konstantine писал(а): Единственное что я тебе скажу что увидев PF я влюбился в этот фаервол...
...но всеравно PF + pftop, pfstat и в конце tcpdump это отлично, по крайней мере во мне изучая PF зародились задатки параноидальности понимания текущих дел происходящих на маршрутезаторе. ....
ipfw или pf
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
- Сообщения: 8
- Зарегистрирован: 2009-06-20 23:04:54
Re: ipfw или pf
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- cool-bmb
- мл. сержант
- Сообщения: 76
- Зарегистрирован: 2009-05-15 17:40:53
- Откуда: Дербент
- Контактная информация:
Re: ipfw или pf
да какая разница и это не повод для споров нет ничего идеального везде свои не достатки и преимушества так что народ учите все
Даги вот она сила
-
- проходил мимо
Re: ipfw или pf
Угу, 4 гигабита через pf на опёнке идёт ещё в добавок bgpd стоит, и сасёт так сасёт, аж причмокивает )hizel писал(а):на толстых каналах pf сосёт причмокивая ^_^
Шутник )
-
- сержант
- Сообщения: 152
- Зарегистрирован: 2008-10-30 12:15:26
Re: ipfw или pf
где-то читал что ipfw быстрее работает нежели pf... если учесть, что с недавних пор удачно реализована поддержка nat+ipfw в ядре, то я выбрал ipfw, хотя pf очень гибок в настройках...
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: ipfw или pf
тю, что такое 4 гигабита, pps какой? сказочник :]Саша Кравцов писал(а):Угу, 4 гигабита через pf на опёнке идёт ещё в добавок bgpd стоит, и сасёт так сасёт, аж причмокивает )hizel писал(а):на толстых каналах pf сосёт причмокивая ^_^
Шутник )
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
-
- проходил мимо
Re: ipfw или pf
Скажи чем тебе обмерить pps ? сказочник :]hizel писал(а):тю, что такое 4 гигабита, pps какой? сказочник :]Саша Кравцов писал(а):Угу, 4 гигабита через pf на опёнке идёт ещё в добавок bgpd стоит, и сасёт так сасёт, аж причмокивает )hizel писал(а):на толстых каналах pf сосёт причмокивая ^_^
Шутник )
-
- проходил мимо
Re: ipfw или pf
Спасибо, посмеялся.ViktorichZ писал(а):где-то читал что ipfw быстрее работает нежели pf... если учесть, что с недавних пор удачно реализована поддержка nat+ipfw в ядре, то я выбрал ipfw, хотя pf очень гибок в настройках...
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: ipfw или pf
все с тобой понятно тролюшко :]
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
-
- проходил мимо
Re: ipfw или pf
С тобой тоже, незнайкоhizel писал(а):все с тобой понятно тролюшко :]
-
- проходил мимо
Re: ipfw или pf
Вот такой вопрос, можно ли на лету в pf добавлять правила нарезки и так-же на лету нужные выдергивать.
В холиваре не участвую, просто ищу решение для задачи:
Есть 3 сервера, 1. BGP в мир, 2. BGP к пирингам 3. MPD для клиентов, данный сервер имеет BGP сессии с двумя вышеперечисленными.
Задача: Порезать скорость абонентам по направлению к пирам до 10 метров а в направлении мира до тарифной скорости.
Возможное решение: Режем через ng_car на MPD всех до 10 метров и при if_up передаем на сервер который маршрутизирует мир IP-адрес абонента и скорость до которой надо нарезать.
Так вот, чем на этом сервере нарезать так чтоб на лету вставлять ограничения для определенных адресов и так же на лету их убирать.
В холиваре не участвую, просто ищу решение для задачи:
Есть 3 сервера, 1. BGP в мир, 2. BGP к пирингам 3. MPD для клиентов, данный сервер имеет BGP сессии с двумя вышеперечисленными.
Задача: Порезать скорость абонентам по направлению к пирам до 10 метров а в направлении мира до тарифной скорости.
Возможное решение: Режем через ng_car на MPD всех до 10 метров и при if_up передаем на сервер который маршрутизирует мир IP-адрес абонента и скорость до которой надо нарезать.
Так вот, чем на этом сервере нарезать так чтоб на лету вставлять ограничения для определенных адресов и так же на лету их убирать.
- hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
Re: ipfw или pf
в pf только через якоря:
http://house.hcn-strela.ru/BSDCert/BSDA ... pf-anchors\\
или ipfw
или ng_bpf+ng_car
http://house.hcn-strela.ru/BSDCert/BSDA ... pf-anchors\\
или ipfw
или ng_bpf+ng_car
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
- Laa
- ст. лейтенант
- Сообщения: 1032
- Зарегистрирован: 2008-02-21 18:25:33
- Откуда: Украина, Россия
Re: ipfw или pf
те, кто админит каналы в 4гбит обычно такие вопросы не задают.Саша Кравцов писал(а):Скажи чем тебе обмерить pps ? сказочник :]
померять можно так, jfyi :
Код: Выделить всё
netstat -w1 -I em2
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!
-
- проходил мимо
Re: ipfw или pf
IPFW очень удобно конечно, но боюсь помретhizel писал(а):в pf только через якоря:
http://house.hcn-strela.ru/BSDCert/BSDA ... pf-anchors\\
или ipfw
или ng_bpf+ng_car
правила фильтрации действительно через якоря удобно вставляются. а вот в очередь можно ли как-то добавить на лету еще одну трубу ?
есть к примеру 1000 подписчиков на которых имеется 8 видов скоростей. мне получается в случае pf надо в каждом направлении в ALTQ положить 8000 труб чтоб потом в нужные якорями загонять трафик ?
- freeman
- лейтенант
- Сообщения: 734
- Зарегистрирован: 2007-03-18 5:13:25
Re: ipfw или pf
+1hizel писал(а):родите на pf простую политику партии:
распределить ширину канала равномерно на всю подсеть за роутером
и ipfw будет не нужен вам
:]
Использую PF с его встроенным NAT и ALTQ
Приведенные выше вопросы, единственные с чем я сталкивался, где IPFW, вернее dummynet умеет то, для чего ALTQ в PF не предназначен видимо изначально.
Итого для некоторых вопросов dummynet предпочтительнее altq и наоборот
Ну смысл не в количестве машин, а требований к динамической перестройке "полос пропускания"airmax писал(а):Несмотря на схожесть в смысле разспеделения полосы, смысл разный.
ALTQ - реализовует QoS дисциплины.
DummyNet - это чистый шейпер трафика.
Да, используя ALTQ 5-10ти машинам можно "нарезать" трафик. Но когда больше - начинаются проблемы.
Ну не предназначено оно для этого...
Городская пионернет с тарифами - половина анлимов с гарантированной скоростью, половина с помегабайтной оплатой. Так вот 2м надо равномерно раздавать всю свободную полосу, оставшуюся после х качающих анлимщиков. Задача с многими неизвестными, не предназначенная для ALTQ.Dorlas писал(а): Честно говоря, не очень понятно, зачем такая задача вообще стоит...
Правда таких задач скоро не останется т.к. все переходят на CISCO и анлимные тарифы онли.
ALTQ используете с RED хотя бы ? Я без них отлично видел как один p2p клиент забивает канал остальным 9ти качальщикам.Dorlas писал(а):Вот пример - за шлюзом в сети 10 человек, все поставили на закачку через NAT большие файлики (по 500 Мб) - через некоторое время у каждого будет примерно одинаковая скорость закачки...
Ни разу не видел, чтобы кто-то умудрился захавать большую часть полосы...
Последний раз редактировалось freeman 2009-08-25 8:04:45, всего редактировалось 1 раз.
Остатся должен только один ...
-
- проходил мимо
Re: ipfw или pf
В восьмерке хоть поправили?mnz_home писал(а):Кстати красноглазие с NAT_BUF_LEN в ipfw в релизе 7.2 так и не поправили...
Суть проблемы:
http://www.bsdportal.ru/viewtopic.php?p=109755
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: ipfw или pf
В 7.2-STABLE поправили, значит и в 8.0 должно уже работать...
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- проходил мимо
Re: ipfw или pf
Сегодня устанавливал 8.0, а воз и ныне там. Когда же удастся отойти от красноглазия с пересборкой ядра и ipfw?mnz_home писал(а):Кстати красноглазие с NAT_BUF_LEN в ipfw в релизе 7.2 так и не поправили...
Суть проблемы:
http://www.bsdportal.ru/viewtopic.php?p=109755
-
- проходил мимо
Re: ipfw или pf
Ты че, ставь pf и не заморачивайся с этими ядрами вообщеmnz_home писал(а):Сегодня устанавливал 8.0, а воз и ныне там. Когда же удастся отойти от красноглазия с пересборкой ядра и ipfw?mnz_home писал(а):Кстати красноглазие с NAT_BUF_LEN в ipfw в релизе 7.2 так и не поправили...
Суть проблемы:
http://www.bsdportal.ru/viewtopic.php?p=109755
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: ipfw или pf
У-у-у. А что ты сделал для хип-хопа в свои годы?!?
Сходил, поискал PRы с такой же бедой - не нашел.
Написал новый PR http://www.freebsd.org/cgi/query-pr.cgi?pr=143653
Подожем чего ответят.
Сходил, поискал PRы с такой же бедой - не нашел.
Написал новый PR http://www.freebsd.org/cgi/query-pr.cgi?pr=143653
Подожем чего ответят.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- проходил мимо
Re: ipfw или pf
http://svn.freebsd.org/base/head/sys/netinet/ip_fw.h отвечает что воз и ныне тамterminus писал(а):Подожем чего ответят.
-
- проходил мимо
Re: ipfw или pf
Так и не сделано ничего за полгода. Что-то фряшка совсем оплошала последнее время.terminus писал(а):У-у-у. А что ты сделал для хип-хопа в свои годы?!?
Сходил, поискал PRы с такой же бедой - не нашел.
Написал новый PR http://www.freebsd.org/cgi/query-pr.cgi?pr=143653
- terminus
- майор
- Сообщения: 2305
- Зарегистрирован: 2007-10-29 11:27:35
- Откуда: Рига
Re: ipfw или pf
Тихо! Чепай думает...уже_линуксоид) писал(а):Так и не сделано ничего за полгода. Что-то фряшка совсем оплошала последнее время.terminus писал(а):У-у-у. А что ты сделал для хип-хопа в свои годы?!?
Сходил, поискал PRы с такой же бедой - не нашел.
Написал новый PR http://www.freebsd.org/cgi/query-pr.cgi?pr=143653
Тише едешь - дальше будешь.
Работа не волк - в лес не убежит.
Кто понял жизнь - тот не спешит.
А может оно само пройдет?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.
-
- проходил мимо
Re: ipfw или pf
Мне тут как то по осени по моему терминус на форуме отвечал на вопрос типа сабж + SMP что PF всё же выходец из OpenBSD, разработчики которого не торопятся оптимизировать своё детище под многопроцессорные системы. Это ответ на частный случай вопроса.
-
- проходил мимо
Re: ipfw или pf
"Оперативно" латают баги в фаерволе.terminus писал(а):Написал новый PR http://www.freebsd.org/cgi/query-pr.cgi?pr=143653
Подожем чего ответят.