Статья о PF. Пинайте

[Allex_nsk]

1. У меня нет желания никому поднакакать.
2. > И еще, я -- не админ, а программист.
А статью ты кому писал(юзерам, админам, программистам или может быть журналистам)?
3. Какие нужны дополнительные адаптации, если по ссылке всё расписано и даже кусок кода приведён для любителей тупо списывать из ФАКов? Заметьте, я предложил подумать на тему правильного использования ната. Кто думать не хочет - не обращайте внимание.
4. Как ты думаешь, что бы означала эта фраза из всё того же фак?
For example, if the NAT example above was modified to look like this.
5. И как прикажете оценивать половинчатую статью? Может 10 баллов? А может 15? Хм, зачем вообще оценки сделали? Надо пофиксить.
6. Про таблицы вообще смешно. Если программиста научить неправильно писать код, или не использовать какие-то фичи, он так и будет всю жизнь костями ложиться за свою правду. Я думаю, надо учить как правильно, а как проще люди и сами допрут.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Covax]

А статью ты кому писал(юзерам, админам, программистам или может быть журналистам)?

Статья пишется не на заказ и не за деньги.
Вот Вы заплатите Grishun_U_S`у за написание статьи, вот тогда критикуйте и требуйте на здоровье!
Человек пишет бесплатно, сам и, я думаю, в большей степени, для себя.
Его, да и все статьи, не являются поводом к действию, а лишь информацией для размышления и порой, даже самая большая глупость, может породить гениальную мысль.

[krilya]

Grishun_U_S
Спасибо вам за статью, очень помогла, давно смотрел в сторону pf,
так как в некоторых случаях не хватает возможностей IPFW.
Желаю продолжать в том же духе

P.S. Allex_nsk - убейся об стену

[Grishun_U_S_at_work]

А статью ты кому писал(юзерам, админам, программистам или может быть журналистам)?

Статья пишется не на заказ и не за деньги.
Вот Вы заплатите Grishun_U_S`у за написание статьи, вот тогда критикуйте и требуйте на здоровье!

Я не против критики как таковой. Здоровой критики. Но тут -- говнотерки.
Вторая часть статьи будет написана несмотря на нападки желчных типов.

[Alex Keda]

Если программиста научить неправильно писать код, или не использовать какие-то фичи, он так и будет всю жизнь костями ложиться за свою правду. Я думаю, надо учить как правильно, а как проще люди и сами допрут.

тех кто использует при программировании "фичи" - надо об стену убивать сразу.
Потом код не портируется на другие платформы, или компилиться тока опредеёлнной версией компилятора, или лезет куча багов непонятно откуда...

[Allex_groza_adminov]

Если я правильно понял назначение форумов - это выявлять сильные и слабые стороны статьи автора, с тем чтобы он делал максимально качественный продукт.
В таком случае всем быдлоганам из Комсомольска-на-Амуре могу порекомендовать специализатованные чаты.
PS там интересней.

[alex3]

вы же сами написали в названии темы - "пинайте". как отпинали - жалуетесь, что больно и неправильно били.

[krilya]

Если я правильно понял назначение форумов - это выявлять сильные и слабые стороны статьи автора, с тем чтобы он делал максимально качественный продукт.
В таком случае всем быдлоганам из Комсомольска-на-Амуре могу порекомендовать специализатованные чаты.
PS там интересней.

подозреваю что с первого раза убица не получилось, но явно есть осложнения

P.S. выявлять сильные и слабые стороны нужно статьи ргамотно критикуя (а не обсирая с разбегу), если бы Вы написали что-то вроде...
пункт 1 - здесь не правильно, потому что нужно делать "ТАК" и тд. тогда можно было бы снять шляпу, а в Вашем случае только стена,
подругому никак

[alex3]

а он по-моему так и сделал..

[krilya]

мнения разделились, может конечно и я идиот, но все же позвольте с Вами не согласиться

[alex3]

позволю, но попытаюсь обосновать

1. А теперь представим такую ситуацию. Юзер Петя тащит новый дистрибутив линукса из сети по фтп, юзер Вася пришел с учебы с одной мыслью поскорее добраться до компа и завалить пару тройку террористов в кемпер-страйк. Он судорожно начинает обзванивать соседей с единственной просьбой прервать закачку. Ему и не вдомёк, что во всём виноват админ Grishun_U_S, непожелавший обратить своё внимание в сторону ALTQ.

указание, что не все аспекты освещены в данной статье

2. Есть проблема специфичная для АДСЛ каналов. http://misdocumentos.net/wiki/wiki.open ... as_en_adsl
На современных АДСЛ 2+ она не так актуальна, это я понял из реальных измерений нагрузок, но всё же использую, мало ли...

указание на возможность возникновения проблем... даже с ссылкой, где почитать

3. > nat on $ext_if_cheap from $trusted_lan to any -> ($ext_if_cheap)
Сдесь вообще ошибка. Вы предлагаете натить трафик из локальной сети адресованный и напрямую серверу тоже. Так часто бывает, что ДСЛ канал ложиться напрочь или восстанавливается через несколько десятков секунд. Что же происходит с доступными сервисами в этот момент? Подумайте...
nat on $ext_if_cheap from $trusted_lan to !(self) -> ($ext_if_cheap:0)
Хотя это спорный вопрос, на интернет канале по витой паре с предлагаемыми настройками "тупит" не значительно.

тоже указание на возможную ошибку и готовность к обсуждению

4. Вместо
> wan_services="{ 85.113.63.251/32, 85.113.59.8/32, 85.113.62.200/32 }"
лучше использовать таблицы, это придаст нужную гибкость конструкции

и наконец - подсказка на лучший способ
и? он должен куски статьи переписать?

[krilya]

попытаюсь обосновать...
причем тут обзорная статья и дистриб линукса и специфические прблему АДсл?

p.s. на сем умолкаю, автору статьи еще раз респект

[Allex_nsk]

Начну с того, что автор и только автор может делать изменения в своей статье, так же он отвечает за достоверность приведенных данных.
Я не обсираю нашего программера, я советую ему где может закралась ошибка и на какие аспекты, по моему мнению, ему надо обратить внимание.
Ведь с этими проблемами сталкивалось подавляющее большенство админов. Начинающим, вообще противопоказано читать такие статьи. Они пойдут по неправильному пути... К чему это приведет, задумывались?
Если считать, что я на этом деле вторую собаку доедаю, то хочу сказать, что в предвкушении ещё первой собаки мне не хватало подобной статьи где всё разжевано до мелочей, приходилось курить сухие маны.

[Alex Keda]

маны курить - никакая статья не отменяет.
даже самая копипастная - первая же нестыковка и тыкаться придётся именно вних.

[Covax]

2Allex_nsk: Так согласись, что после курения манов ты знаешь больше, нежели после тупого копи-паст.
Лично я считаю, что так лучше. Дать человеку идею и направление мысли, а там уже включай свою голову, так он хоть сам разберётся.

[alex3]

дык он и дал... указал несколько проблем на которые можно напороться и предложил автору статьи покурить маны, чтобы осветить и эти аспекты.

[freeman]

Вопросы вот еще с чем
Если в pf такие весчи как:
ipfw tee
ipfw divert

Как pf дружит с натом gre тпафика(pptp)

И как сделать логи наподобие в ipfw, т.е. где что блокируется, я так и не смог этого сделать, приходится догадками...

Про gre тебе ответили, а я и не знаю ничего на эту тему.
А логирование вкл. если в правило добавляем log - например pass in log, что в статье отражено
аналогом divert как я их понял можно применить route-to и т .д.

[simplexe]

ИМХО:я лично, прочитав статью, ничего нового для себя не почерпнул, заметил те же ошибки и неточности.
НО! это статья вводная по ней это видно она не претендуют на совершенство и т.д. - просто вводный курс как можно быстро развернуть пф дома или в мини сети.
СУТЬ: Если кто-то считает что что-то не так (и как обычно считает себя гением), он имеет ПОЛНОЕ ПРАВО написать соответствующую статью - как он лично хочет.
ПС:Автору респект - за то что он просто это сделал.

[Grishun_U_S]

ИМХО:я лично, прочитав статью, ничего нового для себя не почерпнул, заметил те же ошибки и неточности.
НО! это статья вводная по ней это видно она не претендуют на совершенство и т.д. - просто вводный курс как можно быстро развернуть пф дома или в мини сети.
СУТЬ: Если кто-то считает что что-то не так (и как обычно считает себя гением), он имеет ПОЛНОЕ ПРАВО написать соответствующую статью - как он лично хочет.
ПС:Автору респект - за то что он просто это сделал.

Спасибо за отзыв. Какие ошибки и неточности заметили?

[Sava]

1.А кто проверял, как все это дружит совместно с IPFW? С какой очередностью применяются правила PF и IpFW? В смысле кто первый, кто второй?
Что будет если в ядре включено и одно, и другое? Я не сильно вникая в суть, заметил что когда в "ipfw add pass all from any to any" то пакеты не попадают на обработку к PF, а сразу летят куда назначались... Или я что-то не так понял?
2.Что все-таки делать с gre в PF?

[iZEN]

2.Что все-таки делать с gre в PF?

Пример: "FreeBSD и GRE. Проксирование на один VPN сервер."

[Sava]

Изврат Но если иначе никак, то во бздях пойдет. А в опенке что, никак?

[maradona]

1.А кто проверял, как все это дружит совместно с IPFW? С какой очередностью применяются правила PF и IpFW? В смысле кто первый, кто второй?
Что будет если в ядре включено и одно, и другое? Я не сильно вникая в суть, заметил что когда в "ipfw add pass all from any to any" то пакеты не попадают на обработку к PF, а сразу летят куда назначались... Или я что-то не так понял?
2.Что все-таки делать с gre в PF?

у меня в ядре оба фаера, все работает без проблем NAT, rdr, правила в PF, dummynet в IPFW (если писать фильтрующие правила в IPFW - тоже все работает) фря 6.2

[pimlab]

А когда предвидится продолжение статьи?
хочу всё в рф. засунуть под Freebsd 7 : NAT, перенаправление портов, proxy, ALTQ ....

[itux]

Спасибо Лиссяровскому сайту и всей его команде за неоценимую помощь,...
но если хотите, есть возможность выложить на обсуждение конфига pf для компьютерного клуба, собранного мной по крупицам.. возможно и с ошибками... но рабочего...
Цель конфига: Порезать 1Мбит между 30-ю компами динамично... (роутер собирался на Опенке 4.4)

Хочется написать инструментарий для динамично управления роутером, но нет пока знаний ПХП и прочей веб-ерунды ))))