ipfw или pf

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: ipfw или pf

Непрочитанное сообщение terminus » 2010-09-16 12:01:15

Три года не прошло еще. :bn:

Там какая-то замутка с людьми кто сейчас отвечает за IPFW. Вроде как это Луиджи и его бригада. В прошлый раз был багатон, так я специально к ним в чат зашел и на этот ПР ткнул - вот мол, даже патч есть, типа все работает. Так энтузиастов разбирающихся в современном состоянии IPFW че-то не нашлось - закоммитить никто не взялся... Правда пообещали утрести вопрос о рассмотрении PRов связанных с IPFW - типа пусть Луиджи назначит кого-нить из своей бригады, а то почти никто ими не занимается.

:cry:
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Гость
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение Гость » 2011-03-03 20:18:59

terminus писал(а):Три года не прошло еще. :bn:

Там какая-то замутка с людьми кто сейчас отвечает за IPFW. Вроде как это Луиджи и его бригада. В прошлый раз был багатон, так я специально к ним в чат зашел и на этот ПР ткнул - вот мол, даже патч есть, типа все работает. Так энтузиастов разбирающихся в современном состоянии IPFW че-то не нашлось - закоммитить никто не взялся... Правда пообещали утрести вопрос о рассмотрении PRов связанных с IPFW - типа пусть Луиджи назначит кого-нить из своей бригады, а то почти никто ими не занимается.

:cry:

Гость
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение Гость » 2011-03-03 20:21:23

релиз 8.2
1. NAT_BUF_LEN не поправили (тянется из 7.0, прошло 3 года? :smile: )
2. ipfw не научился натить сетка в сетку

пичаль :(

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw или pf

Непрочитанное сообщение hizel » 2011-03-03 21:25:51

нытики такие нытики

Гость
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение Гость » 2011-03-03 22:29:22

Нытики - не нытики, но заметил, что почти все nix серваки как-то незаметно перевелись на люникс. Виртуализация, то, сё. Фряха осталась на почтовике, работает не трожь, и netbsd на dns'е (взамен freebsd 4 на древнющем сервере).

Казалось бы, куда уж проще, есть проблема с NAT_BUF_LEN, есть воркэраунд. Что сиськи мять годами? :smile: Неужели разработчикам трудно поменять константу в сорце. :crazy:

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw или pf

Непрочитанное сообщение hizel » 2011-03-03 22:52:52

давай уж пруфлинк простой ты наш :-)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw или pf

Непрочитанное сообщение hizel » 2011-03-03 22:58:25

http://www.freebsd.org/cgi/query-pr.cgi?pr=143653 это?

похоже увеличение переменной не решение проблемы, надо бы переписать эту штку на связанный список и сделать, что то типа

Код: Выделить всё

ipfw nat 1 config add redirect_port tcp 127.0.0.1:14405
в юзерлевеле и не плодить партянки ни в ядре ни в юзерлевеле :-|
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Гость
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение Гость » 2011-03-03 23:01:46

чётко-дерзкий-ровно-сложный Дядя, протяните патч в апстрим, пажалста. :smile:
На прошлой странице :

Код: Выделить всё

terminus писал(а):У-у-у. :x А что ты сделал для хип-хопа в свои годы?!?

Сходил, поискал PRы с такой же бедой - не нашел.
Написал новый PR http://www.freebsd.org/cgi/query-pr.cgi?pr=143653

Гость
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение Гость » 2011-03-03 23:04:54

hizel писал(а):http://www.freebsd.org/cgi/query-pr.cgi?pr=143653 это?

похоже увеличение переменной не решение проблемы
Оно самое. Ну пусть это некрасивое решение, но как временное вполне допустимое. Кампелять ядро после каждого патча pXX еще менее удобно и красиво.

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw или pf

Непрочитанное сообщение vadim64 » 2011-03-03 23:22:15

подписка. тема охуенна
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw или pf

Непрочитанное сообщение hizel » 2011-03-03 23:24:43

я не проталкиваю в апстрим, это вам к bu7cher, тем более что у него фаервол в инетресах
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

icb
лейтенант
Сообщения: 749
Зарегистрирован: 2008-07-15 16:11:11

Re: ipfw или pf

Непрочитанное сообщение icb » 2011-03-05 9:32:35

hizel писал(а):http://www.freebsd.org/cgi/query-pr.cgi?pr=143653 это?
похоже увеличение переменной не решение проблемы, надо бы переписать эту штку на связанный список и сделать, что то типа

Код: Выделить всё

ipfw nat 1 config add redirect_port tcp 127.0.0.1:14405
в юзерлевеле и не плодить партянки ни в ядре ни в юзерлевеле :-|
А что делать все это время пользователям ipfw?
То one_pass сломают, то больше 10 редиректов нельзя... вот и приходится (именно приходится) уходить от использования ipfw :(

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw или pf

Непрочитанное сообщение hizel » 2011-03-05 9:45:21

я не вижу тут драмы, в FreeBSD натыкали вагон фаерволов и есть инструкция как они могут работать одновременно :-)
согласитесь что те изменения которые привели к этим ошибкам были необходимо, а то ipfw был похож на засохшую какшку мамонта
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

icb
лейтенант
Сообщения: 749
Зарегистрирован: 2008-07-15 16:11:11

Re: ipfw или pf

Непрочитанное сообщение icb » 2011-03-05 11:45:34

в FreeBSD натыкали вагон фаерволов и есть инструкция как они могут работать одновременно :-)
Зачем плодить зоопарк? Лучше ведь использовать 1 средство. Вот у меня на сервере больше 20 редиректов, и приходится ставить pf. Зачем мне оставлять ipfw (и осуществлять поддержку 2-х фаерволов), если я все могу сделать на одном pf?
согласитесь что те изменения которые привели к этим ошибкам были необходимо
Возможно (тут мне сложно судить), но эти изменения сделали невозможным работу ipfw на многих серверах. Если нет возможности сделать рабочее средство, то зачем сначала ломать старое? Обычно (нормальные программисты) сначала делают новое средство, и только потом отключают старое.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw или pf

Непрочитанное сообщение hizel » 2011-03-05 11:49:51

icb писал(а): Зачем плодить зоопарк? Лучше ведь использовать 1 средство. Вот у меня на сервере больше 20 редиректов, и приходится ставить pf. Зачем мне оставлять ipfw (и осуществлять поддержку 2-х фаерволов), если я все могу сделать на одном pf?
я вас и не заставляю, пользуйтесь как хотите
icb писал(а): Возможно (тут мне сложно судить), но эти изменения сделали невозможным работу ipfw на многих серверах. Если нет возможности сделать рабочее средство, то зачем сначала ломать старое? Обычно (нормальные программисты) сначала делают новое средство, и только потом отключают старое.
это не всегда возможно
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw или pf

Непрочитанное сообщение vadim64 » 2011-03-05 12:06:19

hizel писал(а): согласитесь что те изменения которые привели к этим ошибкам были необходимо, а то ipfw был похож на засохшую какшку мамонта
а можно по подробнее? линки есть под рукой?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw или pf

Непрочитанное сообщение hizel » 2011-03-05 12:11:12

да какие линки :-)
добавление kernel nat не нужно было, например?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw или pf

Непрочитанное сообщение vadim64 » 2011-03-05 12:34:14

всё))) вопросы сняты
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

icb
лейтенант
Сообщения: 749
Зарегистрирован: 2008-07-15 16:11:11

Re: ipfw или pf

Непрочитанное сообщение icb » 2011-03-05 12:34:37

я вас и не заставляю, пользуйтесь как хотите
Я к тому, что сейчас многие в очередной раз задумываются о смене фаервола. И многие сменят. Постепенно количество пользователей ipfw будет уменьшаться. Разработчики будут видеть, что их фаервол уже мало кому нужен. У них будет желание развивать софт? Нет :( Вот так может постепенно и умереть хороший фаервол :(
добавление kernel nat не нужно было, например?
А какой толк это этого nat без нормально работающего проброса портов?

Alpha
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение Alpha » 2011-08-26 12:03:24

К вопросу о доступности руководств.

Если сравнивать не переведённые руководства для IPFW (на FreeBSD.org) и IP (на OpenBSD), то последнее явно богаче!

Если сравнивать русские руководства, то в хендбуке описаны все фаерволы, но IPFW до сих пор не переведён. Это, в принципе, компенсируется сайтом lissyara.su, на котром много хороших руководств по ipfw и всего лишь два по pf. Где бы раздобыть такие же (на русском) по PF?

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: ipfw или pf

Непрочитанное сообщение LMik » 2011-08-26 12:22:01

Таки не понял что мешает ручками пропатчить NAT_BUF_LEN и не ныть? В этом и проблема ушедших в линух, всё готовое, и ум перестает работать, к сожалению.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

терминус_
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение терминус_ » 2011-08-26 13:12:42

LMik писал(а):Таки не понял что мешает ручками пропатчить NAT_BUF_LEN и не ныть? В этом и проблема ушедших в линух, всё готовое, и ум перестает работать, к сожалению.
NAT_BUF_LEN уже пропатчен
http://www.freebsd.org/cgi/query-pr.cgi?pr=143653
Number: 143653
Category: kern
Synopsis: [ipfw] [patch] ipfw nat redirect_port "buf is too small" error
Severity: serious
Priority: medium
Responsible: glebius
State: closed
Class: sw-bug
Arrival-Date: Sun Feb 07 19:40:02 UTC 2010
Closed-Date: Fri Jul 08 14:32:20 UTC 2011
Last-Modified: Fri Jul 8 14:40:00 UTC 2011

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw или pf

Непрочитанное сообщение vadim64 » 2011-08-26 21:17:05

блин, круто всё таки
ну вот читаешь ссылку от терминуса и понимаешь на сколько ты бесполезен для проекта и неграмотен
пользу могу принести только баблом, а бабла чёт нету и нету
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35297
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipfw или pf

Непрочитанное сообщение Alex Keda » 2011-08-30 19:03:07

что, зарепортить ошибку неспособен, чтоли?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: ipfw или pf

Непрочитанное сообщение vadim64 » 2011-08-31 6:50:54

а мне чё то ошибки не попадаются на стейбле
или я не способен их опознать
на карент нада садится, хотя бы парочку не очень ответственных серваков пересадить
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.