[sirmax]

Съешь ещё этих мягких французских булочек, да выпей чаю! :)

Съешь ещё этих мягких французских булочек, да выпей же чаю! :)

[taf_321]

с iptables у меня та же история. не понятная погремушка, умеющая что-то где-то, но неумеющая банально таблицы как ipfw или pf. это же пичаль, не ? а еще большая пичаль это tc. по сравнению с этим, гора файлов в etc - ерунда.

 

и вот такие товарищи, что таки "не умеет готовить" начинают тянуть в линух кривые порты из бзди. А когда эти порты криво работают (ибо из говна пули не слепить даже если платформу подменить), раздаются вопли "В вашем линуксе нихрена не работает!". И правда, поделки бздятников для бздятников в линуе работают не ахти.

 

В толпы народа netfilter/ip/tc работают просто замечательно, а у вас нет. На мой взгляд, это говорит не о неудобоваримости ip/tc а о градусе изгиба чьих-то рук.

[taf_321]

прочитать и выучить - несколько разное. было бы хорошо из cli протыкать табом или ? все варианты и дойти до нужного. но, увы. на ip ? мы получаем фигу. надо открывать man ip, много думать, листать, искать. рас уж тут упомянули винду, то там то netsh ? ок показывает возможные варианты.

 

Кто мешает запилить такую фичу конкретно ВАМ, как первому и, по всему похоже, единственному потребителю сего?

 

Кстати, я что-то не припоминаю аналогичной фичи для ifconfig во фряхе, когда последний раз с ней общаться приходилось (одного клиента откровенно зае....ла фряха, стоящая на рулении ipsec-тунелей+шлюз в интернет, заменили на одно из подмножество дистров от ALT, теперь общение с клиентом сводится к высылке счетов и проводке платежей).

[pfexec]

и вот такие товарищи, что таки "не умеет готовить" начинают тянуть в линух кривые порты из бзди.

зачем что-то куда-то тянуть ? я так-то противник этих портирований бесконечных. да и как вы себе видите mpd на linux'е в котором netgraph'а нет как класса ? конечно, фряшечке есть куда расти и есть что перенять у линагза, но это никак не ойпитаблес с трафик контролом.

В толпы народа netfilter/ip/tc работают просто замечательно, а у вас нет. На мой взгляд, это говорит не о неудобоваримости ip/tc а о градусе изгиба чьих-то рук.

ну и что, windows тоже у всего мира ок работает, однако выбить стереотип о том что windows - плохо, наверно, невозможно. я не исключаю что кому-то нужно то что умеет трафик контол и нетфильтер, но лично мне достаточно и возможностей думминета. да и с тейбларгами фряшечка просто удобнее, если говорить о фильтрации/натах/рейтлимите.

 

по вашему посту наверно можно привести пример того самого линуксятника, которого стоит презирать фрибсдяшнику. не? если мы профессионалы (мы ведь хотим ими быть?), то наверно тут нет места презрениям или каким-то еще чувствам и эмоциям. а если мы хотим какашками покидаться, то да, давайте продолжать в том же духе. :D

Кто мешает запилить такую фичу конкретно ВАМ, как первому и, по всему похоже, единственному потребителю сего?

зачем мне что-то запиливать ? я же могу выбрать другой инструмент, который меня устраивает. да, *бсд меня устраивает. а удобством пользователя должен быть озабочен разработчик, в данном случае сообщество линагза. бида в том что сообщество предпочитает на десять раз переписать какой-то драйвер, чем заняться тем что нужно пользователям. ну бывает, чо.

Кстати, я что-то не припоминаю аналогичной фичи для ifconfig во фряхе, когда последний раз с ней общаться приходилось (одного клиента откровенно зае....ла фряха, стоящая на рулении ipsec-тунелей+шлюз в интернет, заменили на одно из подмножество дистров от ALT, теперь общение с клиентом сводится к высылке счетов и проводке платежей).

ну аналогично вашему высказыванию, я могу высказаться за "градус ваших рук" и возможно даже буду прав. не понятно, какую фичу вы ищите в ifconfig'е ? автодополнения ? ну дык ifconfig простой как две копейки и аргументы так то очевидны. ifconfig'ом не предполагается и рулить интерфейсами, и ойпиадресами, и таблицами маршрутизации, и созданием правил пбр. это у ip tools 2 нагромождение функционала и не очень очевидное дерево аргументов, которое было бы не плохо для удобства добавлять либо табом, либо хотя бы показывать список вариантов по ?. ну и, конечно, "одного клиента откровенно зае....ла фряха", - очень общее высказывание. я могу далеко не один пример привести когда меня "зае...ло" что-то, в том числе и ваш линагз. ну и что теперь такого.

[taf_321]

вот это:

зачем что-то куда-то тянуть ? я так-то противник этих портирований бесконечных. да и как вы себе видите mpd на linux'е в котором netgraph'а нет как класса ? конечно, фряшечке есть куда расти и есть что перенять у линагза, но это никак не ойпитаблес с трафик контролом.

и вот это:

я не исключаю что кому-то нужно то что умеет трафик контол и нетфильтер, но лично мне достаточно и возможностей думминета. да и с тейбларгами фряшечка просто удобнее, если говорить о фильтрации/натах/рейтлимите.

 

от профессионала смотрятся весьма... экстравагантно, особенно по соседней ветке, где обсуждается применение этого самого думминета на линухе, даже еще и в XEN. Нет, но это надо же так додуматься, загонять нат и pppoe в виртуальные среды.

 

зачем мне что-то запиливать ?

 

Вам же нужно. Ни мне, ни мифическому "разработчику линуха" (конкретно которому, кстати, их там пароход и тележка, и это даже не считая разработчиков дистрибутивов и входящих в нх компонент), такая фича не нужна. Потому что а) синтаксис примитивен и при частом применении запоминается; б) ни ip ни tc напрямую человеком не вызываются, а все управление производится через автоматизированную систему конфигурации (как в моем случае).

 

ifconfig простой как две копейки

 

Так в нем и возможностей на грош. И поэтому для полноценного управления сетевой подсистемой приходится использовать паровоз другого утиля-конфигов, на который надо ТОЖЕ учить/запоминать параметры/синтаксис.

 

И таки когда во фряхе к утилитам будет автодополнение параметров, вот тогда и приходите с претензиями к ip/tc.

 

Кстати, покажите, плз, такую волшебную ситуацию, когда ipfw уделывает netfilter по удобству настройки/красивости решения? Хоть тресните, но у меня с ipfw только воспоминания про длиннющие неудобоваримые портянки правил, которые при переходе на линух и netfilter удалось свести во вполне осмысленную структуру iptables/ipset/tc.

[Ivan_83]

Кстати, я что-то не припоминаю аналогичной фичи для ifconfig во фряхе, когда последний раз с ней общаться приходилось (одного клиента откровенно зае....ла фряха, стоящая на рулении ipsec-тунелей+шлюз в интернет, заменили на одно из подмножество дистров от ALT, теперь общение с клиентом сводится к высылке счетов и проводке платежей).

 

Аналогичная история, только заменил винду на фряху :)

 

Кстати, я бы знал о сетях на порядок меньше, если бы не было нетграфа - именно он позволил мне играться с пакетами и писать свой IP и ARP не отвлекаясь на кучу других проблем, думаю осилить модуль в линухе тоже можно было бы, но кода вышло бы больше, и копаться в ядре пришлось бы немного больше. Было, конечно, проще, со всякой встройкой и прочими недожелезками, но это другая история )

 

 

 

 

да и как вы себе видите mpd на linux'е в котором netgraph'а нет как класса ?

 

Он там есть, платный.

 

 

[pfexec]

от профессионала смотрятся весьма... экстравагантно, особенно по соседней ветке, где обсуждается применение этого самого думминета на линухе, даже еще и в XEN. Нет, но это надо же так додуматься, загонять нат и pppoe в виртуальные среды.

ну думинет запилил луиджи везде, ну и что ? от этого я должен кинуться его использовать непременно на линуксе? ксен для форвардинга трафика и правда лол. ну обсуждать можно что угодно, чо уж. в вашем мире видимо профессионал - это тот кто обязательно танцует с бубном вокруг линукса и ксена. ну ок, у каждого есть право на своё мнение. :)

Кстати, покажите, плз, такую волшебную ситуацию, когда ipfw уделывает netfilter по удобству настройки/красивости решения? Хоть тресните, но у меня с ipfw только воспоминания про длиннющие неудобоваримые портянки правил, которые при переходе на линух и netfilter удалось свести во вполне осмысленную структуру iptables/ipset/tc.

не знаю что там длинющего, особенно рядом с ойтаблесом и тк. пишешь пару правил для загона трафика в пайп, пишеш таблицы с тейбларгом и поехал. всё тривиально. не надо выносить мозг об лартц и прочую шляпу.

Он там есть, платный.

отлично, что сказать ж)

[taf_321]

не знаю что там длинющего, особенно рядом с ойтаблесом и тк. пишешь пару правил для загона трафика в пайп, пишеш таблицы с тейбларгом и поехал. всё тривиально. не надо выносить мозг об лартц и прочую шляпу.

 

Ну а все-таки, покажите примерчик. Сказав "А" не тяните с "Б". Ведь действительно интересно :)

 

Кстати, про вынос мозга мне понравилось: "ИнстрУмент изучать не хотим, там автодополнения нет, потому будет юзать ipfw+dummynet, запиленный в линух каким-то укурком". И не надо говорить, какой хороший автор dummynet'а. Не спорю, для фряхи он делает много хороших вещей, но его экспансию на другие платформы я могу объяснить только хорошей травой. А использование этого - веществами.

Изменено 7 января, 2012 пользователем taf_321

[taf_321]

Он там есть, платный.

 

Что именно есть платное - mpd или netgraph?

 

А не кажется ли вам, что отсутствие netgraph в мире линуха имеет объективные причины, равно как эти же причины являются основными предпосылками его появление в БСД? (толстый намек на "отлаженный за многие десятилетия IP-стек, который даже в винде применили")

[pfexec]

Ну а все-таки, покажите примерчик. Сказав "А" не тяните с "Б". Ведь действительно интересно :)

полисеры по тарифам:

pipe 100 config mask dst-ip 0xffffffff bw 3Mbits queue 100 gred 0.002/10/50/0.1

pipe 101 config mask src-ip 0xffffffff bw 3Mbits queue 100 gred 0.002/10/50/0.1

pipe 102 config mask dst-ip 0xffffffff bw 5Mbits queue 100 gred 0.002/10/50/0.1

pipe 103 config mask src-ip 0xffffffff bw 5Mbits queue 100 gred 0.002/10/50/0.1

правила загоняющие трафик в пайп:

pipe tablearg ip from any to any dst-ip «table(10)»

pipe tablearg ip from any to any src-ip «table(11)»

содержание таблиц:

table 10 add $ip 102

table 11 add $ip 103

 

не понимаю, что такого в этих "откровениях". на форуме операторов это наверно все должны знать. чай не хабрабабр какой.

кстате с интересом увижу аналог на iptables + tc.

[Ivan_83]

А не кажется ли вам, что отсутствие netgraph в мире линуха имеет объективные причины, равно как эти же причины являются основными предпосылками его появление в БСД? (толстый намек на "отлаженный за многие десятилетия IP-стек, который даже в винде применили")

 

Да кому нужен этот IP стёк!?

 

Я может вообще IP не использую :)

 

Нетграф это в первую очередь фреймворк для работы с пакетами, а в пакетах может быть всё, начиная с L2. NetMap, который Луиджи относительно недавно запилил в обе оси, даст часть этих возможностей, но без удобств и готовых инструментов.

 

А ядреный PPP (PPTP, L2TP) в линухе совсем недавно появился (это вам за "отлаженный за многие десятилетия" и отдельно за "IP-стёк"), а на фре он именно на неграфе собран, как и некоторые другие конструкции, для которых в линуксе придётся писать модуль или что то ещё.

 

 

 

 

PS: про винду зря упомянули, там IP ещё тот, и латали его частенько. Я уж не говорю про природу его там происхождения.

 

 

[nuclearcat]

Ну а какое прикладное применение нетграфа?

Мне пока в пингвинкусе всего хватает с головой.

[Ivan_83]

Ну а какое прикладное применение нетграфа?

 

Произвольная модификация пакетов на лету, q-in-q, pppX, нетфлоу.

 

Я его использую для L2TP/PPPoE, и IGMP/Multicast бриджинга, считал стату по макам, сейчас, возможно utp буду подрезать.

 

MPLS проще реализовать в виде ноды с юзерленд демоном. )

 

 

[Jenix]

PS: мне тут один линуксоид-прошивкописатель доказывал что я идиот а его прошивка лучшая в мире, в то время как гуй его прошивки не позволял делать того что мне нужно (а длинковский позволяет но не всё работает), а копаться через телнет/ссш в дейвайсе и писать скрипты под это мне никак не хотелось :)

 

А я не удивлён что это оказался SFStudio.

Чувство собственного высокомерия у него зашкаливает. Никто у него не отнимает его заслуг, но он всегда зажимается как ребёнок. С ним обычно никто дольше 3 дней не общается. Можно попасть под каломёт. ;-) А у него много накопилось.

Общался с ним на ddx-club пару лет назад.

[_INF_]

Чем вообще BSD от Linux отличается то ?

 

1. Ядро

2. Красивые обои

 

Давайте по пунктам

 

1. Линус Торвальдс пишет ядро только для Linux, поэтому любому здравомыслящему человеку вполне очевидно, что Linux по этому пункту заруливает FreeBSD.

 

2. Опять же вполне очевидно что полунагая девушка с рожками на голове выглядит гораздо "ебабельней" чем жирная корова изображающая из себя пингвина.

 

 

Итого 1:1 ничья.

[nuclearcat]

sfstudio пишет _коммерческую_ прошивку для одного из вендоров.

Я удивлен тем, что кто-то тут пишет про ЧСВ и т.п. Он не претендует на проект который развивается коммунити (типа DD-WRT, который за счет коммунити и живет), просто выкладывает прошивку, чтобы дорабатывать ее совместно более плодотворно, о чем он честно и написал. У кого есть хочухи - они их делают, прошивка и система сборки весьма удобны. Да - специфичны, но по мне так *WRT не менее специфичен. Естественно тут или игра по его правилам, или все идут лесом. Прием патчей в мейнстрим - по его потребностям, т.к. он привязан в первую очередь к желаниям его заказчика и по уменьшению геммороя для себя.

 

Вы попробуйте пообщаться по поводу кода сырков любой из мыльниц с одним из вендоров, вас просто проигнорят. Там вываливают кучу сырков, и делайте что хотите. Причем часто эти сырки не собирабельны в прошивку, а если и собирабельны - не заливаются.

[taf_321]

кстате с интересом увижу аналог на iptables + tc.

 

Объявление корневой дисциплины, классов и очередей я пропущу за их тривиальностью.

 

...

filter add dev eth0 parent 1:0 protocol ip prio 10 u32 match ip src 172.16.1.0/24 hashkey mask 0x000000ff at 12 link 67:

filter add dev eth1 parent 1:0 protocol ip prio 10 u32 match ip dst 172.16.1.0/24 hashkey mask 0x000000ff at 16 link 67:

filter add dev eth0 parent 1:0 protocol ip prio 10 u32 match ip src 172.16.2.0/24 hashkey mask 0x000000ff at 12 link 68:

filter add dev eth1 parent 1:0 protocol ip prio 10 u32 match ip dst 172.16.2.0/24 hashkey mask 0x000000ff at 16 link 68:

...

class add dev eth1 parent 1: classid 1:b htb rate 1024kbit prio 1 quantum 1514

class add dev eth0 parent 1: classid 1:b htb rate 1024kbit prio 1 quantum 1514

 

filter add dev eth1 parent 1:0 protocol ip prio 10 u32 ht 68:1b: match ip dst 172.16.2.27/255.255.255.255 flowid 1:b

filter add dev eth0 parent 1:0 protocol ip prio 10 u32 ht 68:1b: match ip src 172.16.2.27/255.255.255.255 flowid 1:b

filter add dev eth1 parent 1:0 protocol ip prio 10 u32 ht 67:a: match ip src 172.16.1.10/255.255.255.255 flowid 1:b

filter add dev eth0 parent 1:0 protocol ip prio 10 u32 ht 67:a: match ip src 172.16.1.10/255.255.255.255 flowid 1:b

 

лично я маркировку пакетов средствами netfilter не применяю.

 

Общался с ним на ddx-club пару лет назад.

 

У фрюшников такой замечательный радиус изгиба рук, что даже цитирование оформить без косяка не могут. И результатом фраза поменяла автора.

Изменено 8 января, 2012 пользователем taf_321

[_INF_]

Чисто ради повышения образованности можно во FreeBSD например засунуть в таблицу ip/сеть на определенное время т. е. аналог ipset тип хранения iptree ?

[pfexec]

Объявление корневой дисциплины, классов и очередей я пропущу за их тривиальностью.

 

...

filter add dev eth0 parent 1:0 protocol ip prio 10 u32 match ip src 172.16.1.0/24 hashkey mask 0x000000ff at 12 link 67:

filter add dev eth1 parent 1:0 protocol ip prio 10 u32 match ip dst 172.16.1.0/24 hashkey mask 0x000000ff at 16 link 67:

filter add dev eth0 parent 1:0 protocol ip prio 10 u32 match ip src 172.16.2.0/24 hashkey mask 0x000000ff at 12 link 68:

filter add dev eth1 parent 1:0 protocol ip prio 10 u32 match ip dst 172.16.2.0/24 hashkey mask 0x000000ff at 16 link 68:

...

class add dev eth1 parent 1: classid 1:b htb rate 1024kbit prio 1 quantum 1514

class add dev eth0 parent 1: classid 1:b htb rate 1024kbit prio 1 quantum 1514

 

filter add dev eth1 parent 1:0 protocol ip prio 10 u32 ht 68:1b: match ip dst 172.16.2.27/255.255.255.255 flowid 1:b

filter add dev eth0 parent 1:0 protocol ip prio 10 u32 ht 68:1b: match ip src 172.16.2.27/255.255.255.255 flowid 1:b

filter add dev eth1 parent 1:0 protocol ip prio 10 u32 ht 67:a: match ip src 172.16.1.10/255.255.255.255 flowid 1:b

filter add dev eth0 parent 1:0 protocol ip prio 10 u32 ht 67:a: match ip src 172.16.1.10/255.255.255.255 flowid 1:b

 

лично я маркировку пакетов средствами netfilter не применяю.

что вобщем-то и требовалось доказать. горы неочивидных букв, да еще к тому же что-то "за скобками ввиду очевидности". я то уж думал что безнадежно отстал от жизни и там действительно что-то крутое. ну ладно. спасибо за пример.

Чисто ради повышения образованности можно во FreeBSD например засунуть в таблицу ip/сеть на определенное время т. е. аналог ipset тип хранения iptree ?

а зачем создавать запись в таблице на определенное время, почему её не удалить через это время ? всё равно за ними должна следить какая-то система управления.

[taf_321]

что вобщем-то и требовалось доказать. горы неочивидных букв, да еще к тому же что-то "за скобками ввиду очевидности". я то уж думал что безнадежно отстал от жизни и там действительно что-то крутое. ну ладно. спасибо за пример.

 

от tc требуется эффективная работа. Если будет ТЗ нарезать офисный выход на полоски, я воспользуюсь http://git.altlinux.org/people/sbolshakov/packages/?p=etcnet.git;a=summary, Если надо нашинковать сотни мегабит для тысяч клиентов тут я применю что-нибудь не такое красивое с виду, но эффективное в работе.

 

Итак, можно промежуточно сказать, что пока не было предъявлено такого случая, когда ipfw решали такие задачи, которые не под силу родным средствам линуха.

 

ЗЫ: Кстати, я-то думал, что приведенная Вами конструкция с pipe это нечто похожее на эээээ... access-template что ли. По типу задали шаблон, и при добавлении в таблицу адреса, под него создается отдельный класс (в терминах tc) с параметрами заданными в шаблоне. А тут такое разочарование.

[alexaaa]

По практическому применению Linux удобен и универсален в развитии, легче в изучении, FreeBSD, очень сложен в командах и изучении, а если по серверам то quagga,l2tp,mpd5,pf,ipcad много проблем c ними на FreeBSD.

[taf_321]

а зачем создавать запись в таблице на определенное время, почему её не удалить через это время ? всё равно за ними должна следить какая-то система управления.

 

К примеру есть некая система антиДоС, которая вывешивает флаг "морда с таким IP слишком часто ломится туда, куда часто ломиться нельзя". В случа с ipset система заносит адрес этой морды в таблицу с параметром "жить ей 30 минут, потом не нужна" и забывает про него.

 

Пример из реальной жизни. Клиент намотал себе троянца со встроенным спам-ботом типа MRA 5.x, если ему дать волю, то он начнет срать на всю доступную полосу. У меня сейчас система обнаруживает такую аномальную активность и дает команду "рубить гаду доступ в локальным ресурсам на 30 минут". Если клиент вылечил свой комп, то все возвращается на круги своя автоматом без ручного участия, если ему на все пох, то так и продолжает сидеть с забитой на 100% полосой на внешку (оплатил, так пусть и сидит).

[pfexec]

Итак, можно промежуточно сказать, что пока не было предъявлено такого случая, когда ipfw решали такие задачи, которые не под силу родным средствам линуха.

я вроде не говорил что ипфв может больше чем ойпитаблес. я вообще не говорил что фря может больше чем линукс. не знаю с чего вы это взяли. я лиш сказал что менеджмент линукса - это разрыв мозга и переломаные руки. что я собсенно и доказал примером.

ЗЫ: Кстати, я-то думал, что приведенная Вами конструкция с pipe это нечто похожее на эээээ... access-template что ли. По типу задали шаблон, и при добавлении в таблицу адреса, под него создается отдельный класс (в терминах tc) с параметрами заданными в шаблоне. А тут такое разочарование.

да вобщем то так и есть. по тейбларгу создается индивидуальный "динамический" пайп. тем самым всего подгружено штук десять правил и производительность ок, потому что эффективный и удобный классификатор.

По практическому применению Linux удобен и универсален в развитии, легче в изучении, FreeBSD, очень сложен в командах и изучении, а если по серверам то quagga,l2tp,mpd5,pf,ipcad много проблем c ними на FreeBSD.

ну моё мнение отличается от вашего. FreeBSD цельная и логичная система. с неплохой документацией (которая кстати вообще есть в отличии от). мне было гораздо легче осваивать FreeBSD или другой *BSD в отличии от любого из линуксов. про сервера вы лулзы мочите, лучше я промолчу.

К примеру есть некая система антиДоС, которая вывешивает флаг "морда с таким IP слишком часто ломится туда, куда часто ломиться нельзя". В случа с ipset система заносит адрес этой морды в таблицу с параметром "жить ей 30 минут, потом не нужна" и забывает про него.

так есть же fail2ban скрипты и аналогичные. в чем проблема то ?

Пример из реальной жизни. Клиент намотал себе троянца со встроенным спам-ботом типа MRA 5.x, если ему дать волю, то он начнет срать на всю доступную полосу. У меня сейчас система обнаруживает такую аномальную активность и дает команду "рубить гаду доступ в локальным ресурсам на 30 минут". Если клиент вылечил свой комп, то все возвращается на круги своя автоматом без ручного участия, если ему на все пох, то так и продолжает сидеть с забитой на 100% полосой на внешку (оплатил, так пусть и сидит).

причем тут вообще фаерволы ? не логичнее тогда порт коммутатора у клиента гасить или вешать на него ацл ? ну прикольно чо, но это не киллерфича и не существенный какой-то плюс даже.

 

ладно, мне кажется это пустой флейм ) всё равно каждый останется при своем мнении :D

Изменено 8 января, 2012 пользователем pfexec

[nuclearcat]

_INF_ к примеру когда ip-шник заносится по какому-то событию из firewall, например с него идет атака, и ip добавлен правилом из ratelimit. Т.е. userspace вообще не учавствует в процессе.

Кроме того если делать вручную, это нужно держать каждый ip адрес в юзерспейсе, и нужно прогонять все адреса через прогу которая отслеживает "возраст" каждой записи.

[photon]

не понимаю, что такого в этих "откровениях". на форуме операторов это наверно все должны знать. чай не хабрабабр какой.

кстате с интересом увижу аналог на iptables + tc.

Это не полисеры, а шейперы, pipe во FreeBSD -- это token bucket. Прямого аналога в Linux нет, т.к. в этом случае пайпы создаются динамически. Ближайшим аналогом этих правил является использование классовой дисциплины HTB без класса по умолчанию, классификация с помощью фильтра flow, red в качестве краевых дисциплин.