| 1.1, Аноним (-), 11:54, 18/08/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Заголовок новости звучит как "Создатели Запорожца узнали, что у всех машин двигатель находится спереди"
зы: ничего не имею проитв. всю жизнь пользуюсь iptables, просто настроение веселое :) | | |
| |
| |
| 3.5, pavlinux (ok), 12:42, 18/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
 Так он ещё и двухколесный, или четырёх, ещё два маленьких чтоб не падал? | | |
|
|
| 1.6, Jelis (ok), 12:59, 18/08/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Вообщем-то и в файрволах разница такая же как и по всей системе - BSD сделан в основном красивее, где-то элегантнее, где-то удобнее, зато у Линукса больше возможностей. | | |
| |
| 2.7, chas (?), 13:53, 18/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
>Вообщем-то и в файрволах разница такая же как и по всей системе - BSD сделан
>в основном красивее, где-то элегантнее, где-то удобнее, зато у Линукса больше возможностей.
Но некоторые полезне фичи, как всегда, отсутсвуют:
"There's one place where pf would make Linux users green with envy, it's rate limiting and queueing" | | |
| |
| 3.10, _Nick_ (??), 18:09, 18/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
 нафига козе бАян, када у нее гармонь есть?
Линуховый QoS - лучше всяких трубочек.
те кто пытается на них строить
рабочую систему - получает полный П в фаерволе и далекое подобие человеческой работы | | |
| 3.34, Анонимоус (?), 22:35, 23/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
>>Вообщем-то и в файрволах разница такая же как и по всей системе - BSD сделан
>>в основном красивее, где-то элегантнее, где-то удобнее, зато у Линукса больше возможностей.
>
>Но некоторые полезне фичи, как всегда, отсутсвуют:
>
>"There's one place where pf would make Linux users green with envy,
>it's rate limiting and queueing"
А еще iptables и какой-нить QoS умещаются в железках типа ADSL модемов и soho router-ов и это еще и работает даже.В девайсах с пару сигаретных пачек размером.А bsd где?Гусары, молчать! | | |
|
|
| |
| 2.9, ZANSWER (ok), 16:55, 18/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
 МяФ!:) снова холи вар балбесов... едите iptables и едите дальше, мне нравиться pf, но он нарвиться мне, а rate limit и queue любой пров пользует который использует pf на рутере... тока не кречим про киски...;) | | |
| |
| 3.11, pavlinux (ok), 19:40, 18/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
Вах, вах, вах .... да тут не Opennet, тут сборище провайдеров...
(я конечно понимаю, тут каждый админ в душе инженер сети городского или регионального провайдера) | | |
|
|
| 1.14, Nick (??), 04:27, 19/08/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Тот, кто активно использует именно Опенка на рутере, тот уж точно использует богатейшие возможности управления трафиком в pf. Те, кто говорит, что такая функциональность не нужна просто никогда ничего серьезного и/или по-серьезному не настраивали. Pf - прекрасный пример хорошего продукта. | | |
| |
| 2.16, _Nick_ (??), 14:32, 19/08/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Ниче ты не пропустил
просто Создатели iptables нашли костыль в pf и были рады отметить, что в iptables такого нет.
в линухе: котлеты - отдельно, мухи - отдельно. если нужно убрать/поправить шейпер траффика - пжалста. фаерволл же остаетсо при этом нетронутым.
и наоборот. | | |
| |
| 3.28, MK (??), 18:18, 20/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
 >Ниче ты не пропустил
>
>просто Создатели iptables нашли костыль в pf и были рады отметить, что
>в iptables такого нет.
>в линухе: котлеты - отдельно, мухи - отдельно. если нужно убрать/поправить шейпер
>траффика - пжалста. фаерволл же остаетсо при этом нетронутым.
>и наоборот.
gygygy. _Nick_, ty na svoi-to shapery posmotri. Tam vse tak nameshano, chto dazhe kommentirovat' ne hochetsya. Takoe oshushenie, chto tvoi muhi/kotlety melko nashinkovali, potom zapihnuli v myasorubku, a potom eshe i na terke propustili - tak chto vot ne nado vot. Ty b prezhde chem kidat'sya, u sebya b v hozyajstve poryadok navel (ya ponimayu, chto tam ne tol'ko ty ruki prilozhil, no vse odno).
Da, mozhno cherez tc tol'ko managit' bw (obrashajsya za primerom - cherez htb - no vot tol'ko chitabel'nymi nazvat' output tc tyazhelo), mozhno, no pochemu-to vse vidennye mnoyu do etogo linux-based shapery s managementom queues/etc razmerom bol'she 10ka pravil lepilis' v takyu zhutkuyu svyzaku s tc/ip/iptables markup, chto mne kak-to maloponyatny shutki pro kostyli (nu, mozhet adminy krivorukie - im tak udobnee s etim iproute2 - a mozhet, arhitektura predpolagaet takie svyazki).
A chto do udobstva eshe - vot vam pozhalujsta - umel'tzy, kotorye smogut otflushit' tablitzy rulesov cherez ip CLI - v studiyu. Ya videl uzhe chetyre skripta (dva ili tri - v mailliste netfiltera), kazhdyj iz kotoryh flushit chast' - no ni odin polnost'yu. | | |
|
|
| 1.17, cryptoson (?), 14:37, 19/08/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Думаю что до такого функционала какой в линуксе дает стандартная связка iptables + iproute pf да и вообще любому *nix-овому фаерволу далеко.
Помню как пытался на фришном роутере два 2-хмегабитных канала с множеством правил настроить -- ужжас, 2 defaultrout-а ipfw без извратов не умеет, да и пакеты теряет если настроить через fwd.
Пришлость перетащить на линукс, в нем все проерасно настроил и заработало.
| | |
| |
| 2.18, Lenin (??), 20:02, 19/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
 >Помню как пытался на фришном роутере два 2-хмегабитных канала с множеством правил настроить -- ужжас
И где ужас?? Хоть 2 сотни - никаких проблем. У меня реально всего 8 правил(!) для задания типа ограничения + 8 правил на то, что должно подпадать под ограничения, для того чтобы нарезать 8 вида ограничений (в моем случае 4 разные одинаковые в обе стороны полосы пропускания)
>2 defaultrout-а ipfw без извратов не умеет
Пояни что имел вв виду. default на то и default чтобы быть одним. Условная маршрутизация настраивается тоже без проблем.
P.S. Сдается мне ты ни статью эту не читал, ни доки на файры не смотрел (уж точно не до конца) | | |
| |
| 3.19, Lenin (??), 20:13, 19/08/2006 [^] [^^] [^^^] [ответить]
| +/– | |
P.P.S. 4 категории симетричных полос пропускания, т.е. в моем случае каждому IP ставится своя полоса, т.е. Реальных "трубочек" на порядок больше где-то около 500 шт. И все это 16 правилами в ipfw ;-) | | |
| 3.20, cryptoson (?), 21:30, 19/08/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Так проблема то не в сложности настройки и количестве правил, а в том как все это настроенное работает. ipfw + pipes на юзеров и разделением трафика на ua-ix и мир с помощью таблиц куда забит аггрегированный список сетей с динамической маршутизацией при трафике в 4 мегабита теряет пакеты на celeron 450 мгц. Гуглением нашел выход -- советовалось пересобрать ядро с увеличенной частотой опроса чего-то там. Но в каком-то хауту прочел что ipfw не выдерживает трафик в 10мегабит и решил что лучше все-таки все перенастроить на линуксе где все это решается без проблем с производительностью и масштабированием. Кстати статью я прочел и документацию тоже почитываю, только вот не всегда гладко по бумажке можно и настроить, такие глюки во фре бывают, лучше уж линукс использовать - его больше народу тестит и область применения у него шире. | | |
| |
| 4.21, неаноним (?), 05:23, 20/08/2006 [^] [^^] [^^^] [ответить]
| +/– | |
>при трафике в 4 мегабита теряет пакеты на celeron 450 мгц
>в каком-то хауту прочел что ipfw не выдерживает трафик в 10мегабит
Давно такой ахинеи не читал | | |
| |
| 5.37, Dyr (??), 21:24, 12/09/2006 [^] [^^] [^^^] [ответить]
| +/– |
 >>при трафике в 4 мегабита теряет пакеты на celeron 450 мгц
>
>>в каком-то хауту прочел что ipfw не выдерживает трафик в 10мегабит
>
>Давно такой ахинеи не читал
+1.
А в ядре он, очевидно, не догадался включить DEVICE_POLLING | | |
|
| 4.22, Lenin (??), 08:29, 20/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
Если Вы смогли настроить что-то на системе А, но у Вас не получилось на системе Б, это не значит, что это на системе Б не возможно. Про пайпы и очереди надо было почитать по подробней.
Если через водопроводную трубу в 4 литра в сек попробовать прокачать 5, то пролезет только 4, а остальное будет хлестать в обратку. | | |
| |
| 5.23, _Nick_ (??), 08:49, 20/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
>Если Вы смогли настроить что-то на системе А, но у Вас не
>получилось на системе Б, это не значит, что это на системе
>Б не возможно. Про пайпы и очереди надо было почитать по
>подробней.
>Если через водопроводную трубу в 4 литра в сек попробовать прокачать 5,
>то пролезет только 4, а остальное будет хлестать в обратку.
ваша теория либо доказывает, что ipfw - содержит ограничение в 4 л/с.
Либо если "это все сервер тормозит" - то это его Линух так разгоняет,
роутер успевает все отработать? :) | | |
| |
| 6.24, Lenin (??), 10:08, 20/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
Я хотел сказать, что если чел настроил 4 Мбит/с то больше роутер не прокачает и будут потери, если пытаться засунуть более не снижая скорости и cel 450 для 4 Мбит/с хватает под любой ОСкой. Сильно сомневаюсь, что именно Фряхи + ipfw человеку не хватало, и что именно Линь решил его проблемы. Здается, что под Линь он настроил "правильней", что не означает, что ipfw плох. Кстати, для фряхи есть еще pf с altq.
"Линух разгоняет" - это прям "Pentium 3 ускоряющий Интернет". ;-) | | |
| |
| 7.25, _Nick_ (??), 10:10, 20/08/2006 [^] [^^] [^^^] [ответить]
| +/– | |
>"Линух разгоняет" - это прям "Pentium 3 ускоряющий Интернет". ;-)
чисто выводы по Вашим словам ;) | | |
|
|
| 5.32, Free (??), 22:59, 21/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
>Если Вы смогли настроить что-то на системе А, но у Вас не
>получилось на системе Б, это не значит, что это на системе
>Б не возможно. Про пайпы и очереди надо было почитать по
>подробней.
>Если через водопроводную трубу в 4 литра в сек попробовать прокачать 5,
>то пролезет только 4, а остальное будет хлестать в обратку.
Труба 4 литра в секунду - это круто!!! Это высокоинтеллектуальная труба! | | |
|
| 4.27, unplaced (?), 15:55, 20/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
 >Так проблема то не в сложности настройки и количестве правил, а в
>том как все это настроенное работает. ipfw + pipes на юзеров
>и разделением трафика на ua-ix и мир с помощью таблиц
>куда забит аггрегированный список сетей с динамической маршутизацией при трафике
>в 4 мегабита теряет пакеты на celeron 450 мгц. Гуглением нашел
>выход -- советовалось пересобрать ядро с увеличенной частотой опроса чего-то там.
Хм. На 90% уверен что "пересобрать ядро с увеличенной частотой опроса чего-там" это значило собрать ядро с options HZ=1000, что указано даже в man dummynet как Strongly recommended. Похоже все возвращается к непрочитанной документации :)
Вообще сликшмо много "в каком-то хауту", "чего-то там" -- никакой конкретики. | | |
|
|
|
| 1.26, cryptoson (?), 15:49, 20/08/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Информацию о производительности ipfw я взял из хэндбука, раздел "Накладные расходы и оптимизация IPFW". Хотя там на 486-м тестировали. Настраивал все по документации с опеннета. Все равно получил сильные задержки и потери пакетов. С линуксом сразу запахало. Ну что же, будем фришку еще пытать, раз должно работать. | | |
| |
| 2.30, Sem (??), 16:55, 21/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
Думаю, что не знание предмета тут на лицо. Потеря покетов тут не причем.
| | |
| 2.31, Sem (??), 16:57, 21/08/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Да, и "нерабочесть" fwd опять же связана с не прочтением документации и не отслеживанием списков рассылок, что бы быть в курсе, что же там изменилось. | | |
|
| 1.33, OnlySlon (??), 13:07, 22/08/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
К слову о 4х мегабитах, прокачиваем через Linux QoS более 100 мегабит инета. Жужжит. и загрузка проца 3-4 процента(p4-2Ghz). аптайм к году стремится. | | |
| |
| 2.35, hvv (?), 12:50, 27/08/2006 [^] [^^] [^^^] [ответить]
| +/– |
>К слову о 4х мегабитах, прокачиваем через Linux QoS более 100 мегабит
>инета. Жужжит. и загрузка проца 3-4 процента(p4-2Ghz). аптайм к году стремится.
>
Да не вопрос, сотней мегабит нынче никого не удивишь. Я, правда после перехода на гигабит, на фре отказался от шейпера (сначала был ipfw + altq, а потом pf портировали), но тут ситуация другая - с винтов отдаётся до 300+ мбит/с и машинке и так не очень хорошо, на I/O много уходит с таким железом (p4-2G + ata/sata побрякушки). Попробовать, что ли, шейпер включить и порезать кого-нибудь для интереса.. | | |
|
| 1.36, bakake (?), 12:00, 29/08/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Кстати, на втором уровне pf (фрюшный порт) работать не умеет. Надо было как то по MAC'ам отфильровать, в итоге пришлось на ipfw пересобирать систему. | | |
| |
| 2.38, brag (ok), 19:44, 28/05/2007 [^] [^^] [^^^] [ответить]
| +/– |
Че вы ругаетесь то?
pf отличный firewall,сам пересел с ipfw..главное,что не тормозит. А вот ipfw+natd у меня тормозил,что проц хавал,что время отклика сильно увеличивалось.
К ста о гиговых сетках.. Кому-то удалось на FreeBSD получить хотябы 500-600мбит?
у меня даже по lo0 всего 200мбит | | |
| |
| 3.39, Dyr (??), 20:22, 28/05/2007 [^] [^^] [^^^] [ответить]
| +/– |
>Че вы ругаетесь то?
>pf отличный firewall,сам пересел с ipfw..главное,что не тормозит. А вот ipfw+natd у
>меня тормозил,что проц хавал,что время отклика сильно увеличивалось.
>К ста о гиговых сетках.. Кому-то удалось на FreeBSD получить хотябы 500-600мбит?
>
>у меня даже по lo0 всего 200мбит
У меня на FreeBSD 6.2 500 Мбит было (больше просто канал не позволил). Правда, и загрузка проца была ого-го, причём самое интересно - включенный polling уменьшал нагрузку в разы, однако дропал пакеты напропалую, оставалось буквально 200Мбит.
Мать какая-то Asus, сетевухи bge, P4 3,3GHz.
| | |
| |
| 4.40, RootOfEvil (?), 20:31, 02/03/2008 [^] [^^] [^^^] [ответить]
| +/– | |
Получалось вытянуть 959 Мбит.
>pciconf -lv
vendor = 'Intel Corporation'
device = '82546EB Dual Port Gigabit Ethernet Controller'
>uname -sr
FreeBSD 6.3-PRERELEASE
>sysctl hw.model
hw.model: AMD Athlon(tm) 64 Processor 3000+
Поллинг выключен.
Фаэрвол ipfw (2240 правил)
| | |
| |
| 5.41, NIck (?), 22:37, 02/03/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Фаэрвол ipfw (2240 правил)
и первое правило гласит:
allow all from any to any
%)
(шутко)
| | |
|
|
|
|
|
