ipfw или pf
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Re: ipfw или pf
после последнего поста поставил на dl380g3 карент
щас только словил свою первую панику
щас только словил свою первую панику
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- проходил мимо
Re: ipfw или pf
И кампелять ядро каждый раз заново после обновлений? ну-ну.LMik писал(а):Таки не понял что мешает ручками пропатчить NAT_BUF_LEN и не ныть? В этом и проблема ушедших в линух, всё готовое, и ум перестает работать, к сожалению.
- LMik
- капитан
- Сообщения: 1852
- Зарегистрирован: 2007-07-17 9:14:39
- Откуда: МО
- Контактная информация:
Re: ipfw или pf
А вы наверное не пробовали? Ну чтож, никто не совершененГость писал(а):И кампелять ядро каждый раз заново после обновлений? ну-ну.LMik писал(а):Таки не понял что мешает ручками пропатчить NAT_BUF_LEN и не ныть? В этом и проблема ушедших в линух, всё готовое, и ум перестает работать, к сожалению.
Минут 5 на современной машине занимает. Ну и обновление в любом случае связанно с компиляцией. Не вижу совершенно никаких проблем.
Ну а бинарный апдейт не люблю, ибо не собирается всё тонко заточенное под мою систему, а это не тру.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!
Виpус детям не игpушка, не товаpищ и не дpуг!
-
- проходил мимо
Re: ipfw или pf
Я наверное пробовал. До появления freebsd-update. Надеялся что красноглазие уже ушло в прошлое. Чем обосновано мнение, что обновление обновление в любом случае связанно с компиляцией?LMik писал(а):А вы наверное не пробовали? Ну чтож, никто не совершенен
Минут 5 на современной машине занимает. Ну и обновление в любом случае связанно с компиляцией. Не вижу совершенно никаких проблем.
Ну а бинарный апдейт не люблю, ибо не собирается всё тонко заточенное под мою систему, а это не тру.
- vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Re: ipfw или pf
при определённых условиях плюсом является возможность организовать экономию трафика.
если в локалке одно зеркало исходников на пол дюжины серверов - есть определённая экономия.
про красноклазие - ну никто не заставляет вас сидеть перед сборкой мира, запустил - занимайся своими делами
должен сказать, что никогда не обновлялся бинарно, и возможно чего то не знаю.
но сборка и установка мира и ядра - как-то красивее, стильней и аристократичней, ебаныврот!
если в локалке одно зеркало исходников на пол дюжины серверов - есть определённая экономия.
про красноклазие - ну никто не заставляет вас сидеть перед сборкой мира, запустил - занимайся своими делами
должен сказать, что никогда не обновлялся бинарно, и возможно чего то не знаю.
но сборка и установка мира и ядра - как-то красивее, стильней и аристократичней, ебаныврот!
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
- LMik
- капитан
- Сообщения: 1852
- Зарегистрирован: 2007-07-17 9:14:39
- Откуда: МО
- Контактная информация:
Re: ipfw или pf
Потому что компиляция собирает тонко заточенное ядро под вашу систему.Гость писал(а):Я наверное пробовал. До появления freebsd-update. Надеялся что красноглазие уже ушло в прошлое. Чем обосновано мнение, что обновление обновление в любом случае связанно с компиляцией?LMik писал(а):А вы наверное не пробовали? Ну чтож, никто не совершенен
Минут 5 на современной машине занимает. Ну и обновление в любом случае связанно с компиляцией. Не вижу совершенно никаких проблем.
Ну а бинарный апдейт не люблю, ибо не собирается всё тонко заточенное под мою систему, а это не тру.
ПЫСЫ: Вы не представились...
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!
Виpус детям не игpушка, не товаpищ и не дpуг!
- Dominator
- мл. сержант
- Сообщения: 123
- Зарегистрирован: 2009-06-06 15:43:01
- Откуда: Новосибирск/Кобург
- Контактная информация:
Re: ipfw или pf
Я использую pf и доволен. Изначально надо было быстро поднять nat после сбоя и выхода из строя ОС. natd не смог уговорить работать без перекомпиляции, а вот pf завелся двумя командами и третьей подтянул config.
Код: Выделить всё
kldload pf
pfctl -e
pfctl -f /etc/pf.conf
Windows must die!
- vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Re: ipfw или pf
не позорьтесь
уже три года ipfw nat решает задачи также быстро
можно даже без конфигов
читайте маны для чайников поновее
уже три года ipfw nat решает задачи также быстро
можно даже без конфигов
читайте маны для чайников поновее
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
-
- сержант
- Сообщения: 160
- Зарегистрирован: 2007-11-19 10:47:09
Re: ipfw или pf
А это.
В ipfw уже можно сделать, чтобы при количестве интернетов > 1, внешние сервисы отвечали с того же ip на какой пришел запрос (а не тупо через дефолтную нулевую таблицу маршрутизации) ? Короче, аналог pf-ного reply-to в ipfw уже есть или ещё нет ?
Я, конечно, понимаю, что если очень нада - то каждый из таких сервисов можно запускать в нескольких экземплярах, для каждого указывая свою таблицу маршрутизации. Но это гемор ещё тот.
Про pf из минусов вроде, что оно работает тупо на одном процессорном ядре и не умеет распределять нагрузку по остальным ядрам.
В ipfw уже можно сделать, чтобы при количестве интернетов > 1, внешние сервисы отвечали с того же ip на какой пришел запрос (а не тупо через дефолтную нулевую таблицу маршрутизации) ? Короче, аналог pf-ного reply-to в ipfw уже есть или ещё нет ?
Я, конечно, понимаю, что если очень нада - то каждый из таких сервисов можно запускать в нескольких экземплярах, для каждого указывая свою таблицу маршрутизации. Но это гемор ещё тот.
Про pf из минусов вроде, что оно работает тупо на одном процессорном ядре и не умеет распределять нагрузку по остальным ядрам.
- vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Re: ipfw или pf
да, там fib назначают
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
-
- проходил мимо
Re: ipfw или pf
http://www.freebsd.org/cgi/query-pr.cgi?pr=147720suspender писал(а):А это.
В ipfw уже можно сделать, чтобы при количестве интернетов > 1, внешние сервисы отвечали с того же ip на какой пришел запрос (а не тупо через дефолтную нулевую таблицу маршрутизации) ? Короче, аналог pf-ного reply-to в ipfw уже есть или ещё нет ?
Я, конечно, понимаю, что если очень нада - то каждый из таких сервисов можно запускать в нескольких экземплярах, для каждого указывая свою таблицу маршрутизации. Но это гемор ещё тот.
Про pf из минусов вроде, что оно работает тупо на одном процессорном ядре и не умеет распределять нагрузку по остальным ядрам.
в STABLE и в следующих 8 и 9 будет можно.State Changed
From-To: open->patched
By: ae
When: Sat Jul 2 08:48:17 UTC 2011
Why: Patched in head/.
State Changed
From-To: patched->closed
By: ae
When: Wed Jul 6 06:58:55 UTC 2011
Why: Merged to stable/7 and stable/8. Thanks!
setfib не поможет с балансировкой локальных сервисов - только через keep-state + fwd как в том PR в примере (пример nuclight'а nuclight.livejournal.com/124348.html).
- MASiK
- лейтенант
- Сообщения: 625
- Зарегистрирован: 2008-09-19 20:09:41
- Откуда: Оттуда
- Контактная информация:
Re: ipfw или pf
Тоже влезу в холи вары )))
IPFW люблю но всё же есть вот такой вопрос, под pf есть ftp-proxy а вот под ipfw нету... вопрос почему?
Я вообще сторонник того что на Опёнке быть должно ПХ а на Фриишке ИПФВ
ИМХО так просто правильно
IPFW люблю но всё же есть вот такой вопрос, под pf есть ftp-proxy а вот под ipfw нету... вопрос почему?
Я вообще сторонник того что на Опёнке быть должно ПХ а на Фриишке ИПФВ
ИМХО так просто правильно
Самурай
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: ipfw или pf
ipfw nat + alias_ftp.ko это не оно?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
- gx_ua
- сержант
- Сообщения: 164
- Зарегистрирован: 2009-03-01 0:50:11
- Откуда: Киев
- Контактная информация:
Re: ipfw или pf
подскажите, какой лимит записей для таблицы в ipfw? или как можно загнать под deny 200 000 IP-шников.
- vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Re: ipfw или pf
недавно тоже интересовалсяgx_ua писал(а):подскажите, какой лимит записей для таблицы в ipfw? или как можно загнать под deny 200 000 IP-шников.
помог поиск по форуму по словам "ipfw table limit"
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
- gx_ua
- сержант
- Сообщения: 164
- Зарегистрирован: 2009-03-01 0:50:11
- Откуда: Киев
- Контактная информация:
Re: ipfw или pf
в том топе я не нашел ответ. Какой лимит?
проверил экспериментально на первой машине (Celeron 1cpu, 1 Gb):
вторая машина просто зависла при добавлении 256235 записей (8Gb+2CPUx4 cores). Позже еще поэкпериментирую.
проверил экспериментально на первой машине (Celeron 1cpu, 1 Gb):
Код: Выделить всё
75501 - добавило
147385 - добавило
186780 - добавило 5:54
256235 - добавило 8:08
- burder
- сержант
- Сообщения: 154
- Зарегистрирован: 2007-12-19 13:18:18
Re: ipfw или pf
Когда у меня встал вопрос ребром что ставить на маршрутизатор у клиента я остановил свой выбор на IPFW и плюс kernel nat.
Теперь осталось боевой NAS перевести с PF на IPFW.
Теперь осталось боевой NAS перевести с PF на IPFW.
-=-
- vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Re: ipfw или pf
послушайте, это не серьёзно жеgx_ua писал(а):в том топе я не нашел ответ. Какой лимит?
мне нужно вам дать ссылку прямо на то сообщение, где указано точное значение лимита?
оно там есть, смотрите лучше
а ещё лучше - перечитайте темы, которые нашлись по упомянутому поиску, лишним это не будет не для кого
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
- gx_ua
- сержант
- Сообщения: 164
- Зарегистрирован: 2009-03-01 0:50:11
- Откуда: Киев
- Контактная информация:
Re: ipfw или pf
уже неактуально. Принял другую стратегий - разрешать только нужным. Вышел список в 200 раз короче - все добавилось.
- Ahab444
- рядовой
- Сообщения: 31
- Зарегистрирован: 2010-08-20 17:59:53
- Откуда: Киев
Re: ipfw или pf
PF не умеет натить GRE трафик. Говорят, что можно установить только одну сессию к внешнему серверу, но у меня и это не вышло.
Второй баг PF - по непонятым причинам не редиректит UDP голосовой трафик. У меня ситуация была аналогична этой http://www.opennet.ru/openforum/vsluhfo ... 90016.html. Из минусов IPFW - нужно хорошо понимать движение пакета в системе, и соответственно располагать правила в правильном порядке.
IMHO
ipfw - шлюз (с натом)
pf - чистый фаервол , возможно с carp'ом, и только на openbsd
Второй баг PF - по непонятым причинам не редиректит UDP голосовой трафик. У меня ситуация была аналогична этой http://www.opennet.ru/openforum/vsluhfo ... 90016.html. Из минусов IPFW - нужно хорошо понимать движение пакета в системе, и соответственно располагать правила в правильном порядке.
IMHO
ipfw - шлюз (с натом)
pf - чистый фаервол , возможно с carp'ом, и только на openbsd
- DevZone
- рядовой
- Сообщения: 41
- Зарегистрирован: 2012-04-14 8:04:05
Re: ipfw или pf
ipfw не рвет соединение при service ipfw restart, в отличии pf
Решение только reload: http://www.bsdportal.ru/viewtopic.php?f=8&t=14682
Решение только reload: http://www.bsdportal.ru/viewtopic.php?f=8&t=14682
- DevZone
- рядовой
- Сообщения: 41
- Зарегистрирован: 2012-04-14 8:04:05
Re: ipfw или pf
Остался вопрос как туннель-брокеру для ipv6 разрешить такой же самый набор правил
в ipfw
Грязный хак
- https://www.tunnelbroker.net/forums/ind ... 3#msg12383
- http://home.nuug.no/~peter/pf/asiabsdcon2012/icmp6.html
в ipfw
Код: Выделить всё
# http://case.net.ru/2009/05/22/ipv6/
add allow ip4 from any to any proto ipv6
add pass ipv6 from any to any
- https://www.tunnelbroker.net/forums/ind ... 3#msg12383
- http://home.nuug.no/~peter/pf/asiabsdcon2012/icmp6.html
- k0ma
- сержант
- Сообщения: 217
- Зарегистрирован: 2010-12-07 8:13:09
- Откуда: Глубоко в Сибири
ipfw или pf
прочитал сколько смог из данной темы(первую страницу и сразу последнюю). Возник вопрос в тему, что лучше ipfw или pf.
Есть freebsd 10.1, поднят ipfw +ipnat.
Есть куча вланов и я пытаюсь снатить человека на впн сервер.
Подключается первый пассажир, и после него уже никто не может подключиться.
Выключаем первого и только тогда один из 3х других сможет подключиться.
Думал решит проблему опция portmap tcp/udp 10101-20200,но че-то нет.
Есть freebsd 10.1, поднят ipfw +ipnat.
Есть куча вланов и я пытаюсь снатить человека на впн сервер.
Код: Выделить всё
map vlan1 from 172.17.12.0/22 to 172.17.12.2/32 -> 172.17.15.200/32
map vlan2 from 172.18.12.0/22 to 172.17.12.2/32 -> 172.18.15.200/32
map vlan3 from 172.19.12.0/22 to 172.17.12.2/32 -> 172.19.15.200/32
Выключаем первого и только тогда один из 3х других сможет подключиться.
Думал решит проблему опция portmap tcp/udp 10101-20200,но че-то нет.
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
ipfw или pf
э... а больше одного - оно как по вашему должно работать-то?
Убей их всех! Бог потом рассортирует...
- k0ma
- сержант
- Сообщения: 217
- Зарегистрирован: 2010-12-07 8:13:09
- Откуда: Глубоко в Сибири
ipfw или pf
не понял...можете обьяснить?