ipfw или pf

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
airmax
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-06-20 23:04:54

Re: ipfw или pf

Непрочитанное сообщение airmax » 2009-06-28 9:31:02

konstantine писал(а): Единственное что я тебе скажу что увидев PF я влюбился в этот фаервол...
...но всеравно PF + pftop, pfstat и в конце tcpdump это отлично, по крайней мере во мне изучая PF зародились задатки параноидальности понимания текущих дел происходящих на маршрутезаторе. ....
:good:

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipfw или pf

Непрочитанное сообщение Alex Keda » 2009-06-29 23:54:34

ipfw - наше фсё
Убей их всех! Бог потом рассортирует...

Аватара пользователя
cool-bmb
мл. сержант
Сообщения: 76
Зарегистрирован: 2009-05-15 17:40:53
Откуда: Дербент
Контактная информация:

Re: ipfw или pf

Непрочитанное сообщение cool-bmb » 2009-07-01 13:24:18

да какая разница и это не повод для споров нет ничего идеального везде свои не достатки и преимушества так что народ учите все
Даги вот она сила

Саша Кравцов
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение Саша Кравцов » 2009-07-09 8:25:02

hizel писал(а):на толстых каналах pf сосёт причмокивая ^_^
Угу, 4 гигабита через pf на опёнке идёт ещё в добавок bgpd стоит, и сасёт так сасёт, аж причмокивает :))

Шутник :))

ViktorichZ
сержант
Сообщения: 152
Зарегистрирован: 2008-10-30 12:15:26

Re: ipfw или pf

Непрочитанное сообщение ViktorichZ » 2009-07-09 9:03:29

где-то читал что ipfw быстрее работает нежели pf... если учесть, что с недавних пор удачно реализована поддержка nat+ipfw в ядре, то я выбрал ipfw, хотя pf очень гибок в настройках...

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw или pf

Непрочитанное сообщение hizel » 2009-07-09 9:16:28

Саша Кравцов писал(а):
hizel писал(а):на толстых каналах pf сосёт причмокивая ^_^
Угу, 4 гигабита через pf на опёнке идёт ещё в добавок bgpd стоит, и сасёт так сасёт, аж причмокивает :))

Шутник :))
тю, что такое 4 гигабита, pps какой? сказочник :]
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Саша Кравцов
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение Саша Кравцов » 2009-07-09 10:14:20

hizel писал(а):
Саша Кравцов писал(а):
hizel писал(а):на толстых каналах pf сосёт причмокивая ^_^
Угу, 4 гигабита через pf на опёнке идёт ещё в добавок bgpd стоит, и сасёт так сасёт, аж причмокивает :))

Шутник :))
тю, что такое 4 гигабита, pps какой? сказочник :]
Скажи чем тебе обмерить pps ? сказочник :]

Саша Кравцов
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение Саша Кравцов » 2009-07-09 10:15:41

ViktorichZ писал(а):где-то читал что ipfw быстрее работает нежели pf... если учесть, что с недавних пор удачно реализована поддержка nat+ipfw в ядре, то я выбрал ipfw, хотя pf очень гибок в настройках...
Спасибо, посмеялся. :ROFL:

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw или pf

Непрочитанное сообщение hizel » 2009-07-09 10:27:56

все с тобой понятно тролюшко :]
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Саша Кравцов
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение Саша Кравцов » 2009-07-09 10:29:27

hizel писал(а):все с тобой понятно тролюшко :]
С тобой тоже, незнайко :-D

UStas
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение UStas » 2009-07-21 21:32:15

Вот такой вопрос, можно ли на лету в pf добавлять правила нарезки и так-же на лету нужные выдергивать.

В холиваре не участвую, просто ищу решение для задачи:
Есть 3 сервера, 1. BGP в мир, 2. BGP к пирингам 3. MPD для клиентов, данный сервер имеет BGP сессии с двумя вышеперечисленными.

Задача: Порезать скорость абонентам по направлению к пирам до 10 метров а в направлении мира до тарифной скорости.

Возможное решение: Режем через ng_car на MPD всех до 10 метров и при if_up передаем на сервер который маршрутизирует мир IP-адрес абонента и скорость до которой надо нарезать.

Так вот, чем на этом сервере нарезать так чтоб на лету вставлять ограничения для определенных адресов и так же на лету их убирать.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: ipfw или pf

Непрочитанное сообщение hizel » 2009-07-21 21:56:44

в pf только через якоря:
http://house.hcn-strela.ru/BSDCert/BSDA ... pf-anchors\\

или ipfw
или ng_bpf+ng_car
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: ipfw или pf

Непрочитанное сообщение Laa » 2009-07-21 22:36:57

Саша Кравцов писал(а):Скажи чем тебе обмерить pps ? сказочник :]
те, кто админит каналы в 4гбит обычно такие вопросы не задают. :sorry:

померять можно так, jfyi :

Код: Выделить всё

netstat -w1 -I em2
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

UStas
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение UStas » 2009-07-22 2:13:58

hizel писал(а):в pf только через якоря:
http://house.hcn-strela.ru/BSDCert/BSDA ... pf-anchors\\

или ipfw
или ng_bpf+ng_car
IPFW очень удобно конечно, но боюсь помрет

правила фильтрации действительно через якоря удобно вставляются. а вот в очередь можно ли как-то добавить на лету еще одну трубу ?

есть к примеру 1000 подписчиков на которых имеется 8 видов скоростей. мне получается в случае pf надо в каждом направлении в ALTQ положить 8000 труб чтоб потом в нужные якорями загонять трафик ?

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: ipfw или pf

Непрочитанное сообщение freeman » 2009-07-23 12:15:25

hizel писал(а):родите на pf простую политику партии:
распределить ширину канала равномерно на всю подсеть за роутером
и ipfw будет не нужен вам

:]
+1
Использую PF с его встроенным NAT и ALTQ
Приведенные выше вопросы, единственные с чем я сталкивался, где IPFW, вернее dummynet умеет то, для чего ALTQ в PF не предназначен видимо изначально.
Итого для некоторых вопросов dummynet предпочтительнее altq и наоборот ;)
airmax писал(а):Несмотря на схожесть в смысле разспеделения полосы, смысл разный.
ALTQ - реализовует QoS дисциплины.
DummyNet - это чистый шейпер трафика.
Да, используя ALTQ 5-10ти машинам можно "нарезать" трафик. Но когда больше - начинаются проблемы.
Ну не предназначено оно для этого...
Ну смысл не в количестве машин, а требований к динамической перестройке "полос пропускания"
Dorlas писал(а): Честно говоря, не очень понятно, зачем такая задача вообще стоит...
Городская пионернет с тарифами - половина анлимов с гарантированной скоростью, половина с помегабайтной оплатой. Так вот 2м надо равномерно раздавать всю свободную полосу, оставшуюся после х качающих анлимщиков. Задача с многими неизвестными, не предназначенная для ALTQ.
Правда таких задач скоро не останется т.к. все переходят на CISCO и анлимные тарифы онли.
Dorlas писал(а):Вот пример - за шлюзом в сети 10 человек, все поставили на закачку через NAT большие файлики (по 500 Мб) - через некоторое время у каждого будет примерно одинаковая скорость закачки...

Ни разу не видел, чтобы кто-то умудрился захавать большую часть полосы...
ALTQ используете с RED хотя бы ? Я без них отлично видел как один p2p клиент забивает канал остальным 9ти качальщикам.
Последний раз редактировалось freeman 2009-08-25 8:04:45, всего редактировалось 1 раз.
Остатся должен только один ...

Гость
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение Гость » 2009-08-21 23:10:11

mnz_home писал(а):Кстати красноглазие с NAT_BUF_LEN в ipfw в релизе 7.2 так и не поправили... :fool:
Суть проблемы:
http://www.bsdportal.ru/viewtopic.php?p=109755
В восьмерке хоть поправили? :smile:

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: ipfw или pf

Непрочитанное сообщение terminus » 2009-08-21 23:42:41

В 7.2-STABLE поправили, значит и в 8.0 должно уже работать...
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

mnz_home
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение mnz_home » 2010-02-05 18:22:19

mnz_home писал(а):Кстати красноглазие с NAT_BUF_LEN в ipfw в релизе 7.2 так и не поправили... :fool:
Суть проблемы:
http://www.bsdportal.ru/viewtopic.php?p=109755
Сегодня устанавливал 8.0, а воз и ныне там. Когда же удастся отойти от красноглазия с пересборкой ядра и ipfw? :evil:

Гость
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение Гость » 2010-02-07 21:59:50

mnz_home писал(а):
mnz_home писал(а):Кстати красноглазие с NAT_BUF_LEN в ipfw в релизе 7.2 так и не поправили... :fool:
Суть проблемы:
http://www.bsdportal.ru/viewtopic.php?p=109755
Сегодня устанавливал 8.0, а воз и ныне там. Когда же удастся отойти от красноглазия с пересборкой ядра и ipfw? :evil:
Ты че, ставь pf и не заморачивайся с этими ядрами вообще

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: ipfw или pf

Непрочитанное сообщение terminus » 2010-02-07 22:48:08

У-у-у. :x А что ты сделал для хип-хопа в свои годы?!?

Сходил, поискал PRы с такой же бедой - не нашел.
Написал новый PR http://www.freebsd.org/cgi/query-pr.cgi?pr=143653

Подожем чего ответят. :unknown:
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Гость
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение Гость » 2010-04-02 10:40:01

terminus писал(а):Подожем чего ответят. :unknown:
http://svn.freebsd.org/base/head/sys/netinet/ip_fw.h отвечает что воз и ныне там :st:

уже_линуксоид)
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение уже_линуксоид) » 2010-06-29 19:35:59

terminus писал(а):У-у-у. :x А что ты сделал для хип-хопа в свои годы?!?

Сходил, поискал PRы с такой же бедой - не нашел.
Написал новый PR http://www.freebsd.org/cgi/query-pr.cgi?pr=143653
Так и не сделано ничего за полгода. :ROFL: Что-то фряшка совсем оплошала последнее время.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: ipfw или pf

Непрочитанное сообщение terminus » 2010-06-29 20:25:40

уже_линуксоид) писал(а):
terminus писал(а):У-у-у. :x А что ты сделал для хип-хопа в свои годы?!?

Сходил, поискал PRы с такой же бедой - не нашел.
Написал новый PR http://www.freebsd.org/cgi/query-pr.cgi?pr=143653
Так и не сделано ничего за полгода. :ROFL: Что-то фряшка совсем оплошала последнее время.
Тихо! Чепай думает...
Тише едешь - дальше будешь.
Работа не волк - в лес не убежит.
Кто понял жизнь - тот не спешит.
А может оно само пройдет?

:pardon:
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

_vadim64
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение _vadim64 » 2010-07-07 12:27:38

Мне тут как то по осени по моему терминус на форуме отвечал на вопрос типа сабж + SMP что PF всё же выходец из OpenBSD, разработчики которого не торопятся оптимизировать своё детище под многопроцессорные системы. Это ответ на частный случай вопроса.

Гость
проходил мимо

Re: ipfw или pf

Непрочитанное сообщение Гость » 2010-09-16 11:22:25

terminus писал(а):Написал новый PR http://www.freebsd.org/cgi/query-pr.cgi?pr=143653

Подожем чего ответят. :unknown:
"Оперативно" латают баги в фаерволе.