| 1.1, Аноним (-), 22:14, 03/08/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А какие обычно индикаторы доступны системе ? Что-то кроме трех лампочек на клавиатуре в голову ничего не лезет :)
| | |
| |
| 2.7, Frank (??), 22:43, 03/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
 Судя по # ls /sys/class/leds/
rt73usb-phy0::assoc rt73usb-phy0::quality rt73usb-phy0::radio
мигать можно будет индикаторами устройств. Некоторых. Клавой, к сожалению, похоже не помигать :)
| | |
| 2.14, User294 (ok), 23:59, 03/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
 > А какие обычно индикаторы доступны системе ?
От системы зависит. В "SOHO" роутерах например LEDов весьма даже и фич выглядит весьма интересно :)
| | |
|
| 1.2, Dganic (?), 22:15, 03/08/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 А где не кто не встречал какойнибуть ман посвежей для иптаблес чтобы разрулить две сети с пересекающимися диапазонами?
| | |
| 1.5, zkrvova (ok), 22:27, 03/08/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –7 +/– |
 А когда уже исправят глюк при одновременном запуске 2х копий iptables?!
| | |
| |
| 2.20, User294 (ok), 04:35, 04/08/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
А что за глюк? oO И для чего может понадобиться 2 копии айпитаблеса одновременно?
| | |
| |
| 3.21, sashka_ua (?), 05:16, 04/08/2010 [^] [^^] [^^^] [ответить]
| +4 +/– | |
И как вообще может быть две копии iptables если это все ничего интерфейс к ядру?
С.
| | |
| 3.25, zkrvova (ok), 09:43, 04/08/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
>А что за глюк? oO И для чего может понадобиться 2 копии
>айпитаблеса одновременно?
Ну линукс то система многозадачная. Разные скрипты могут отрабатывать одновременно, особенно по крону.
| | |
| |
| 4.30, Michael Shigorin (ok), 11:41, 04/08/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Глюк в разных скриптах исправляется использованием в них инновационной технологии "локинг" -- например, так:
LOCKDIR="/var/lock/myscript"
LOCKFILE="$LOCKDIR/lock"
die() { echo "$0: $*" >&2; exit 1; }
# check lock existence
[ -f "$LOCKFILE" ] && { die "lockfile exists"; }
# exit handler
cleanup() { rm "$LOCKFILE"; }
trap cleanup EXIT SIGINT SIGTERM
# create lockfile
mkdir -pm700 "$LOCKDIR" && touch "$LOCKFILE" || die "failed to create lockfile"
# now the main job
iptables ...
Хорошо, если такой /var/lock живёт на tmpfs и после загрузки чист.
| | |
| |
| 5.56, Mick (??), 12:41, 05/08/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
 На SIGKILL будут проблемы.
откройте для себя flock:
#!/bin/bash
###
#
# Wrapper script for ensured running of argument only at only one instance.
#
# Usage:
# runone lockfile script args
#
###
/bin/mkdir -p /var/lock/runone 2>/dev/null
lockfile=/var/lock/runone/${1//\//}
(
if flock -n 200; then
script=$2
shift 2
$script $@
# ... commands executed under lock ...
fi;
) 200>$lockfile
| | |
| |
| 6.61, Michael Shigorin (ok), 14:39, 06/08/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>На SIGKILL будут проблемы.
Ессно.
>откройте для себя flock:
Спасибо -- про flock(1) не знал, только про flock(2).
| | |
|
|
|
|
|
| 1.6, Frank (??), 22:39, 03/08/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.
Мегарулез!! :))
| | |
| |
| 2.8, name (??), 23:09, 03/08/2010 [^] [^^] [^^^] [ответить]
| +5 +/– |
На Новому Году подключить гирлянду и настроить мигание определянных ламночек на различные протоколы.
| | |
|
| 1.9, Антон Касимов (?), 23:28, 03/08/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 >> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.
Еще одна очень полезная фича по пути к лучшему Файрволу. Линукс лучше всех. Правильной дорогой идут товарищи
| | |
| |
| |
| Часть нити удалена модератором |
| 3.18, User294 (ok), 04:32, 04/08/2010 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> бесполезная фича с индикаторами
Т.е. например индикация потенциально интересных админу срабатываний правил LEDами перед самым его носом - бесполезно? Может тогда и в логи писать ничего не стоит, раз уж привлекать внимание админа к потенциально интересным ему ситуациям индикаторами неправильно? :)
| | |
| |
| 4.22, VolanD (ok), 05:53, 04/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
 >> бесполезная фича с индикаторами
>
>Т.е. например индикация потенциально интересных админу срабатываний правил LEDами перед самым его
>носом - бесполезно? Может тогда и в логи писать ничего не
>стоит, раз уж привлекать внимание админа к потенциально интересным ему ситуациям
>индикаторами неправильно? :)
Дык,этим не должен заниматься файрволл!! Короч, Билл одобряет эту новую фичу...
| | |
| |
| 5.31, Michael Shigorin (ok), 11:44, 04/08/2010 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>Дык,этим не должен заниматься файрволл!!
А кто -- Александр Сергеич, что ли? Или специально обученная разбиралка лога, написанного графом Толстым по мотивам беседы с файрволом? :)
PS: вообще-то я умею и складывать логи, и выделять из них нужное, и подкрашивать, шоб внимание привлекало по возможности как раз оно. Только вот если при перегреве на морде жалезки будет красная лямпочка моргать -- порой бывает полезней всех сенсоров сразу, если к ним отдельный человек не приставлен через сколь угодно умный и удобный интерфейс.
| | |
| |
| 6.32, filosofem (ok), 12:14, 04/08/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Только вот если при перегреве на морде жалезки будет красная лямпочка моргать -- порой бывает полезней всех сенсоров сразу
Давно iptables появилась функция измерения температуры, я это знаменательное событие похоже пропустил?
| | |
| |
| 7.34, User294 (ok), 12:35, 04/08/2010 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>Давно iptables появилась функция измерения температуры, я это знаменательное событие похоже пропустил?
А почему файрвол должен заниматься измерением температуры? Вот если он скажем замерит SYN пакеты и засветит лампочку "атака!" при SYN-флуде - это вполне себе недурно вроде.
| | |
| 7.62, Michael Shigorin (ok), 14:41, 06/08/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Только вот если при перегреве на морде жалезки будет красная лямпочка моргать
>Давно iptables появилась функция измерения температуры
Не замечал, этим обычно занимаются аппаратные сенсоры с lm_sensors или ipmitool сверху. Я о том, что _доставка_ событий до человека бывает разная, и что характерно -- "сапог в бою надёжней".
| | |
|
| 6.37, VolanD (ok), 13:03, 04/08/2010 [^] [^^] [^^^] [ответить]
| –6 +/– |
>[оверквотинг удален]
>
>А кто -- Александр Сергеич, что ли? Или специально обученная разбиралка
>лога, написанного графом Толстым по мотивам беседы с файрволом? :)
>
>PS: вообще-то я умею и складывать логи, и выделять из них нужное,
>и подкрашивать, шоб внимание привлекало по возможности как раз оно.
>Только вот если при перегреве на морде жалезки будет красная лямпочка
>моргать -- порой бывает полезней всех сенсоров сразу, если к ним
>отдельный человек не приставлен через сколь угодно умный и удобный интерфейс.
>
Ну дык давайте понапихаем туда еще чего-нить полезного. Пусть, например, смски шлет через смсгейт или бибикает спикером, потом еще пусть температуру камня мерит и еще куча всег... в конце концов назовем все это дело Windows Vista и будет крута!
| | |
| |
| 7.63, Michael Shigorin (ok), 14:43, 06/08/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Ну дык давайте понапихаем туда еще чего-нить полезного.
Понапихайте. Примут -- продолжим разговор.
PS: дяденьки, если что -- о том, как выглядят несколько тысяч хостов, я знаю. Но и как один -- тоже. :)
| | |
|
|
| 5.33, User294 (ok), 12:30, 04/08/2010 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>Дык,этим не должен заниматься файрволл!!
Откуда это следует? И кто вместо него? И почему именно он?
> Короч, Билл одобряет эту новую фичу...
Билл это который? Тот, у которого его "advanced" файрвол в серверной операционке не умеет даже диапазон портов открывать? :)
| | |
| |
| 6.38, VolanD (ok), 13:04, 04/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
>>Дык,этим не должен заниматься файрволл!!
>
>Откуда это следует? И кто вместо него? И почему именно он?
>
>> Короч, Билл одобряет эту новую фичу...
>
>Билл это который? Тот, у которого его "advanced" файрвол в серверной операционке
>не умеет даже диапазон портов открывать? :)
А у Вас на сервере ось от Билла? О_о
| | |
| |
| 7.57, User294 (ok), 15:23, 05/08/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>А у Вас на сервере ось от Билла? О_о
На *моих* серверах к счастью живут куда более подходящие для серверов оси. А вот на чужих я с этим чудом природы встречался. Сильно удивился когда понял что в конструкции обозванной продвинутым файрволом ... нельзя настроить диапазон портов. Странные у некоторых понятия "advanced firewall-ов". Это примерно как назвать "копейку" новой продвинутой машиной при том что рядом ехидно припарковался персональный ракетоплан.
| | |
|
|
|
|
|
|
| 1.12, Аноним (-), 23:49, 03/08/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Ну по суте же эта фича позволяет в реал тайме смотреть за процессом, она конечно не супер полезная, но удобная ....
| | |
| 1.23, Gwynn (?), 08:38, 04/08/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Индикаторы то фигня, хотя для железячных роутеров и всяких встраиваемых решений как мне кажется очень удобно будет.
А вот копирование трафика, это имхо мегарулез.
| | |
| 1.24, Аноним (-), 09:29, 04/08/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> копирование всего входящего через eth0 трафика и отправку его копии на хост 192.168.0.2 (хост-получатель должен находиться в одном сегменте сети с нашим хостом)
хост-получатель должен находиться в одном сегменте сети с нашим хостом - эту нелепую ошибку можно исправить? Как?
| | |
| |
| 2.27, онаним (?), 09:55, 04/08/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
подозреваю, что для зеркалирования _Ethernet_ трафика мониторящий хост должен таки быть в одном сегменте сети с данным хостом.
| | |
| |
| 3.29, Alekz (?), 11:15, 04/08/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
Есть мнение(с), что подразумевается зеркалирование ip-трафика. Тогда да, возможно зеркалированный трафик маршрутизировать только на level-2 (Ethernet).
| | |
| |
| 4.39, VolanD (ok), 13:07, 04/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Есть мнение(с), что подразумевается зеркалирование ip-трафика. Тогда да, возможно зеркалированный трафик маршрутизировать
>только на level-2 (Ethernet).
А почему так?
| | |
| |
| 5.41, ig0r (??), 13:30, 04/08/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
потому что в таком случае не подразумевается изменения ip-заголовков пакетов
| | |
| |
| 6.44, VolanD (ok), 18:40, 04/08/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>потому что в таком случае не подразумевается изменения ip-заголовков пакетов
Вы не подумайте, что я спорю с Вами, мне просто интересно. Как не меняется, а как тогда процесс зеркалирования происходит?
| | |
| |
| 7.47, аноним (?), 19:08, 04/08/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Как не меняется,
А вот так. Не меняется, и все тут.
>а как тогда процесс зеркалирования происходит?
Через хак. Грубо говоря, у копии подменяется mac-адрес хоста назначения.
| | |
| 7.48, ig0r (??), 19:14, 04/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
если коротко - в пределах локальной сети не имеет значения что записано в ip-заголовках, пакеты передаются на основании mac-заголовков, подробнее - Вам нужно почитать об уровнях модели OSI, в данном случае достаточно о первых трёх.
| | |
| |
| |
| 9.50, аноним (?), 22:01, 04/08/2010 [^] [^^] [^^^] [ответить] | +/– | Тогда вся затея теряет смысл Вместо точной копии трафика получается какая-то фи... текст свёрнут, показать | | |
| |
| |
| 11.52, ig0r (??), 09:37, 05/08/2010 [^] [^^] [^^^] [ответить] | +/– | а толку что содержимое не изменилось если вы не знаете кому предназначен пакет ... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
| 2.45, аноним (?), 19:04, 04/08/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>хост-получатель должен находиться в одном сегменте сети с нашим хостом - эту нелепую ошибку можно исправить?
Это не нелепая ошибка, а необходимое ограничение (точно так же, как и необходимость извращаться с локальным роутингом при TPROXY-проксировании).
Копия трафика обладает всеми свойствами оригинала, в том числе и теми же адресами назначения в заголовках пакетов. Следовательно, она должна маршрутизироваться точно так же, как и оригинал. И смысл тогда копировать?
Все, что здесь можно сделать - хакнуть маршрутизацию у себя, и отправить копию на другой шлюз. Все остальное - уже его забота.
| | |
|
| 1.35, Аноним (-), 12:38, 04/08/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
На удивление сдержанно к коментариям ведут себя владельцы BSD систем по поводу фичи моргания LEDами ;)
| | |
| |
| 2.46, аноним (?), 19:05, 04/08/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
>На удивление сдержанно к коментариям ведут себя владельцы BSD систем по поводу
>фичи моргания LEDами ;)
Ждем netgraph-модулей и divert-прог с аналогичной функциональностью =)
| | |
| |
| 3.58, User294 (ok), 15:25, 05/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
Но есть одна мелкая фигня. Придется всего-то сначала портировать бздю на девайсы где на передней панели есть леды. В общем лет через 10 заходите, посмотрим что изменится.
| | |
| |
| 4.64, Michael Shigorin (ok), 14:47, 06/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Придется всего-то сначала портировать бздю на девайсы
>где на передней панели есть леды
Повторюсь справедливости ради -- AFAIK в Draytek живёт опёнок.
| | |
| |
| 5.66, User294 (ok), 05:23, 09/08/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Повторюсь справедливости ради -- AFAIK в Draytek живёт опёнок.
Если честно - я о такой фирме впервые слышу. Есть пруфлинк на описание что там в кишках? Мне достаточно интересно как они там ФС и утилиты по человечески сделали и прочая, бздю для этого надо мощно допиливать. Благо эффективных и удобных вещей типа squashfs опенбздя явно не умеет, да и бизибокс под "неудобной" GPL, etc. Но если это все-таки было сделано - то как обычно для BSDL, поделиться с остальными они забыли и все кто не Draytek - пролетают, да? Ну вот пусть и пролетают. С *BSD. А с линуксом не пролетают вот.
| | |
| |
| 6.68, Michael Shigorin (ok), 15:15, 09/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
>>Повторюсь справедливости ради -- AFAIK в Draytek живёт опёнок.
>Если честно - я о такой фирме впервые слышу.
Железки довольно неплохие.
>Есть пруфлинк на описание что там в кишках?
Не-а, только косвенные. Искал как-то для persgray@ (Pererezus...).
>если это все-таки было сделано - то как обычно для BSDL,
>поделиться с остальными они забыли и все кто не Draytek -
>пролетают, да?
Да, исходников никаких не видел.
| | |
|
|
|
|
|
| |
| 2.43, юзер (??), 18:02, 04/08/2010 [^] [^^] [^^^] [ответить]
| +4 +/– |
скриптик... через скриптик можно и мониторчиком поморгать, а если добавить релюшку, то и светом у соседа)
| | |
|
| 1.54, nitrogear (?), 11:25, 05/08/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Фигня это лед-моргание - толку 0. Никто по-серьезному не будет на это надеяться, иначе нужно сажать специального человека, который бы наблюдал за этими ледами. Сделали бы уже просто выполнение действия --do-something, на которое можно повесить запуск своего скрипта, которым можно хоть леды включать или СД-лоток дергать, которые привязан к горшку на полке ;-)
| | |
| |
| 2.55, makky (?), 12:34, 05/08/2010 [^] [^^] [^^^] [ответить]
| –2 +/– |
Вспомните эпизод в сериале it crowd, когда гота только обнаружила руководитель отдела... Она: а чем вы тут занимаетесь?
Он: я должен следить за лампочками.. Обычно они веду себя нормально.. Вот смотрите: миг-миг.. двойное мигание - это необычно.. В такие моменты я просто отворачиваюсь...
А я, как владелец BSD, в очередной раз понял, что надо сменить мою BSD на 5-6 линуксов, т.к. моя система отстой, логи и оповещения все это устарело и никому теперь не нужно.
| | |
| |
| 3.65, Michael Shigorin (ok), 14:49, 06/08/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>логи и оповещения все это устарело и никому теперь не нужно.
Не плачьте так горько, одно другому не мешает -- даже с домашних wifi-мыльниц некоторые исправно вытаскивают syslog, но и светодиоды не отпаивают. :)
| | |
| 3.67, User294 (ok), 05:25, 09/08/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>логи и оповещения все это устарело и никому теперь не нужно.
Логи и оповещения - это круто. Но посмотреть на LED в 10-сантиметровой коробочки - в десятки раз быстрее чем отрыть в логах то же самое. При том не всегда нужен вербозный отчет, черт возьми.
| | |
|
| 2.60, аноним (?), 17:36, 05/08/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Сделали бы уже просто выполнение действия --do-something, на которое можно повесить запуск своего скрипта, которым можно хоть леды включать или СД-лоток дергать, которые привязан к горшку на полке
Если бы так можно было сделать, давно бы уже сделали.
Проблема в том, что запускать скрипты напрямую из ядра несколько затруднительно.
| | |
| |
| 3.69, gambit (?), 15:39, 09/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
Занимательная функция, при желании можно даже морзянкой данные передавать... пару правил, для длинных и коротких, и соответствующий генератор пакетов на той стороне...
Добавили фитчу, пусть будет, иногда жизнь забавнее самой изощрённой фантазии.
| | |
| 3.70, Гентушник (ok), 22:57, 09/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
 >Проблема в том, что запускать скрипты напрямую из ядра несколько затруднительно.
А в чём сложность? call_usermodehelper и готово. если выставить вменяемые тайминги между запусками(чтобы предотвратить DOS), то по теории всё просто.
| | |
|
|
| 1.71, Гентушник (ok), 23:01, 09/08/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Кто тестил TEE, скажите, ловится ли уже отзеркалированный траффик в iptables? Или как с MIRROR?
| | |
| |
| 2.74, аноним (?), 20:03, 12/08/2010 [^] [^^] [^^^] [ответить]
| +/– |
Насколько я помню, этот трафик нигде не светится. В маршрутизации и фаерволе точно, насчет шейпера не проверял.
| | |
|
|
