владеет тот, кого заставляют
>работать.
| | |
|
|
|
| |
| 2.35, Andrew Kolchoogin (?), 10:34, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
Да? Его уже попатчили на предмет неработы нескольких таблиц роутинга на ATM-интерфейсах?-)
Люблю слово "рулит" для подсистем, в которых с каждой новой версией ядра что-то новое ломают. ;) | | |
| |
| 3.44, Дохтур (?), 12:06, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– | |
>Да? Его уже попатчили на предмет неработы нескольких таблиц роутинга на ATM-интерфейсах?-)
позвольте спросить, а где ж вам пришлось с этим столкнуться?
| | |
| |
| 4.48, Andrew Kolchoogin (?), 13:26, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– |
>> Да? Его уже попатчили на предмет неработы нескольких таблиц роутинга на
>> ATM-интерфейсах?-)
> позвольте спросить, а где ж вам пришлось с этим столкнуться?
Буквально на предыдущем месте работы. | | |
|
|
| 2.51, BB (??), 21:22, 25/04/2007 [^] [^^] [^^^] [ответить]
| +/– | |
согласен с предыдущим оратором, все прелесть pf (да и остальных базовых систем) в составе OpenBSD это его неразрывная жесткая связь с ядром системы. Так сказать некая защита от человеческого фактора. Чем такое решение и подкупает :) | | |
|
|
