snvoronkov Опубликовано 4 февраля, 2019 · Жалоба 51 минуту назад, alibek сказал: В pf очень красивые и удобные для использования правила. Намного удобнее, чем iptables. Плюс переменные, списки, использование интерфейсов в скобках и т.п. Но насколько я помню, он однопоточный и для большой нагрузки неприменим. Уже нет. Многопоточен. Очень удобен, да. Но по работе NAT, общему функционалу ему до iptables очень далеко. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gcxc.net Опубликовано 4 февраля, 2019 · Жалоба 50 минут назад, s.lobanov сказал: но в pf и ipfw всегда был тормозной NAT Да, это давно уж было. Начиная с 8-ки вроде, ядрёный нат вполне себе шустрый. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 4 февраля, 2019 · Жалоба В крававом ытерпрайзе до сих пор попадаются сервера с чем-нибудь вроде 4.3, 5.1, у одного клиента пол-интрасети на тазиках с шестерками кряхтит... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 4 февраля, 2019 · Жалоба 11 часов назад, s.lobanov сказал: Ну хз на счёт geom, всё что он умеет есть в линуксах (и рейд и шифрование и что он ещё умеет) Я хз как линуксах, но на геоме легко и единообразно собираются всякие нетривиальные конструкции, типа вот тут два диска а тут один и один как то по сети, а сверху они страйп/конкат, а поверх шифрование, а а ещё выше кеш поставим и эту хрень ещё куда то можно прикрутить как элемент. Короче это тот же нетграф только для дисков, единственное что я не видел модулей для модификации контента, не считая сжатия. 11 часов назад, s.lobanov сказал: Netgraf - конечно, это красиво, но реальные юзкейсы (свитчинг, роутинг и всякие тунели) решаются в линуксах стандартными средствами. Ну т.е. сложно вообразить кейсы когда нетграф является киллерфичей У нас кастомный нетграф модуль для работы с арп. Ещё я делал модуль нетграфа для детекта uTP. Его до сих пор можно собрать и юзать - апи стабилен. Нетграф позволяет ещё и модифицировать контент и делать матчинги хитрые - на основе бпф, а потом выстраивать логику по пересылке/модификации. Линукс может большинство стандартных и не очень юзкейсов, но когда требуется нечто особенное это к нетграфу. 2 часа назад, NiTr0 сказал: а что, убунту кто-то использует на серверах? А что в этом плохого?) Я юзаю и знаю много людей кто юзает убунту сервер. Встречались извращенцы даже с иксами на сервере %) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 4 февраля, 2019 · Жалоба 57 минут назад, jffulcrum сказал: В крававом ытерпрайзе до сих пор попадаются сервера с чем-нибудь вроде 4.3, 5.1, у одного клиента пол-интрасети на тазиках с шестерками кряхтит... да там и солярку можно встретить и всё что угодно (не удивлюсь встретить и win2000) . потому что все понимают, что апгрейд ОС на которой крутится куча проприетарщины (а иногда и самописной хрени с потерянными исходниками) это риск Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 4 февраля, 2019 · Жалоба Да там ничего особенного в этих серверах...GIF/Racoon, просто переделывать - это время и деньги, да и начальству не до того, стопятсотая переделка внутреннего сайта в Битриксе куда важней. К слову, тазики HP еще Gen5...святым духом работают! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
polmax Опубликовано 5 февраля, 2019 (изменено) · Жалоба В 02.02.2019 в 20:27, default_vlan сказал: Подскажите, как обновить фриху с 10.3 до 12 версии. Не советую обновляться до 12 версии, есть шанс словить: can't find '/boot/entropy'. Лучше всего устанавливать с нуля и на новый диск, если в случае чего вернуть старый диск на место, так как есть шанс что и с нуля 12 версия не взлетит, что-то они там с загрузчиком перемудрили, хотя патчи вроде уже есть, но не в релизе. Поставьте 11.2, у него вроде поддержка до 2021 года, а к тому времени уже и 12 допилят :) freebsd-update -r 11.2-RELEASE upgrade Изменено 5 февраля, 2019 пользователем polmax Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 5 февраля, 2019 · Жалоба 59 минут назад, polmax сказал: Не советую обновляться до 12 версии, есть шанс словить Обновлялся пересборкой, ничего такого и близко не было. На самом деле проблем было меньше, чем при обновлении до 11. 59 минут назад, polmax сказал: can't find '/boot/entropy' touch /boot/entropy dd if=/dev/random of=/boot/entropy bs=4096 count=1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 5 февраля, 2019 · Жалоба ну про /boot/entropy чтото не попадалось, а вот что в 12 может стрельнуть, это openssl 1.1.1 в базе. Хорошо когда все с ним собирается... Если есть какойто не очень свежий софт, то может оказаться затруднительно его собрать без допиливания по этой части. И хорошо если он соберется с опенсслем не из базы и не начнет конфликтовать, ну для примера, с лдап авторизацией в паме.. ну тоесть оно конечно так или иначе решается, но в основном с бубном. Да и из портов там есть что с флагом BROKEN для 12.0 по этой же причине, что некому заточить старый софт под новый опенссл, а новых весрий пока (или вообще) нет. Понятно что со всем популярным там проблемы порешали, но бывает что нужно чуть менее популярное. Пока в 11.2, если где надо, опенссл из портов тот же 1.1.1 проще собрать, чем придумывать как где не надо собрать с понижением версии с 1.0.2 (ну для примера, цепочка, софт не собирается с 1.1.1, его собираем с 1.0.2, он зовет getent, там дергается openldap, тот собран с базовым 1.1.1, софт трапается. ОК, собираем опенлдап тоже с 1.0.2, тут уже трапается в sshd по той де причине. дальше ковырять пока нет желания, пока сидим, где тот софт нужен, на 11.2, ну или выкинуть лдап из схемы авторизации) Но это не фри специфик, опенссл 1.1.1 сейчас будет появляться в разных дистрибутивах. Понятно что пакетную базу причешут, но если есть чтото еще, то его тоже придется комуто причесать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 6 февраля, 2019 · Жалоба Да ладно, у меня даже на десктопе вот прям щас сломано только u-boot и virtualbox-oss, притом последний аж в двух местах, одно из которых ssl. И это из ~700 портов. Юзаю libressl из портов, опенссш тоже из портов почти все опции отключены, который был в базе - выпилил. опенссл из базы я бы тоже выпилил, но на него много чего в самом системе завязано, последний раз когда пробовал сборка мира не проходила, правда было уже давно, ещё где то в 9 или 10. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 6 февраля, 2019 · Жалоба ну я и говорю, если попрыгать с бубном, завести можно все. но на 11 пока бубна скорее вообще на надо будет.. ну и да, для сборки вида маршрутизатор-нат, понятно что все это лишнее и оно соберется из коробки без проблем. Я про более специфичный и менее популярный софт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo_lynx Опубликовано 6 февраля, 2019 · Жалоба 14 часов назад, st_re сказал: ну про /boot/entropy чтото не попадалось, а вот что в 12 может стрельнуть, это openssl 1.1.1 в базе. Хорошо когда все с ним собирается... Если есть какойто не очень свежий софт, то может оказаться затруднительно его собрать без допиливания по этой части. И хорошо если он соберется с опенсслем не из базы и не начнет конфликтовать, ну для примера, с лдап авторизацией в паме.. ну тоесть оно конечно так или иначе решается, но в основном с бубном. Да и из портов там есть что с флагом BROKEN для 12.0 по этой же причине, что некому заточить старый софт под новый опенссл, а новых весрий пока (или вообще) нет. Понятно что со всем популярным там проблемы порешали, но бывает что нужно чуть менее популярное. Пока в 11.2, если где надо, опенссл из портов тот же 1.1.1 проще собрать, чем придумывать как где не надо собрать с понижением версии с 1.0.2 (ну для примера, цепочка, софт не собирается с 1.1.1, его собираем с 1.0.2, он зовет getent, там дергается openldap, тот собран с базовым 1.1.1, софт трапается. ОК, собираем опенлдап тоже с 1.0.2, тут уже трапается в sshd по той де причине. дальше ковырять пока нет желания, пока сидим, где тот софт нужен, на 11.2, ну или выкинуть лдап из схемы авторизации) Но это не фри специфик, опенссл 1.1.1 сейчас будет появляться в разных дистрибутивах. Понятно что пакетную базу причешут, но если есть чтото еще, то его тоже придется комуто причесать... А я словил Счастие на net-snmp. Как только поставил фрю 12.0, первым делом по старой привычке ставлю openssl из портов и в /etc/make.conf указываю, что всем пакетам юзать ssl из портов. Из портов решил же поставить версию "посвежее" - 1.1.1. Ну, встала. В итоге, при попытке поставить net-snmp меня послали далеко. Пришлось убрать портовую версию openssl111, возродив системную - в этом случае net-snmp автоматом подцепил патчик и поставился без проблем. Но теперь получается, что openssl проапгрейдить не выйдет. А тут ещё одна радость подоспела - скриптик тягания реестра РКН сказал, что сертификат не канает, ему не хватает какой-то GOST-библиотеки. Пришлось скрипт переносить на сервак, где ещё осталась openssl 1.0.2. Ну и вишенкой на торте оказалась msd-lite. Собирается без проблем и даже запускается, висит себе демоном, вроде как всё отлично. Но как только приходит первый же абонентский запрос - сервер тут же ребутится. В общем, от фри 12.0 впечатления как когда-то от виндовс 3.1 - запускаешь программку уже морально готовым к синему экрану... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 6 февраля, 2019 · Жалоба 6 минут назад, nemo_lynx сказал: ему не хватает какой-то GOST-библиотеки. Ранее алгоритмы были встроены, теперь вынесены во внешние библиотеки. Это не на FreeBSD, это вообще в openssl. Либо подключать внешние engines, либо для РКН держать старую версию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 6 февраля, 2019 · Жалоба GOST убрали. по мере обновления на 1.1.1 оно пропадет из всех ОС, где была его поддержка. Это явно не специфика фри.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 6 февраля, 2019 (изменено) · Жалоба Ага, с php5.6 и 7.1 они тоже отлично придумали. 20180905: AFFECTS: users of lang/php56 AUTHOR: tz@FreeBSD.org The default version of PHP has been switched from 5.6 to 7.1. If you use binary packages you should make a list of php packages before running 'pkg upgrade': # pkg info php5\* > ~/installed-php-ports-list After the upgrade, check with such list if all your php extensions are still installed, and reinstall them if needed. If you use mod_php56 you need to deinstall it and install mod_php71. Для тех кто portmaster использует больше давать рекомендации как переехать на новый php не нужно? Ну типа сами додумайте с portmaster -o и пр. Портмастеру крышу посносило, пока pkg delete -f не сделал...да и постоянно на какие то грабли наступаешь в портах, make reinstall так и поломали до сих пор. Perl до 5.28 дефолт сделали, nfsen теперь сломался. /usr/local/etc/rc.d/nfsen status Useless use of private array in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287. Useless use of a constant ("--imgformat") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287. Useless use of a constant ("PNG") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287. Useless use of a constant ("--title") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287. Useless use of a constant ("--vertical-label") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287. Useless use of a constant ("--start") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287. Useless use of a constant ("--end") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287. Useless use of a constant ("-w") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287. Useless use of a constant ("576") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287. Useless use of a constant ("-h") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287. Useless use of a constant ("200") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287. Useless use of private array in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287. Useless use of string in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287. Useless use of string in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287. Useless use of string in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287. Useless use of string in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287. Короче лишний раз трогать уже желания всё меньше и меньше ) Изменено 6 февраля, 2019 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 6 февраля, 2019 · Жалоба 1 час назад, alibek сказал: Либо подключать внешние engines, либо для РКН держать старую версию. Вот что за люди такие, нет чтобы взять и добавить к порту опцию чтобы он опенссл с этим сраным энжином мог собирать, нет, они будут ныть как всё плохо и сидеть на старье. Вообще там для госта уже есть опция, но она в разделе block ciphers, не факт что этого хватит для проверки подписи, может там один гост89. опенссл111 считается эксперементальным пока что, судя по названию порта. 18 минут назад, hsvt сказал: Портмастеру крышу посносило, пока pkg delete -f не сделал...да и постоянно на какие то грабли наступаешь в портах, make reinstall так и поломали до сих пор. Портмастер всё грозятся переписать, а так вообще выкинуть хотели при добавлении флаверсов, если бы я там возмущатся не начал то похоже пользователей других в рассылках и нет, все на пудреле сидят. Грабли не постоянно а периодически, портмастер не понимает что порт надо снести чтобы другое собралось. 25 минут назад, hsvt сказал: Ага, с php5.6 и 7.1 они тоже отлично придумали. Так а кто будет латать дыры в этом мусоре? У меня вон по работе джанга юзается, щас версия которая у нас устарела и снесена из портов, потому что апстрим больше её не суппортит. С пхп я вообще не понимаю в чём проблема, поставил последний и не паришься, даже мой говнокод почти не пришлось править под 7.1, а уж от нормальных людей типа маускуладмин и докувики и подавно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 6 февраля, 2019 (изменено) · Жалоба https://lists.freebsd.org/pipermail/freebsd-stable/2017-June/087245.html А с этим решилось что или нет? По умолчанию в GENERIC оно включено, options EARLY_AP_STARTUP и оно конфликтовало как то с pf... Про php я к тому, что почему теперь не пишут рекомендации для тех кто порты использует типа как раньше ?) Изменено 6 февраля, 2019 пользователем hsvt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 6 февраля, 2019 · Жалоба 1 минуту назад, hsvt сказал: А с этим решилось что или нет? По умолчанию в GENERIC оно включено, options EARLY_AP_STARTUP и оно конфликтовало как то с pf... Так а протестить никак? У меня ничего не конфликтовало, ядро не генерик, пф загружается уже после модулем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo_lynx Опубликовано 6 февраля, 2019 · Жалоба 4 часа назад, Ivan_83 сказал: Вообще там для госта уже есть опция, но она в разделе block ciphers, не факт что этого хватит для проверки подписи, может там один гост89. опенссл111 считается эксперементальным пока что, судя по названию порта. Ну, экспериментальная она только в названии порта. Это совсем не помешало включить её в состав системы. При этом в системном варианте таки нужного энжина нет, а с портовым вариантом не дружат многие же другие порты (net-snmp, ага). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 6 февраля, 2019 · Жалоба security/openssl1111 остался, потому, что еще жива 11 ветка. для 12 оно не имеет смысла, там эта же версия в базе. А -devel они снесли перед выходом FreeBSD12. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 7 февраля, 2019 · Жалоба Я за интимом в openssl не слежу, у меня с либрой периодически при мажорных обновлениях либры и реже опенссл что то ломается :) К сожалению тема не излечима, и есть ещё унылый форк от дудля - боринг, к счастью никому не нужный совсем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
efr2et Опубликовано 8 февраля, 2019 (изменено) · Жалоба Тоже столкнулся с такой же проблемой при сборке net-snmp. У меня Freebsd 12 и стоит openssl111. Пересобирать все пакеты с ssl=base было не охота. Основное обсуждение про проблему net-snmp и openssl 1.1.x идет на bugzilla - https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=228898. Но там еще не починили и есть проблемы при компиляцией с опцией TLS. Потом нашел такой патч для net-snmp в openSUSE - https://build.opensuse.org/package/view_file/openSUSE:Leap:15.0/net-snmp/net-snmp-5.7.3-build-with-openssl-1.1.patch?expand=0 Адатаптировал его для порта в FreeBSD 12. Собралось нормально с установленным портом openssl111. Пока работает. Makefile положить в /usr/ports/net-mgmt/net-snmp, а extra-patch-openssl11 в /usr/ports/net-mgmt/net-snmp/files. Старые навсякий случай сохранить. Makefile extra-patch-openssl11 Изменено 8 февраля, 2019 пользователем efr2et Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingvarrwvw Опубликовано 16 февраля, 2019 · Жалоба С почином ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...