[taf_321]

Странно, что Вас это смущает. Меня вот не смущает наличие шестиногого пятихуя в виде наличия десятков фронтендов к iptables.

 

Подменяете сущности. В случае 100500 фронтендов все сводится к одному сущности - рисование правил для iptables, который на всех один. А в случае с натами фряхи...

[lagman]

zvtorero, а я наблюдал как приезжает, детали обсуждать все равно не получится, NDA.

Впрочем классический признак BSD-шника увести разговор от ключевого вопроса - "чем удалить стейт", и когда решения нет - перевести его в русло "вам это не нужно". :)

Я таки жду название протокола, при котором IPTV видео бегает по удп через нат.

Или опять выдумываете себе проблемы?

 

Странно, что Вас это смущает. Меня вот не смущает наличие шестиногого пятихуя в виде наличия десятков фронтендов к iptables.

Подменяете сущности. В случае 100500 фронтендов все сводится к одному сущности - рисование правил для iptables, который на всех один. А в случае с натами фряхи...

А что, синтаксис iptables настолько сложен, что для его конфигурирования требуется 100500 фронтендов?

Изменено 9 февраля, 2012 пользователем lagman

[taf_321]

чота какой венегред и много "если". давайте уж сразу определим сценарий про который ведем речь. предположим речь про хоминет, окей. что за "динамический фейковый ип" ? рискну предположить что речь про "серый" внутрений адрес получаемый через dhcp, окей. что мешает приколачивать по opt82 или по макам адрес гвоздями и не думать как решить надуманные проблемы ?

 

Постоянно выхватываю левый, не запрашиваемый трафик когда приходится ходить через CDMA/GPRS (по виду как раз либо iptv либо торренты). Там тоже люди opt82 настроить не могут наверное :)

Изменено 9 февраля, 2012 пользователем taf_321

[lagman]

Постоянно выхватываю левый, не запрашиваемый трафик когда приходится ходить через CDMS/GPRS (по виду как раз либо iptv либо торренты). Там тоже люди opt82 настроить не могут наверное :)

Торренты и IPTV по GPRS это пять :)

[taf_321]

 

А что, синтаксис iptables настолько сложен, что для его конфигурирования требуется 100500 фронтендов?

 

Кому-то удобнее рисовать все через мышевозню, кому-то через мышевозню+геймпад, кто-то тащится от древовидного представления и тд. И пусть рисуют. Потому как все их упражнения на базовые элементы никак не влияет. В "отличии от..."

 

Торренты и IPTV по GPRS это пять :)

 

Ну а по существу вопроса-то что сказать есть?

[nuclearcat]

Кто-то сказал, что это стандартный или где-то публично описанный протокол? Там задача стоит убрать стейт, а не учить жизни медийщиков, которые сделали странный протокол, по своим соображениям.

[lagman]

Кому-то удобнее...

<skip>

...никак не влияет...

Вот именно! Взрослым дяденькам, которые зарабатывают деньги, главное - результат с наименьшими издержками.

 

Торренты и IPTV по GPRS это пять :)

Ну а по существу вопроса-то что сказать есть?

Как только будет действительный пример из реальный жизни, а не из страны фантазий с пони и единорогами - будет.

 

Кто-то сказал, что это стандартный или где-то публично описанный протокол? Там задача стоит убрать стейт, а не учить жизни медийщиков, которые сделали странный протокол, по своим соображениям.

Очередная выдуманная задача, линугзоеды вообще славятся умением создавать себе проблемы и отважно их решать (см. пример Рамблер-почты).

[lagman]

Кто-то сказал, что это стандартный или где-то публично описанный протокол? Там задача стоит убрать стейт, а не учить жизни медийщиков, которые сделали странный протокол, по своим соображениям.

Вообще я плавно подвожу к тому, что у Вас либо уникастовый удп с отдельной сигнализацией и NAT-T, либо мультикастовый UDP с igmp, который через нат вообще не ходит. Поэтому объясните мне, глупому, о гуру, каким образом у Вас создаются стейты для UDP в нате, которые Вы хотите удалять по запросу из юзерленда.

Изменено 9 февраля, 2012 пользователем lagman

[nuclearcat]

А что, синтаксис iptables настолько сложен, что для его конфигурирования требуется 100500 фронтендов?

Скорее существует 100500 желающих написать свой визард, под свои задачи, и в т.ч. для людей которые не хотят дружить CLI вообще.

В отличии от пары калек написавших подобное для ipfw и прочего шлака :)

Причем из 9 - 6 платные, и 7 для MacOS. Из 2-х бесплатных для FreeBSD - оба сдохли несколько лет назад.

Для pf есть только в составе дистрибутива pfsense.

 

Торренты и IPTV по GPRS это пять :)

Для вашего сведения, в среде 3G оператора, GPRS от 3G для клиента отличается только частотой и модуляцией.

[lagman]

Скорее существует 100500 желающих написать свой визард, под свои задачи, и в т.ч. для людей которые не хотят дружить CLI вообще.

патологическая тяга к велосипедостроению

Если есть несколько инструментов - да, значит как минимум один из них (если не все) неполноценен.

Типично линуксовый подход, ага :)

[nuclearcat]

Вполне нормальный подход делать несколько неполноценных в плане универсальности, но более совершенных в плане узкоспециализированной задачи решений, с нюансами.

Скажем если говорить о дистрибутивах, тут важно не то, что каждый из них в чем-то проигрывает, а то, что ядро системы позволяет сделать нужное.

Но одно дело управление, в одном случае более куцое, но легкое в плане автоматизации и визуального представления, в другом более совершенное и полноценное, но менее удобное (iptables vs iptables GUI frontend, Cisco SDM+web / Cisco CLI, Juniper J-web+Channel Enterprise Configurator Tool / Juniper CLI).

 

И другие дело, когда ядро, один инструмент калечный - pfsync, но NAT helper-ы делаются через divert, нет никакого GUI (а если есть как pfsense, это уже не FreeBSD) и самое главное хреново масштабируется на SMP, другой инструмент ipfw вообще делает nat в юзерспейсе, и тоже с GUI туго, короче попросту называется - бардак, разброд и шатание, ни одного до ума доведенного и полноценного решения.

[zvtorero]

И другие дело, когда ядро, один инструмент калечный - pfsync, но NAT helper-ы делаются через divert, нет никакого GUI (а если есть как pfsense, это уже не FreeBSD) и самое главное хреново масштабируется на SMP, другой инструмент ipfw вообще делает nat в юзерспейсе, и тоже с GUI туго, короче попросту называется - бардак, разброд и шатание, ни одного до ума доведенного и полноценного решения.

Благородный дон застрял в году эдак 2004ом.

 

Кроме того. Как же Вы, человек из прошлого, GUI хотите? Мышкой в фиреволы да наты тыкать - это извращение куда более сильное, нежели патологическая любовь к линуксу.

Тащемта, Вы поди и цыски гуём настраиваете.

Изменено 9 февраля, 2012 пользователем zvtorero

[lagman]

нет никакого GUI

и тоже с GUI туго

Мне нравится линуксовый подход в этом плане. Потыкол мышкой - и уже администратор!

Поменял обои в кедах - и уже есть повод выложить скриншот на ЛОР.

[pfexec]

zvtorero, а я наблюдал как приезжает, детали обсуждать все равно не получится, NDA.

Впрочем классический признак BSD-шника увести разговор от ключевого вопроса - "чем удалить стейт", и когда решения нет - перевести его в русло "вам это не нужно". :)

классический признак линазгойда, - уходить от деталей прикрывшись NDA.

Кстати еще вспомнил причину, достаточно забавную, и глубоко нетехническую, по которой FreeBSD была изгнана из сети одного из зарубежных провайдеров. Логотип.

ну любой нормальный человек откроет и прочитае что значит лого. да и сейчас лого - шарик с двумя конусами. пойди разгляди в нём демонов. ну и да, демоны в линагзе конечно же не пугают фанатиков, лол.

Подменяете сущности. В случае 100500 фронтендов все сводится к одному сущности - рисование правил для iptables, который на всех один. А в случае с натами фряхи...

ну вообще iptables это тоже фронтенд к netfilter'у. вроде ж проскакивали новости про nftables как замену iptables для управления нетфильтром. были и другие "альтернативы", за деталями не слежу. у freebsd всё так же. есть библиотека libalias, на неё сделано три реализации ната: одна юзерспейсовая(старая) и две ядерных (одна для ipfw, другая для netgraph). pf и ipf портированы из других проектов в угоду свободы выбора. всё просто и логично.

 

а вот про фронтенды к iptables'у, который тоже фронтенд, можно конечно поржать.

Кому-то удобнее рисовать все через мышевозню, кому-то через мышевозню+геймпад, кто-то тащится от древовидного представления и тд. И пусть рисуют. Потому как все их упражнения на базовые элементы никак не влияет. В "отличии от..."

именно про это я в самом начале и писал. множество разных сущностей и полное отсутствие системного типового подхода.

[taf_321]

именно про это я в самом начале и писал. множество разных сущностей и полное отсутствие системного типового подхода.

 

...и это точное определение фряхи в плане фильтрации пакетов в общем, так и NAT в частности.

 

В линухе все богатство надстроек базируется на одной подсистеме, которая полностью самодостаточна и функциональна. Разницу не замечаете?

Изменено 9 февраля, 2012 пользователем taf_321

[Gull]

Мне нравится линуксовый подход в этом плане. Потыкол мышкой - и уже администратор!

А если по кнопочкам потыкал - администратор?

 

По последним ответам в теме именно такое впечатление и складывается, что фрибсдшникам главное по кнопочкам тыкать, а надо ли и полезено ли это хоть кому-нибудь - не важно.

[lagman]

В линухе же, при все богатство надстроек базирцуется на одной подсистеме, которая полностью самодостаточно и функциональна. Разницу не замечаете?

Наличие ebtables, arptables, bridge-nf подчеркивает самодостаточность и функциональность?

 

А если по кнопочкам потыкал - администратор?

Так я и пишу, что мне нравится такой подход. Я сам работаю из виндов и на работе, и дома. Грустненько сидеть и дрочить на баш и вим во втором десятилетии 21-го века тащемта.

 

По последним ответам в теме именно такое впечатление и складывается, что фрибсдшникам главное по кнопочкам тыкать, а надо ли и полезено ли это хоть кому-нибудь - не важно.

Из чего складывается такое впечатление?

Изменено 9 февраля, 2012 пользователем lagman

[pfexec]

...и это точное определение фряхи в плане фильтрации пакетов в общем, так и NAT в частности.

 

В линухе все богатство надстроек базируется на одной подсистеме, которая полностью самодостаточна и функциональна. Разницу не замечаете?

не замечаю. как во фряхе был ipfw, dummynet и libalias, так он и остался, плюс добавился netgraph позволяющий делать то что не может сделать набор из ipfw, route и ifconfig'а. так что подсистема одна и всё базируется на ней. кому-то захотелось pf из openbsd, его портировали. но родные инструменты никто не забывал.

Изменено 9 февраля, 2012 пользователем pfexec

[Dyr]

И ещё вспомним, что на определённом этапе ipchain и iptables были одновременно. ;-Р

[SpheriX]

уходить от деталей прикрывшись NDA

Вам ничего под NDA не доверяют ?

Грустненько сидеть и дрочить на баш и вим во втором десятилетии 21-го века

Потыкол мышкой - и уже администратор!

Вы уж с трусами и крестиками определилитесь.

И ещё вспомним, что на определённом этапе ipchain и iptables были одновременно.

Они были "или или". На период перехода. Точнее, использовались так.

Изменено 9 февраля, 2012 пользователем SpheriX

[Dyr]

Они были "или или". На период перехода. Точнее, использовались так.

 

Были, не были, суть от этого не меняется - сегодня один инструмент, завтра другой, послезавтра третий. И всё ведь, понимаешь, для одного и того же.

 

 

[SpheriX]

сегодня один инструмент, завтра другой, послезавтра третий.

Это во фре все сразу и ничего единого ;) Нет бы допилить что-то одно до нормального функционала, заимствуя у других только идеи и улучшая их. Вместо этого занимаетесь портированием к себе целиком со всеми проблемами, причем не решая их. Как на помойке роетесь, чесслово. И сразу в ядро суете.

[Dyr]

 Вы та-а-акой забавный. Ничего, что свой nat во Фре может работать в ядре уже как несколько лет, не?

 

Забавно вообще, как у вас до сих пор не разрывает мозг от одновременного существования sed и awk, например. Или, ещё нагляднее, Gnome/KDE.

 

 

Изменено 9 февраля, 2012 пользователем Dyr

[lagman]

Грустненько сидеть и дрочить на баш и вим во втором десятилетии 21-го века

Потыкол мышкой - и уже администратор!

Вы уж с трусами и крестиками определилитесь.

Где противоречия-то? Я и крестиком могу, и на машинке ;)

 

Вместо этого занимаетесь портированием к себе целиком со всеми проблемами, причем не решая их.

A port of ipfw and the dummynet traffic shaper is available for Linux, OpenWrt and Microsoft Windows

Что-то я не наблюдаю netfilter на платформах, отличных от линукса. Видимо, такой нужный и полезный инструмент.

 

Как на помойке роетесь, чесслово. И сразу в ядро суете.

Сразу CVE-2012-0056 вспоминается :)

 

до нормального функционала

Озвучить критерии "нормального функционала" так никто из участников нашей дискуссии и не смог, увы. Пара попыток выдумать юзкейсы не увенчалась успехом. Может быть Вы мне ответите - что такое "нормальный функционал"?

Изменено 9 февраля, 2012 пользователем lagman

[Dyr]

Сразу CVE-2012-0056 вспоминается :)

 

ГГГ, годно пнул!