Статья о PF. Пинайте

Вопросы настройки и работы с этой ОС.
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Allex_nsk
проходил мимо

Re: Статья о PF. Пинайте

Непрочитанное сообщение Allex_nsk » 2008-05-26 0:51:17

1. У меня нет желания никому поднакакать.
2. > И еще, я -- не админ, а программист.
А статью ты кому писал(юзерам, админам, программистам или может быть журналистам)?
3. Какие нужны дополнительные адаптации, если по ссылке всё расписано и даже кусок кода приведён для любителей тупо списывать из ФАКов? Заметьте, я предложил подумать на тему правильного использования ната. Кто думать не хочет - не обращайте внимание.
4. Как ты думаешь, что бы означала эта фраза из всё того же фак?
For example, if the NAT example above was modified to look like this.
5. И как прикажете оценивать половинчатую статью? Может 10 баллов? А может 15? Хм, зачем вообще оценки сделали? Надо пофиксить.
6. Про таблицы вообще смешно. Если программиста научить неправильно писать код, или не использовать какие-то фичи, он так и будет всю жизнь костями ложиться за свою правду. Я думаю, надо учить как правильно, а как проще люди и сами допрут.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: Статья о PF. Пинайте

Непрочитанное сообщение Covax » 2008-05-26 2:24:07

Allex_nsk писал(а):А статью ты кому писал(юзерам, админам, программистам или может быть журналистам)?
Статья пишется не на заказ и не за деньги.
Вот Вы заплатите Grishun_U_S`у за написание статьи, вот тогда критикуйте и требуйте на здоровье!
Человек пишет бесплатно, сам и, я думаю, в большей степени, для себя.
Его, да и все статьи, не являются поводом к действию, а лишь информацией для размышления и порой, даже самая большая глупость, может породить гениальную мысль.

Аватара пользователя
krilya
мл. сержант
Сообщения: 106
Зарегистрирован: 2008-03-11 4:42:29
Откуда: Комсомольск-на-Амуре

Re: Статья о PF. Пинайте

Непрочитанное сообщение krilya » 2008-05-26 3:52:26

Grishun_U_S
Спасибо вам за статью, очень помогла, давно смотрел в сторону pf,
так как в некоторых случаях не хватает возможностей IPFW.
Желаю продолжать в том же духе ;)

P.S. Allex_nsk - убейся об стену

Grishun_U_S_at_work
проходил мимо

Re: Статья о PF. Пинайте

Непрочитанное сообщение Grishun_U_S_at_work » 2008-05-26 6:22:27

Covax писал(а):
Allex_nsk писал(а):А статью ты кому писал(юзерам, админам, программистам или может быть журналистам)?
Статья пишется не на заказ и не за деньги.
Вот Вы заплатите Grishun_U_S`у за написание статьи, вот тогда критикуйте и требуйте на здоровье!
Я не против критики как таковой. Здоровой критики. Но тут -- говнотерки.
Вторая часть статьи будет написана несмотря на нападки желчных типов.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья о PF. Пинайте

Непрочитанное сообщение Alex Keda » 2008-05-26 8:00:03

Allex_nsk писал(а):Если программиста научить неправильно писать код, или не использовать какие-то фичи, он так и будет всю жизнь костями ложиться за свою правду. Я думаю, надо учить как правильно, а как проще люди и сами допрут.
тех кто использует при программировании "фичи" - надо об стену убивать сразу.
Потом код не портируется на другие платформы, или компилиться тока опредеёлнной версией компилятора, или лезет куча багов непонятно откуда...
Убей их всех! Бог потом рассортирует...

Allex_groza_adminov
проходил мимо

Re: Статья о PF. Пинайте

Непрочитанное сообщение Allex_groza_adminov » 2008-05-26 11:30:31

Если я правильно понял назначение форумов - это выявлять сильные и слабые стороны статьи автора, с тем чтобы он делал максимально качественный продукт.
В таком случае всем быдлоганам из Комсомольска-на-Амуре могу порекомендовать специализатованные чаты.
PS там интересней.

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: Статья о PF. Пинайте

Непрочитанное сообщение alex3 » 2008-05-26 12:16:53

вы же сами написали в названии темы - "пинайте". как отпинали - жалуетесь, что больно и неправильно били.
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
krilya
мл. сержант
Сообщения: 106
Зарегистрирован: 2008-03-11 4:42:29
Откуда: Комсомольск-на-Амуре

Re: Статья о PF. Пинайте

Непрочитанное сообщение krilya » 2008-05-26 13:53:02

Allex_groza_adminov писал(а):Если я правильно понял назначение форумов - это выявлять сильные и слабые стороны статьи автора, с тем чтобы он делал максимально качественный продукт.
В таком случае всем быдлоганам из Комсомольска-на-Амуре могу порекомендовать специализатованные чаты.
PS там интересней.
подозреваю что с первого раза убица не получилось, но явно есть осложнения ;)

P.S. выявлять сильные и слабые стороны нужно статьи ргамотно критикуя (а не обсирая с разбегу), если бы Вы написали что-то вроде...
пункт 1 - здесь не правильно, потому что нужно делать "ТАК" и тд. тогда можно было бы снять шляпу, а в Вашем случае только стена,
подругому никак ;)

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: Статья о PF. Пинайте

Непрочитанное сообщение alex3 » 2008-05-26 14:02:53

а он по-моему так и сделал..
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
krilya
мл. сержант
Сообщения: 106
Зарегистрирован: 2008-03-11 4:42:29
Откуда: Комсомольск-на-Амуре

Re: Статья о PF. Пинайте

Непрочитанное сообщение krilya » 2008-05-26 14:06:48

мнения разделились, может конечно и я идиот, но все же позвольте с Вами не согласиться ;)

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: Статья о PF. Пинайте

Непрочитанное сообщение alex3 » 2008-05-26 14:12:25

позволю, но попытаюсь обосновать
1. А теперь представим такую ситуацию. Юзер Петя тащит новый дистрибутив линукса из сети по фтп, юзер Вася пришел с учебы с одной мыслью поскорее добраться до компа и завалить пару тройку террористов в кемпер-страйк. Он судорожно начинает обзванивать соседей с единственной просьбой прервать закачку. Ему и не вдомёк, что во всём виноват админ Grishun_U_S, непожелавший обратить своё внимание в сторону ALTQ.
указание, что не все аспекты освещены в данной статье
2. Есть проблема специфичная для АДСЛ каналов. http://misdocumentos.net/wiki/wiki.open ... as_en_adsl
На современных АДСЛ 2+ она не так актуальна, это я понял из реальных измерений нагрузок, но всё же использую, мало ли...
указание на возможность возникновения проблем... даже с ссылкой, где почитать
3. > nat on $ext_if_cheap from $trusted_lan to any -> ($ext_if_cheap)
Сдесь вообще ошибка. Вы предлагаете натить трафик из локальной сети адресованный и напрямую серверу тоже. Так часто бывает, что ДСЛ канал ложиться напрочь или восстанавливается через несколько десятков секунд. Что же происходит с доступными сервисами в этот момент? Подумайте...
nat on $ext_if_cheap from $trusted_lan to !(self) -> ($ext_if_cheap:0)
Хотя это спорный вопрос, на интернет канале по витой паре с предлагаемыми настройками "тупит" не значительно.
тоже указание на возможную ошибку и готовность к обсуждению
4. Вместо
> wan_services="{ 85.113.63.251/32, 85.113.59.8/32, 85.113.62.200/32 }"
лучше использовать таблицы, это придаст нужную гибкость конструкции
и наконец - подсказка на лучший способ
и? он должен куски статьи переписать?
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
krilya
мл. сержант
Сообщения: 106
Зарегистрирован: 2008-03-11 4:42:29
Откуда: Комсомольск-на-Амуре

Re: Статья о PF. Пинайте

Непрочитанное сообщение krilya » 2008-05-26 14:36:51

попытаюсь обосновать...
причем тут обзорная статья и дистриб линукса и специфические прблему АДсл? ;)

p.s. на сем умолкаю, автору статьи еще раз респект ;)

Allex_nsk
проходил мимо

Re: Статья о PF. Пинайте

Непрочитанное сообщение Allex_nsk » 2008-05-26 15:31:49

Начну с того, что автор и только автор может делать изменения в своей статье, так же он отвечает за достоверность приведенных данных.
Я не обсираю нашего программера, я советую ему где может закралась ошибка и на какие аспекты, по моему мнению, ему надо обратить внимание.
Ведь с этими проблемами сталкивалось подавляющее большенство админов. Начинающим, вообще противопоказано читать такие статьи. Они пойдут по неправильному пути... К чему это приведет, задумывались?
Если считать, что я на этом деле вторую собаку доедаю, то хочу сказать, что в предвкушении ещё первой собаки мне не хватало подобной статьи где всё разжевано до мелочей, приходилось курить сухие маны.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья о PF. Пинайте

Непрочитанное сообщение Alex Keda » 2008-05-26 15:45:25

маны курить - никакая статья не отменяет.
даже самая копипастная - первая же нестыковка и тыкаться придётся именно вних.
Убей их всех! Бог потом рассортирует...

Covax
мл. сержант
Сообщения: 131
Зарегистрирован: 2008-04-27 23:54:31
Откуда: Витебск, Беларусь
Контактная информация:

Re: Статья о PF. Пинайте

Непрочитанное сообщение Covax » 2008-05-26 15:49:18

2Allex_nsk: Так согласись, что после курения манов ты знаешь больше, нежели после тупого копи-паст.
Лично я считаю, что так лучше. Дать человеку идею и направление мысли, а там уже включай свою голову, так он хоть сам разберётся.

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: Статья о PF. Пинайте

Непрочитанное сообщение alex3 » 2008-05-26 16:25:44

дык он и дал... указал несколько проблем на которые можно напороться и предложил автору статьи покурить маны, чтобы осветить и эти аспекты.
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: Статья о PF. Пинайте

Непрочитанное сообщение freeman » 2008-06-06 10:55:05

Za... писал(а):Вопросы вот еще с чем
Если в pf такие весчи как:
ipfw tee
ipfw divert

Как pf дружит с натом gre тпафика(pptp)

И как сделать логи наподобие в ipfw, т.е. где что блокируется, я так и не смог этого сделать, приходится догадками...
Про gre тебе ответили, а я и не знаю ничего на эту тему.
А логирование вкл. если в правило добавляем log - например pass in log, что в статье отражено =)
аналогом divert как я их понял можно применить route-to и т .д.
Остатся должен только один ...

simplexe
проходил мимо

Re: Статья о PF. Пинайте

Непрочитанное сообщение simplexe » 2008-06-24 11:48:18

ИМХО:я лично, прочитав статью, ничего нового для себя не почерпнул, заметил те же ошибки и неточности.
НО! это статья вводная по ней это видно она не претендуют на совершенство и т.д. - просто вводный курс как можно быстро развернуть пф дома или в мини сети.
СУТЬ: Если кто-то считает что что-то не так (и как обычно считает себя гением), он имеет ПОЛНОЕ ПРАВО написать соответствующую статью - как он лично хочет.
ПС:Автору респект - за то что он просто это сделал.

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Статья о PF. Пинайте

Непрочитанное сообщение Grishun_U_S » 2008-06-24 11:56:42

simplexe писал(а):ИМХО:я лично, прочитав статью, ничего нового для себя не почерпнул, заметил те же ошибки и неточности.
НО! это статья вводная по ней это видно она не претендуют на совершенство и т.д. - просто вводный курс как можно быстро развернуть пф дома или в мини сети.
СУТЬ: Если кто-то считает что что-то не так (и как обычно считает себя гением), он имеет ПОЛНОЕ ПРАВО написать соответствующую статью - как он лично хочет.
ПС:Автору респект - за то что он просто это сделал.
Спасибо за отзыв. Какие ошибки и неточности заметили?
Изображение

Sava
проходил мимо

Re: Статья о PF. Пинайте

Непрочитанное сообщение Sava » 2008-08-18 14:50:27

1.А кто проверял, как все это дружит совместно с IPFW? С какой очередностью применяются правила PF и IpFW? В смысле кто первый, кто второй?
Что будет если в ядре включено и одно, и другое? Я не сильно вникая в суть, заметил что когда в "ipfw add pass all from any to any" то пакеты не попадают на обработку к PF, а сразу летят куда назначались... Или я что-то не так понял?
2.Что все-таки делать с gre в PF?

Аватара пользователя
iZEN
ст. лейтенант
Сообщения: 1095
Зарегистрирован: 2007-09-15 16:45:26
Контактная информация:

Re: Статья о PF. Пинайте

Непрочитанное сообщение iZEN » 2008-08-18 15:09:34

Sava писал(а):2.Что все-таки делать с gre в PF?
Пример: "FreeBSD и GRE. Проксирование на один VPN сервер."
GNU/Linux — это не Unix и даже никогда им не был, и, что самое смешное, никогда им не станет — GNU's Not Unix

Sava
проходил мимо

Re: Статья о PF. Пинайте

Непрочитанное сообщение Sava » 2008-08-18 21:42:47

Изврат :) Но если иначе никак, то во бздях пойдет. А в опенке что, никак?

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: Статья о PF. Пинайте

Непрочитанное сообщение maradona » 2008-09-23 23:37:41

Sava писал(а):1.А кто проверял, как все это дружит совместно с IPFW? С какой очередностью применяются правила PF и IpFW? В смысле кто первый, кто второй?
Что будет если в ядре включено и одно, и другое? Я не сильно вникая в суть, заметил что когда в "ipfw add pass all from any to any" то пакеты не попадают на обработку к PF, а сразу летят куда назначались... Или я что-то не так понял?
2.Что все-таки делать с gre в PF?
у меня в ядре оба фаера, все работает без проблем NAT, rdr, правила в PF, dummynet в IPFW (если писать фильтрующие правила в IPFW - тоже все работает) фря 6.2

pimlab
прапорщик
Сообщения: 483
Зарегистрирован: 2007-10-09 11:31:03

Re: Статья о PF. Пинайте

Непрочитанное сообщение pimlab » 2008-10-01 19:52:15

Grishun_U_S писал(а):
А когда предвидится продолжение статьи?
хочу всё в рф. засунуть под Freebsd 7 : NAT, перенаправление портов, proxy, ALTQ ....

Аватара пользователя
itux
мл. сержант
Сообщения: 114
Зарегистрирован: 2008-11-09 12:37:55
Откуда: Kemerovo
Контактная информация:

Re: Статья о PF. Пинайте

Непрочитанное сообщение itux » 2009-03-16 5:35:14

Спасибо Лиссяровскому сайту и всей его команде за неоценимую помощь,...
но если хотите, есть возможность выложить на обсуждение конфига pf для компьютерного клуба, собранного мной по крупицам.. возможно и с ошибками... :) но рабочего...
Цель конфига: Порезать 1Мбит между 30-ю компами динамично... (роутер собирался на Опенке 4.4)

Хочется написать инструментарий для динамично управления роутером, но нет пока знаний ПХП и прочей веб-ерунды ))))
несу чушь, не дорого... звонить +7903.......