ipfw или pf

[vadim64]

после последнего поста поставил на dl380g3 карент
щас только словил свою первую панику

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Гость]

Таки не понял что мешает ручками пропатчить NAT_BUF_LEN и не ныть? В этом и проблема ушедших в линух, всё готовое, и ум перестает работать, к сожалению.

И кампелять ядро каждый раз заново после обновлений? ну-ну.

[LMik]

Таки не понял что мешает ручками пропатчить NAT_BUF_LEN и не ныть? В этом и проблема ушедших в линух, всё готовое, и ум перестает работать, к сожалению.

И кампелять ядро каждый раз заново после обновлений? ну-ну.

А вы наверное не пробовали? Ну чтож, никто не совершенен

Минут 5 на современной машине занимает. Ну и обновление в любом случае связанно с компиляцией. Не вижу совершенно никаких проблем.

Ну а бинарный апдейт не люблю, ибо не собирается всё тонко заточенное под мою систему, а это не тру.

[Гость]

А вы наверное не пробовали? Ну чтож, никто не совершенен

Минут 5 на современной машине занимает. Ну и обновление в любом случае связанно с компиляцией. Не вижу совершенно никаких проблем.

Ну а бинарный апдейт не люблю, ибо не собирается всё тонко заточенное под мою систему, а это не тру.

Я наверное пробовал. До появления freebsd-update. Надеялся что красноглазие уже ушло в прошлое. Чем обосновано мнение, что обновление обновление в любом случае связанно с компиляцией?

[vadim64]

при определённых условиях плюсом является возможность организовать экономию трафика.
если в локалке одно зеркало исходников на пол дюжины серверов - есть определённая экономия.
про красноклазие - ну никто не заставляет вас сидеть перед сборкой мира, запустил - занимайся своими делами
должен сказать, что никогда не обновлялся бинарно, и возможно чего то не знаю.
но сборка и установка мира и ядра - как-то красивее, стильней и аристократичней, ебаныврот!

[LMik]

А вы наверное не пробовали? Ну чтож, никто не совершенен

Минут 5 на современной машине занимает. Ну и обновление в любом случае связанно с компиляцией. Не вижу совершенно никаких проблем.

Ну а бинарный апдейт не люблю, ибо не собирается всё тонко заточенное под мою систему, а это не тру.

Я наверное пробовал. До появления freebsd-update. Надеялся что красноглазие уже ушло в прошлое. Чем обосновано мнение, что обновление обновление в любом случае связанно с компиляцией?

Потому что компиляция собирает тонко заточенное ядро под вашу систему.

ПЫСЫ: Вы не представились...

[Dominator]

Я использую pf и доволен. Изначально надо было быстро поднять nat после сбоя и выхода из строя ОС. natd не смог уговорить работать без перекомпиляции, а вот pf завелся двумя командами и третьей подтянул config.

Код: Выделить всё

kldload pf
pfctl -e
pfctl -f /etc/pf.conf

[vadim64]

не позорьтесь
уже три года ipfw nat решает задачи также быстро
можно даже без конфигов
читайте маны для чайников поновее

[suspender]

А это.
В ipfw уже можно сделать, чтобы при количестве интернетов > 1, внешние сервисы отвечали с того же ip на какой пришел запрос (а не тупо через дефолтную нулевую таблицу маршрутизации) ? Короче, аналог pf-ного reply-to в ipfw уже есть или ещё нет ?
Я, конечно, понимаю, что если очень нада - то каждый из таких сервисов можно запускать в нескольких экземплярах, для каждого указывая свою таблицу маршрутизации. Но это гемор ещё тот.


Про pf из минусов вроде, что оно работает тупо на одном процессорном ядре и не умеет распределять нагрузку по остальным ядрам.

[vadim64]

да, там fib назначают

[терминус_]

А это.
В ipfw уже можно сделать, чтобы при количестве интернетов > 1, внешние сервисы отвечали с того же ip на какой пришел запрос (а не тупо через дефолтную нулевую таблицу маршрутизации) ? Короче, аналог pf-ного reply-to в ipfw уже есть или ещё нет ?
Я, конечно, понимаю, что если очень нада - то каждый из таких сервисов можно запускать в нескольких экземплярах, для каждого указывая свою таблицу маршрутизации. Но это гемор ещё тот.


Про pf из минусов вроде, что оно работает тупо на одном процессорном ядре и не умеет распределять нагрузку по остальным ядрам.

http://www.freebsd.org/cgi/query-pr.cgi?pr=147720

State Changed
From-To: open->patched
By: ae
When: Sat Jul 2 08:48:17 UTC 2011
Why: Patched in head/.

State Changed
From-To: patched->closed
By: ae
When: Wed Jul 6 06:58:55 UTC 2011
Why: Merged to stable/7 and stable/8. Thanks!

в STABLE и в следующих 8 и 9 будет можно.

setfib не поможет с балансировкой локальных сервисов - только через keep-state + fwd как в том PR в примере (пример nuclight'а nuclight.livejournal.com/124348.html).

[MASiK]

Тоже влезу в холи вары )))

IPFW люблю но всё же есть вот такой вопрос, под pf есть ftp-proxy а вот под ipfw нету... вопрос почему?

Я вообще сторонник того что на Опёнке быть должно ПХ а на Фриишке ИПФВ
ИМХО так просто правильно

[terminus]

ipfw nat + alias_ftp.ko это не оно?

[gx_ua]

подскажите, какой лимит записей для таблицы в ipfw? или как можно загнать под deny 200 000 IP-шников.

[vadim64]

подскажите, какой лимит записей для таблицы в ipfw? или как можно загнать под deny 200 000 IP-шников.

недавно тоже интересовался
помог поиск по форуму по словам "ipfw table limit"

[gx_ua]

в том топе я не нашел ответ. Какой лимит?

проверил экспериментально на первой машине (Celeron 1cpu, 1 Gb):

Код: Выделить всё

75501 - добавило
147385 - добавило
186780 - добавило 5:54
256235 - добавило 8:08

вторая машина просто зависла при добавлении 256235 записей (8Gb+2CPUx4 cores). Позже еще поэкпериментирую.

[burder]

Когда у меня встал вопрос ребром что ставить на маршрутизатор у клиента я остановил свой выбор на IPFW и плюс kernel nat.
Теперь осталось боевой NAS перевести с PF на IPFW.

[vadim64]

в том топе я не нашел ответ. Какой лимит?

послушайте, это не серьёзно же
мне нужно вам дать ссылку прямо на то сообщение, где указано точное значение лимита?
оно там есть, смотрите лучше
а ещё лучше - перечитайте темы, которые нашлись по упомянутому поиску, лишним это не будет не для кого

[gx_ua]

уже неактуально. Принял другую стратегий - разрешать только нужным. Вышел список в 200 раз короче - все добавилось.

[Ahab444]

PF не умеет натить GRE трафик. Говорят, что можно установить только одну сессию к внешнему серверу, но у меня и это не вышло.
Второй баг PF - по непонятым причинам не редиректит UDP голосовой трафик. У меня ситуация была аналогична этой http://www.opennet.ru/openforum/vsluhfo ... 90016.html. Из минусов IPFW - нужно хорошо понимать движение пакета в системе, и соответственно располагать правила в правильном порядке.
IMHO
ipfw - шлюз (с натом)
pf - чистый фаервол , возможно с carp'ом, и только на openbsd

[DevZone]

ipfw не рвет соединение при service ipfw restart, в отличии pf
Решение только reload: http://www.bsdportal.ru/viewtopic.php?f=8&t=14682

[DevZone]

Остался вопрос как туннель-брокеру для ipv6 разрешить такой же самый набор правил

в ipfw

Код: Выделить всё

# http://case.net.ru/2009/05/22/ipv6/
add allow ip4 from any to any proto ipv6
add pass ipv6 from any to any

Грязный хак
- https://www.tunnelbroker.net/forums/ind ... 3#msg12383
- http://home.nuug.no/~peter/pf/asiabsdcon2012/icmp6.html

[k0ma]

прочитал сколько смог из данной темы(первую страницу и сразу последнюю). Возник вопрос в тему, что лучше ipfw или pf.
Есть freebsd 10.1, поднят ipfw +ipnat.
Есть куча вланов и я пытаюсь снатить человека на впн сервер.

Код: Выделить всё

map vlan1 from 172.17.12.0/22 to 172.17.12.2/32 -> 172.17.15.200/32
map vlan2 from 172.18.12.0/22 to 172.17.12.2/32 -> 172.18.15.200/32
map vlan3 from 172.19.12.0/22 to 172.17.12.2/32 -> 172.19.15.200/32

Подключается первый пассажир, и после него уже никто не может подключиться.
Выключаем первого и только тогда один из 3х других сможет подключиться.
Думал решит проблему опция portmap tcp/udp 10101-20200,но че-то нет.

[Alex Keda]

э... а больше одного - оно как по вашему должно работать-то?

[k0ma]

не понял...можете обьяснить?