The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В OpenBSD добавлена возможность синхронной работы PF на неск..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от opennews (??) on 22-Июн-09, 11:46 
Дэвид Гвинн (David Gwynne) сообщил (http://undeadly.org/cgi?action=article&sid=20090619100514) об успешном запуске в промышленной эксплуатации и интеграции в дерево исходных текстов OpenBSD-Current кода pfsync c реализацией "active-active stateful" режима работы пакетного фильтра pf, позволяющего синхронизировать таблицы трекинга состояния соединений для нескольких пакетных фильтров, что, в сочетании с механизмом CARP, может применяться для создания отказоустойчивых и распараллеленных на несколько машин межсетевых экранов.


URL: http://undeadly.org/cgi?action=article&sid=20090619100514
Новость: http://www.opennet.dev/opennews/art.shtml?num=22253

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от daemontux on 22-Июн-09, 12:34 
OpenBSD Движется к ентерпрайзу))


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от Анонимиоуос on 22-Июн-09, 13:37 
Что значит OpenBSD? pf движется, он не только в OpenBSD
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от mma on 22-Июн-09, 13:46 
двигает PF впервую очередь команда openbsd, в той же фряхе pf далеко не первой свежести, можете загадывать когда возможность синхронной работы будет во фряхе.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от GR (??) on 22-Июн-09, 18:06 
Весь девелопмент в pf сосредоточен в OpenBSD. На фряху идёт порт уже релизнутого и без добавления фич. pfsync думаю в 8-ку засунут, вещь то крутейшая.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

62. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от Денис Юсупов email on 09-Сен-09, 16:01 
Чего стоим, кого ждём?

---
HISTORY
     The pfsync device first appeared in OpenBSD 3.3.  The pfsync device was
     imported to FreeBSD 5.3.

FreeBSD 7.2                      June 6, 2006                      FreeBSD 7.2
---

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от аноним on 22-Июн-09, 14:03 
по-моему оно и раньше там было, но только вроде active passive
iptables вроде тоже мог active passive
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от dry on 22-Июн-09, 19:55 
Зачем оно надо то?
Нет, с идеологической точки зрения для HA вещь очень полезная, но, вот подумайте, как оно с практической стороны.
Что есть "фаервол"? (не люблю это слово, ну да ладно).
Сие есть машина с железом не очень производительного класса, единственое требование предъявляемое к оному фильтровать или иным образом оперировать с сетевым трафиком, проходящим через него.
Т.е. если речь идет не о каких то load балансерах или свичах выше L3, то для выполнения этих функций даже на GigE сети достаточно железяки (о x86 речь) уровня 500Мгц, от 128Мб оперативы и это даже шикарно, на практике я думаю можно еще умерить аппетиты.

Теперь о собственно HA и репликации состояния pf.
Где вы реально это собрались использовать? вернее даже сказать на каком железе.
Лично я не знаю где можно найти стоечные машины такого уровня.
А использовать для этих задач полноценное железо - да бог с вами, кошки дешевле встанут раза в два.
Вот и получается, что формально оно есть, а практически нет подходящего железа, где бы это можно было реально применять. Ну разве что на тестовом стенде поиграться.

Единственная надежда, что какая-нибудь китайская конторка начнет производство железа под это дело, но цена конечного продукта будет опять же под вопросом и скорее всего сопоставима с теми же кошаками.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от iZEN (ok) on 22-Июн-09, 20:13 
>Зачем оно надо то?

...
>Лично я не знаю где можно найти стоечные машины такого уровня.
>А использовать для этих задач полноценное железо - да бог с вами,
>кошки дешевле встанут раза в два.

Кошки? За такую цену, что стоит нормальный шлюз с PF уровня L3-L4, можно приобрести лишь кошку-свитч L2 с V-LAN'ами.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от dry on 22-Июн-09, 20:17 
>>Зачем оно надо то?
>
>...
>>Лично я не знаю где можно найти стоечные машины такого уровня.
>>А использовать для этих задач полноценное железо - да бог с вами,
>>кошки дешевле встанут раза в два.
>
>Кошки? За такую цену, что стоит нормальный шлюз с PF уровня L3-L4,
>можно приобрести лишь кошку-свитч L2 с V-LAN'ами.

Например? (ссылки на железки которые используете)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от iZEN (ok) on 22-Июн-09, 20:27 
>Например? (ссылки на железки которые используете)

Ищите сами 4-8 портовые гигабитные роутеры.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от dry on 22-Июн-09, 20:59 
>>Например? (ссылки на железки которые используете)
>
>Ищите сами 4-8 портовые гигабитные роутеры.

Зачем так сразу в кусты то... Вдруг и правда есть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от Mikhail (??) on 22-Июн-09, 22:37 
используем Cisco ASA 5580 в кластерном режиме(как раз load balancing), но можно и более младшие модели так использовать
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от Аноним (??) on 23-Июн-09, 00:20 
Asa и pix это вроде и есть на основе линукса, у них и команды немного другие, а у младших asa 5505 роцессор geod от amd

epic win короче ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от Mikhail (??) on 23-Июн-09, 00:28 
>Asa и pix это вроде и есть на основе линукса, у них
>и команды немного другие, а у младших asa 5505 роцессор geod
>от amd
>
>epic win короче ;)

"вроде и есть на основе линукса" - нет, дополнительные модули - да
на asa 5505, если не ошибаюсь, celeron

но смысл поста был о реально используемых "балансировщиках" файеволов

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от nikos (??) on 23-Июн-09, 10:07 
Э.  Как это на таком железе  обработать Гигабит (Вы  упретесь в PCI значительно раньше). Спор  "кошка против NIX" давний, сколько ни пробовал по деньгам  таки очень похожие решения,  плюсы и минусы - не для здесь спорить.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

43. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  –1 +/
Сообщение от аноним on 23-Июн-09, 10:42 
>(Вы  упретесь в PCI значительно раньше)

сходи уж в википедию почитай про скорость pci шины, особенно обрати внимание на pci express и на то, что можно два скажем контроллера pci поставить от северного моста

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

48. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +1 +/
Сообщение от nikos (??) on 23-Июн-09, 15:39 
Если Вы  найдете  Piii500 c экспересом - то  используйте.
Шина  PCI - классическая - на любом мосту  упрется ранее 700Mbit  нагрузки в одну сторону.
Вику читать по таким  вопросам - как-то не привык.
Успехов в хамстве.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

60. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от Аноним (??) on 24-Июн-09, 22:20 
    это нужно в первую очередь для IPv6 firewalling

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

63. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от Денис Юсупов email on 09-Сен-09, 16:03 
>Теперь о собственно HA и репликации состояния pf.
>Где вы реально это собрались использовать? вернее даже сказать на каком железе.
>
>Лично я не знаю где можно найти стоечные машины такого уровня.
>А использовать для этих задач полноценное железо - да бог с вами,
>кошки дешевле встанут раза в два.
>Вот и получается, что формально оно есть, а практически нет подходящего железа,
>где бы это можно было реально применять. Ну разве что на
>тестовом стенде поиграться.

Не понял, в чём у вас проблема-то? Файервол на краю сети, выпускающий клиентов в интернет - классическое приложение, без всяких проблем с "нет подходящего железа".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

45. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от piavlo on 23-Июн-09, 10:58 
В linux есть conntrack-tools с active-active mode
http://conntrack-tools.netfilter.org/manual.html#sync-aa
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +1 +/
Сообщение от rm (??) on 22-Июн-09, 14:47 
блин хочу pf под линух ...жалко давно хочу:)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +1 +/
Сообщение от sHaggY_caT (ok) on 22-Июн-09, 15:07 
>блин хочу pf под линух ...жалко давно хочу:)

Все хотят. В других BSD оно есть из-за Netgraph. Вот будет нетграф, будет и пф, и нормальный поптоп, и много других фишек.
Но нетграфа в Линуксе и на горизонте не видно:(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от Andrew Kolchoogin on 22-Июн-09, 15:31 
> В других BSD оно есть из-за Netgraph.

    Save me Trouble!!!

    Netgraph -- это FreeBSD-specific. PF никаким образом на Netgraph не завязан.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  –2 +/
Сообщение от tau on 22-Июн-09, 16:09 
Вот раньше говорили: "будет Netgraph -- будет счастье". Netgraph есть, а счастья нет... (Ильф и Петров так говорили про радио).

Netgraph не панацея от всех проблем и реально необходим только для нестандартных ситуаций, вроде объединения разнородных сетей, где нужны разнообразные инкапсуляции. Для этого он и был задуман. Но современные FreeBSDшники на нем рехнулись: сделали GEOM по аналогии, зачем-то понатащили в ядро подсистемы с перекрывающейся функциональностью: три файрвола, три NAT, несколько реализаций QoS, и пытаются компенсировать их недостатки за счет объединения с помощью Netgraph, вместо того, чтобы довести до ума какую-то одну из них. Вот OpenBSD team пилит один pf и правильно делает. Keep it simple, stupid.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +2 +/
Сообщение от Осторожный (ok) on 22-Июн-09, 16:25 
Я фигею ...

netgraph - это opensource-разработка, которую вел какой-то университет несколько лет в исследовательских целях.
Реализация была сделана для FreeBSD.
Что предлагается ее теперь викинуть чтобы не было ни одной реализации вообще ?

>Сделали GEOM по аналогии.

Допустим сделали по аналогии. И что теперь ?
Я могу сказать, что LVM2 тоже сделали по аналогии с GEOM. Давайте выкинем LVM2 !!!

>Зачем-то понатащили в ядро три firewall.

Во-первых ipfw - родной firewall,
во-вторых ipfilter - не родной firewall,
в-третьих pf - firewall из OpenBSD.
Чем тебе лично мешает наличие трех firewall в системе ?
Не нравится - не пользуйся.
Ты предлагаешь викинуть два и оставить только один ?
Те кто пользовался ipfw - продолжают им пользоваться.
ipfilter (ipf) вообще делает отдельный человек, не связанный с FreeBSD.
Например кто-то использует pf в OpenBSD. Он без проблем перейдет на использование pf в FreeBSD. Или ему предлагается изучать ipfw или ipf потому что тебе так хочется ?

Сам не будь stupid.
И без веской причины не указывай другим что им делать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от tau on 22-Июн-09, 17:46 
> netgraph - это opensource-разработка, которую вел какой-то университет несколько лет в исследовательских целях.

У меня другая информация на это счет: http://citrin.ru/netgraph/

> Допустим сделали по аналогии. И что теперь ?

Я могу сказать, что LVM2 тоже сделали по аналогии с GEOM. Давайте выкинем LVM2 !!!

Прочитайте еще раз, что такое GEOM, и что такое LVM2, хорошо? Я не говорю, что надо что-то выкидывать, речь о том, что не надо создавать overhead ради какой-то общности решения, которая никому на практике не нужна. Пользователи и админы Linux и OpenBSD прекрасно обходятся и без Netgraph.

> Чем тебе лично мешает наличие трех firewall в системе ?

Тем, что один файрвол (ipfw) делает одно, другой (pf) -- другое. При этом их функции в значительной степени пересекаются, что противоречит Unix way, когда каждый инструмент делает что-то свое. В результате, на некоторых конфигурациях приходится юзать оба. С dummynet и ALTQ -- та же история. Итого: чем больше подсистем с разными интерфейсами, тем сложнее админить. Вот люди из Netfilter team увидели, что у них функционал размазан по сотне с чем-то модулей, схватились за голову и стали переделывать. FreeBSD по мере накопления нод для Netgraph предстоит то же самое.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от iZEN (ok) on 22-Июн-09, 19:23 
Есть ещё TCP Wrappers. Так что же, и этот слой выкинуть? :))

Насчёт того, что функционал у них пересекается, так чедь никто не заставляет пользоваться всеми тремя одновременно!
Выучи один из них и спокойно пользуйся только одним. Чудак-человек, это ж не Linux, где "одни костыли служат подпорками другим, а по-одному не работают".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от vitek (??) on 23-Июн-09, 00:07 
пипец. у iZEN с linux видимо личные счёты. я бы даже сказал - интимные.
выкинте линуксуляторы для начала, спецы блин.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от iZEN (ok) on 23-Июн-09, 09:13 
>выкинте линуксуляторы для начала, спецы блин.

Прекратите делать блобы под линух, блин!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от vitek (??) on 23-Июн-09, 09:49 
точно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

46. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от AdVv (ok) on 23-Июн-09, 11:42 
Да да ! Wine еще не забудьте удалить ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

56. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от oops on 24-Июн-09, 07:37 
>Да да ! Wine еще не забудьте удалить ;)

Вы уже избавились от OpenSSH?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

58. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от vitek (??) on 24-Июн-09, 16:04 
а Вы его всё ещё gcc компилите? :-D
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +1 +/
Сообщение от xxx (??) on 22-Июн-09, 23:24 
>Тем, что один файрвол (ipfw) делает одно, другой (pf) -- другое. При этом их функции в значительной степени пересекаются, что противоречит Unix way, когда каждый инструмент делает что-то свое.

С твоими рассуждениями можно прийти к тому, что Windows - это unix way, а что одна большая ОС, которая делает свое грязное дело =) Файрвол, типа pf - это комплексное решение которое "юнихвеем" и не пахнет. А netgraph это подсистема с помощью которой можно сделать файрвол, но не только, и бредить по поводу его ненужности бессмысленно. Netgraph -это как pipe в unix, благодаря чему и возможен unix way, и вот как раз ipfw реализованный поверх netgraph будет в полной мере соответсвовать unix way.

> Я не говорю, что надо что-то выкидывать, речь о том, что не надо создавать overhead ради какой-то общности решения, которая никому на практике не нужна.

Это я понимаю про GEOM? Тебе на практике не нужны raid различного уровня, поддержка рзделов их шифрование т. д.?

> Пользователи и админы Linux и OpenBSD прекрасно обходятся и без Netgraph.

Пользователи FreeBSD и Linux прекрасно обходятся и без pf.
Пользователи FreeBSD и Linux прекрасно обходятся и без OpenBSD sensor framework.
Пользователи Solaris прекрасно обходятся без *BSD, Linux и т. д =)
И что из этого всего следует? Да, ровным счётом ничего.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от tau on 23-Июн-09, 00:57 
> С твоими рассуждениями можно прийти к тому, что Windows - это unix way, а что одна большая ОС, которая делает свое грязное дело =)

В Windows по большей части используется объектно-ориентированный подход. И аналог модулей ядра там тоже есть. Но не бессмысленное размазывание одной функции по куче модулей.

> Netgraph -это как pipe в unix, благодаря чему и возможен unix way, и вот как раз ipfw реализованный поверх netgraph будет в полной мере соответсвовать unix way.

Я не против Netgraph как такового, я против того, чтобы все делать только с его помощью, распыляя элементарные операции по множеству модулей. Из-за этого простые вещи, вроде сбора Netflow средствами ядра, приходится решать довольно странными методами. Вот пример настройки Netflow во FreeBSD: http://tmp.barev.net/htmlart/unix/ngnetflow.html В OpenBSD с недавнего времени аналогичная операция делается значительно проще: поднятием и конфигурацией интерфейса pflowX.

$ sudo ifconfig pflow0 create
$ sudo ifconfig pflow0 flowsrc 10.0.0.200 flowdst 10.0.0.1:1234
$ ifconfig pflow0

pass out inet proto tcp keep state (pflow)

Три простых команды, не считая правил для файрвола. Сравните это с тем секасом, который приходится делать во FreeBSD.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

44. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от Myc (??) on 23-Июн-09, 10:50 
>> Netgraph -это как pipe в unix, благодаря чему и возможен unix way, и вот как раз ipfw реализованный поверх netgraph будет в полной мере соответсвовать unix way.
>Я не против Netgraph как такового, я против того, чтобы все делать только с его помощью, распыляя элементарные операции по множеству модулей. Из-за этого простые вещи, вроде сбора Netflow средствами ядра, приходится решать довольно странными методами. Вот пример настройки Netflow во FreeBSD: http://tmp.barev.net/htmlart/unix/ngnetflow.html В OpenBSD с недавнего времени аналогичная операция делается значительно проще: поднятием и конфигурацией интерфейса pflowX.

Для начала посмотрите на дату ссылки. С тех пор все значительно упростилось.

>
> $ sudo ifconfig pflow0 create
> $ sudo ifconfig pflow0 flowsrc 10.0.0.200 flowdst 10.0.0.1:1234
> $ ifconfig pflow0
>
> pass out inet proto tcp keep state (pflow)
>
> Три простых команды, не считая правил для файрвола. Сравните это с тем секасом, который приходится делать во FreeBSD.

Бред полный.
Хотите простую утилитку для этого - напишите. Просто большинству удобнее написать простенький shell-скрипт, чем дописывать никому не нужный функцианал в ifconfig.

Netgraph - это аналог SRV-шных streams-ов.
GEOM и Netgraph - хороший фреймворк для написания подсистем ядра и не более того.

Никто же не жалуется что большинство систем *BSD написано с использованием инфраструктуры сокетов. Сокеты тоже хороший фреймворк.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

49. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от tau on 23-Июн-09, 16:31 
> Для начала посмотрите на дату ссылки. С тех пор все значительно упростилось.

Ну тогда давайте без пустого теоретизирования. Расскажите или напишите статью, как собирать Netflow с сетевого интерфейса с помощью Netgraph более простым способом, чем описано в данной статье.

> Хотите простую утилитку для этого - напишите. Просто большинству удобнее написать простенький shell-скрипт, чем дописывать никому не нужный функцианал в ifconfig.

Большинству удобнее вообще никаких скриптов не писать, а прочитать руководство и настроить. В маршрутизаторах Juniper при наличии той же FreeBSD почему-то не нужно на каждый чих писать скрипты, достаточно ввести несколько команд и сохранить конфигурацию. Разработчикам, видимо, лень один раз написать пару десятков строк на C, чтобы все остальные потом не писали сотни строк на shell. Простеньким предлагаемый shell-скрипт будет для одного интерфейса. А если нужно считать не весь трафик, а только с определенных IP (из таблицы в ipfw или pf)? И снимать трафик не с одного интерфейса, а с трех. Это будет далеко не простенький шелл-скрипт, нужно перелопатить всю топологию нод и связей. Вот тут Netgraph и покажет свою избыточную сложность. При этом в OpenBSD или Linux задача сведется к изменениям в правилах файрвола.

> GEOM и Netgraph - хороший фреймворк для написания подсистем ядра и не более того.

Netgraph неудобен для решения простых задач из-за того, что функционал слишком размазан по отдельным нодам. При этом необходимо все время конфигурировать связи между нодами, хотя в абсолютном большинстве практических применений связи будут одними и теми же. Яркие примеры -- mpd и тот же сбор Netflow. Городить в ядре гибкость и создавать лишний overhead ради решения одной-двух нестандартных задач -- это неверный подход.

> Никто же не жалуется что большинство систем *BSD написано с использованием инфраструктуры сокетов. Сокеты тоже хороший фреймворк.

Хороший-то хороший, но сокеты были введены в связи с отсутствием поддержки сети в Unix. Как показано в Plan 9, они избыточны, и можно все свести к чтению-записи файлов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

55. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от Myc (??) on 23-Июн-09, 23:03 
>> Для начала посмотрите на дату ссылки. С тех пор все значительно упростилось.
> Ну тогда давайте без пустого теоретизирования. Расскажите или напишите статью, как собирать Netflow с сетевого интерфейса с помощью Netgraph более простым способом, чем описано в данной статье.

Далеко ходить не будем
http://www.slashtmp.ru/2009/05/06/tag-ng_netflow/
http://www.slashtmp.ru/htmlart/unix/pres-ngnetflow.xml#23
http://www.slashtmp.ru/htmlart/unix/pres-ngnetflow.xml#24

>> Хотите простую утилитку для этого - напишите. Просто большинству удобнее написать простенький shell-скрипт, чем дописывать никому не нужный функцианал в ifconfig.
> Большинству удобнее вообще никаких скриптов не писать, а прочитать руководство и настроить. В маршрутизаторах Juniper при наличии той же FreeBSD почему-то не нужно на каждый чих писать скрипты, достаточно ввести несколько команд и сохранить конфигурацию. Разработчикам, видимо, лень один раз написать пару десятков строк на C, чтобы все остальные потом не писали сотни строк на shell. Простеньким предлагаемый shell-скрипт будет для одного интерфейса. А если нужно считать не весь трафик, а только с определенных IP (из таблицы в ipfw или pf)? И снимать трафик не с одного интерфейса, а с трех. Это будет далеко не простенький шелл-скрипт, нужно перелопатить всю топологию нод и связей. Вот тут Netgraph и покажет свою избыточную сложность. При этом в OpenBSD или Linux задача сведется к изменениям в правилах файрвола.

Собсно кто мешает использовать ng_ipfw+ng_netflow

>> GEOM и Netgraph - хороший фреймворк для написания подсистем ядра и не более того.
> Netgraph неудобен для решения простых задач из-за того, что функционал слишком размазан по отдельным нодам. При этом необходимо все время конфигурировать связи между нодами, хотя в абсолютном большинстве практических применений связи будут одними и теми же. Яркие примеры -- mpd и тот же сбор Netflow. Городить в ядре гибкость и создавать лишний overhead ради решения одной-двух нестандартных задач -- это неверный подход.

Еще раз отмечу, netgraph - это фреймворк. К сожалению он пока еще не  велик, ибо большая часть написана для того же mpd.

> Никто же не жалуется что большинство систем *BSD написано с использованием инфраструктуры сокетов. Сокеты тоже хороший фреймворк.
> Хороший-то хороший, но сокеты были введены в связи с отсутствием поддержки сети в Unix. Как показано в Plan 9, они избыточны, и можно все свести к чтению-записи файлов.

Возможно. Можно ведь и перевести все на ioctl как в линуксе. Но в обозримом будущем никто не будет этим заниматься. Но, ИМХО, интерфейс сокетов значительно удобнее интерфейса VFS.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

61. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от tester (??) on 09-Июл-09, 19:00 
> Хороший-то хороший, но сокеты были введены в связи с отсутствием поддержки сети в Unix. > Как показано в Plan 9, они избыточны, и можно все свести к чтению-записи файлов.

Сокеты в *BSD являются файлами, прикинь?! И ты можешь работать с ними как с файлами (read/write) прикинь?! А еще ты можешь заюзать пару функций (send/recv/shutdown), которые могут тебе помочь в некоторых специфичных случаях прикинь?! Так что, может сокеты не являются файлами? ..или с ними нельзя работать как с файлами? ..или может вы укажете несколько избыточных функций для работы с ними? ..или хотя бы обьясните в чем же является их избыточность?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от Dan (??) on 22-Июн-09, 18:45 
>>понатащили в ядро подсистемы с перекрывающейся функциональностью: три файрвола, три NAT

а еще там поддержка нескольких файловых систем есть, представляете? Вот где уж точно перекрываются функции! А PF в ядре нет по-умолчанию :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от iZEN (ok) on 22-Июн-09, 19:25 
PF поставляется как модуль ядра FreeBSD GENERIC. Но его можно вкомпилировать в ядро.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от tau on 23-Июн-09, 01:09 
>>>понатащили в ядро подсистемы с перекрывающейся функциональностью: три файрвола, три NAT
>
>а еще там поддержка нескольких файловых систем есть, представляете? Вот где уж
>точно перекрываются функции! А PF в ядре нет по-умолчанию :)

Вообще говоря, пока что полноценно поддерживается только одна, не считая "сетевых ФС". Это не аргумент. Вы еще про два транспортных протокола забыли: TCP и UDP. Три файрвола, делающих примерно одно и то же, но с разным синтаксисом правил и разными ограничениями -- это странно. Три неполноценных реализации QoS (dummynet, ALTQ и ng_car) -- тоже.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

52. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от Linus Torvalds on 23-Июн-09, 19:09 
И чё ты так переживаешь то тау? Если оно такое плохое - зачем юзаешь? Ответ прост - да всё у них нормально и с фаерволами и с остальным. Или давай Линкс ругать что слишком много FS поддерживает вместо одной - правильной! :)

Меня лично не напрягает когда есть выбор из нескольких хороших вещей, меня напрягают совки которые всё запрешаютЪ и  не-пущаютЪ ... :-р

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от morten on 22-Июн-09, 18:06 
В NetBSD и OpenBSD никакого нетграфа нет... :)

А мне pf не нужен в linux. Что в нём такого волшебного? Многие FreeBSD-шники используют до сих пор ipfw и не собираются переходить на что-то другое...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +1 +/
Сообщение от iZEN (ok) on 22-Июн-09, 20:16 
>А мне pf не нужен в linux. Что в нём такого волшебного?
>Многие FreeBSD-шники используют до сих пор ipfw и не собираются переходить
>на что-то другое...

Волшебного? Да просто тысячи правил IPTABLES на PF можно переписать в сотню и держать их все в голове благодаря высокоуровневому языку описания (DSL-подобный синтаксис).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от Аноним (??) on 22-Июн-09, 21:28 
>А мне pf не нужен в linux. Что в нём такого волшебного?
>Многие FreeBSD-шники используют до сих пор ipfw и не собираются переходить
>на что-то другое...
>>Волшебного? Да просто тысячи правил IPTABLES на PF можно переписать в сотню и держать их >>все в голове благодаря высокоуровневому языку описания (DSL-подобный синтаксис).

Согласен! PF намного лучше iptables

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от vitek (??) on 23-Июн-09, 00:23 
ну и что. мне вот и iptables хватает.
Вы ещё в крестовый поход соберитесь. и лозунг - "наш брандмауэра единственно верный! смерть неверным брандмауэрам!"
и возглавить вас есть кому. айзен - бздишное сердце.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от morten on 23-Июн-09, 06:36 
>Согласен! PF намного лучше iptables

Нетфильтер намного мощнее. Не умеете пользоваться, сидите с PF. Рядом вон новость про то что ipfw портировали в linux. Вообще смех на палочке, а ведь найдутся желающие этим пользоваться. Ну и ладно...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

57. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от EVS21 (??) on 24-Июн-09, 13:44 
>Нетфильтер намного мощнее. Не умеете пользоваться, сидите с PF. Рядом вон новость
>про то что ipfw портировали в linux. Вообще смех на палочке,
>а ведь найдутся желающие этим пользоваться. Ну и ладно...

А некоторые велосипедами пользуются! :) Вот смех, ведь есть автомобили... :) А еще пешком некоторые любят ходить :) ЛОЛ :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от morten on 23-Июн-09, 06:32 
"Волшебного? Да просто тысячи правил IPTABLES на PF можно переписать в сотню и держать их все в голове благодаря высокоуровневому языку описания (DSL-подобный синтаксис)."

Это что за задача, где надо как минимум 100 правил для pf и 1000 для netfilter? :-D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от iZEN (ok) on 23-Июн-09, 09:17 
>"Волшебного? Да просто тысячи правил IPTABLES на PF можно переписать в сотню
>и держать их все в голове благодаря высокоуровневому языку описания (DSL-подобный
>синтаксис)."
>
>Это что за задача, где надо как минимум 100 правил для pf
>и 1000 для netfilter? :-D

Такая, например: http://www.lissyara.su/?id=1833

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

50. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от tau on 23-Июн-09, 16:45 
>>
>>Это что за задача, где надо как минимум 100 правил для pf
>>и 1000 для netfilter? :-D
>
>Такая, например: http://www.lissyara.su/?id=1833

Вы же не знаете, как конфигурируется QoS в Linux. О чем тогда можно с вами говорить? Очереди и полосы пропускания конфигурируются с помощью tc, трафик классифицируется там же (http://luxik.cdi.cz/~devik/qos/htb/manual/userg.htm). Таблица для брутфорсеров ssh формируется с помощью модулей ipset и hashlimit. Синтаксис правил будет сложнее, чем в pf, но их будет явно не в 10 раз больше.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

47. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от morten on 23-Июн-09, 12:17 
Если вам на офис из 4-х компьютеров надо 1000 правил нетфильтра, то медицина, увы, бессильна!!! :-D
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

59. "В OpenBSD добавлена возможность синхронной работы PF на неск..."  +/
Сообщение от Аноним (??) on 24-Июн-09, 22:19 
это нужно в первую очередь для IPv6 firewalling
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру