The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Впечатление создателей  iptables от пакетного филь..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Впечатление создателей  iptables от пакетного филь..."  
Сообщение от opennews on 18-Авг-06, 11:54 
Rusty Russel - один из основных участников проекта netfilter, кратко описал (http://ozlabs.org/~rusty/index.cgi/tech/2006-08-15.html) свои впечатления от пакетного фильтра pf, разработанного в рамках проекта OpenBSD.

URL: http://ozlabs.org/~rusty/index.cgi/tech/2006-08-15.html
Новость: http://www.opennet.dev/opennews/art.shtml?num=8133

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от Аноним on 18-Авг-06, 11:54 
Заголовок новости звучит как "Создатели Запорожца узнали, что у всех машин двигатель находится спереди"

зы: ничего не имею проитв. всю жизнь пользуюсь iptables, просто настроение веселое :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от thedix (??) on 18-Авг-06, 12:06 
У хороших спортивных машин, кстати, двигатель сзади. :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от Валера (??) on 18-Авг-06, 12:08 
Среднее расположение еще лучше :-)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от CDigger on 18-Авг-06, 12:21 
Это тот, что с педалями...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от pavlinux email(ok) on 18-Авг-06, 12:42 
Так он ещё и двухколесный, или четырёх, ещё два маленьких чтоб не падал?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от Jelis email(ok) on 18-Авг-06, 12:59 
Вообщем-то и в файрволах разница такая же как и по всей системе - BSD сделан в основном красивее, где-то элегантнее, где-то удобнее, зато у Линукса больше возможностей.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от chas on 18-Авг-06, 13:53 
>Вообщем-то и в файрволах разница такая же как и по всей системе - BSD сделан
>в основном красивее, где-то элегантнее, где-то удобнее, зато у Линукса больше возможностей.

Но некоторые полезне фичи, как всегда, отсутсвуют:

"There's one place where pf would make Linux users green with envy, it's rate limiting and queueing"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от _Nick_ email(??) on 18-Авг-06, 18:09 
нафига козе бАян, када у нее гармонь есть?
Линуховый QoS - лучше всяких трубочек.
те кто пытается на них строить
рабочую систему - получает полный П в фаерволе и далекое подобие человеческой работы
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от Анонимоус on 23-Авг-06, 22:35 
>>Вообщем-то и в файрволах разница такая же как и по всей системе - BSD сделан
>>в основном красивее, где-то элегантнее, где-то удобнее, зато у Линукса больше возможностей.
>
>Но некоторые полезне фичи, как всегда, отсутсвуют:
>
>"There's one place where pf would make Linux users green with envy,
>it's rate limiting and queueing"
А еще iptables и какой-нить QoS умещаются в железках типа ADSL модемов и soho router-ов и это еще и работает даже.В девайсах с пару сигаретных пачек размером.А bsd где?Гусары, молчать!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от Аноним on 18-Авг-06, 15:51 
ну и наскока востребованы большинством админов эти фичи?
на 2% ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от ZANSWER email(ok) on 18-Авг-06, 16:55 
МяФ!:) снова холи вар балбесов... едите iptables и едите дальше, мне нравиться pf, но он нарвиться мне, а rate limit и queue любой пров пользует который использует pf на рутере... тока не кречим про киски...;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от pavlinux email(ok) on 18-Авг-06, 19:40 
Вах, вах, вах .... да тут не Opennet, тут сборище провайдеров...
(я конечно понимаю, тут каждый админ в душе инженер сети городского или регионального провайдера)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от Nick (??) on 19-Авг-06, 04:27 
Тот, кто активно использует именно Опенка на рутере, тот уж точно использует богатейшие возможности управления трафиком в pf.  Те, кто говорит, что такая функциональность не нужна просто никогда ничего серьезного и/или по-серьезному не настраивали. Pf - прекрасный пример хорошего продукта.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от кук on 19-Авг-06, 08:50 
я что-то проспал и дисциплины в линусе отменили ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от _Nick_ email(??) on 19-Авг-06, 14:32 
Ниче ты не пропустил

просто Создатели iptables нашли костыль в pf и были рады отметить, что в iptables такого нет.
в линухе: котлеты - отдельно, мухи - отдельно. если нужно убрать/поправить шейпер траффика - пжалста. фаерволл же остаетсо при этом нетронутым.
и наоборот.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от MK email(??) on 20-Авг-06, 18:18 
>Ниче ты не пропустил
>
>просто Создатели iptables нашли костыль в pf и были рады отметить, что
>в iptables такого нет.
>в линухе: котлеты - отдельно, мухи - отдельно. если нужно убрать/поправить шейпер
>траффика - пжалста. фаерволл же остаетсо при этом нетронутым.
>и наоборот.


gygygy. _Nick_, ty na svoi-to shapery posmotri. Tam vse tak nameshano, chto dazhe kommentirovat' ne hochetsya. Takoe oshushenie, chto tvoi muhi/kotlety melko nashinkovali, potom zapihnuli v myasorubku, a potom eshe i na terke propustili - tak chto vot ne nado vot. Ty b prezhde chem kidat'sya, u sebya b v hozyajstve poryadok navel (ya ponimayu, chto tam ne tol'ko ty ruki prilozhil, no vse odno).

Da, mozhno cherez tc tol'ko managit' bw (obrashajsya za primerom - cherez htb - no vot tol'ko chitabel'nymi nazvat' output tc tyazhelo), mozhno, no pochemu-to vse vidennye mnoyu do etogo linux-based shapery s managementom queues/etc razmerom bol'she 10ka pravil lepilis' v takyu zhutkuyu svyzaku s tc/ip/iptables markup, chto mne kak-to maloponyatny shutki pro kostyli (nu, mozhet adminy krivorukie - im tak udobnee s etim iproute2 - a mozhet, arhitektura predpolagaet takie svyazki).

A chto do udobstva eshe - vot vam pozhalujsta - umel'tzy, kotorye smogut otflushit' tablitzy rulesov cherez ip CLI - v studiyu. Ya videl uzhe chetyre skripta (dva ili tri - v mailliste netfiltera), kazhdyj iz kotoryh flushit chast' - no ni odin polnost'yu.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от cryptoson on 19-Авг-06, 14:37 
Думаю что до такого функционала какой в линуксе дает стандартная связка iptables + iproute pf да и вообще любому *nix-овому фаерволу далеко.
Помню как пытался на фришном роутере два 2-хмегабитных канала с множеством правил настроить -- ужжас, 2 defaultrout-а ipfw без извратов не умеет, да и пакеты теряет если настроить через fwd.
Пришлость перетащить на линукс, в нем все проерасно настроил и заработало.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от Lenin email(??) on 19-Авг-06, 20:02 
>Помню как пытался на фришном роутере два 2-хмегабитных канала с множеством правил настроить -- ужжас

И где ужас?? Хоть 2 сотни - никаких проблем. У меня реально всего 8 правил(!) для задания типа ограничения + 8 правил на то, что должно подпадать под ограничения, для того чтобы нарезать 8 вида ограничений (в моем случае 4 разные одинаковые в обе стороны полосы пропускания)

>2 defaultrout-а ipfw без извратов не умеет

Пояни что имел вв виду. default на то и default чтобы быть одним. Условная маршрутизация настраивается тоже без проблем.

P.S.  Сдается мне ты ни статью эту не читал, ни доки на файры не смотрел (уж точно не до конца)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от Lenin email(??) on 19-Авг-06, 20:13 
P.P.S. 4 категории симетричных полос пропускания, т.е. в моем случае каждому  IP ставится своя полоса, т.е. Реальных "трубочек"  на порядок больше где-то около 500 шт. И все это 16 правилами в ipfw ;-)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Впечатление создателейiptables от пакетного фильтра pf"  
Сообщение от cryptoson on 19-Авг-06, 21:30 
Так проблема то не в сложности настройки и количестве правил, а в том как все это настроенное работает. ipfw + pipes на юзеров и разделением трафика на ua-ix и мир с помощью  таблиц куда забит аггрегированный список сетей  с динамической маршутизацией при трафике в 4 мегабита теряет пакеты на celeron 450 мгц. Гуглением нашел выход -- советовалось пересобрать ядро с увеличенной частотой опроса чего-то там. Но в каком-то хауту прочел что ipfw не выдерживает трафик в 10мегабит и решил что лучше все-таки все перенастроить на линуксе где все это решается без проблем с производительностью и масштабированием. Кстати статью я прочел и документацию тоже почитываю, только вот не всегда гладко по бумажке можно и настроить, такие глюки во фре бывают, лучше уж линукс использовать - его больше народу тестит и область применения у него шире.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Впечатление создателейiptables от пакетного фильтра pf"  
Сообщение от неаноним on 20-Авг-06, 05:23 
>при трафике в 4 мегабита теряет пакеты на celeron 450 мгц

>в каком-то хауту прочел что ipfw не выдерживает трафик в 10мегабит

Давно такой ахинеи не читал

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "Впечатление создателейiptables от пакетного фильтра pf"  
Сообщение от Dyr email(??) on 12-Сен-06, 21:24 
>>при трафике в 4 мегабита теряет пакеты на celeron 450 мгц
>
>>в каком-то хауту прочел что ipfw не выдерживает трафик в 10мегабит
>
>Давно такой ахинеи не читал
+1.
А в ядре он, очевидно, не догадался включить DEVICE_POLLING
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Впечатление создателейiptables от пакетного фильтра pf"  
Сообщение от Lenin email(??) on 20-Авг-06, 08:29 
Если Вы смогли настроить что-то на системе А, но у Вас не получилось на системе Б, это не значит, что это на системе Б не возможно. Про пайпы и очереди надо было почитать по подробней.
Если через водопроводную трубу в 4 литра в сек попробовать прокачать 5, то пролезет только 4, а остальное будет хлестать в обратку.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Впечатление создателейiptables от пакетного фильтра pf"  
Сообщение от _Nick_ email(??) on 20-Авг-06, 08:49 
>Если Вы смогли настроить что-то на системе А, но у Вас не
>получилось на системе Б, это не значит, что это на системе
>Б не возможно. Про пайпы и очереди надо было почитать по
>подробней.
>Если через водопроводную трубу в 4 литра в сек попробовать прокачать 5,
>то пролезет только 4, а остальное будет хлестать в обратку.

ваша теория либо доказывает, что ipfw - содержит ограничение в 4 л/с.
Либо если "это все сервер тормозит" - то это его Линух так разгоняет,
роутер успевает все отработать? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Впечатление создателейiptables от пакетного фильтра pf"  
Сообщение от Lenin email(??) on 20-Авг-06, 10:08 
Я хотел сказать, что если чел настроил 4 Мбит/с то больше роутер не прокачает и будут потери, если пытаться засунуть более не снижая скорости и cel 450 для 4 Мбит/с хватает под любой ОСкой. Сильно сомневаюсь, что именно Фряхи + ipfw человеку не хватало, и что именно Линь решил его проблемы. Здается, что под Линь он настроил "правильней", что не означает, что ipfw плох. Кстати, для фряхи есть еще pf с altq.
"Линух разгоняет" - это прям "Pentium 3 ускоряющий Интернет". ;-)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Впечатление создателейiptables от пакетного фильтра pf"  
Сообщение от _Nick_ email(??) on 20-Авг-06, 10:10 
>"Линух разгоняет" - это прям "Pentium 3 ускоряющий Интернет". ;-)

чисто выводы по Вашим словам ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Впечатление создателейiptables от пакетного фильтра pf"  
Сообщение от Free (??) on 21-Авг-06, 22:59 
>Если Вы смогли настроить что-то на системе А, но у Вас не
>получилось на системе Б, это не значит, что это на системе
>Б не возможно. Про пайпы и очереди надо было почитать по
>подробней.
>Если через водопроводную трубу в 4 литра в сек попробовать прокачать 5,
>то пролезет только 4, а остальное будет хлестать в обратку.

Труба 4 литра в секунду - это круто!!! Это высокоинтеллектуальная труба!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Впечатление создателейiptables от пакетного фильтра pf"  
Сообщение от unplaced email on 20-Авг-06, 15:55 
>Так проблема то не в сложности настройки и количестве правил, а в
>том как все это настроенное работает. ipfw + pipes на юзеров
>и разделением трафика на ua-ix и мир с помощью  таблиц
>куда забит аггрегированный список сетей  с динамической маршутизацией при трафике
>в 4 мегабита теряет пакеты на celeron 450 мгц. Гуглением нашел
>выход -- советовалось пересобрать ядро с увеличенной частотой опроса чего-то там.


Хм. На 90% уверен что "пересобрать ядро с увеличенной частотой опроса чего-там" это значило собрать ядро с options HZ=1000, что указано даже в man dummynet как Strongly recommended. Похоже все возвращается к непрочитанной документации :)

Вообще сликшмо много "в каком-то хауту", "чего-то там" -- никакой конкретики.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от cryptoson on 20-Авг-06, 15:49 
Информацию о производительности ipfw я взял из хэндбука, раздел "Накладные расходы и оптимизация IPFW". Хотя там на 486-м тестировали. Настраивал все по документации с опеннета. Все равно получил сильные задержки и потери пакетов. С линуксом сразу запахало. Ну что же, будем фришку еще пытать, раз должно работать.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от cryptoson on 20-Авг-06, 20:41 
Действительно скорость работы ipfw тут вроде не причем, потеря пакетов связана скорее всего с нерабочим fwd http://www.opennet.dev/openforum/vsluhforumID1/50946.html#3
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от Sem (??) on 21-Авг-06, 16:55 
Думаю, что не знание предмета тут на лицо. Потеря покетов тут не причем.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от Sem (??) on 21-Авг-06, 16:57 
Да, и "нерабочесть" fwd опять же связана с не прочтением документации и не отслеживанием списков рассылок, что бы быть в курсе, что же там изменилось.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от OnlySlon (??) on 22-Авг-06, 13:07 
К слову о 4х мегабитах, прокачиваем через Linux QoS более 100 мегабит инета. Жужжит. и загрузка проца 3-4 процента(p4-2Ghz). аптайм к году стремится.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от hvv on 27-Авг-06, 12:50 
>К слову о 4х мегабитах, прокачиваем через Linux QoS более 100 мегабит
>инета. Жужжит. и загрузка проца 3-4 процента(p4-2Ghz). аптайм к году стремится.
>

Да не вопрос, сотней мегабит нынче никого не удивишь. Я, правда после перехода на гигабит, на фре отказался от шейпера (сначала был ipfw + altq, а потом pf портировали), но тут ситуация другая - с винтов отдаётся до 300+ мбит/с и машинке и так не очень хорошо, на I/O много уходит с таким железом (p4-2G + ata/sata побрякушки). Попробовать, что ли, шейпер включить и порезать кого-нибудь для интереса..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от bakake email on 29-Авг-06, 12:00 
Кстати, на втором уровне pf (фрюшный порт) работать не умеет. Надо было как то по MAC'ам  отфильровать, в итоге пришлось на ipfw пересобирать систему.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от brag (ok) on 28-Май-07, 19:44 
Че вы ругаетесь то?
pf отличный firewall,сам пересел с ipfw..главное,что не тормозит. А вот ipfw+natd у меня тормозил,что проц хавал,что время отклика сильно увеличивалось.
К ста о гиговых сетках.. Кому-то удалось на FreeBSD получить хотябы 500-600мбит?
у меня даже по lo0 всего 200мбит
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от Dyr email(??) on 28-Май-07, 20:22 
>Че вы ругаетесь то?
>pf отличный firewall,сам пересел с ipfw..главное,что не тормозит. А вот ipfw+natd у
>меня тормозил,что проц хавал,что время отклика сильно увеличивалось.
>К ста о гиговых сетках.. Кому-то удалось на FreeBSD получить хотябы 500-600мбит?
>
>у меня даже по lo0 всего 200мбит
У меня на FreeBSD 6.2 500 Мбит было (больше просто канал не позволил). Правда, и загрузка проца была ого-го, причём самое интересно - включенный polling уменьшал нагрузку в разы, однако дропал пакеты напропалую, оставалось буквально 200Мбит.
Мать какая-то Asus, сетевухи bge, P4 3,3GHz.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от RootOfEvil on 02-Мрт-08, 20:31 
Получалось вытянуть 959 Мбит.

>pciconf -lv

    vendor     = 'Intel Corporation'
    device     = '82546EB Dual Port Gigabit Ethernet Controller'

>uname -sr

FreeBSD 6.3-PRERELEASE

>sysctl hw.model

hw.model: AMD Athlon(tm) 64 Processor 3000+

Поллинг выключен.
Фаэрвол ipfw (2240 правил)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "Впечатление создателей  iptables от пакетного фильтра pf"  
Сообщение от NIck email on 02-Мрт-08, 22:37 
>Фаэрвол ipfw (2240 правил)

и первое правило гласит:
allow all from any to any

%)

(шутко)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру