Первый

[Raven2000]

я про пиксы и говорил
тк опен позиционировали как шлюз-фаер

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Gering]

Windows шагает впереди планеты всей, на энтерпрайз рынке. Сиськи на фаерах и мушрутизатерах завалялись. Sun с IBM к операторам много бегают. А всё остальное так, между прочем.

[Alex Keda]

извини, по этому энтерпрайзу - в другой форум

[hizel]

Как известно лозунг разработчиков OpenBSD таков
"Безопасность по умолчанию!" и по моим скромным наблюдениям разработчики хотят
сделать открытый аналог CISCO, а это много что значит...

В OpenBSD есть свои области применения. Наиболее популярным и далеко не единственным
применением OpenBSD являются системы защиты сетей (межсетевые экраны). В немалой
степени этому способствуют дочерние проекты, разрабатываемые параллельно такие как:

Packet Filter (PF) — межсетевой экран (файрвол), PF был высоко оценен и взят на вооружение разработчиками параллельных проектов NetBSD и FreeBSD.
OpenSSH — самая распространённая открытая реализация SSH.
OpenNTPD — демон для синхронизации времени по протоколу NTP; может работать и как сервер.
OpenOSPFD — реализация протокола динамической маршрутизации OSPF (локальная маршрутизация)
OpenBGPD — реализация протокола динамической маршрутизации BGP (глобальная маршрутизация).
OpenCVS — более гибкая, безопасная и свободная реализация CVS, чем разрабатываемая в рамках GNU.

вот кстати заслуг создания таких хороших программ никто не отрицает,
учитывая, что все это есть в FreeBSD, разве, что за исключением части pf более специфичной самой OpenBSD,
смысла ставит на роутеры все равно не вижу

[princeps]

учитывая, что все это есть в FreeBSD, разве, что за исключением части pf более специфичной самой OpenBSD, смысла ставит на роутеры все равно не вижу

Фаервол - это же еще не вся безопасность, как я понимаю. В соседней теме высказывались в частности, по поводу, аллокатора и переполнения буфера.

[hizel]

учитывая, что все это есть в FreeBSD, разве, что за исключением части pf более специфичной самой OpenBSD, смысла ставит на роутеры все равно не вижу

Фаервол - это же еще не вся безопасность, как я понимаю. В соседней теме высказывались в частности, по поводу, аллокатора и переполнения буфера.

ни одни OpenBSD-ешники такие умные
в этом направлении капают все кому не лень
и пишущие ядро любой оси и пишущие демоны\программы и мантейнеры разных дистрибьютивов
не вижу с чего у OpenBSD это должно поучатся лучше

[princeps]

в этом направлении капают все кому не лень
и пишущие ядро любой оси и пишущие демоны\программы и мантейнеры разных дистрибьютивов

В OpenBSD этому уделяется особое внимание в ущерб какому-то другому функционалу. Вроде она и выделилась из проекта NetBSD как раз потому, что те ставили на первое место кроссплатформенность, а этот парень, как его там зовут я не помню, который главный в OpenBSD, он считал, что на первом месте должна быть безопасность, а кроссплатформенностью можно и пожертвовать.
Вообще-то если руки из правильного места растут и с мозгами все в порядке, то можно любую систему сделать супер-пупер безопасной. Но в одной системе это сделать проще, а в другой - сложнее. Где-то нужно специальные действия предпринимать, а где-то оно по умолчанию есть.

в этом направлении капают все кому не лень
и пишущие ядро любой оси и пишущие демоны\программы и мантейнеры разных дистрибьютивов

И, кстати мелкомягкие тоже. Но ты же, наверное, не юзаешь винду? Я сам не использую опенка, но в принципе понимаю, почему оно есть. Кстати, у них очень дружное сообщество, они раз в год где-то в штатах все собираются, бухают, шашлыки жарят.

[Gering]

учитывая, что все это есть в FreeBSD, разве, что за исключением части pf более специфичной самой OpenBSD, смысла ставит на роутеры все равно не вижу

Фаервол - это же еще не вся безопасность, как я понимаю. В соседней теме высказывались в частности, по поводу, аллокатора и переполнения буфера.

ни одни OpenBSD-ешники такие умные
в этом направлении капают все кому не лень
и пишущие ядро любой оси и пишущие демоны\программы и мантейнеры разных дистрибьютивов
не вижу с чего у OpenBSD это должно поучатся лучше

Тут, ты чушь порешь
Если ты попробуешь постhоить организацию или комьюнити на примере OpenBSD и Linux , ты поймёшь одну очень важную вещь.
Что OpenBSD мэнтейнеры как раз самые умные, а Linux,FreeBSD майнтайнеры идиоты (коммерческие варианты Novell, RedHat заслуживают уважения). NetBSD стоит особняком от этого, поэтому не считаю нужным её относить к этим двум группам.

Сейчас поймёте почему.

У OpenBSD это получаеться лучше по одной простой причине , майнтейнеры работают как один организм. Тео хоть и козёл , но он смог организовать работу таким образом что недокод всяких баранов не участвовал в системе. Т.е там систему пишет определённый круг людей и туда чужаков (баранов и умственно отсталых) не пускают у них свой стиль и своя манера, и главная идея под которую заточен код это его качество (и как следствие безопасность), ошибки конечно бывают но за качеством постоянно пытаються следить и устраняют по мере нахождения , плюс превентивные меры по устранению ошибок. И отличная документация в виде man страниц. Из вне берут только в основном идеи и часть драйверов (в этом как раз есть заслуга NetBSD). Есть конечно и много недостатков из-за такой модели разработки, но плюсов больше. Старые учаски кода и не нужные утилиты не накапливаються ,а удаляються из дерева. В основной ветке кода присутсвует большинство часто используемых сетевых сервисов, что исключает установку их аналогов из третьих источников с непонятным качеством. (httpd,MTA,named,snmpd,nmpd,ftpd, routing demons etc.)

А в Linux всё совершенно наоборот, и последние года 3 в FreeBSD тоже самое что в Linux сообществе разработчиков. Якобы много функция которые либо работают через жопу с напильником либо не работают вообще. Про фрю сразу приходит на ум "Нафига во фре 3 фаера ?". Качество ниже плинтуса, постоянные патчи перепатчи ошибки глюки и падения. Куча негатива.

В комерческих Linux RedHAt , Novell там ядро переписывают буквально с нуля и модифициют практически все утилиты. Тоже конесно не фонтан , но гораздо лучше чем всё остальное.

Подведу итог:

1) У опёнка лучше получаеться потому что для этого работает всё комьюнити.
2)У других это не получаеться потому что если один хочет это сделать, то 20 других баранов ему это сделать не дадут.
3)Всё дело в организации и подходу к решению вопросов, а также наличии сильного руководителя проекта.

[hizel]

экий вы резкий
у вас все опен сыр камуните бараны и казлы один Тео - граф дебержерон правда тоже из козлов (хм хотя припоминается была там неприятная история когда Тео из НетБСД ушел, что то по поводу метания какашак на дальность, точность и ванючесть)

много текста мало сцылок
насчет трех фаерволов они все три вполне функциональны и каждый админ пользует, что по душе
по поводу глючности и падучести - это вы опять перегнули
негатива от пользования ФриБСД и Линукса не испытываю, кроме случаев пересечения с продукцией доблестной АТИ, что я делаю не так?
переписыванное упомянутыми компаниями ядра(я понял Линукса) с нуля это вобще глупости,
хотя конечно не отменяет уважение к ним, так как они зарабатывают бабло на опен-сыре и не забывают подпиливать ядрэшко и прикладные программы и выкладывать патчи

[hizel]

И, кстати мелкомягкие тоже. Но ты же, наверное, не юзаешь винду? Я сам не использую опенка, но в принципе понимаю, почему оно есть. Кстати, у них очень дружное сообщество, они раз в год где-то в штатах все собираются, бухают, шашлыки жарят.

мелкомяхкие ну их
кстати как раз сечас пользуюсь мастдаеп, мучаюсь, страдаю и пользую, так как на моем ноуте скорость\удобство других ОСей миня не устраивает, АТИ блин
сообщество ага, к кажому релизу песню сочиняют, живут полноценной жизнью

[Gering]

экий вы резкий
у вас все опен сыр камуните бараны и казлы один Тео - граф дебержерон правда тоже из козлов (хм хотя припоминается была там неприятная история когда Тео из НетБСД ушел, что то по поводу метания какашак на дальность, точность и ванючесть)

много текста мало сцылок
насчет трех фаерволов они все три вполне функциональны и каждый админ пользует, что по душе
по поводу глючности и падучести - это вы опять перегнули
негатива от пользования ФриБСД и Линукса не испытываю, кроме случаев пересечения с продукцией доблестной АТИ, что я делаю не так?
переписыванное упомянутыми компаниями ядра(я понял Линукса) с нуля это вобще глупости,
хотя конечно не отменяет уважение к ним, так как они зарабатывают бабло на опен-сыре и не забывают подпиливать ядрэшко и прикладные программы и выкладывать патчи

Помню , как столман (козёл барадатый) написал в рассылку опёнка фигню какую-то там такая буча началась, а тхео баран, вместо того чтобы его в жопу послать, развёл перепиську, там ещё куча баранов подключилась. Можно было снимать ералаш "два барана и компания"

А проти фаера, нафига они нужны ? Зачем повторять одно и тоже 3 раза и тянуть за собой кучу гавна ? Фря за собой всегда волочит эту кучу гавна , и всё тяжелеет и тяжелет и обосрёться когда нибудь. Как говорят поляки, шо занадто то не здраво. Маразм короче. В винде это оправданно , во фре нет. Ты же не оставляеш себе штаны в которых ходил в 10 летнем возрасте ?

[hizel]

А проти фаера, нафига они нужны ? Зачем повторять одно и тоже 3 раза и тянуть за собой кучу гавна ? Фря за собой всегда волочит эту кучу гавна , и всё тяжелеет и тяжелет и обосрёться когда нибудь. Как говорят поляки, шо занадто то не здраво. Маразм короче. В винде это оправданно , во фре нет. Ты же не оставляеш себе штаны в которых ходил в 10 летнем возрасте ?

сравнение ipfw с говном и штанишками 10-летней давности не корректно
современный фаервол и stateful правилами и таблицами
кстати я его пользую для фильтрации Layer2(net.link.ether.ipfw) остальные два мне такой функциональности не предоставляют
ipfilter и pf тупо портируются из NetBSD и OpenBSD не напряжно, админы довольны

[Alex Keda]

про ядро конечно загнул - разве что имелось ввиду под пилениме добавка проприетарных дров и удаление завдомо ненужного при сборке - типа на энтерпрейз сервере усб камера ни к чему
==========
про стенки огненные - поддерживаю Хизеля, ибо кроме ipfw ничё не знаю - но возможность выбора без смены платформы - дополнительный плюс этой платформе.
==========
что фря помрёт...
неа, не помрёт. уж 17 лет её точат и точат. и не помирает.
помоему, эта команда идёт самым верным путём - взяли куски ядра, что можно было по лицензиям, взяли напильники - и с пути не сворачивают.

[Gering]

А проти фаера, нафига они нужны ? Зачем повторять одно и тоже 3 раза и тянуть за собой кучу гавна ? Фря за собой всегда волочит эту кучу гавна , и всё тяжелеет и тяжелет и обосрёться когда нибудь. Как говорят поляки, шо занадто то не здраво. Маразм короче. В винде это оправданно , во фре нет. Ты же не оставляеш себе штаны в которых ходил в 10 летнем возрасте ?

сравнение ipfw с говном и штанишками 10-летней давности не корректно
современный фаервол и stateful правилами и таблицами
кстати я его пользую для фильтрации Layer2(net.link.ether.ipfw) остальные два мне такой функциональности не предоставляют
ipfilter и pf тупо портируются из NetBSD и OpenBSD не напряжно, админы довольны

ipfw на устарел. В ipfw крайне плохо релизована statefull фильтрация, таблицы не удачные, и схематика прохождения пакетов через жопу. Раньше выбора особо не было. А сейчас это атавизм. Как и ipf во фре. В NetBSD от ipf на сегоднешний день пока что не уйти, пока не будет окончательно портирован pf (а с этим сейчас туго). Когда портируют ,тогда altqd и ipf покинут дерево исходников, как это в своё время сделал sendmail.
Для работы на втором уровне используеться bridge он работает с pf вместе.
В OpenBSD к этому подошли концептуально, pf не являеться полностью самостоятельным продуктом он всего лишь один из винтиков всей системы и может полноценно работать только со всей системой, а не с одной его частью. В OpenBSD реализован комплексный подход, поэтому например spamd , authpf, bridge крайне тесно взаимосвязаны с pf. Из-за такого симбоза OpenBSD pf и являеться лучшим выбором на сегоднешний день.
ipfilter нельзя портировать из NetBSD потому что это самостоятельный продукт. И pf если вы читали историю являеться развитием ipf точнее переписанной с нуля своей реализацией. Даже в вонючем линуксе и то фаер один (до сих пор осталась поддержка ipchains , ipfwadm для обратной совместимости , но это всего лишь ступеньки развития iptables а не 3 различных фильтра).

[Gering]

В настоящее время pf являеться унивесальным стандартом для трёх веток бзди. Поэтому с переходом на другие платформы фиревал не требует сильных изменений.

[Alex Keda]

из всего что пощупал - а щупал я помоему почти все стенки из перечисленных - синтаксис самый человеческий и понятный у ipfw.
именно по этой причине он никогда не умрёт.
что касается реализации - пилят - нат ядрёный уже есть, таблицы с ipfw2 есть - ещё хрен знает что чем не пользуюсь - не надо оно мне...

[Gering]

из всего что пощупал - а щупал я помоему почти все стенки из перечисленных - синтаксис самый человеческий и понятный у ipfw.
именно по этой причине он никогда не умрёт.
что касается реализации - пилят - нат ядрёный уже есть, таблицы с ipfw2 есть - ещё хрен знает что чем не пользуюсь - не надо оно мне...

Понимаю, меняться не хочешь. Что-то новое изучать, тоже не хочешь. Я думаю ты устал от админства , програмерства (если замимался). И тебя вся эта бадяга с компами задолбала уже просто вкрай. Но продолжаешь этим заниматься, так сказать через себя, по инерции, хотя на самом деле к этому ты уже "перегорел".
Можешь дать ответ, только правдивый, не мне , себе. Я прав ?

[hizel]

[
ipfw на устарел. В ipfw крайне плохо релизована statefull фильтрация, таблицы не удачные, и схематика прохождения пакетов через жопу. Раньше выбора особо не было. А сейчас это атавизм. Как и ipf во фре. В NetBSD от ipf на сегоднешний день пока что не уйти, пока не будет окончательно портирован pf (а с этим сейчас туго). Когда портируют ,тогда altqd и ipf покинут дерево исходников, как это в своё время сделал sendmail.
Для работы на втором уровне используеться bridge он работает с pf вместе.
В OpenBSD к этому подошли концептуально, pf не являеться полностью самостоятельным продуктом он всего лишь один из винтиков всей системы и может полноценно работать только со всей системой, а не с одной его частью. В OpenBSD реализован комплексный подход, поэтому например spamd , authpf, bridge крайне тесно взаимосвязаны с pf. Из-за такого симбоза OpenBSD pf и являеться лучшим выбором на сегоднешний день.
ipfilter нельзя портировать из NetBSD потому что это самостоятельный продукт. И pf если вы читали историю являеться развитием ipf точнее переписанной с нуля своей реализацией. Даже в вонючем линуксе и то фаер один (до сих пор осталась поддержка ipchains , ipfwadm для обратной совместимости , но это всего лишь ступеньки развития iptables а не 3 различных фильтра).

1. кране плохо - это в каком месте? все что надо есть
2. таблицы обеспечвают необходимое
3. пакеты проходят очен здраво, только не для слабых умом если вы ее не осилили ваши трудности
4. ipfilter смотрим в http://coombs.anu.edu.au/~avalon/ список подерживаемых ОСей и не говорим об одном фаере в линуксе
5. Layer2 в OpenBSD работает только для bridge тоесть только на Layer2 и только в самой OpenBSD во FreeBSD такой функциональности нет, а если надо фильтровать на роутере а не на бридже
6. если мы начнем вспоминать историю то окажется что ipchains\iptables есть пошел от ipfw

[Alex Keda]

из всего что пощупал - а щупал я помоему почти все стенки из перечисленных - синтаксис самый человеческий и понятный у ipfw.
именно по этой причине он никогда не умрёт.
что касается реализации - пилят - нат ядрёный уже есть, таблицы с ipfw2 есть - ещё хрен знает что чем не пользуюсь - не надо оно мне...

Понимаю, меняться не хочешь. Что-то новое изучать, тоже не хочешь. Я думаю ты устал от админства , програмерства (если замимался). И тебя вся эта бадяга с компами задолбала уже просто вкрай. Но продолжаешь этим заниматься, так сказать через себя, по инерции, хотя на самом деле к этому ты уже "перегорел".
Можешь дать ответ, только правдивый, не мне , себе. Я прав ?

нет.
Но в жизни, я делаю и занимаюсь лишь тем что мне нравиться.
Мне нет необходимости изучать что-то ради денег, перстижа или ещё чего-то.
Захочу денег - пойду изучать линух, солярку, аикс - дистры дома есть - ставь и мучай.
Однако, денег хватает - зарабатываю нормально, занимаясь любимым делом и ОС
==========
а вот ты о себе что-то из перечисленного сказать можешь?
=========
и ещё - у меня в жизни нет - по инерции - я в любой момент могу свернуть в сторону или назад.
Сайт этот, кстати - тоже был про винду вначале
а щас?
есть ещё одна несовместимая черта - начатое надо доделать.
Неважно что в итоге но доделать надо.
человек - это единство противоположностей

[hizel]

вот кстати к вопросу SMP OpenBSD и OpenSSH

http://www.opennet.ru/opennews/art.shtml?num=14197

Классический OpenSSH одновременно может использовать только одно ядро процессора, что является узким местом в оптимизации производительности операций шифрования. Разработчики OpenSSH отрицательно относятся к распараллеливанию криптографических операций, считая что это понижает безопасность.

[Gering]

[
ipfw на устарел. В ipfw крайне плохо релизована statefull фильтрация, таблицы не удачные, и схематика прохождения пакетов через жопу. Раньше выбора особо не было. А сейчас это атавизм. Как и ipf во фре. В NetBSD от ipf на сегоднешний день пока что не уйти, пока не будет окончательно портирован pf (а с этим сейчас туго). Когда портируют ,тогда altqd и ipf покинут дерево исходников, как это в своё время сделал sendmail.
Для работы на втором уровне используеться bridge он работает с pf вместе.
В OpenBSD к этому подошли концептуально, pf не являеться полностью самостоятельным продуктом он всего лишь один из винтиков всей системы и может полноценно работать только со всей системой, а не с одной его частью. В OpenBSD реализован комплексный подход, поэтому например spamd , authpf, bridge крайне тесно взаимосвязаны с pf. Из-за такого симбоза OpenBSD pf и являеться лучшим выбором на сегоднешний день.
ipfilter нельзя портировать из NetBSD потому что это самостоятельный продукт. И pf если вы читали историю являеться развитием ipf точнее переписанной с нуля своей реализацией. Даже в вонючем линуксе и то фаер один (до сих пор осталась поддержка ipchains , ipfwadm для обратной совместимости , но это всего лишь ступеньки развития iptables а не 3 различных фильтра).

1. кране плохо - это в каком месте? все что надо есть
2. таблицы обеспечвают необходимое
3. пакеты проходят очен здраво, только не для слабых умом если вы ее не осилили ваши трудности
4. ipfilter смотрим в http://coombs.anu.edu.au/~avalon/ список подерживаемых ОСей и не говорим об одном фаере в линуксе
5. Layer2 в OpenBSD работает только для bridge тоесть только на Layer2 и только в самой OpenBSD во FreeBSD такой функциональности нет, а если надо фильтровать на роутере а не на бридже
6. если мы начнем вспоминать историю то окажется что ipchains\iptables есть пошел от ipfw

Когда вы пробывали ставить ipf в линукс ?
по 3 пункту , вообще абассач, сразу видно заядлого халиварщика и провокатора
по ipfw на большом количестве правил ему становиться очень тяжело , у меня это случилось на 7000. Компьютер загружался около 23 минут. И в процесее работы add и delete операции производились на одно правило около 5 минут. dummynet воббще машину убил на 300 пайпе в динамике. При такой нагрузке переключения между списками (таблицами) длилось около 34 минут. Про bridge я сказал , потому что раздел посвящён OpenBSD , а не портам pf во всякую хрень. Я перешёл на использование полного функционала старые проблемы исчезли вообще, правда есть несколько новых но это допустимо. Насчёт бриджа , он специально разработан для второго уровня (и являеться частью функционала мехаизва фильтрации) это pf 2 уровня, и взаимодействует с pf 3 уровня. То что во фре такой функциональности нету это её проблемы.
По 6 пункту возможно и так , не хочу разгребать гавно 15 летней давности.

У тебя много запала, нафига ты со мной споришь ?
Задавай вопросы по делу, а не холиварь как обычно. Раздел по опёнку , вопросы тоже должны быть соответвующие.

[Alex Keda]

сдаётся мне, что вы пиз...те...
когда хостинг один ддосили, там была табличка, которая и резала ддосивших.
чё-то около 15 тысяч строк в текстовом файле - от /32 до /8 - самые разные хосты.
больше всего /32 - они автоматом добавлялись по итогам парсинга логов апача.
ну так ничё не тормозило.
вот тока есл был резкий всплеск новых хостов - мог ребутнуться - тогда не подымался - файрволл дефаут_ту_ассепт, и грузился поздно - после всех приложений - машина после загрузки просто ложилась от потока вхоящих запросов.
саппорт выдёргивал лан шнурок и лочил с консоли 80 порт.
после этого начинало бегать - мона было грузить таблицу и начинать работать....
========
короче - чё-та ты гонишь

[hizel]

[троллинг]
кароче пацан ты с какова района?
чо такой борзый?
[/троллинг]

не надо отмазыватся по поводу ветки и ответов не в тему
вы сказал фря тащит лишние фаерволы я объяснил почему я пользую ipfw чем меня он устраивает и чем не устраивает pf
ipf в линуксе я ставить не пробывал за ненадобностью, но такую возможность отрицать глупо, следовательно ваш тезис об одном фаере в линуксе не верен, из этого следует, что не всегда один фаер в системе - хорошо
7 тыщ правил не вопрос, я тоже с серьезного бодуна могу родить такое, а серьезно - оптимизацию никто не отменял, тем более, что в ipfw есть где оптимизировать
по поводу бриджа, мне ненужен бридж, мне нужен лаер2, компраме?
гавно как вы выразились какойто там давности, начали поднимать вы, я вам привел для примера, что могу поднять гавно еще большей давности и практической ценности оно нам не даст

весь запал мой, сколько хочу столько и спорю

[Gering]

Абассач, троли атакуют ))))))))

[Gering]

Компы гавно, халиварщики лохи.