форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"OpenNews: Впечатление создателей  iptables от пакетного филь..."

Сообщение от opennews on 18-Авг-06, 11:54

Rusty Russel - один из основных участников проекта netfilter, кратко описал (http://ozlabs.org/~rusty/index.cgi/tech/2006-08-15.html) свои впечатления от пакетного фильтра pf, разработанного в рамках проекта OpenBSD. URL: http://ozlabs.org/~rusty/index.cgi/tech/2006-08-15.html Новость: http://www.opennet.me/opennews/art.shtml?num=8133

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Впечатление создателей  iptables от пакетного фильтра pf"

Сообщение от Аноним on 18-Авг-06, 11:54

Заголовок новости звучит как "Создатели Запорожца узнали, что у всех машин двигатель находится спереди" зы: ничего не имею проитв. всю жизнь пользуюсь iptables, просто настроение веселое :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от thedix (??) on 18-Авг-06, 12:06
	У хороших спортивных машин, кстати, двигатель сзади. :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Впечатление создателей  iptables от пакетного фильтра pf"

Сообщение от Валера (??) on 18-Авг-06, 12:08

Среднее расположение еще лучше :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от CDigger on 18-Авг-06, 12:21
	Это тот, что с педалями...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от pavlinux (ok) on 18-Авг-06, 12:42
	Так он ещё и двухколесный, или четырёх, ещё два маленьких чтоб не падал?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Впечатление создателей  iptables от пакетного фильтра pf"

Сообщение от Jelis (ok) on 18-Авг-06, 12:59

Вообщем-то и в файрволах разница такая же как и по всей системе - BSD сделан в основном красивее, где-то элегантнее, где-то удобнее, зато у Линукса больше возможностей.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от chas on 18-Авг-06, 13:53
	>Вообщем-то и в файрволах разница такая же как и по всей системе - BSD сделан >в основном красивее, где-то элегантнее, где-то удобнее, зато у Линукса больше возможностей. Но некоторые полезне фичи, как всегда, отсутсвуют: "There's one place where pf would make Linux users green with envy, it's rate limiting and queueing"
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от _Nick_ (??) on 18-Авг-06, 18:09
	нафига козе бАян, када у нее гармонь есть? Линуховый QoS - лучше всяких трубочек. те кто пытается на них строить рабочую систему - получает полный П в фаерволе и далекое подобие человеческой работы
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	34. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от Анонимоус on 23-Авг-06, 22:35
	>>Вообщем-то и в файрволах разница такая же как и по всей системе - BSD сделан >>в основном красивее, где-то элегантнее, где-то удобнее, зато у Линукса больше возможностей. > >Но некоторые полезне фичи, как всегда, отсутсвуют: > >"There's one place where pf would make Linux users green with envy, >it's rate limiting and queueing" А еще iptables и какой-нить QoS умещаются в железках типа ADSL модемов и soho router-ов и это еще и работает даже.В девайсах с пару сигаретных пачек размером.А bsd где?Гусары, молчать!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Впечатление создателей  iptables от пакетного фильтра pf"

Сообщение от Аноним on 18-Авг-06, 15:51

ну и наскока востребованы большинством админов эти фичи? на 2% ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от ZANSWER (ok) on 18-Авг-06, 16:55
	МяФ!:) снова холи вар балбесов... едите iptables и едите дальше, мне нравиться pf, но он нарвиться мне, а rate limit и queue любой пров пользует который использует pf на рутере... тока не кречим про киски...;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от pavlinux (ok) on 18-Авг-06, 19:40
	Вах, вах, вах .... да тут не Opennet, тут сборище провайдеров... (я конечно понимаю, тут каждый админ в душе инженер сети городского или регионального провайдера)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Впечатление создателей  iptables от пакетного фильтра pf"

Сообщение от Nick (??) on 19-Авг-06, 04:27

Тот, кто активно использует именно Опенка на рутере, тот уж точно использует богатейшие возможности управления трафиком в pf.  Те, кто говорит, что такая функциональность не нужна просто никогда ничего серьезного и/или по-серьезному не настраивали. Pf - прекрасный пример хорошего продукта.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Впечатление создателей  iptables от пакетного фильтра pf"

Сообщение от кук on 19-Авг-06, 08:50

я что-то проспал и дисциплины в линусе отменили ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от _Nick_ (??) on 19-Авг-06, 14:32
	Ниче ты не пропустил просто Создатели iptables нашли костыль в pf и были рады отметить, что в iptables такого нет. в линухе: котлеты - отдельно, мухи - отдельно. если нужно убрать/поправить шейпер траффика - пжалста. фаерволл же остаетсо при этом нетронутым. и наоборот.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	28. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от MK (??) on 20-Авг-06, 18:18
	>Ниче ты не пропустил > >просто Создатели iptables нашли костыль в pf и были рады отметить, что >в iptables такого нет. >в линухе: котлеты - отдельно, мухи - отдельно. если нужно убрать/поправить шейпер >траффика - пжалста. фаерволл же остаетсо при этом нетронутым. >и наоборот. gygygy. _Nick_, ty na svoi-to shapery posmotri. Tam vse tak nameshano, chto dazhe kommentirovat' ne hochetsya. Takoe oshushenie, chto tvoi muhi/kotlety melko nashinkovali, potom zapihnuli v myasorubku, a potom eshe i na terke propustili - tak chto vot ne nado vot. Ty b prezhde chem kidat'sya, u sebya b v hozyajstve poryadok navel (ya ponimayu, chto tam ne tol'ko ty ruki prilozhil, no vse odno). Da, mozhno cherez tc tol'ko managit' bw (obrashajsya za primerom - cherez htb - no vot tol'ko chitabel'nymi nazvat' output tc tyazhelo), mozhno, no pochemu-to vse vidennye mnoyu do etogo linux-based shapery s managementom queues/etc razmerom bol'she 10ka pravil lepilis' v takyu zhutkuyu svyzaku s tc/ip/iptables markup, chto mne kak-to maloponyatny shutki pro kostyli (nu, mozhet adminy krivorukie - im tak udobnee s etim iproute2 - a mozhet, arhitektura predpolagaet takie svyazki). A chto do udobstva eshe - vot vam pozhalujsta - umel'tzy, kotorye smogut otflushit' tablitzy rulesov cherez ip CLI - v studiyu. Ya videl uzhe chetyre skripta (dva ili tri - v mailliste netfiltera), kazhdyj iz kotoryh flushit chast' - no ni odin polnost'yu.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Впечатление создателей  iptables от пакетного фильтра pf"

Сообщение от cryptoson on 19-Авг-06, 14:37

Думаю что до такого функционала какой в линуксе дает стандартная связка iptables + iproute pf да и вообще любому *nix-овому фаерволу далеко. Помню как пытался на фришном роутере два 2-хмегабитных канала с множеством правил настроить -- ужжас, 2 defaultrout-а ipfw без извратов не умеет, да и пакеты теряет если настроить через fwd. Пришлость перетащить на линукс, в нем все проерасно настроил и заработало.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от Lenin (??) on 19-Авг-06, 20:02
	>Помню как пытался на фришном роутере два 2-хмегабитных канала с множеством правил настроить -- ужжас И где ужас?? Хоть 2 сотни - никаких проблем. У меня реально всего 8 правил(!) для задания типа ограничения + 8 правил на то, что должно подпадать под ограничения, для того чтобы нарезать 8 вида ограничений (в моем случае 4 разные одинаковые в обе стороны полосы пропускания) >2 defaultrout-а ipfw без извратов не умеет Пояни что имел вв виду. default на то и default чтобы быть одним. Условная маршрутизация настраивается тоже без проблем. P.S.  Сдается мне ты ни статью эту не читал, ни доки на файры не смотрел (уж точно не до конца)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от Lenin (??) on 19-Авг-06, 20:13
	P.P.S. 4 категории симетричных полос пропускания, т.е. в моем случае каждому  IP ставится своя полоса, т.е. Реальных "трубочек"  на порядок больше где-то около 500 шт. И все это 16 правилами в ipfw ;-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Впечатление создателей iptables от пакетного фильтра pf"
	Сообщение от cryptoson on 19-Авг-06, 21:30
	Так проблема то не в сложности настройки и количестве правил, а в том как все это настроенное работает. ipfw + pipes на юзеров и разделением трафика на ua-ix и мир с помощью  таблиц куда забит аггрегированный список сетей  с динамической маршутизацией при трафике в 4 мегабита теряет пакеты на celeron 450 мгц. Гуглением нашел выход -- советовалось пересобрать ядро с увеличенной частотой опроса чего-то там. Но в каком-то хауту прочел что ipfw не выдерживает трафик в 10мегабит и решил что лучше все-таки все перенастроить на линуксе где все это решается без проблем с производительностью и масштабированием. Кстати статью я прочел и документацию тоже почитываю, только вот не всегда гладко по бумажке можно и настроить, такие глюки во фре бывают, лучше уж линукс использовать - его больше народу тестит и область применения у него шире.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "Впечатление создателей iptables от пакетного фильтра pf"
	Сообщение от неаноним on 20-Авг-06, 05:23
	>при трафике в 4 мегабита теряет пакеты на celeron 450 мгц >в каком-то хауту прочел что ipfw не выдерживает трафик в 10мегабит Давно такой ахинеи не читал
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	37. "Впечатление создателей iptables от пакетного фильтра pf"
	Сообщение от Dyr (??) on 12-Сен-06, 21:24
	>>при трафике в 4 мегабита теряет пакеты на celeron 450 мгц > >>в каком-то хауту прочел что ipfw не выдерживает трафик в 10мегабит > >Давно такой ахинеи не читал +1. А в ядре он, очевидно, не догадался включить DEVICE_POLLING
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "Впечатление создателей iptables от пакетного фильтра pf"
	Сообщение от Lenin (??) on 20-Авг-06, 08:29
	Если Вы смогли настроить что-то на системе А, но у Вас не получилось на системе Б, это не значит, что это на системе Б не возможно. Про пайпы и очереди надо было почитать по подробней. Если через водопроводную трубу в 4 литра в сек попробовать прокачать 5, то пролезет только 4, а остальное будет хлестать в обратку.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	23. "Впечатление создателей iptables от пакетного фильтра pf"
	Сообщение от _Nick_ (??) on 20-Авг-06, 08:49
	>Если Вы смогли настроить что-то на системе А, но у Вас не >получилось на системе Б, это не значит, что это на системе >Б не возможно. Про пайпы и очереди надо было почитать по >подробней. >Если через водопроводную трубу в 4 литра в сек попробовать прокачать 5, >то пролезет только 4, а остальное будет хлестать в обратку. ваша теория либо доказывает, что ipfw - содержит ограничение в 4 л/с. Либо если "это все сервер тормозит" - то это его Линух так разгоняет, роутер успевает все отработать? :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "Впечатление создателей iptables от пакетного фильтра pf"
	Сообщение от Lenin (??) on 20-Авг-06, 10:08
	Я хотел сказать, что если чел настроил 4 Мбит/с то больше роутер не прокачает и будут потери, если пытаться засунуть более не снижая скорости и cel 450 для 4 Мбит/с хватает под любой ОСкой. Сильно сомневаюсь, что именно Фряхи + ipfw человеку не хватало, и что именно Линь решил его проблемы. Здается, что под Линь он настроил "правильней", что не означает, что ipfw плох. Кстати, для фряхи есть еще pf с altq. "Линух разгоняет" - это прям "Pentium 3 ускоряющий Интернет". ;-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	25. "Впечатление создателей iptables от пакетного фильтра pf"
	Сообщение от _Nick_ (??) on 20-Авг-06, 10:10
	>"Линух разгоняет" - это прям "Pentium 3 ускоряющий Интернет". ;-) чисто выводы по Вашим словам ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	32. "Впечатление создателей iptables от пакетного фильтра pf"
	Сообщение от Free (??) on 21-Авг-06, 22:59
	>Если Вы смогли настроить что-то на системе А, но у Вас не >получилось на системе Б, это не значит, что это на системе >Б не возможно. Про пайпы и очереди надо было почитать по >подробней. >Если через водопроводную трубу в 4 литра в сек попробовать прокачать 5, >то пролезет только 4, а остальное будет хлестать в обратку. Труба 4 литра в секунду - это круто!!! Это высокоинтеллектуальная труба!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	27. "Впечатление создателей iptables от пакетного фильтра pf"
	Сообщение от unplaced on 20-Авг-06, 15:55
	>Так проблема то не в сложности настройки и количестве правил, а в >том как все это настроенное работает. ipfw + pipes на юзеров >и разделением трафика на ua-ix и мир с помощью  таблиц >куда забит аггрегированный список сетей  с динамической маршутизацией при трафике >в 4 мегабита теряет пакеты на celeron 450 мгц. Гуглением нашел >выход -- советовалось пересобрать ядро с увеличенной частотой опроса чего-то там. Хм. На 90% уверен что "пересобрать ядро с увеличенной частотой опроса чего-там" это значило собрать ядро с options HZ=1000, что указано даже в man dummynet как Strongly recommended. Похоже все возвращается к непрочитанной документации :) Вообще сликшмо много "в каком-то хауту", "чего-то там" -- никакой конкретики.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Впечатление создателей  iptables от пакетного фильтра pf"

Сообщение от cryptoson on 20-Авг-06, 15:49

Информацию о производительности ipfw я взял из хэндбука, раздел "Накладные расходы и оптимизация IPFW". Хотя там на 486-м тестировали. Настраивал все по документации с опеннета. Все равно получил сильные задержки и потери пакетов. С линуксом сразу запахало. Ну что же, будем фришку еще пытать, раз должно работать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Впечатление создателей  iptables от пакетного фильтра pf"

Сообщение от cryptoson on 20-Авг-06, 20:41

Действительно скорость работы ipfw тут вроде не причем, потеря пакетов связана скорее всего с нерабочим fwd http://www.opennet.me/openforum/vsluhforumID1/50946.html#3

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	30. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от Sem (??) on 21-Авг-06, 16:55
	Думаю, что не знание предмета тут на лицо. Потеря покетов тут не причем.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	31. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от Sem (??) on 21-Авг-06, 16:57
	Да, и "нерабочесть" fwd опять же связана с не прочтением документации и не отслеживанием списков рассылок, что бы быть в курсе, что же там изменилось.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Впечатление создателей  iptables от пакетного фильтра pf"

Сообщение от OnlySlon (??) on 22-Авг-06, 13:07

К слову о 4х мегабитах, прокачиваем через Linux QoS более 100 мегабит инета. Жужжит. и загрузка проца 3-4 процента(p4-2Ghz). аптайм к году стремится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	35. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от hvv on 27-Авг-06, 12:50
	>К слову о 4х мегабитах, прокачиваем через Linux QoS более 100 мегабит >инета. Жужжит. и загрузка проца 3-4 процента(p4-2Ghz). аптайм к году стремится. > Да не вопрос, сотней мегабит нынче никого не удивишь. Я, правда после перехода на гигабит, на фре отказался от шейпера (сначала был ipfw + altq, а потом pf портировали), но тут ситуация другая - с винтов отдаётся до 300+ мбит/с и машинке и так не очень хорошо, на I/O много уходит с таким железом (p4-2G + ata/sata побрякушки). Попробовать, что ли, шейпер включить и порезать кого-нибудь для интереса..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Впечатление создателей  iptables от пакетного фильтра pf"

Сообщение от bakake on 29-Авг-06, 12:00

Кстати, на втором уровне pf (фрюшный порт) работать не умеет. Надо было как то по MAC'ам  отфильровать, в итоге пришлось на ipfw пересобирать систему.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	38. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от brag (ok) on 28-Май-07, 19:44
	Че вы ругаетесь то? pf отличный firewall,сам пересел с ipfw..главное,что не тормозит. А вот ipfw+natd у меня тормозил,что проц хавал,что время отклика сильно увеличивалось. К ста о гиговых сетках.. Кому-то удалось на FreeBSD получить хотябы 500-600мбит? у меня даже по lo0 всего 200мбит
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	39. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от Dyr (??) on 28-Май-07, 20:22
	>Че вы ругаетесь то? >pf отличный firewall,сам пересел с ipfw..главное,что не тормозит. А вот ipfw+natd у >меня тормозил,что проц хавал,что время отклика сильно увеличивалось. >К ста о гиговых сетках.. Кому-то удалось на FreeBSD получить хотябы 500-600мбит? > >у меня даже по lo0 всего 200мбит У меня на FreeBSD 6.2 500 Мбит было (больше просто канал не позволил). Правда, и загрузка проца была ого-го, причём самое интересно - включенный polling уменьшал нагрузку в разы, однако дропал пакеты напропалую, оставалось буквально 200Мбит. Мать какая-то Asus, сетевухи bge, P4 3,3GHz.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	40. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от RootOfEvil on 02-Мрт-08, 20:31
	Получалось вытянуть 959 Мбит. >pciconf -lv     vendor     = 'Intel Corporation'     device     = '82546EB Dual Port Gigabit Ethernet Controller' >uname -sr FreeBSD 6.3-PRERELEASE >sysctl hw.model hw.model: AMD Athlon(tm) 64 Processor 3000+ Поллинг выключен. Фаэрвол ipfw (2240 правил)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	41. "Впечатление создателей  iptables от пакетного фильтра pf"
	Сообщение от NIck on 02-Мрт-08, 22:37
	>Фаэрвол ipfw (2240 правил) и первое правило гласит: allow all from any to any %) (шутко)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]