Перейти к содержимому
Калькуляторы

Высокая нагрузка на проц FreBSD 8-PF-ALTQ помогите разобраться!

Ознакомься что делает вышеуказанная опция.

Детская болезнь боязни собственной неумелости, этим надо просто переболеть.

Все контролируемые мной сервера более или менее удалены, некоторые больше чем на 100км.

Есть общепринятые правила внесения изменений в файервол, читай маны, доки, материала достаточно и обязательно обкатывай всё на стенде.

Если уж чувствуешь свою неготовость - имей "удалённые руки".

Указанная функция включает правило по умолчанию 65535 deny from any to any

По остальному если ты такой идеальный что никогда не катаешься за 100 км потому что "ой все пропало" я тебе завидую

А у меня например биллинг управляет правилами ipfw и ежедневно необходимо добавлять изменять общие правила а иногда и обновлять систему. А после обновления может оказаться что синтаксис в rc.firewall самую чуточку изменился а net.inet.ip.fw.enable 1

У меня лично валидола бы не хватило так работать с сервером за 100 км.

Да не нужен валидол, написано же: "Есть общепринятые правила...", прояви любознательность.

Ещё одна детская болезнь, считаешь себя "первопроходимцем", FreeBSD придумана не сегодня и опыт накоплен порядочный.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да не нужен валидол, написано же: "Есть общепринятые правила...", прояви любознательность.

Ещё одна детская болезнь, считаешь себя "первопроходимцем", FreeBSD придумана не сегодня и опыт накоплен порядочный.

Просто нужно было объяснить автору топика что так можно делать только если ты на 100% уверен что не может быть никаких ошибок ни со стороны управляющего файрволом ПО ни со стороны админа.
Изменено пользователем denis_vid

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да не нужен валидол, написано же: "Есть общепринятые правила...", прояви любознательность.

Ещё одна детская болезнь, считаешь себя "первопроходимцем", FreeBSD придумана не сегодня и опыт накоплен порядочный.

Просто нужно было объяснить автору топика что так можно делать только если ты на 100% уверен что не может быть никаких ошибок ни со стороны управляющего файрволом ПО ни со стороны админа.

Именно так и никак иначе, "свой путь" - это хорошо, если ты уже прочувствовал каждую строчку в исходниках, а до этого - делай как в докак и будет тебе щастье. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Именно так и никак иначе, "свой путь" - это хорошо, если ты уже прочувствовал каждую строчку в исходниках, а до этого - делай как в докак и будет тебе щастье. :)
Не стоит так навязывать свое мнение) Автор топика вряд ли знает до байта как работает фря и вряд ли прочитал даже нужные ему маны иначе его бы здесь не было.

Включать правило по умолчанию для ipfw лично я не рекомендую никому и по вышеописанным мной причинам и потому что эт оне железка за 10-20-30 к$ а открытое! бесплатное! ПО которое никому ничего не должно и в котором регулярно находят и исправляют баги и еще потому что в случае непонятных процессов в сети траблшутинг затрудняется дропающим все что не прописано в конфиге ipfw. Если вы хотите что то фильтровать и знать что делайте это PIX-ом или ASA как это и описано в "правильных" с точки зрения дизайна сети доках) А что бы закрыть халявщикам доступ правильно достаточно двух строк закрывающих пользовательскую подсеть в конце списка правил а не и дропать все

Изменено пользователем denis_vid

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Указанная функция включает правило по умолчанию 65535 deny from any to any

Указанная фраза означает что у тебя "свой путь" во FreeBSD, путь проб и ошибок, фатальных ошибок.

Постарайся побольше читать доков и ПРОБОВАТЬ всё что прочёл на стенде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Указанная функция включает правило по умолчанию 65535 deny from any to any

Указанная фраза означает что у тебя "свой путь" во FreeBSD, путь проб и ошибок, фатальных ошибок.

Постарайся побольше читать доков и ПРОБОВАТЬ всё что прочёл на стенде.

Лучше не советуйте тогда ничего кроме как читать доки а вместо того чтобы в каждом посте умничать не по существу вы перестали бы советовать а если что то советуете то предупреждайте о последствиях

Человек по вашему совету перекомпилилировал ядро, перегрузил машину и счастлив что никто не сидит на халявву

А когда у него все отвалится и он скажет как же так вы ему просто ответите что надо было проверять на стенде и читать доки?

Изменено пользователем denis_vid

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IPFIREWALL_DEFAULT_TO_ACCEPT - ОТКЛЮЧАЕТ добавление "deny all from any to any", читая доки это можно выяснить, никто инфу не прячет.

Т.е. "Луиджи и компания" полагают(и абсолютно правильно делают), что если уж чел включил файрвол, то он это сделал осознанно, чтобы блокировать.

А вот для таких как ты предусмотрели "задний проход", но настоятельно не рекомендовали им пользоваться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IPFIREWALL_DEFAULT_TO_ACCEPT - ОТКЛЮЧАЕТ добавление "deny all from any to any", читая доки это можно выяснить, никто инфу не прячет.

Т.е. "Луиджи и компания" полагают(и абсолютно правильно делают), что если уж чел включил файрвол, то он это сделал осознанно, чтобы блокировать.

А вот для таких как ты предусмотрели "задний проход", но настоятельно не рекомендовали им пользоваться.

Спасибо вы думали я этого не знал?

Ответ был в контексте "отключить опцию" это понятно похоже всем кроме вас

И хамить не надо - вам все таки в мягкой форме указали что вы посоветовали глупость , просто признайте это

Или вы серьезно считаете что шейпер во фре должен выступать в качестве файрвола только потому что в ОС запрещающее правило стоит по умолчанию??

Видимо дискутировать бесполезно просто надеюсь что никто ваших советов не слушает

Изменено пользователем denis_vid

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А не пофигу ли?

Если нужно (или хочется) - включил, если не нужно (и нехочется) - выключил, у каждого свои подходы к постоению правил. Если понимаешь, что делаешь - в любом случае настроишь правильно, в не зависимости от наличия вышеописанной опции. В случае криворукости никакие рекомендации не помогут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Почитайте про ipf vs ipfw

Многое прояснится, подход принципиально разный, в ipf как раз ВКЛЮЧАЕТСЯ DEFAULT_TO_BLOCK

Я к тому, что прежде чем искать "свой путь", хорошо бы пройти по рекомендуемому, хотя бы 1(один) раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Почитайте про ipf vs ipfw

Многое прояснится, подход принципиально разный, в ipf как раз ВКЛЮЧАЕТСЯ DEFAULT_TO_BLOCK

Я к тому, что прежде чем искать "свой путь", хорошо бы пройти по рекомендуемому, хотя бы 1(один) раз.

Никто не спорит просто толкать в воду что бы научился плавать не мой метод

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если чел СРАЗУ не научится делать правильно, потом изменить подход крайне сложно.

Именно крепкий фундамент, с пониманием происходящего - залог долгой и безглючной работы серверов, особенно удалённых больше чем на 1 км.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Убедится что

 

net.inet.ip.fastforwarding: 1

 

 

netstat -s -p ip

235773 packets forwarded (107080 packets fast forwarded)

 

Цитата(Deac @ 30.9.2010, 8:40) *

Не использовать IPFIREWALL_DEFAULT_TO_ACCEPT

 

Это очень и очень глупо. Особенно если сервер где то там куда надо добираться.

Лучше one pass 1 и правила 65533 65534 запрещающие все что не попало выше в клиентских сетях

Я считаю, применительно к себе, что IPFIREWALL_DEFAULT_TO_ACCEPT - может дать меньше осложнений, нежели её отсутствие.

Изменено пользователем Ivan_83

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лично мне параноидальная опция приносила только кучу неудобств, чем пользы. Потому по мне лучше отрезать все запрещенное, чем колупаться с добавлением разрешающих правил при малейшем чихе.

Даже с соблюдением "Общепринятых" Рязанских правил были случаи отваливания консоли, а какое удовольствие работать с вышеупомянутыми правилами по какому-нибудь GPRS каналу из новозадрыщенска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"Параноидальная опция", или всё же "отсутствие параноидальной опции", или "параноидальное отсутствие опции" - уж определяйтесь. :)

Вот скажите мне, как художники - маляру, хэндбук то читали?

А вот сюда:

/usr/share/examples

заглядывали?

Или там только Рязанские правила?! ;)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Автору: http://onlamp.com/pub/a/bsd/2006/08/24/ipf...-firewalls.html - лучше так, да и при переносе на другое (Сisco например) оборудование с таким подходм - проблем будет меньше.

 

P.S> Нигде НЕ рекомендовано включать IPFIREWALL_DEFAULT_TO_DENY, на безопасноть системы и на другие функции firewall-а она существенно никак не влияет, но снижает удобство работы с ним.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы это ваше P.S. Рязанским коллегам объясните, а то они все к хендбукам посылают, да к скриптам подпорочным. Поди Мерседесы с БМВ только у официалов чинят ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гы! :)

Не хотел отвечать на столь явную чухню, но похоже уровень местной публики существенно ниже моих представлений об избравших BSD way.

Указанной опции вообще не существует. :)

А в опусе по ссылке присутствует строчка, кот. заставляет усомниться что речь идёт про like BSD. :)

Читайте хэндбук, набирайтесь опыта и не придётся стоять в очереди за бесплатной похлёбкой. ;)

Изменено пользователем Deac

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Угу, ЧЯДНТ?

 

00100 1322461232 279012119949 allow ip from table(3) to any

00200 2640026 239217372 allow ip from any to any via lo0

00300 8687802 415925933 allow ip from table(1) to me in

00400 67408122 5255689162 allow ip from me to any out

00500 577902348611 234878835668023 skipto 10000 ip from any to any in recv vlan2

00600 381720617272 256187664699168 skipto 15000 ip from any to any out xmit vlan2

00700 577317237602 234847034189555 skipto 20000 ip from any to any out xmit vlan5

00800 386769960395 256518138727615 deny ip from any to any

10000 1843509316 130220561639 deny ip from table(2) to any

10100 728548625 36475588484 deny tcp from any to any dst-port 135-139

10200 183731788 15693154206 deny udp from any to any dst-port 135-139

10300 1064141 263015428 deny udp from any 135-139 to any

10400 13411750 595891297 deny tcp from any 135-139 to any

10500 27567513 1156874078 deny tcp from any 445 to any

10600 1291272864 62084317094 deny tcp from any to any dst-port 445

10600 7345551 961176247 deny udp from any to any dst-port 111,513,1433-1434,2000-2002

10700 277582 13718164 deny tcp from any to any dst-port 111,160-162,513

10800 573807379936 234630926031081 allow ip from any to any

15000 182156170680 123044493551012 netgraph tablearg ip from any to table(40)

15100 5045401232 2510787670729 netgraph tablearg ip from any to table(10)

15200 13158192093 9018971133162 netgraph tablearg ip from any to table(15)

15300 5615356652 4281412909770 netgraph tablearg ip from any to table(20)

15400 14662550342 10751560831899 netgraph tablearg ip from any to table(25)

15500 21956164342 15542693840586 netgraph tablearg ip from any to table(30)

15600 22680171525 15565900328586 netgraph tablearg ip from any to table(35)

15700 116441987151 75468607054275 allow ip from any to any

20000 152367710327 59903709385063 netgraph tablearg ip from table(41) to any

20100 4038323532 547562069311 netgraph tablearg ip from table(11) to any

20200 11033205185 2096917684930 netgraph tablearg ip from table(16) to any

20300 5052903707 1148516140910 netgraph tablearg ip from table(21) to any

20400 12728467577 3204362328716 netgraph tablearg ip from table(26) to any

20500 21555684216 7973481431060 netgraph tablearg ip from table(31) to any

20600 22462795216 9183674984951 netgraph tablearg ip from table(36) to any

20700 348055383041 150781376636623 allow ip from any to any

65535 496881987 233833891921 allow ip from any to any

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гы! :)

Не хотел отвечать на столь явную чухню, но похоже уровень местной публики существенно ниже моих представлений об избравших BSD way.

Указанной опции вообще не существует. :)

А в опусе по ссылке присутствует строчка, кот. заставляет усомниться что речь идёт про like BSD. :)

Читайте хэндбук, набирайтесь опыта и не придётся стоять в очереди за бесплатной похлёбкой. ;)

Просветите дремучих чухонцев - какое значение по хэндбуку имеет опция IPFIREWALL_DEFAULT_TO... по умолчанию

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да по сути никакого, кому как удобнее, тот так и юзает, на вкус и цвет, как говорится... Просто кому-то из славного города Рязани хочется подоказывать коллегам что якобы надо так, и именно так, иначи это получится колхоз и совсем не тру...

Вы почитайте тематические автофорумы, там тоже много подобных товарищей, из серии - светодиод вместо лампочки вкрутил - колхоз, не тру и все в таком духе.

Вот также и тут, если типа я не юзаю параноидальную опцию и скрипт change_rules из вышеупомянутых share/examples, значит я яростный колхозник фряхи :)

Изменено пользователем dsk

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да по сути никакого, кому как удобнее, тот так и юзает, на вкус и цвет, как говорится...
Я думаю что опытный специалист по из города Рязань если сказал "А", должен сказать и "Б" т.е. объяснить нам заблудившимся в неведении без стенда и хэндбука - существует или нет в природе IPFIREWALL_DEFAULT_TO_DENY или нет. Т.е. подразумевает ли отсутствие в конфигурационном файле ядра что значения не существует.

Крайне важно знать мнение гуру.

Изменено пользователем denis_vid

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто кому-то из славного города Рязани хочется подоказывать коллегам что якобы надо так, и именно так, иначи это получится колхоз и совсем не тру...

Вы почитайте тематические автофорумы, там тоже много подобных товарищей, из серии - светодиод вместо лампочки вкрутил - колхоз, не тру и все в таком духе.

Вот также и тут, если типа я не юзаю параноидальную опцию и скрипт change_rules из вышеупомянутых share/examples, значит я яростный колхозник фряхи :)

У меня лично впечатление что человек не знаком с практической стороной вопроса.
Изменено пользователем denis_vid

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

grep -r "IPFIREWALL_DEFAULT_TO_" /usr/src/sys

/usr/src/sys/conf/NOTES:# IPFIREWALL_DEFAULT_TO_ACCEPT causes the default rule (at boot) to

/usr/src/sys/conf/NOTES:options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by default

/usr/src/sys/conf/options:IPFIREWALL_DEFAULT_TO_ACCEPT opt_ipfw.h

/usr/src/sys/modules/ipfw/Makefile:#CFLAGS+= -DIPFIREWALL_DEFAULT_TO_ACCEPT

/usr/src/sys/netinet/ipfw/ip_fw2.c:#ifdef IPFIREWALL_DEFAULT_TO_ACCEPT

 

 

/usr/src/sys/netinet/ipfw/ip_fw2.c

#ifdef IPFIREWALL_DEFAULT_TO_ACCEPT

static int default_to_accept = 1;

#else

static int default_to_accept;

#endif

....

....

SYSCTL_INT(_net_inet_ip_fw, OID_AUTO, default_to_accept, CTLFLAG_RDTUN,

&default_to_accept, 0,

"Make the default rule accept all packets.");

TUNABLE_INT("net.inet.ip.fw.default_to_accept", &default_to_accept);

....

....

/* fill and insert the default rule */

rule->act_ofs = 0;

rule->rulenum = IPFW_DEFAULT_RULE;

rule->cmd_len = 1;

rule->set = RESVD_SET;

rule->cmd[0].len = 1;

rule->cmd[0].opcode = default_to_accept ? O_ACCEPT : O_DENY;

chain->rules = chain->default_rule = chain->map[0] = rule;

chain->id = rule->id = 1;

 

grep -r "IPFW_DEFAULT_RULE" /usr/src/sys

/usr/src/sys/netinet/ip_fw.h:#define IPFW_DEFAULT_RULE 65535

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гуру из города пирогов с глазами возможно хотел указать на тот факт, что за время между стартом сети и загрузкой правил фаервола машинка беззащитна. Вот у Dm1try, к примеру, до дефолтного(разрешающего) правила долетело немножко пакетов. Скипту никаких там нету, которые могли бы пропустить трафик именно к дефолтному правилу.

В фидоэхах в свое время были срачи по поводу дефолтного правила. Аргументация была вида "успеют установиться нежелательные соединения, которые фаервол с keep-state правилами не отрежет. Потому как они уже установились. А с дефолт-правилом deny они не смогут установиться".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.