[Kuzema]

Чисто ради повышения образованности можно во FreeBSD например засунуть в таблицу ip/сеть на определенное время т. е. аналог ipset тип хранения iptree ?

 

Стало интересно, вот что нашёл:

Для автоматического очищения таблицы от записей «старше» двух часов каждый час нужно добавить в задачи пользователя root следующую строку (crontab -e):
*   */1   *   *   *   /sbin/pfctl -t ssh-bruteforce -T expire  7200

 

Оно?

 

взято с

http://funix.ru/security/zashhita-ot-brute-force-podbora-parolej-ili-ogranichenie-soedinenij-s-pomoshhyu-pf-packet-filter-vo-freebsd.html

[photon]

Если уж пошла такая пьянка, то замечу, что во FreeBSD многое хорошо, но в то же время есть подсистемы ядра с пересекающимся функционалом. NAT можно сделать четырьмя (а может и пятью) разными способами. При этом, ни одна из реализаций не может на 100% заменить другую. Вместо того, чтобы довести до кондиции ipfw, в ядро тащат два других файрвола (ipfilter, pf) и пилят Netgraph.

[gavru]

тогда уж "ifconfig eth0 hw ether 00:1a:92:40:31:82" Ж) видите, даже вы, я так понимаю адепт линукса, сами не можете сказать на память как сделать.

окей, на память не верный пример привел. давайте по-другому.

 

Я что каждый день маки меняю? :) Знаю как, а подзабыл, что надо указать тип соединения дык это фигня :) на практике увидел бы ошибку :) Писал естественно по памяти. :)

 

Ребят, пьянка пошла конкретная, затрафил я BSDишника, буквально за короткое время 3 страницы споров :) да не спорьте вы, я например как говорят красноглазник по натуре, и мне не кайф разбираться, что там воротят в том же Debian(хотя и приходится потоянно иметь дело практически со всеми дистрами), но это же не означает, что Debian или BSD хуже, это всего лишь личное предпочтение :) а писюльками мерятся смысла нет, где то в каких то условия лучше одно и хуже другое, по поводу начала спора об управлении сетью дык если не нравится ifconfig можно и iproute или ещё что нить, все они входят в стандартные репы и поиском их заниматься не нужно, ну а по поводу всяких там шейперов и прочего, сейчас в Linux много чего сравняли с BSD, и постоянно добавляется новый функционал и возможности, но вот спор между этими системами не имеет смысла, лучше б винду похаяли.

Вот представте молодого горячего админа только вышедшего из windows, мне тут человечик объяснял давече, что Linux это дерьмовина ещё та, и что он очень крутой одмин по той причине, что даже может винду из консоли восстанавливать, я спорить не стал, дык вод представьте когда человек увидит чёрный экран и мигающий курсор? Был забавный случай в Краснодарсокм крае, в командировку приехал, а мне одмин местный говорит, слухай я за тебя всё сделаю, а ты мне кеды на BSD запусти и можешь ехать домой, на том и порешили :)))))

 

Кстати, может данный вопрос немного разрядит обстановку:"А на личном ноутбуке у кого, что стоит?" :)

Изменено 8 января, 2012 пользователем gavru

[_INF_]

Чисто ради повышения образованности можно во FreeBSD например засунуть в таблицу ip/сеть на определенное время т. е. аналог ipset тип хранения iptree ?

 

Стало интересно, вот что нашёл:

Для автоматического очищения таблицы от записей «старше» двух часов каждый час нужно добавить в задачи пользователя root следующую строку (crontab -e):
*   */1   *   *   *   /sbin/pfctl -t ssh-bruteforce -T expire  7200

 

Оно?

 

взято с

http://funix.ru/security/zashhita-ot-brute-force-podbora-parolej-ili-ogranichenie-soedinenij-s-pomoshhyu-pf-packet-filter-vo-freebsd.html

 

Мне бы секунд на 30, возможно ?

[pfexec]

Это не полисеры, а шейперы, pipe во FreeBSD -- это token bucket. Прямого аналога в Linux нет, т.к. в этом случае пайпы создаются динамически. Ближайшим аналогом этих правил является использование классовой дисциплины HTB без класса по умолчанию, классификация с помощью фильтра flow, red в качестве краевых дисциплин.

я использовал с io_fast=1. ну так то да, пайп какбы "шейпер". и, ага, в курсе что прямого аналога нет. в этом и пичаль :)

Если уж пошла такая пьянка, то замечу, что во FreeBSD многое хорошо, но в то же время есть подсистемы ядра с пересекающимся функционалом. NAT можно сделать четырьмя (а может и пятью) разными способами. При этом, ни одна из реализаций не может на 100% заменить другую. Вместо того, чтобы довести до кондиции ipfw, в ядро тащат два других файрвола (ipfilter, pf) и пилят Netgraph.

ну так то на самом деле ipfw nat, ng_nat и natd основаны на одном libalias, и по сути одно и тоже. ipf нужно выбросить, согласен. pf пилит openbsd, его только портируют, причем не очень то и оперативно. а нетграф правильно делают что пилят. еще бы документации к нему понаписали побольше.

Изменено 9 января, 2012 пользователем pfexec

[photon]

я использовал с io_fast=1. ну так то да, пайп какбы "шейпер". и, ага, в курсе что прямого аналога нет. в этом и пичаль :)

Можно и без динамических пайпов обойтись, главное чтобы алгоритм классификации не зависел от числа IP. Просто в ipfw синтаксис правил для этого дела проще, чем в tc.

Изменено 10 января, 2012 пользователем photon

[Jenix]

У фрюшников такой замечательный радиус изгиба рук, что даже цитирование оформить без косяка не могут. И результатом фраза поменяла автора.

Чё-то ты в раж вошёл. Всех подряд причисляешь к бсдишникам.

Я вообще хомячок домашний и на виндах-хрюшных сижу.

Вы, пингвины, такие монстры ругаться. ;-)

Извини, если чё.

[Deac]

Как всегда, тема о неприязни к конкретным личностям переросла в срач о технологиях и путях развития. :)

FreeBSD хорош для ряда серьёзных задач, вот этот опрос тому порукой.

Linux тоже хорош, для разного рода поделок.

Люди то все разные и мне, как не программисту, по барабану - я либо юзаю код, либо не юзаю, а "богатый внутренний мир" - оставляю ЛОР-у.

[lagman]

Логика у автора поста потрясает, "Микротик от релиза к релизу может лажанутся с byte order" -> "категорически избегаю применения FreeBSD в каких-либо проектах" :D

[Dyr]

Подбавлю огоньку ;)

 

Ещё по поводу сравнения файерволов было бы замечательно увидеть, сколько строк займёт аналог такого PF'ного NAT'a в пул адресов:

 

table <allow-nat> persist file "/etc/pf.allow-nat"

nat_network="93.92.199.224/28"

nat on $ext_if from <allow-nat> to any -> $nat_network static-port sticky-address

 

 

Попытки убедить, что tc легче управляется, чем dummynet, ничего кроме гомерического хохота не вызывают.

 

И по поводу competition - не иначе, циска и особенно Juniper (работающей, негодяи, на ядре FreeBSD) свои competition для лохов делают. Ведь только они, с точки зрения (скажем вежливо) некоторых линуксоидов нуждаются в этом [из коробки].

 

 

[pfexec]

И по поводу competition - не иначе, циска и особенно Juniper (работающей, негодяи, на ядре FreeBSD) свои competition для лохов делают.

можно вспомнить еще горячолюбимый здесь SE (RedBack), который на netbsd + vxworks :D

Изменено 10 января, 2012 пользователем pfexec

[Dyr]

ШШШ, не спугни ;)

[nuclearcat]

Dyr - ipset + NETMAP

e.g.

 

iptables -t nat -A POSTROUTING -m set --match-set allow-nat src -j NETMAP --to 93.92.199.224/28

 

Juniper роутит "железом", равно как и в Циске линукс служит лишь для более удобной загрузки IOS. Гордится там (ОС в роли control plane) практически нечем.

 

Ах да, кстати, Juniper IDP* линейка - Linux :)

[Dyr]

nuclearcat, ты сырцы NETMAP смотрел? Как он там "хитро" маппит сети разного размера (то есть когда src netmask != dst netmask)? ;) Не очень удобно, хотя и имеет право на жизнь..

 

Juniper роутит железом, а управляется JunOS'ом, который как-раз таки основан и продолжает развиваться на FreeBSD, так что нормально всё. :)

 

IDP* в Juniper "со стороны" появилась, насколько я помню - после покупки какой-то из сетевых компашек.

Изменено 10 января, 2012 пользователем Dyr

[nuclearcat]

Dyr - у меня никогда не возникало необходимости в чем-то ином.

 

Ну а новые Cisco типа "управляется" Линуксом (IOS XE, NX-OS), и что тут такого?

Только "управляется" громко сказано, управляет как раз кастомный софт, которого ни в Linux, ни в FreeBSD - нет ни следа.

[sirmax]

Dyr

Поясните почему вы думаете что если ОС используется для управления железкой это плюс. Разве от JunOS есть какие-то плюсы для основной ветки?

Это не стеб, я просто не в курсе, но вроде как БСДшная лицензия позволяет не показывать изменения....

[Dyr]

nuclearcat, а у меня как раз такая необходимость.

 

sirmax, Juniper возвращал (по крайней мере, заявлял об этом) какие-то сетевые наработки обратно.

 

Но в целом, конечно, устройств с Линуксом на борту существенно больше, чем с FreeBSD. Что, если вспомнить о изначальной цели обсуждения, не отменяет полезности auto competition ;)

 

 

[pfexec]

Разве от JunOS есть какие-то плюсы для основной ветки?

есть. забэкпортили мипс порт фрибсд. + донатят в разработку фрибсд, т.к. каждый релиз жуноса - это релиз фри + наработки juniper networks. в release notes можно ознакомится на какой версии FreeBSD основан релиз junos'а.

Ах да, кстати, Juniper IDP* линейка - Linux :)

не интересовался вопросом этой ветки глубоко, но похоже это просто чей-то оем или купленная Juniper'ом контора. чтобы понять что будет в будущем с IDP OS можно обратится к истории, а именно к ScreenOS которая вместе с устройствами досталась Juniper после покупки netscreen в 2004. А стало следующее, все устройства ssg заменяются на srx где используется JunOS. кстате, в J и младших SRX железок Junos так то занимается форвардингом трафика. у SRX кстате многоядреный MIPS, после запиливания JunOS'а на который результаты были переданы FreeBSD. :)

БСДшная лицензия позволяет не показывать изменения....

всё верно, это лицензия дает свободу разработчику и позволяет "продать" свою работу.

Ну а новые Cisco типа "управляется" Линуксом (IOS XE, NX-OS), и что тут такого?

ну ASR всё еще "сыроват", а NX-OS вообще экзотика. кстати IOS XE родился из-за желания Cisco сделать свой JunOS, но, увы, взять BSD у них религия "мы не такие как они" не позволила наверно. ну и вобщем-то вышло довольно посредственно, впрочем это другой оффтоп и холивар Ж)

Что, если вспомнить о изначальной цели обсуждения, не отменяет полезности auto competition ;)

кстати, о цели: "о товарище imax и ненависти топикстартера к FreeBSDтятникам".

логика топикстартера:

Логика у автора поста потрясает, "Микротик от релиза к релизу может лажанутся с byte order" -> "категорически избегаю применения FreeBSD в каких-либо проектах" :D

(:

Изменено 10 января, 2012 пользователем pfexec

[taf_321]

Как всегда, тема о неприязни к конкретным личностям переросла в срач о технологиях и путях развития. :)

FreeBSD хорош для ряда серьёзных задач, вот этот опрос тому порукой.

Linux тоже хорош, для разного рода поделок.

Люди то все разные и мне, как не программисту, по барабану - я либо юзаю код, либо не юзаю, а "богатый внутренний мир" - оставляю ЛОР-у.

 

Указанный опрос Вам противоречит. Опрашиваемые решили со счетом 93 против 80, что для серьезного решения надо применять линух, а фря остается для офисный "бордеров".

Изменено 10 января, 2012 пользователем taf_321

[taf_321]

Подбавлю огоньку ;)

 

Ещё по поводу сравнения файерволов было бы замечательно увидеть, сколько строк займёт аналог такого PF'ного NAT'a в пул адресов:

 

table <allow-nat> persist file "/etc/pf.allow-nat"

nat_network="93.92.199.224/28"

nat on $ext_if from <allow-nat> to any -> $nat_network static-port sticky-address

 

 

Попытки убедить, что tc легче управляется, чем dummynet, ничего кроме гомерического хохота не вызывают.

 

И по поводу competition - не иначе, циска и особенно Juniper (работающей, негодяи, на ядре FreeBSD) свои competition для лохов делают. Ведь только они, с точки зрения (скажем вежливо) некоторых линуксоидов нуждаются в этом [из коробки].

 

-t nat -A POSTROUTING -o vlan226 -m set --match-set net_232 src -j SNAT --to-source 93.92.199.224-93.92.199.239

 

и?

 

Только не рассказывайте мне про крутизну pf-ного NAT'а. Плавали, знаем. Оно даже в родной среде работает настолько замечательно, что пришлось для NAT поставить ASA5540.

 

По dummynet'у. Действительно, во фряхе он управляется на миллион порядков лучше, чем tc. Он на ней есть, а tc нет. На линухе у извините, но ваши костыли хромают и будут продолжать хромать в виду родовой травмы.

 

И по поводу competition - не иначе, циска и особенно Juniper (работающей, негодяи, на ядре FreeBSD) свои competition для лохов делают. Ведь только они, с точки зрения (скажем вежливо) некоторых линуксоидов нуждаются в этом [из коробки].

 

"Смешались в кучу циски, шеллы" (с) не помню.

 

При чем тут факт, что джунипере зашито нечто фряхоподобное, связан с фактом имеющегося там автодополнения? У них там что, вот прямо так консоль в bash'е? У цисок это точно не так. Так что мимо кассы.

 

Я предлагал pfexec замутить для bash'а или, там, для zsh автодополнение, раз ему так нужно. Да как-то он без энтузизизма отреагировал. Видать настолько ему надо.

 

Кстати, за автодополнением можете сходить в гости к RouterOS, оно там есть :)

Изменено 10 января, 2012 пользователем taf_321

[nuclearcat]

есть. забэкпортили мипс порт фрибсд. + донатят в разработку фрибсд, т.к. каждый релиз жуноса - это релиз фри + наработки juniper networks. в release notes можно ознакомится на какой версии FreeBSD основан релиз junos'а.

Что захотели, то и забекпортили. Минус BSD. Скорее всего, чтоб не допиливать постоянно мейнстрим, чем из благих намерений.

 

кстате, в J и младших SRX железок Junos так то занимается форвардингом трафика. у SRX кстате многоядреный MIPS, после запиливания JunOS'а на который результаты были переданы FreeBSD. :)

Не тешьте себя. В младших SRX многоядерный Octeon, на одном ядре control plane, а на других soft-роутер, и скорее всего инструкции и часть данных пришпилены вручную в L2 кеш, хотя судя по производительности, только инструкции. Ибо Cisco с NPE-400, где MIPS в 400 Mhz занимается - 400 Kpps, а SRX 240, где 750 Mhz и поновее - 200 Kpps.

 

всё верно, это лицензия дает свободу разработчику и позволяет "продать" свою работу.

А пацаны (MySQL к примеру) - не в курсе. И закрытый GPL энтерпрайз тоже. Просто важно держать (в т.ч. выкупать) полные права авторства на продукт, и можно его дополнять и продавать закрытым. А вот украсть уже нельзя.

 

ну ASR всё еще "сыроват", а NX-OS вообще экзотика. кстати IOS XE родился из-за желания Cisco сделать свой JunOS, но, увы, взять BSD у них религия "мы не такие как они" не позволила наверно. ну и вобщем-то вышло довольно посредственно, впрочем это другой оффтоп и холивар Ж)

Много народу юзает в продакшене, и нормально.

А новый продукт только полный маразматик будет строить на стагнирующей ОС. Если бы у Juniper не было long-term линейки устоявшихся продуктов, и общей идеологии думаю и они бы перешли. И кстати не исключаю, что им в какой-то момент станет проще портироваться, чем каждый раз запиливать все "вручную". Тем более наврядли они особо юзают сетевые фичи FreeBSD.

 

кстати, о цели: "о товарище imax и ненависти топикстартера к FreeBSDтятникам".

логика топикстартера:

Логика у автора поста потрясает, "Микротик от релиза к релизу может лажанутся с byte order" -> "категорически избегаю применения FreeBSD в каких-либо проектах" :D

(:

У Mikrotik есть офигенная линейка железок за копейки, аналогов по цене которым просто нет, и уж глюки при апгрейдах можно выловить на своих regression тестах, и эти апгрейды необязательны. Для меня они уникальны wireless фичами, альтернативы на данный момент все смотрятся очень тускло. Кроме того, интерфейс у них легко понятен даже для тупых. В любом случае, в нашем случае мы уже выросли из этих штанишек и перешли во многих местах на релейки и опту, но там где еще есть - нужен EOIP.

 

У FreeBSD все преимущества очень спорны и сомнительны, чтобы безусловно ставить ее в продакшн (netgraph к примеру удобен лишь тем, кто хорошо знаком с ним, так уж если на то пошло, sfstudio может к примеру черта лысого в Линуксе сделать).

Учитывая ЧСВ и без того экзотических специалистов по *BSD, использование такой ОС скорее даже минус.

[jab]

У FreeBSD все преимущества очень спорны и сомнительны, чтобы безусловно ставить ее в продакшн (netgraph к примеру удобен лишь тем, кто хорошо знаком с ним, так уж если на то пошло, sfstudio может к примеру черта лысого в Линуксе сделать).

Учитывая ЧСВ и без того экзотических специалистов по *BSD, использование такой ОС скорее даже минус.

 

Читать такое от линузятников - это как медаль на грудь. :-)

[gelraen]

В портах видел нетграфовую ноду для того же.

Угадай кто её написал ;)

[gelraen]

Несомненно нашелся любитель FreeBSD, который вместо спасибо, что ему не пришлось сидеть и пыхтеть с дампами траффика - написал кучу дерьмища

Угу, а после этого написал другую кучу: https://gitorious.org/ng_mikrotik_eoip/src/blobs/master/ng_mikrotik_eoip.c

Отвечу тут:

1)Это к Mikrotik.

Спасибо, Капитан Очевидность

2)Не пытался конечно, мне хватило того, что MK всегда отходит от стандартов, и нужно тупо создать костыль, что и было сделано. Можно конечно впилить в ядро, и сделать новый тип туннеля, но это стопроцентно не примут в mainline, ибо нахрен не нужна проприетарщина, во вторых усилия целесообразны задачам. MK сам по себе на собственном EoIP начинает захлебывается на десятках мегабит.

В линуксе всё так плохо с модулями ядра, что их нельзя распространять отдельно?

3)Эти куски в определенной мере связаны с тем, что Микротик от релиза к релизу может лажанутся с byte order в этих полях, что и произошло недавно (v5.9), в текущем виде это очень удобно менять. Работа кода под BE не планировалась, ну и кроме того le16toh и прочее добавили в uclibc лишь в январе, т.е. сборка под старые *wrt будет исключена и прийдется лепить костыль.

В таком случае неплохо бы сделать run-time опцию

Изменено 10 января, 2012 пользователем gelraen

[Ivan_83]

Указанный опрос Вам противоречит. Опрашиваемые решили со счетом 93 против 80, что для серьезного решения надо применять линух, а фря остается для офисный "бордеров".

 

15% - не существенно.

 

 

 

 

Я предлагал pfexec замутить для bash'а или, там, для zsh автодополнение, раз ему так нужно. Да как-то он без энтузизизма отреагировал. Видать настолько ему надо.

 

Проще родную tcsh ставить, что я обычно и делаю на линуксах, но настройки всё равно приходится тянуть.

 

 

 

 

Что захотели, то и забекпортили. Минус BSD. Скорее всего, чтоб не допиливать постоянно мейнстрим, чем из благих намерений.

 

Вряд ли есть много коммерческих компаний, кто думает о благе, отличном от материальных для своих владельцев/акционеров. Точно так же и под GPL много зажимают, или вообще шифруют прошивку и делают вид что никакого GPL там, а всё чисто своё.

 

 

 

 

У FreeBSD все преимущества очень спорны и сомнительны, чтобы безусловно ставить ее в продакшн (netgraph к примеру удобен лишь тем, кто хорошо знаком с ним, так уж если на то пошло, sfstudio может к примеру черта лысого в Линуксе сделать).

 

Нетграф всё же проще освоить, чем модулеписательнство, потому что:

 

- у нетграфа всё в одном месте и готовый фреймворк и документация с примерами, пакеты можно брать разные с разных источников и отдавать так же

 

- модули для примеров нужно ещё поискать, потом хз куда и как их цеплять, если например нужен не L3 из фаера, а L2 (я только linux-ISG видел), потом их произвольно друг с другом тоже не особо состыкуешь...

 

 

 

 

Учитывая ЧСВ и без того экзотических специалистов по *BSD, использование такой ОС скорее даже минус.

 

Линуксойды не все белые и пушистые :)

 

У кошатников оно ещё выше, а толку с них никакого, сплошные траты %)

 

(речь про тех кто только с кошками работает и все проблемы ими только и решает, а не про тех, кто вообще их использует наряду с другими решениями)