Об что спотыкаемся?

[immortal]

кстати, в тройку лидеров вырвалося TCP/IP
где коментарии?

Я до сих пор (уже третья неделя пошла ) NAT никак освоить не могу... Это канеш руки не оттуда и голова...Но ни с чем пока больше двух дней на фре не бился....
Поэтому выбрал стек:)

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Charlz_Klug_]

кстати, в тройку лидеров вырвалося TCP/IP
где коментарии?

Я до сих пор (уже третья неделя пошла ) NAT никак освоить не могу... Это канеш руки не оттуда и голова...Но ни с чем пока больше двух дней на фре не бился....
Поэтому выбрал стек:)

Мне понравилась статья -cat-'а. Для начинающих, типа меня - самое то. Конечно, статья Вадима Гончарова весьма подробно описывает механизм работы IPFW. Но, на мой взгляд, описание слишком подробное. Она, скорее, уже для более продвинутых пользователей.

[vadim64]

...
Мне понравилась статья -cat-'а. Для начинающих, типа меня - самое то...

блRть
так вот вы где берёте эти гавнафишки с ipdivert)))

[sadchok]

Аха ну не как не хотят на "ядерные технологии" переходить.
Все тычутся в natd.

[Aligarh]

Выбрал железо. Долго танцевал с бубном с контоллером Adaptec, желая сделать софт-RAID ZFS. Так и не получилось, пришлось оставить контроллерный RAID.
Также из-за слабой поддержки портов некоторый софт не работает в FreeBSD как надо. Например Firebird версии 2.1 и выше - очень много времени было потрачено на его компиляцию, т.к. в портах ни его, ни версии 2.5 не было. А в том же Debian - apt-get - и готово. Также не удалось запустить ZoneMinder, который был легко запущен под линуксом. Сейчас порты есть, но уже не надо...

А вообще, есть гора мелочей, из-за которых мне не нравится Linux и нравится FreeBSD, и наоборот.
И из этого лишь один вывод - каждому инструменту свои задачи.

[arkan]

Например Firebird версии 2.1 и выше - очень много времени было потрачено на его компиляцию, т.к. в портах ни его, ни версии 2.5 не было.

А в чем собственно проблемма ???
в инете статья по установке Firebird есть на два листика, конечно обидно что в дубине apt_get install а во фряхе минут 10 (если с перекурами) надо мануал прочитать
с железом траблы и это факт

Кстати если почитать мыльную рассылку того же самого дебиана то складывается очень большое ощущение что проблеммы у всех дистров примерно одинаковые, я читаю рассылку дебиана и просто поражаюсь что бывают оказывается полностью похожие проблеммы в полностью разных дистрибутивах

[Гость]

Уважаю разрабов IPFW / PF / IPFILTER - все наглядно и понятно, в отличие от iptables

Да вы в своем уме?
IPFW наглядный и понятный, только если в нем три-пять правил.
Чтоб управлять двадцатью-тридцатью правилами, нужно быть почти гуру в компьютерных сетях, и потом полмесяца курить ман конкретно по ipfw.

Например, у меня на интерфейсе два ip-адреса. Хочу, чтоб второй адрес отвечал на ARP-запросы только конкретному (одному) хосту. Как такое сделать? Никак?

Почему таблица правил одна? Известно, что ipfw может вызываться четыре раза на пути следования пакета. Но почему не сделать четыре таблицы? На кой хер в принципе исходящему пакету проверяться по правилам входящего трафика? Можно конечно использовать skipto, и разбивать одну таблицу на четыре логических части. Но почему не сделать это на уровне файрвола?

Если на одном сервере несколько сетей, NAT и десяток сервисов. Некоторые хосты фильтруются по MAC. Что-то форвардится, что-то для кого-то закрыто. С ipfw управлять таким хозяйством это ад. Чтоб быстренько разрешить, например, аську в мир, нужно 20 минут анализировать ipfw show, а также ifconfig, netstat -r, и ещё что-нибудь. А потом суметь вернуть всё назад ничего не поломав, ибо поломать с ipfw - элементарно.

Особенно когда пытаешься это проделать на незнакомом сервере.

Логов смены конфигурации файрвола - нет.
Таких очевидных средств, как сохранить текущую конфигурацию и загрузить сохраненную - нет. Есть что-то вроде того, но с кучей нюансов.
Элементарно, посмотреть включен файрвол или нет - нельзя. Нужно пользоваться sysctl и вводить длинные пути. Три штуки. Каждый раз.
Команда "ipfw disable firewall" выключает только уровень IP, а ether и bridge остаются включенными.
В общем, вагон бесполезных нюансов, которые нужно постоянно помнить.

IPFW как ассемблер. Теоретически может решить задачу любой сложности. Но на практике человек не может охватить вниманием больше одной страницы кода. При том, что ошибка в любой строке зачастую "смертельна".

[tynix]

Чтоб управлять двадцатью-тридцатью правилами, нужно быть почти гуру в компьютерных сетях, и потом полмесяца курить ман конкретно по ipfw.

нет.

Например, у меня на интерфейсе два ip-адреса. Хочу, чтоб второй адрес отвечал на ARP-запросы только конкретному (одному) хосту. Как такое сделать? Никак?

Отделите котлеты (L3) от мух (L2).

Особенно когда пытаешься это проделать на незнакомом сервере.

Если я Вас на убунтовый почтовик пущу, Вы там тоже не меньше 20 минут курить таблицы будете.

Логов смены конфигурации файрвола - нет.

/var/log/messages

Элементарно, посмотреть включен файрвол или нет - нельзя.

ipfw list

Или я что-то не так понял.
Кстати, не отказался бы увидеть такую функциональность в Iptables. Просто я с ним почти не работал, и есть одна машинка с Arch, на ней предыдущий админ фаером по-старинке .sh- скриптом разруливал.

[Гость]

нет.

С беглого взгляда на правила не становится очевидно, какой трафик куда ходит. Нужно каждый раз вникать. Это плохо.
Постоянно по два правила (входящий/исходящий) на один вид трафика. Неудобно. Всякие малопонятные keep-state/check-state.
Посмотрите, сколько новичков задают вопросы по ipfw, типа "не пойму почему не работает". И вы хотите сказать, что ipfw не требует знать адресацию в сетях, маршрутизацию, протоколы IP, TCP, ICMP, ARP, а также особенности работы сетевой подсистемы FreeBSD и файрвола ipfw в частности? Когда я всего лишь хочу "за три клика мышки" пробросить, например, порт для аськи. И не размышлять мучительно, под каким же номером вставить это долбаное правило (два правила) в список ipfw
Повторюсь, ipfw как ассемблер, для быстрых, но очень небольших по сложности программ.

Отделите котлеты (L3) от мух (L2).

Перефразирую вопрос. IPFW умеет проверять содержимое ARP-пакета? На сколько я знаю - нет.
Если Вы поняли описанную мной задачу - можете предоставить решение. Буду благодарен. Ведь ipfw прост и понятен, не так ли?

/var/log/messages

Например, я хочу, чтоб удаление правила (или добавление) где-то логгировалось. Сразу, в момент удаления. Хотите сказать, это просто реализовать? Как?

ipfw list
Или я что-то не так понял.

Может, конечно, я не понимаю. Но у меня по ipfw list только набор правил. И не видно, работает фаер или нет.
Как известно, включение/выключение фаера определяет переменная sysctl net.inet.ip.fw.enable. Равная 1 или 0.
Как увидеть, включен ли фаер, не заглядывая в эту переменную?

[Charlz_Klug_]

IPFW как ассемблер. Теоретически может решить задачу любой сложности. При том, что ошибка в любой строке зачастую "смертельна".

Два чая этому господину! Хочу как нибудь на досуге PF пощупать.

[arkan]

И вы хотите сказать, что ipfw не требует знать адресацию в сетях, маршрутизацию, протоколы IP, TCP, ICMP, ARP, а также особенности работы сетевой подсистемы FreeBSD и файрвола ipfw в частности? Когда я всего лишь хочу "за три клика мышки" пробросить, например, порт для аськи. И не размышлять мучительно, под каким же номером вставить это долбаное правило (два правила) в список ipfw

Вы наверное очередной убунтовод ? где админы уже считают стандартом покликать мыфкой

Я лично для себя давно уже сделал как стандарт:
Для того что бы не запутаться в большом колличестве правил, файл с правилами заполняю с умом
1) правила фаервола разделены по разделам (мухи, котлеты,тарелка)
2) всегда выставляю номера правил в строго определенной последовательности

если приддерживаться этих двух пунктов то разобраться в конфиге фаервола элементарно, а если все записанно в одной куче то конечно тут у любого крышу снесет

Я не зацикливаюсь на каком либо одном фаерволе !!! я использую все и сразу
В каком то случае гораздо удобен IPFW а в каком то PF - мне до лампочки но у меня на всех фронтальных серверах как то так и другое и под какую либо задачу я могу использовать тот инструмент который под это более предназначен

Я всегда использую связку IPNAT / KernelNAT / NAT - под каждые задачи свой инструмент, и мне плевать на то что говорят что так делать нельзя сразу все на одном сервере
- у меня работает и меня устраивает, запутаться можно, но такова работа сисадминов что бы сидеть и разбираться в непонятном

[Гость]

Вы наверное очередной убунтовод ?

Напротив, я фанат FreeBSD.
Убунту ненавижу, ибо в офисе работал на ней. В целом в линуксах не разбираюсь.

Я лично для себя давно уже сделал как стандарт:
Для того что бы не запутаться в большом колличестве правил, файл с правилами заполняю с умом
1) правила фаервола разделены по разделам (мухи, котлеты,тарелка)
2) всегда выставляю номера правил в строго определенной последовательности

Не поверите - я делаю точно так же!
Однако согласитесь, это требует дополнительных усилий.
Было бы всем лучше, если бы такой "стандарт" был уже встроен в файрвол. А то один админ ведёт порядок, а другой всё в кучу валит. Излишняя свобода располагает к беспорядку.

Я не зацикливаюсь на каком либо одном фаерволе !!! я использую все и сразу

Не вижу смысла спорить с Вашими устоявшимися взглядами, хотя сам имею другие мнения.

По поводу IPFW. Отсутствие некоторого очевидного функционала, непонятно зачем единая таблица правил, отсутствие высокоуровневого функционала... Меня, как поклонника FreeBSD, это огорчает. IPFW хорош для изучения и понимания работы сетей студентами. Но для админов могли бы и над удобством поработать! Ведь могли же, почему нет.
Файрвол нужен для обеспечения безопасности. Но когда он позволяет творить что угодно с правилами, при этом имея неудобный интерфейс, я думаю безопасность от этого значительно пострадает.

[arkan]

По поводу IPFW. Отсутствие некоторого очевидного функционала, непонятно зачем единая таблица правил, отсутствие высокоуровневого функционала... Меня, как поклонника FreeBSD, это огорчает.

Найдите того кодера который может это довести до ума и сколько ему за это надо - тогда и можно рассуждать
Отсутствие многих плюшек в IPFW мне тоже не очень нравится

[ыть]

А что такое Собственно тележка старая...

сразу видно, не из наших..

[Aligarh]

А как все эти файрволы по сравнению с линуксовым netfilter? Настраивал его только через Webmin, но мне показалось, что его возможностей у него гораздо больше.

[Otto]

Выбрал

Установка и сопровождение ПО из портов и пакетов

. Сетевые службы, пожалуй, тоже.
FreeBSD первый раз установил год назад, пока только учусь.

[sergoff]

порты и пакеты )
мучаю тут х-овые интерфейсы. в 7-ми из 10-ти последних случаев make install приходилось возвращатся к компу дабы ответить на конфиг какого нибудь зависимого пакета. выводил бы сразу список всех чекбоксов по всем зависимостям))) .
ну и ручное разрешение зависимых пакетов (библиотек) - make deinstall -> make install (reinstall)

[Aligarh]

make config-recursive покажет все конфиги :-)
Portupgrade -arRc позволит решить все зависимости и спросит конфиги до сборки.

Кстати, что за директория /usr/include? У меня с ошибкой на .h файлы не компилится ни мир, ни трансмиссия... Как бы её обновить?

[Гость]

make config-recursive покажет все конфиги :-)
Portupgrade -arRc позволит решить все зависимости и спросит конфиги до сборки.

гы _) ну значит я точно новичек

Кстати, что за директория /usr/include? У меня с ошибкой на .h файлы не компилится ни мир, ни трансмиссия... Как бы её обновить?

может по виндовому пути пойти ) - грохнуть порты и по новой

Код: Выделить всё

 # portsnap fetch extract 

[Gloft]

Мне кажется вопрос в опросе неточный.
Необходимо было уточнить с точки зрения пользователя/программиста/администратора этот аспект рассматривть.
Собранная статистика будет некорректной.

[vadim64]

Мне кажется вопрос в опросе неточный.
Необходимо было уточнить с точки зрения пользователя/программиста/администратора этот аспект рассматривть.
Собранная статистика будет некорректной.

троль, иди в /dev/null

[res251]

имею два десктопа на FreeBSD проблемы в основном с периферией, и то потому что мало с ней работал, скажем я пытался завести принтер коника минолта 1350W через LPT, но что то не вышло даже тестовую напечатать, а HP 5L печатает, ну походу надо идти в настройки хинтов и так далее, туда дальше советует заглянуть руководство, вообщем придется брать штурмом.
С портами привыкаю, перешел на pkgng, но за последнего конфликта, на данный момент использую порты, перед установкой чего то обновляю дерево портов, на всякий случай.
вот уже полтора года как юзаю фрю, но так сказать не могу, что эту ОС я знаю супер, но как говрил ВОР ( вождь октябрьской революции ) "Учится, учится и еще раз учится"

[Александр Фролов]

Основная проблема, на мой взгляд, - отсутствие поддержки со стороны производителей серверов.
Покупая очередную модель сервера, каждый раз переживаю на этот счет (

[Александр Фролов]

Да и вендоры ПО, особенно коммерческого, к сожалению, тоже ориентируются главным образом на Линукс и Винду.

[hedgehog]

В данный момент мне тяжко с портами Компилировать обновляшки для десктопа как-то накладно становится.