[snvoronkov]

51 минуту назад, alibek сказал:

В pf очень красивые и удобные для использования правила. Намного удобнее, чем iptables. Плюс переменные, списки, использование интерфейсов в скобках и т.п.

Но насколько я помню, он однопоточный и для большой нагрузки неприменим.

Уже нет. Многопоточен.

 

Очень удобен, да. Но по работе NAT, общему функционалу ему до iptables очень далеко.

[gcxc.net]

50 минут назад, s.lobanov сказал:

но в pf и ipfw всегда был тормозной NAT

Да, это давно уж было. Начиная с 8-ки вроде, ядрёный нат вполне себе шустрый.

 

[jffulcrum]

В крававом ытерпрайзе до сих пор попадаются сервера с чем-нибудь вроде 4.3, 5.1, у одного клиента пол-интрасети на тазиках с шестерками кряхтит...

[Ivan_83]

11 часов назад, s.lobanov сказал:

Ну хз на счёт geom, всё что он умеет есть в линуксах (и рейд и шифрование и что он ещё умеет)

Я хз как линуксах, но на геоме легко и единообразно собираются всякие нетривиальные конструкции, типа вот тут два диска а тут один и один как то по сети, а сверху они страйп/конкат, а поверх шифрование, а а ещё выше кеш поставим и эту хрень ещё куда то можно прикрутить как элемент.

Короче это тот же нетграф только для дисков, единственное что я не видел модулей для модификации контента, не считая сжатия.

 

11 часов назад, s.lobanov сказал:

Netgraf - конечно, это красиво, но реальные юзкейсы (свитчинг, роутинг и всякие тунели) решаются в линуксах стандартными средствами. Ну т.е. сложно вообразить кейсы когда нетграф является киллерфичей

У нас кастомный нетграф модуль для работы с арп. Ещё я делал модуль нетграфа для детекта uTP. Его до сих пор можно собрать и юзать - апи стабилен.

Нетграф позволяет ещё и модифицировать контент и делать матчинги хитрые - на основе бпф, а потом выстраивать логику по пересылке/модификации.

Линукс может большинство стандартных и не очень юзкейсов, но когда требуется нечто особенное это к нетграфу.

 

2 часа назад, NiTr0 сказал:

а что, убунту кто-то использует на серверах?

А что в этом плохого?)

Я юзаю и знаю много людей кто юзает убунту сервер. Встречались извращенцы даже с иксами на сервере %)

[s.lobanov]

57 минут назад, jffulcrum сказал:

В крававом ытерпрайзе до сих пор попадаются сервера с чем-нибудь вроде 4.3, 5.1, у одного клиента пол-интрасети на тазиках с шестерками кряхтит...

да там и солярку можно встретить и всё что угодно (не удивлюсь встретить и win2000) . потому что все понимают, что апгрейд ОС на которой крутится куча проприетарщины (а иногда и самописной хрени с потерянными исходниками) это риск

[jffulcrum]

Да там ничего особенного в этих серверах...GIF/Racoon, просто переделывать - это время и деньги, да и начальству не до того, стопятсотая переделка внутреннего сайта в Битриксе куда важней. К слову, тазики HP еще Gen5...святым духом работают!

[polmax]

В 02.02.2019 в 20:27, default_vlan сказал:

Подскажите, как обновить фриху с 10.3 до 12 версии. 

Не советую обновляться до 12 версии, есть шанс словить: can't find '/boot/entropy'. Лучше всего устанавливать с нуля и на новый диск, если в случае чего вернуть старый диск на место, так как есть шанс что и с нуля 12 версия не взлетит, что-то они там с загрузчиком перемудрили, хотя патчи вроде уже есть, но не в релизе. Поставьте 11.2, у него вроде поддержка до 2021 года, а к тому времени уже и 12 допилят :)

 

freebsd-update -r 11.2-RELEASE upgrade

 

Изменено 5 февраля, 2019 пользователем polmax

[Ivan_83]

59 минут назад, polmax сказал:

Не советую обновляться до 12 версии, есть шанс словить

Обновлялся пересборкой, ничего такого и близко не было.

На самом деле проблем было меньше, чем при обновлении до 11.

 

59 минут назад, polmax сказал:

can't find '/boot/entropy'

touch /boot/entropy

dd if=/dev/random of=/boot/entropy bs=4096 count=1

[st_re]

ну про /boot/entropy чтото не попадалось, а вот что в 12 может стрельнуть, это openssl 1.1.1 в базе. Хорошо когда все с ним собирается... Если есть какойто не очень свежий софт, то может оказаться затруднительно его собрать без допиливания по этой части. И хорошо если он соберется с опенсслем не из базы и не начнет конфликтовать, ну для примера, с лдап авторизацией в паме.. ну тоесть оно конечно так или иначе решается, но в основном с бубном. Да и из портов там есть что с флагом BROKEN для 12.0 по этой же причине, что некому заточить старый софт под новый опенссл, а новых весрий пока (или вообще) нет. Понятно что со всем популярным там проблемы порешали, но бывает что нужно чуть менее популярное. Пока в 11.2, если где надо, опенссл из портов тот же 1.1.1 проще собрать, чем придумывать как где не надо собрать с понижением версии с 1.0.2

 (ну для примера,  цепочка, софт не собирается с 1.1.1, его собираем с 1.0.2, он зовет getent, там дергается openldap, тот собран с базовым 1.1.1, софт трапается. ОК, собираем опенлдап тоже с 1.0.2, тут уже трапается в sshd по той де причине. дальше ковырять пока нет желания, пока сидим, где тот софт нужен, на 11.2, ну или выкинуть лдап из схемы авторизации)

 

Но это не фри специфик, опенссл 1.1.1 сейчас будет появляться в разных дистрибутивах. Понятно что пакетную базу причешут, но если есть чтото еще, то его тоже придется комуто причесать...

[Ivan_83]

Да ладно, у меня даже на десктопе вот прям щас сломано только u-boot и virtualbox-oss, притом последний аж в двух местах, одно из которых ssl. И это из ~700 портов.

Юзаю libressl из портов, опенссш тоже из портов почти все опции отключены, который был в базе - выпилил. опенссл из базы я бы тоже выпилил, но на него много чего в самом системе завязано, последний раз когда пробовал сборка мира не проходила, правда было уже давно, ещё где то в 9 или 10.

[st_re]

ну я и говорю, если попрыгать с бубном, завести можно все. но на 11 пока бубна скорее вообще на надо будет..

 

ну и да, для сборки вида маршрутизатор-нат, понятно что все это лишнее и оно соберется из коробки без проблем. Я про более специфичный и менее популярный софт.

[nemo_lynx]

14 часов назад, st_re сказал:

ну про /boot/entropy чтото не попадалось, а вот что в 12 может стрельнуть, это openssl 1.1.1 в базе. Хорошо когда все с ним собирается... Если есть какойто не очень свежий софт, то может оказаться затруднительно его собрать без допиливания по этой части. И хорошо если он соберется с опенсслем не из базы и не начнет конфликтовать, ну для примера, с лдап авторизацией в паме.. ну тоесть оно конечно так или иначе решается, но в основном с бубном. Да и из портов там есть что с флагом BROKEN для 12.0 по этой же причине, что некому заточить старый софт под новый опенссл, а новых весрий пока (или вообще) нет. Понятно что со всем популярным там проблемы порешали, но бывает что нужно чуть менее популярное. Пока в 11.2, если где надо, опенссл из портов тот же 1.1.1 проще собрать, чем придумывать как где не надо собрать с понижением версии с 1.0.2

 (ну для примера,  цепочка, софт не собирается с 1.1.1, его собираем с 1.0.2, он зовет getent, там дергается openldap, тот собран с базовым 1.1.1, софт трапается. ОК, собираем опенлдап тоже с 1.0.2, тут уже трапается в sshd по той де причине. дальше ковырять пока нет желания, пока сидим, где тот софт нужен, на 11.2, ну или выкинуть лдап из схемы авторизации)

 

Но это не фри специфик, опенссл 1.1.1 сейчас будет появляться в разных дистрибутивах. Понятно что пакетную базу причешут, но если есть чтото еще, то его тоже придется комуто причесать...

А я словил Счастие на net-snmp.

Как только поставил фрю 12.0, первым делом по старой привычке ставлю openssl из портов и в /etc/make.conf указываю, что всем пакетам юзать ssl из портов. Из портов решил же поставить версию "посвежее" - 1.1.1. Ну, встала. В итоге, при попытке поставить net-snmp меня послали далеко. Пришлось убрать портовую версию openssl111, возродив системную - в этом случае net-snmp автоматом подцепил патчик и поставился без проблем. Но теперь получается, что openssl проапгрейдить не выйдет.

А тут ещё одна радость подоспела - скриптик тягания реестра РКН сказал, что сертификат не канает, ему не хватает какой-то GOST-библиотеки. Пришлось скрипт переносить на сервак, где ещё осталась openssl 1.0.2.

Ну и вишенкой на торте оказалась msd-lite. Собирается без проблем и даже запускается, висит себе демоном, вроде как всё отлично. Но как только приходит первый же абонентский запрос - сервер тут же ребутится.

В общем, от фри 12.0 впечатления как когда-то от виндовс 3.1 - запускаешь программку уже морально готовым к синему экрану...

[alibek]

6 минут назад, nemo_lynx сказал:

ему не хватает какой-то GOST-библиотеки.

Ранее алгоритмы были встроены, теперь вынесены во внешние библиотеки.

Это не на FreeBSD, это вообще в openssl.

Либо подключать внешние engines, либо для РКН держать старую версию.

[st_re]

GOST убрали. по мере обновления на 1.1.1 оно пропадет из всех ОС, где была его поддержка. Это явно не специфика фри..

[hsvt]

Ага, с php5.6 и 7.1 они тоже отлично придумали. 

20180905:
  AFFECTS: users of lang/php56
  AUTHOR: tz@FreeBSD.org

  The default version of PHP has been switched from 5.6 to 7.1.

  If you use binary packages you should make a list of php packages
  before running 'pkg upgrade':

  # pkg info php5\* > ~/installed-php-ports-list

  After the upgrade, check with such list if all your php extensions
  are still installed, and reinstall them if needed.

  If you use mod_php56 you need to deinstall it and install mod_php71.

Для тех кто portmaster использует больше давать рекомендации как переехать на новый php не нужно? Ну типа сами додумайте с portmaster -o и пр.

 

 

Портмастеру крышу посносило, пока pkg delete -f не сделал...да и постоянно на какие то грабли наступаешь в портах, make reinstall так и поломали до сих пор.

 

Perl до 5.28 дефолт сделали, nfsen теперь сломался.

 

/usr/local/etc/rc.d/nfsen status
Useless use of private array in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287.
Useless use of a constant ("--imgformat") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287.
Useless use of a constant ("PNG") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287.
Useless use of a constant ("--title") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287.
Useless use of a constant ("--vertical-label") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287.
Useless use of a constant ("--start") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287.
Useless use of a constant ("--end") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287.
Useless use of a constant ("-w") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287.
Useless use of a constant ("576") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287.
Useless use of a constant ("-h") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287.
Useless use of a constant ("200") in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287.
Useless use of private array in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287.
Useless use of string in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287.
Useless use of string in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287.
Useless use of string in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287.
Useless use of string in void context at /usr/local/libexec/nfsen/NfSenRRD.pm line 287.

Короче лишний раз трогать уже желания всё меньше и меньше )

Изменено 6 февраля, 2019 пользователем hsvt

[Ivan_83]

1 час назад, alibek сказал:

Либо подключать внешние engines, либо для РКН держать старую версию.

Вот что за люди такие, нет чтобы взять и добавить к порту опцию чтобы он опенссл с этим сраным энжином мог собирать, нет, они будут ныть как всё плохо и сидеть на старье.

Вообще там для госта уже есть опция, но она в разделе block ciphers, не факт что этого хватит для проверки подписи, может там один гост89.

опенссл111 считается эксперементальным пока что, судя по названию порта.

 

18 минут назад, hsvt сказал:

Портмастеру крышу посносило, пока pkg delete -f не сделал...да и постоянно на какие то грабли наступаешь в портах, make reinstall так и поломали до сих пор.

Портмастер всё грозятся переписать, а так вообще выкинуть хотели при добавлении флаверсов, если бы я там возмущатся не начал то похоже пользователей других в рассылках и нет, все на пудреле сидят.

Грабли не постоянно а периодически, портмастер не понимает что порт надо снести чтобы другое собралось.

 

25 минут назад, hsvt сказал:

Ага, с php5.6 и 7.1 они тоже отлично придумали.

Так а кто будет латать дыры в этом мусоре?

У меня вон по работе джанга юзается, щас версия которая у нас устарела и снесена из портов, потому что апстрим больше её не суппортит.

С пхп я вообще не понимаю в чём проблема, поставил последний и не паришься, даже мой говнокод почти не пришлось править под 7.1, а уж от нормальных людей типа маускуладмин и докувики и подавно.

[hsvt]

https://lists.freebsd.org/pipermail/freebsd-stable/2017-June/087245.html

 

А с этим решилось что или нет? По умолчанию в GENERIC оно включено, options  EARLY_AP_STARTUP и оно конфликтовало как то с pf...

 

Про php я к тому, что почему теперь не пишут рекомендации для тех кто порты использует типа как раньше ?)

Изменено 6 февраля, 2019 пользователем hsvt

[Ivan_83]

1 минуту назад, hsvt сказал:

А с этим решилось что или нет? По умолчанию в GENERIC оно включено, options  EARLY_AP_STARTUP и оно конфликтовало как то с pf...

Так а протестить никак?

У меня ничего не конфликтовало, ядро не генерик, пф загружается уже после модулем.

[nemo_lynx]

4 часа назад, Ivan_83 сказал:

Вообще там для госта уже есть опция, но она в разделе block ciphers, не факт что этого хватит для проверки подписи, может там один гост89.

опенссл111 считается эксперементальным пока что, судя по названию порта.

Ну, экспериментальная она только в названии порта. Это совсем не помешало включить её в состав системы. При этом в системном варианте таки нужного энжина нет, а с портовым вариантом не дружат многие же другие порты (net-snmp, ага).

[st_re]

security/openssl1111 остался, потому, что еще жива 11 ветка. для 12 оно не имеет смысла, там эта же версия в базе. А -devel они снесли перед выходом FreeBSD12.

[Ivan_83]

Я за интимом в openssl не слежу, у меня с либрой периодически при мажорных обновлениях либры и реже опенссл что то ломается :)

К сожалению тема не излечима, и есть ещё унылый форк от дудля - боринг, к счастью никому не нужный совсем.

[efr2et]

Тоже столкнулся с такой же проблемой при сборке net-snmp. У меня Freebsd 12 и стоит openssl111. Пересобирать все пакеты с ssl=base было не охота.

Основное обсуждение про проблему net-snmp и openssl 1.1.x  идет на bugzilla - https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=228898.

Но там еще не починили и есть проблемы при компиляцией с опцией TLS.

Потом нашел такой патч для net-snmp  в openSUSE - https://build.opensuse.org/package/view_file/openSUSE:Leap:15.0/net-snmp/net-snmp-5.7.3-build-with-openssl-1.1.patch?expand=0

Адатаптировал его для порта в FreeBSD 12. Собралось нормально с установленным портом openssl111.  Пока работает.

 

Makefile положить в /usr/ports/net-mgmt/net-snmp, а extra-patch-openssl11 в /usr/ports/net-mgmt/net-snmp/files. Старые навсякий случай сохранить.

 

Makefile

extra-patch-openssl11

Изменено 8 февраля, 2019 пользователем efr2et

[ingvarrwvw]

С почином )