[Alex/AT]

И это...костылём можно называть и ваше линуксовое шейпирование tc, никак не связываемое с iptables.

CLASSIFY (и в прошлом - fwmark) отменили? CLASSIFY - самый правильный метод. Шейперу шейперово, а классификацию можно делать средствами iptables.

Изменено 6 февраля, 2012 пользователем Alex/AT

[^rage^]

Да-да, конечно. Расскажите-ка нам аналог команды ipfw add nat tablearg from 'table(1)' to any out, с помощью которой можно отправлять в различный kernel nat ip-адреса с соотвествующими аргументами из таблицы.

заводим n наборов ipset по числу вариантов nat. дальше продолжать? аргумент про tablearg имел бы смысл с пайпами.

но если уж так это надо, можно поставить ipfw на linux.

 

 

Да всем как-то нафиг не надо тащить expire в основной код. Если считаете, что это не так, предложите в рассылке. Мне лично пофиг.

ну хорошо. допустим, expiration лишний, да.

но в ipfw table можно хранить только ip адреса сетей.

 

в ipset же есть:

Supported set types:
   list:set
   hash:ip,port,net
   hash:ip,port,net
   hash:ip,port,ip
   hash:ip,port
   hash:net,iface
   hash:net,port
   hash:net,port
   hash:net
   hash:net
   hash:ip
   bitmap:port
   bitmap:ip,mac
   bitmap:ip

и почти всё поддерживает expiration.

[^rage^]

это линагзайды-то будут фряшникам рассказывать про блокировки имея в своем линагзе сплошные гайнт локи ? :D

 

kernel_lock()/kernel_unlock() убрали из ядра в 2.6.39, т.к. стало не нужно.

ранее можно было собрать ядро без BKL(2.6.38 у меня без него уже было собрано).

А в это время, в 8-STABLE:

 

# egrep -r 'DROP_GIANT|PICKUP_GIANT|VFS_LOCK_GIANT|VFS_UNLOCK_GIANT' /usr/src/* | wc -l
    683

[^rage^]

 

а теперь этот вариант с pf попробуйте подружить с netgraph/ipfw

например, отключать пользователю интернет, когда он начнёт сканировать порты/потребит N мегабайт трафика итп.

 

PF не требуется совмещать с ipfw для вышеописанной задачи, у него из коробки всё есть:

 

#Antispam
table <spamers> persist
pass in on $int_if proto tcp from any to any port smtp flags S/SAFR keep state \
               (max-src-conn 15, max-src-conn-rate 15/30, overload <spamers> flush global)
block return-icmp (host-prohib) log quick proto tcp from <spamers> to any port smtp

 

Если хочется большего, то можно тегировать пакеты и отправлять их далее в netgraph с выходом в ipfw (хотя на мой взгляд, это уже смахивает на серьёзное извращение)

о, а вот как раз покажите пример с pf & ng_tag ;) с учётом того, что теги в ipfw/netgraph - это числа и они постоянны, а в pf - это имена и при загрузке правил в ядро pfctl компилирует их в номера mbuf-тэгов. т.е. каждый раз загружая правила эти номера меняются(что совершенно не страшно в рамках pf, но боль для всей остальной сетевой подсистемы).

 

это не учитывая проблем с производительностью pf(мы же помним, что он работает только 1 ядре). и чем сложнее у нас конфигурация, тем раньше мы столкнемся с тем, что одного ядра будет совсем не хватат.

 

И еще о производительности: giant-локов в freebsd нет в ip-стэке, но есть в драйверах сетевых устройств. большинстволоков в vfs/ipc/fs.

 

я повторял нашумевший тест с sysbench mysql oltp(когда нашли проблемы в аллокаторе glibc) на двухпроцессорном quad core xeon(nehalem) и 12Гб памяти.

в зачёте на mysql 5.1 принимали участие 8.2-release & ubuntu с ядром 3.0. на ro-тесте(оригинальный вариант) freebsd проигрывает linux ~ 10-17%.

если же делать rw - там отставание куда более значительное на уровне десятков процентов. тест делал на ufs2+su & ext4, но т.к. база целиком умещалась в память врядли это имело существенное влияние на результаты.

[Ivan_83]

а что еще кроме ng_patch?

 

Да простит меня ТС: http://imax.in.ua/ng_mikrotik_eoip/

 

На форуме публиковали какую то ноду для IPoE года или два назад, за последний год я себе две ноды нацарпал для собственного использования - в порты мало попадает а в систему ещё меньше.

 

ng_terredo есть давно, но лежит только на своём сайте.

 

сходу я такого не назову, да. если что-то более-менее стандартное - хватит штатных возможностей(причём, как на L2, так и на L3). в вашем же примере с мультикастом вы сами наедеетесь, что последующая обработка пакета пересчитает ему контрольную сумму после ng_patch

 

Пересчёт csumm касался контекста: заменить src IP в пакетах идущих провайдеру. Для замены VID ничего пересчитывать не нужно - адаптер сам всегда считает для эзернет фреймов.

 

надеюсь, вы понимаете, что ваш вариант - это "грязный хак" вместо полноценной реализации?

 

Хак - пожалуй, грязный - не согласен. Оно ничего не ломает, в системе ничего не модифицируется, работает в ядре на предельной скорости, полностью понятно и управляемо.

 

Буть это софтина на перле или "макетный патч ядра на скорую руку" тогда грязный.

 

 

[Ivan_83]

А в это время, в 8-STABLE:

 

Вы грепом комменты ещё отсеивали в коде, поучили бы меньше. )

 

И еще о производительности: giant-локов в freebsd нет в ip-стэке, но есть в драйверах сетевых устройств. большинстволоков в vfs/ipc/fs.

 

Смотрел в 9.0 - в драйверах сетевых не нашёл.

 

 

[evil-man]

Кстати она умеет патчить пакеты на ходу, например номер влана может поменять. У линуксов такое чем делается?

У линуксов это делается в tc actions. Называется это действие pedit и позволяет менять любые байты пакета. Вешается, как и другие действия tc, непосредственно на фильтр, так что может применяться к отдельным классам трафика. Да, синтаксис майндфачный для тех, кто привык к фряхе :) Действия tc можно выстраивать в цепочку через пайпы. Имеется также действие ipt и несколько других, суммарных возможностей которых хватит с головой.

Изменено 6 февраля, 2012 пользователем evil-man

[pfexec]

Самому понятно, что сказал ? Или изволите все роутить ?

изволю недопускать петель.

К слову задачу с задержкой я свое время решил, на чем сейчас лабаю бабло

лолшто ? теперь задержка меньше стала ? вы вкурсе что эти задержки обусловлены временем прохождением сигнала с земли до спутника, потом до земли и обратно ?

Есть техзадача, а вы начинаете рассусоливать, какой спутниковый интернет херовый. Кстати классический признак FreeBSD-шников, когда их припирает в угол кастрированность их системы, начинается демагогия, что клиент сам не понимает, что ему нужно и то, да сё, и вообще клиент говно.Про то, какое оно говно расскажите тем, кто работает в пустынях, в тайге, и даже просто на судах и самолетах, у них и альтернатив нет, и не будет.

вы так любите передергивать. вам как в случае дискусси про софтовоый форвардинг жуноса, уже десять раз было сказано про altq/hsfc в freebsd, которая позволяет делает всё тоже самое что и вам ычтибе. но вы словно дерево, не слышете или не желаете слышать того что вам уже несколько раз сказали. да, это действительно удобно для вас. ну а то что интернет через спутники говно лучше меня вам расскажут пользователи этого интернета. как вы правильно заметили им пользуются не из-за того что он о***нен, а из-за отстутствия выбора. поэтому его недостатки надо принять и жить дальше. что собсенно они и делают. и я не говорил что клиент говно, потому что говно не может платить деньги. клиента мы все очень любим, потому что без него ни мы, ни хрюниксы с цисками не нужны. вы пытаетесь доказать что имея полосу в N bps есть разница между тем как её и чем нарезать и отдавать клиенту, совершенно забывая о том что везде этот процесс сводится к одинаковому набору действий: матчингу нужных пакетов, ограничение полосу по какому-то условию. как уже было сказано, динамическое распределение полосы между разными очередями во freebsd делается в altq без особых проблем. более того в связке с dummynet можно делать довольно интересные иерархические вещи. но это всё не меняет того факта что канал спутникового интернета говно и какие прокладки не суй, лучше он от этого не станет.

Так в этом-то то и дело, что как только не маршрутизаторы, так облом ))

А что тут не понятного, расцвет FreeBSD - 1999 год или около того, сейчас по инерции что-то делается, но перспективы никакой.

а в чем проблема не маршрутизаторов ? не у меня одного на freebsd работают довольно ответственные вещи, у коллег еще и с замашкой на "хайлоад" есть. и всё гораздо лучше чем могло бы быть на линагзах. в чем проблема ? в том что линагзойды начитались тестов на лоре ? ну так это сугубо ваши проблемы.

 

о перспективах, за последние лет пять, как уже говорилось, в линагзе ничего не появилось. лишь дежурное обновление драйверов. фря за этот же период гораздо больше эволюционировала и продолжает. на подходе новая система пакаджей, новая система запуска системных служб, ваша любимая виртуализация тоже да. хотя конечно смотря что считать за "перспективу", если за это считать количество религиозных рабов, то конечно, тут фрибсд проигрывает. а если считать потенциал технологического развития и задел на будущее, то всё получается наоборот: линагз - анахронизм, фрибсд - светлое будущее.

По личному опыту, PF на спутниках ну совсем не торт.

по такому же личному опыту: не вижу разницы между фряхой, линагзом или деревянной циской на спутниковом линке.

Был патч kern/80642, реализующий это. Однако был закрыт самим же автором по причине:

всё правильно. потому что он не нужен. не надо АСР (биллинг) пихать в фаервол.

Опять песни "мне не нужно, значит это полная херня и не нужно никому!", Оранж смотрит на тебя как на удобрение. Среднего пошиба спутнковый оператор с парой тысяч клиентов поднимает денег в разы больше, чем езернетчики с десятками тысяч. И клиентяы этих операторов готовы платить деньги за то, что бы было доступно и в далеких ебенях, и чтобы сервис был качественным (без противоречия законам физики).

смотря что считать "качеством". низкие задержки они не смогут дать в любом случае. ну а в остальном да, мегабит можно качать. только не надо забывать сколько стоит мегабит гарантии у спутникового оператора и сколько стоит 10 мегабит не гарантии в домушней сети и посмотреть в чем у них разница.

[lagman]

У линуксов это делается в tc actions

Шейпером менять пакеты это пять!

[taf_321]

лолшто ? теперь задержка меньше стала ? вы вкурсе что эти задержки обусловлены временем прохождением сигнала с земли до спутника, потом до земли и обратно ?

 

А вот "лол-то". Это может быть в мире фри все так грустно, но во всем остальном мире технологи развиваются. И компенсировать временные задержки для tcp на спутниковых каналах умеют уже многие поставщики SAT-оборудования.

 

а в чем проблема не маршрутизаторов ? не у меня одного на freebsd работают довольно ответственные вещи, у коллег еще и с замашкой на "хайлоад" есть.

 

Именно поэтому фряха может похвастать небывалыми масштабами инсталляций в датацентрах. До-до.

 

о перспективах, за последние лет пять, как уже говорилось, в линагзе ничего не появилось. лишь дежурное обновление драйверов. фря за этот же период гораздо больше эволюционировала и продолжает. на подходе новая система пакаджей, новая система запуска системных служб, ваша любимая виртуализация тоже да. хотя конечно смотря что считать за "перспективу", если за это считать количество религиозных рабов, то конечно, тут фрибсд проигрывает. а если считать потенциал технологического развития и задел на будущее, то всё получается наоборот: линагз - анахронизм, фрибсд - светлое будущее.

 

Этопять! Во фре запилят пакетный менеджер! Второе десятилетие третьего тысячелетия!

 

Вас не смущает тот момент, что в линухе пакетных менеджеров под все возможные вариации потребностей еще в прошлом тысячелетии было наваяно вагон и тележка? Новая система запуска системных служб. Ахренеть! Про systemd в следующей Федоре мы говорить не будем. Виртуализация! Блин, тут даже у винды на корпоративном рынке и то перспектив больше.

 

Дядьку, вот все, что вы описали, фря "на подходе" пытается наверстать то, что линух прошел давным-давно. Вот как журналируемые ФС. В мире линуха это ужа такая обыденность, что народ воспринимает это как должное, но у фрюшников это новость! Когда будем читать восторженные посты про повялении таки во фряхе кластерных ФС? :)

 

в чем у них разница.

 

Разница в готовности клиентов платить эти суммы. Домушнику сейчас клиент и за 10М платить 1000р жмется, впаривай ты ему хоть 5 девяток, хоть 9. А спутниковым операторам постоянно ресурса не хватает, чтобы всех желающих обслужить, не смотря на конские ценники. Вот такой дуализм.

 

Шейпером менять пакеты это пять!

 

Шейпить фильтром этодесять! :)

[lagman]

Шейпить фильтром этодесять! :)

Тащемта шейпит dummynet, в который передаются пакеты из фильтра. Можно и в altq передавать, если есть желание.

[Ivan_83]

Блин, тут даже у винды на корпоративном рынке и то перспектив больше.

Сказки.

Винду вытесняют на десктопах/ноутах линуксы, сверху давят всякие браузерные веб приложения, заменяя "рич" клиентов под винду.

На серверах она изначально имела не много возможностей и настолько же и распространена.

Учитывая как мс херит свои же технологии, бизнес на них тоже смотрит с опаской, у кого горизонт планирования больше 5 лет.

 

Линукс конечно получше намного, чем винда, но с ядерными вещами там сложно закладываться на долго. Плюс сейчас нарастут куча админов в стиле виндовых эникеев и цена линукс спеца упадёт, потому что обычному человеку трудно отличить эникея от действительно спеца. И куча дистрибутивов с немного разными идеологиями не способствую росту понимания порядка в голове.

[taf_321]

Учитывая как мс херит свои же технологии, бизнес на них тоже смотрит с опаской, у кого горизонт планирования больше 5 лет.

 

Ах вот для чего МС решила запилить свой дистрибутив! А пацаны-то все умилялись всем этим ужимкам с get-the-facts'ами, а дело оказывалось в латентном линуксизме БГ, и вот его наконец-то прорвало :))))

[Картуччо]

Винду вытесняют на десктопах/ноутах линуксы

Что-то не видно никакого вытеснения, как была винда везде, так она и есть.

Можно конкретные примеры вытеснения ? (компания/учреждение, количество работающих)

Конкретно в своём месте проживания. Не надо приводить в пример копипасты и кривые переводы новостей про какие-нибудь немецкие города и т.п., а то в новостях оно буквально через неделю, то выпиливают винды, то запиливают назад.

Максимум, что я вижу, это по бедности попытки использовать опен офис, с руганью и проклятиями.

Без бедности и таких попыток нет, используется майкрософт офис.

 

http://forum.nag.ru/forum/index.php?showtopic=71829

вот хороший пример вытеснения, и это на ресурсе, где количество поклонников линуксов, можно сказать, зашкаливает.

[Ivan_83]

Ах вот для чего МС решила запилить свой дистрибутив! А пацаны-то все умилялись всем этим ужимкам с get-the-facts'ами, а дело оказывалось в латентном линуксизме БГ, и вот его наконец-то прорвало :))))

Вы вообще о чём?

Я про то что вижал бейсик похерили, com/ole - тоже похерили, в смысле оно ещё есть и работает, но как бы развития не будет, все на NET. Совместимость со старым софтом - забивают, типа пользуйтесь ХР в виртуалке за бесплатно, если очень надо.

Хочешь свой драйвер написать - покупай валидный сертификат и подписывай иначе запускай систему в тестмоде и любуйся надписью "тестовый режим" (для х64).

Те мс вот так вот борется с разработчиками под винду %)

[evil-man]

У линуксов это делается в tc actions

Шейпером менять пакеты это пять!

Внезапно, tc - это аббревиатура от traffic control. Кто сказал, что это только шейпер?) Кстати, а во фре уже запилили что-нибудь удобное для изменения полей CoS/ToS/DSCP/TTL и т.п. или предлагается городить костыли с помощью ng_patch?)

[Gull]

Я про то что вижал бейсик похерили, com/ole - тоже похерили, в смысле оно ещё есть и работает, но как бы развития не будет, все на NET.

Есть у MS свои загибы, но конкретно эти изменения - праздник для разработчиков.

 

Хочешь свой драйвер написать - покупай валидный сертификат и подписывай иначе запускай систему в тестмоде и любуйся надписью "тестовый режим" (для х64).

 

Что в этом не так?

[SpheriX]

изволю недопускать петель.

средство резервирования

Ждем с нетерпением Вашего варианта.

[Ivan_83]

Кстати, а во фре уже запилили что-нибудь удобное для изменения полей CoS/ToS/DSCP/TTL и т.п. или предлагается городить костыли с помощью ng_patch?)

В л2 либо им либо ng_vlan после моего патча для QinQ и прочих плюшек.

В л3 ттл пф точно умеет менять, большим не интересовался.

[Zohan]

Линагзоиды сначала что-то внедряют в ядро, а потом думают зачем они это сделали и что на нем можно построить и орут на каждому углу как это круто. Бздуны - сначала думают нужно ли это им, и если нужно, то реализуют и внедряют.

Разница понятна? :)

[evil-man]

Линагзоиды сначала что-то внедряют в ядро, а потом думают зачем они это сделали и что на нем можно построить и орут на каждому углу как это круто. Бздуны - сначала думают нужно ли это им, и если нужно, то реализуют и внедряют.

Разница понятна? :)

Пруфлинк в студию :)

[nuclearcat]

Что-то не видно никакого вытеснения, как была винда везде, так она и есть.

Можно конкретные примеры вытеснения ? (компания/учреждение, количество работающих)

Конкретно в своём месте проживания. Не надо приводить в пример копипасты и кривые переводы новостей про какие-нибудь немецкие города и т.п., а то в новостях оно буквально через неделю, то выпиливают винды, то запиливают назад.

Максимум, что я вижу, это по бедности попытки использовать опен офис, с руганью и проклятиями.

Без бедности и таких попыток нет, используется майкрософт офис.

 

http://forum.nag.ru/forum/index.php?showtopic=71829

вот хороший пример вытеснения, и это на ресурсе, где количество поклонников линуксов, можно сказать, зашкаливает.

Я у себя ввел везде в офисе, кроме местечковой бухгалтерии (гос. требование) под XP, которую вынесли из офиса, с глаз долой.

По воле случая меня протаращило, когда наглые местные представители M$ позвонили, и требовали (именно требовали и нехило борзели, дошло до звонков их "мозга" из Дубаи) проверить лицензионность нашей компании, впрочем были посланы на%уй, когда мне надоело тратить на них время).

Просто невероятно повезло, что никто с ними кабальные корпоративные договора не подписывал, где они могут совать свой нос в наши дела, когда им удумается.

Чтобы вводить дальше, в поле обозрения - нужна команда. Иногда размышляю над этим.

[Картуччо]

Я у себя ввел везде в офисе

А я не могу на десктопе пользоваться линуксами и опенофисами, неудобно и постоянные компромисы. И очень рад, что по корпоративной программе удалось купить домой по 9$ профессиональный комплект мс офиса и визио. Хотя в остальном куча опенсорсного софта под винду использую.

[Ivan_83]

Есть у MS свои загибы, но конкретно эти изменения - праздник для разработчиков.

Угу, переучиваться и начинать с нуля каждые 5-10 лет.

Плюс что то делать с уже работающими продуктами: или мучать на старых технологиях или заново писать на новом.

 

Что в этом не так?

Всё в порядке, подарите мне сертификат :)

 

 

Что-то не видно никакого вытеснения, как была винда везде, так она и есть.Можно конкретные примеры вытеснения ? (компания/учреждение, количество работающих)Конкретно в своём месте проживания. Не надо приводить в пример копипасты и кривые переводы новостей про какие-нибудь немецкие города и т.п., а то в новостях оно буквально через неделю, то выпиливают винды, то запиливают назад.Максимум, что я вижу, это по бедности попытки использовать опен офис, с руганью и проклятиями.Без бедности и таких попыток нет, используется майкрософт офис.

Ноуты, телефоны... оно только выползает, пока мс затягивает гайки с активацией и проталкивает законы, а также гоняет разработчиков.

Мы в офисе переехали на линукс на десктопах.

[Ivan_83]

А я не могу на десктопе пользоваться линуксами и опенофисами, неудобно и постоянные компромисы.

По своему опыту могу сказать что с переходом на линукс на работе появились свои плюсы и свои минусы. Мне трудно однозначно сказать на чём было бы удобнее делать всё что делаю.