taf_321 Опубликовано 9 февраля, 2012 · Жалоба Странно, что Вас это смущает. Меня вот не смущает наличие шестиногого пятихуя в виде наличия десятков фронтендов к iptables. Подменяете сущности. В случае 100500 фронтендов все сводится к одному сущности - рисование правил для iptables, который на всех один. А в случае с натами фряхи... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lagman Опубликовано 9 февраля, 2012 (изменено) · Жалоба zvtorero, а я наблюдал как приезжает, детали обсуждать все равно не получится, NDA. Впрочем классический признак BSD-шника увести разговор от ключевого вопроса - "чем удалить стейт", и когда решения нет - перевести его в русло "вам это не нужно". :) Я таки жду название протокола, при котором IPTV видео бегает по удп через нат. Или опять выдумываете себе проблемы? Странно, что Вас это смущает. Меня вот не смущает наличие шестиногого пятихуя в виде наличия десятков фронтендов к iptables. Подменяете сущности. В случае 100500 фронтендов все сводится к одному сущности - рисование правил для iptables, который на всех один. А в случае с натами фряхи... А что, синтаксис iptables настолько сложен, что для его конфигурирования требуется 100500 фронтендов? Изменено 9 февраля, 2012 пользователем lagman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 9 февраля, 2012 (изменено) · Жалоба чота какой венегред и много "если". давайте уж сразу определим сценарий про который ведем речь. предположим речь про хоминет, окей. что за "динамический фейковый ип" ? рискну предположить что речь про "серый" внутрений адрес получаемый через dhcp, окей. что мешает приколачивать по opt82 или по макам адрес гвоздями и не думать как решить надуманные проблемы ? Постоянно выхватываю левый, не запрашиваемый трафик когда приходится ходить через CDMA/GPRS (по виду как раз либо iptv либо торренты). Там тоже люди opt82 настроить не могут наверное :) Изменено 9 февраля, 2012 пользователем taf_321 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lagman Опубликовано 9 февраля, 2012 · Жалоба Постоянно выхватываю левый, не запрашиваемый трафик когда приходится ходить через CDMS/GPRS (по виду как раз либо iptv либо торренты). Там тоже люди opt82 настроить не могут наверное :) Торренты и IPTV по GPRS это пять :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 9 февраля, 2012 · Жалоба А что, синтаксис iptables настолько сложен, что для его конфигурирования требуется 100500 фронтендов? Кому-то удобнее рисовать все через мышевозню, кому-то через мышевозню+геймпад, кто-то тащится от древовидного представления и тд. И пусть рисуют. Потому как все их упражнения на базовые элементы никак не влияет. В "отличии от..." Торренты и IPTV по GPRS это пять :) Ну а по существу вопроса-то что сказать есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 9 февраля, 2012 · Жалоба Кто-то сказал, что это стандартный или где-то публично описанный протокол? Там задача стоит убрать стейт, а не учить жизни медийщиков, которые сделали странный протокол, по своим соображениям. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lagman Опубликовано 9 февраля, 2012 · Жалоба Кому-то удобнее... <skip> ...никак не влияет... Вот именно! Взрослым дяденькам, которые зарабатывают деньги, главное - результат с наименьшими издержками. Торренты и IPTV по GPRS это пять :) Ну а по существу вопроса-то что сказать есть? Как только будет действительный пример из реальный жизни, а не из страны фантазий с пони и единорогами - будет. Кто-то сказал, что это стандартный или где-то публично описанный протокол? Там задача стоит убрать стейт, а не учить жизни медийщиков, которые сделали странный протокол, по своим соображениям. Очередная выдуманная задача, линугзоеды вообще славятся умением создавать себе проблемы и отважно их решать (см. пример Рамблер-почты). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lagman Опубликовано 9 февраля, 2012 (изменено) · Жалоба Кто-то сказал, что это стандартный или где-то публично описанный протокол? Там задача стоит убрать стейт, а не учить жизни медийщиков, которые сделали странный протокол, по своим соображениям. Вообще я плавно подвожу к тому, что у Вас либо уникастовый удп с отдельной сигнализацией и NAT-T, либо мультикастовый UDP с igmp, который через нат вообще не ходит. Поэтому объясните мне, глупому, о гуру, каким образом у Вас создаются стейты для UDP в нате, которые Вы хотите удалять по запросу из юзерленда. Изменено 9 февраля, 2012 пользователем lagman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 9 февраля, 2012 · Жалоба А что, синтаксис iptables настолько сложен, что для его конфигурирования требуется 100500 фронтендов? Скорее существует 100500 желающих написать свой визард, под свои задачи, и в т.ч. для людей которые не хотят дружить CLI вообще. В отличии от пары калек написавших подобное для ipfw и прочего шлака :) Причем из 9 - 6 платные, и 7 для MacOS. Из 2-х бесплатных для FreeBSD - оба сдохли несколько лет назад. Для pf есть только в составе дистрибутива pfsense. Торренты и IPTV по GPRS это пять :) Для вашего сведения, в среде 3G оператора, GPRS от 3G для клиента отличается только частотой и модуляцией. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lagman Опубликовано 9 февраля, 2012 · Жалоба Скорее существует 100500 желающих написать свой визард, под свои задачи, и в т.ч. для людей которые не хотят дружить CLI вообще. патологическая тяга к велосипедостроению Если есть несколько инструментов - да, значит как минимум один из них (если не все) неполноценен. Типично линуксовый подход, ага :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 9 февраля, 2012 · Жалоба Вполне нормальный подход делать несколько неполноценных в плане универсальности, но более совершенных в плане узкоспециализированной задачи решений, с нюансами. Скажем если говорить о дистрибутивах, тут важно не то, что каждый из них в чем-то проигрывает, а то, что ядро системы позволяет сделать нужное. Но одно дело управление, в одном случае более куцое, но легкое в плане автоматизации и визуального представления, в другом более совершенное и полноценное, но менее удобное (iptables vs iptables GUI frontend, Cisco SDM+web / Cisco CLI, Juniper J-web+Channel Enterprise Configurator Tool / Juniper CLI). И другие дело, когда ядро, один инструмент калечный - pfsync, но NAT helper-ы делаются через divert, нет никакого GUI (а если есть как pfsense, это уже не FreeBSD) и самое главное хреново масштабируется на SMP, другой инструмент ipfw вообще делает nat в юзерспейсе, и тоже с GUI туго, короче попросту называется - бардак, разброд и шатание, ни одного до ума доведенного и полноценного решения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zvtorero Опубликовано 9 февраля, 2012 (изменено) · Жалоба И другие дело, когда ядро, один инструмент калечный - pfsync, но NAT helper-ы делаются через divert, нет никакого GUI (а если есть как pfsense, это уже не FreeBSD) и самое главное хреново масштабируется на SMP, другой инструмент ipfw вообще делает nat в юзерспейсе, и тоже с GUI туго, короче попросту называется - бардак, разброд и шатание, ни одного до ума доведенного и полноценного решения. Благородный дон застрял в году эдак 2004ом. Кроме того. Как же Вы, человек из прошлого, GUI хотите? Мышкой в фиреволы да наты тыкать - это извращение куда более сильное, нежели патологическая любовь к линуксу. Тащемта, Вы поди и цыски гуём настраиваете. Изменено 9 февраля, 2012 пользователем zvtorero Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lagman Опубликовано 9 февраля, 2012 · Жалоба нет никакого GUI и тоже с GUI туго Мне нравится линуксовый подход в этом плане. Потыкол мышкой - и уже администратор! Поменял обои в кедах - и уже есть повод выложить скриншот на ЛОР. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 9 февраля, 2012 · Жалоба zvtorero, а я наблюдал как приезжает, детали обсуждать все равно не получится, NDA. Впрочем классический признак BSD-шника увести разговор от ключевого вопроса - "чем удалить стейт", и когда решения нет - перевести его в русло "вам это не нужно". :) классический признак линазгойда, - уходить от деталей прикрывшись NDA.Кстати еще вспомнил причину, достаточно забавную, и глубоко нетехническую, по которой FreeBSD была изгнана из сети одного из зарубежных провайдеров. Логотип.ну любой нормальный человек откроет и прочитае что значит лого. да и сейчас лого - шарик с двумя конусами. пойди разгляди в нём демонов. ну и да, демоны в линагзе конечно же не пугают фанатиков, лол.Подменяете сущности. В случае 100500 фронтендов все сводится к одному сущности - рисование правил для iptables, который на всех один. А в случае с натами фряхи...ну вообще iptables это тоже фронтенд к netfilter'у. вроде ж проскакивали новости про nftables как замену iptables для управления нетфильтром. были и другие "альтернативы", за деталями не слежу. у freebsd всё так же. есть библиотека libalias, на неё сделано три реализации ната: одна юзерспейсовая(старая) и две ядерных (одна для ipfw, другая для netgraph). pf и ipf портированы из других проектов в угоду свободы выбора. всё просто и логично. а вот про фронтенды к iptables'у, который тоже фронтенд, можно конечно поржать. Кому-то удобнее рисовать все через мышевозню, кому-то через мышевозню+геймпад, кто-то тащится от древовидного представления и тд. И пусть рисуют. Потому как все их упражнения на базовые элементы никак не влияет. В "отличии от..."именно про это я в самом начале и писал. множество разных сущностей и полное отсутствие системного типового подхода. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 9 февраля, 2012 (изменено) · Жалоба именно про это я в самом начале и писал. множество разных сущностей и полное отсутствие системного типового подхода. ...и это точное определение фряхи в плане фильтрации пакетов в общем, так и NAT в частности. В линухе все богатство надстроек базируется на одной подсистеме, которая полностью самодостаточна и функциональна. Разницу не замечаете? Изменено 9 февраля, 2012 пользователем taf_321 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gull Опубликовано 9 февраля, 2012 · Жалоба Мне нравится линуксовый подход в этом плане. Потыкол мышкой - и уже администратор! А если по кнопочкам потыкал - администратор? По последним ответам в теме именно такое впечатление и складывается, что фрибсдшникам главное по кнопочкам тыкать, а надо ли и полезено ли это хоть кому-нибудь - не важно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lagman Опубликовано 9 февраля, 2012 (изменено) · Жалоба В линухе же, при все богатство надстроек базирцуется на одной подсистеме, которая полностью самодостаточно и функциональна. Разницу не замечаете? Наличие ebtables, arptables, bridge-nf подчеркивает самодостаточность и функциональность? А если по кнопочкам потыкал - администратор? Так я и пишу, что мне нравится такой подход. Я сам работаю из виндов и на работе, и дома. Грустненько сидеть и дрочить на баш и вим во втором десятилетии 21-го века тащемта. По последним ответам в теме именно такое впечатление и складывается, что фрибсдшникам главное по кнопочкам тыкать, а надо ли и полезено ли это хоть кому-нибудь - не важно. Из чего складывается такое впечатление? Изменено 9 февраля, 2012 пользователем lagman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 9 февраля, 2012 (изменено) · Жалоба ...и это точное определение фряхи в плане фильтрации пакетов в общем, так и NAT в частности. В линухе все богатство надстроек базируется на одной подсистеме, которая полностью самодостаточна и функциональна. Разницу не замечаете? не замечаю. как во фряхе был ipfw, dummynet и libalias, так он и остался, плюс добавился netgraph позволяющий делать то что не может сделать набор из ipfw, route и ifconfig'а. так что подсистема одна и всё базируется на ней. кому-то захотелось pf из openbsd, его портировали. но родные инструменты никто не забывал. Изменено 9 февраля, 2012 пользователем pfexec Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 9 февраля, 2012 · Жалоба И ещё вспомним, что на определённом этапе ipchain и iptables были одновременно. ;-Р Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpheriX Опубликовано 9 февраля, 2012 (изменено) · Жалоба уходить от деталей прикрывшись NDA Вам ничего под NDA не доверяют ? Грустненько сидеть и дрочить на баш и вим во втором десятилетии 21-го века Потыкол мышкой - и уже администратор! Вы уж с трусами и крестиками определилитесь. И ещё вспомним, что на определённом этапе ipchain и iptables были одновременно. Они были "или или". На период перехода. Точнее, использовались так. Изменено 9 февраля, 2012 пользователем SpheriX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 9 февраля, 2012 · Жалоба Они были "или или". На период перехода. Точнее, использовались так. Были, не были, суть от этого не меняется - сегодня один инструмент, завтра другой, послезавтра третий. И всё ведь, понимаешь, для одного и того же. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpheriX Опубликовано 9 февраля, 2012 · Жалоба сегодня один инструмент, завтра другой, послезавтра третий. Это во фре все сразу и ничего единого ;) Нет бы допилить что-то одно до нормального функционала, заимствуя у других только идеи и улучшая их. Вместо этого занимаетесь портированием к себе целиком со всеми проблемами, причем не решая их. Как на помойке роетесь, чесслово. И сразу в ядро суете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 9 февраля, 2012 (изменено) · Жалоба Вы та-а-акой забавный. Ничего, что свой nat во Фре может работать в ядре уже как несколько лет, не? Забавно вообще, как у вас до сих пор не разрывает мозг от одновременного существования sed и awk, например. Или, ещё нагляднее, Gnome/KDE. Изменено 9 февраля, 2012 пользователем Dyr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lagman Опубликовано 9 февраля, 2012 (изменено) · Жалоба Грустненько сидеть и дрочить на баш и вим во втором десятилетии 21-го века Потыкол мышкой - и уже администратор! Вы уж с трусами и крестиками определилитесь. Где противоречия-то? Я и крестиком могу, и на машинке ;) Вместо этого занимаетесь портированием к себе целиком со всеми проблемами, причем не решая их. A port of ipfw and the dummynet traffic shaper is available for Linux, OpenWrt and Microsoft Windows Что-то я не наблюдаю netfilter на платформах, отличных от линукса. Видимо, такой нужный и полезный инструмент. Как на помойке роетесь, чесслово. И сразу в ядро суете. Сразу CVE-2012-0056 вспоминается :) до нормального функционала Озвучить критерии "нормального функционала" так никто из участников нашей дискуссии и не смог, увы. Пара попыток выдумать юзкейсы не увенчалась успехом. Может быть Вы мне ответите - что такое "нормальный функционал"? Изменено 9 февраля, 2012 пользователем lagman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 9 февраля, 2012 · Жалоба Сразу CVE-2012-0056 вспоминается :) ГГГ, годно пнул! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...