Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В TCP-стеке FreeBSD выявлена опасная уязвимость"	+/–
Сообщение от opennews (??), 30-Апр-14, 10:40
В TCP-стеке всех поддерживаемых веток FreeBSD выявлена (http://lists.freebsd.org/pipermail/freebsd-announce/2014-Apr...) опасная уязвимость (CVE-2014-3000), позволяющая инициировать крах ядра  через отправку специально оформленного набора TCP-пакетов в рамках установленного сетевого соединения. Так как в результате уязвимости часть памяти стека может быть переписана данными из других нитей ядра, не исключается вариант эксплуатации уязвимости, при котором злоумышленник может получить доступ к областям памяти ядра, которые потенциально могут содержать конфиденциальные данные, такие как параметры входа. При этом проведение подобной атаки отмечается как слишком трудоёмкий процесс, требующий тщательной организации атаки с учётом особенностей целевой системы. Уязвимость вызвана ошибкой в коде обработки переполнения очереди  сборки (reassembly queue). В ситуации когда в рамках TCP-соединения  пакеты приходят с нарушением цепочки следования порядковых номеров, сегменты помещаются в очередь сборки и ожидают появления пакетов с недостающими номерами. Из-за ошибки,  очередной сегмент данных может быть добавлен в стек при достижении лимита на максимальный размер очереди, что приводит к неопределённому состоянию памяти стека после возврата из функции помещения пакета в очередь. Проблема исправлена в выпусках 8.4-STABLE, 8.4-RELEASE-p9, 8.3-RELEASE-p16, 9.2-STABLE, 9.2-RELEASE-p5, 9.1-RELEASE-p12, 10.0-STABLE и 10.0-RELEASE-p2. В качестве обходного пути для защиты от уязвимости при помощи пакетного фильтра pf может быть включен режим нормализации входящих пакетов (правило "scrub in all"). Дополнительно отмечается устранение ещё двух уязвимостей, которые проявляются только в ветке FreeBSD 10.0: -  Проблема (http://lists.freebsd.org/pipermail/freebsd-announce/2014-Apr...) (CVE-2014-3001) с загрузкой правил ограничения доступа к devfs для jail-окружений. Так как правила  devfs не активировались при загрузке, присутствовала возможность создания узлов devfs из jail-окружений с применяемыми по умолчанию правами доступа, без применения ограничений и скрытия узлов для изолированных окружений. Таким образом запущенный в jail-окружении процесс мог получить доступ к закрытым ресурсам хост-системы, в том числе ко всем имеющимся устройствам, что позволяло атакующему повысить свои привилегии или организовать утечку информации. -  Во входящем в состав базовой системы пакете OpenSSL устранена (http://lists.freebsd.org/pipermail/freebsd-announce/2014-Apr...) уязвимость (CVE-2010-5298), позволяющая атакующему осуществить подстановку данных в буфер, используемый в другом SSL-соединении, установленном в рамках того же процесса. Проблема вызвана инициированием освобождения памяти для буфера, до фактического окончания его использования (use-after-free). URL: http://lists.freebsd.org/pipermail/freebsd-announce/2014-Apr... Новость: http://www.opennet.dev/opennews/art.shtml?num=39674
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (-), 30-Апр-14, 10:40	–8 +/–
> крах ядра через отправку специально оформленного набора TCP-пакетов Вау. Хана бсдельным серверам. > злоумышленник может получить доступ к областям памяти И свой heartbleed, с чертиками и снобами.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #8, #10

5. Сообщение от xrayid (ok), 30-Апр-14, 10:51	+/–
Юзанье православного PF приносит свои плоды...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

6. Сообщение от Аноним (-), 30-Апр-14, 11:01	+/–
It is possible to defend to these attacks by doing traffic normalization using a firewall.  This can be done by including the following /etc/pf.conf configuration:     scrub in all This requires pf(4) to be enabled, and have the mentioned configuration loaded.
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от qqq (??), 30-Апр-14, 11:02	+7 +/–
> Вау. Хана бсдельным серверам. с учётом того, что в во всех файлах pf.conf, которые я видел, есть правило scrub in all ханы как раз не будет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #19

8. Сообщение от KT315 (ok), 30-Апр-14, 11:03	+/–
pf: "scrub in all" - вкусняшка фаера :-) So, GTFO!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #31

9. Сообщение от Аноним (-), 30-Апр-14, 11:18	+2 +/–
с учетом того что "православный" таки ipfw для FreeBSD, приятного маловато :(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #15

10. Сообщение от Sabakwaka (ok), 30-Апр-14, 11:31	+5 +/–
>> злоумышленник может получить доступ к областям памяти... > свой heartbleed... Откуда этот смелый вывод в приложении именно к BSD? Команда OpenBSD как раз выявила и закрыла этот баг, общий, замечу, для всей кодовой базы OpenSSL.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #29

11. Сообщение от AlexAT (ok), 30-Апр-14, 11:45	+1 +/–
Хорошо, что закрывается фильтром, но очень печально, что самый базовый стек ногами пишется...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #16, #30

12. Сообщение от Sabakwaka (ok), 30-Апр-14, 11:52	+1 +/–
Шлите патч
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

15. Сообщение от Аноним (-), 30-Апр-14, 12:46	–1 +/–
> с учетом того что "православный" таки ipfw для FreeBSD, приятного маловато :( в pf нормализовать только, остальное отдать ipfw - в чем проблема? они вместе дружат!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #43

16. Сообщение от iZEN (ok), 30-Апр-14, 12:50	–5 +/–
> но очень печально, что самый базовый стек ногами пишется... Ой-ли? Стек TCP из BSD используется примерно на 95% десктопов и большой части серверов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #17, #22, #26

17. Сообщение от Добрый Дохтур (?), 30-Апр-14, 13:16	+2 +/–
>> но очень печально, что самый базовый стек ногами пишется... > Ой-ли? Стек TCP из BSD используется примерно на 95% десктопов и большой > части серверов. это на каких таких десктопах? и насколько большой части серверов? 5%?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #18

18. Сообщение от iZEN (ok), 30-Апр-14, 13:25	–3 +/–
На Windows и Mac OS X.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #20, #21

19. Сообщение от Sw00p aka Jerom (?), 30-Апр-14, 13:27	+/–
NFS кажись с ним не дружит, ставлю только на внешний интерфейс
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #33

20. Сообщение от Добрый Дохтур (?), 30-Апр-14, 13:31	+4 +/–
> На Windows и Mac OS X. В windows не бсдшный стек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #25, #34

21. Сообщение от Аноним (-), 30-Апр-14, 13:31	+/–
Так вот почему windows server такой падучий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #37

22. Сообщение от Аноним (-), 30-Апр-14, 13:38	+/–
в висте tcpip стек переписали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #28

23. Сообщение от Анонус (?), 30-Апр-14, 13:41	+/–
о том что в rc.conf по-умолчанию выключили devfs_ruleset уже больше года пишут в maillist и столько же PR. Кошмар, сколько времени проходит от PR до его решения
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

24. Сообщение от Sw00p aka Jerom (?), 30-Апр-14, 13:47	+/–
> о том что в rc.conf по-умолчанию выключили devfs_ruleset уже больше года пишут > в maillist и столько же PR. Кошмар, сколько времени проходит от > PR до его решения devfs_ruleset не применялся если явно монтировать /dev
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

25. Сообщение от Аноним (-), 30-Апр-14, 14:02	+5 +/–
>> На Windows и Mac OS X. > В windows не бсдшный стек. Если быть точным, был до NT 6.x. В Linux тоже изначально был взято BSD-шный, но когда его переписали - уже и не вспомнить без гугла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #27

26. Сообщение от metallica (ok), 30-Апр-14, 14:08	+1 +/–
> Ой-ли? Стек TCP из BSD используется примерно на 95% десктопов и большой > части серверов. Как хоть докажите, а можно только примерами кода, что правы. Мне так вот совсем ничего схожего в кодах, производящих работу между очередями netdevice  и приёмными очередями сокетов из ядер freebsd и linux ( говорилось про "большой  части серверов") не увиделось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

27. Сообщение от Andrey Mitrofanov (?), 30-Апр-14, 14:16	+2 +/–
>> В windows не бсдшный стек. > Если быть точным, был до NT 6.x. Анониму @opennet безусловно виднее, чем бывшему программеру из ms. > В Linux тоже изначально был взято BSD-шный, но когда его переписали - > уже и не вспомнить без гугла. http://www.tldp.org/HOWTO/NET3-4-HOWTO-4.html _Реализовали BSD sockets API_ и "был взят бздешный стек" совсем не одно и то же. Но Вы не останавливайтесь, расскажите нам [ещё!], как корабли BSD бороздят просторы БДТ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #38, #44

28. Сообщение от Аноним (-), 30-Апр-14, 14:26	+/–
proof or GTFO
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

29. Сообщение от Аноним (-), 30-Апр-14, 15:22	+/–
> Команда OpenBSD А еще Тео сказал что в openssh под фряхой есть дыра. Но какая - он не скажет. Так что ждите добавки, канальи :).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #46

30. Сообщение от Аноним (-), 30-Апр-14, 15:23	+3 +/–
> очень печально, что самый базовый стек ногами пишется... У них все так в последнее время. Что не мешает фанам орать про "качественный код". Зато Тео вон отыгрался недавно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

31. Сообщение от Аноним (-), 30-Апр-14, 15:39	+/–
> So, GTFO! Да, кому не лениво - проверьте, запатчился ли опеннет :).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

32. Сообщение от Аноним (-), 30-Апр-14, 15:48	+/–
> CVE-2014-3000 Юбилейный...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35

33. Сообщение от iZEN (ok), 30-Апр-14, 16:52	–2 +/–
> NFS кажись с ним не дружит, ставлю только на внешний интерфейс Всё работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #58

34. Сообщение от iZEN (ok), 30-Апр-14, 17:10	+/–
Новшества в Windows Server 2008: стек TCP/IP: http://samag.ru/archive/article/1799 ///--- Новые решения старых проблем Теперь сравним архитектуру Next Generation TCP/IP Stack с предыдущими реализациями TCP/IP. Прежде всего вспомним некоторые особенности работы стека в предыдущей версии операционной системы и их недостатки. В пакетах обновлений (service packs) для Windows Server 2003 были включены дополнительные возможности: в TCP появилось уже упоминавшееся сегодня масштабирование окон (window scaling), определение нерабочих шлюзов (dead gateway detection) и другие тонкие настройки, которые были выполнены лучше и более надежно, по сравнению со стеком в Windows 2000. Справедливости ради следует также отметить, что реализация стека TCP/IP была практически полностью скопирована с ОС FreeBSD. ---/// Это — практически история современного состояния стека TCP во FreeBSD, только рассказанная словами маркетологов из MS для пользователей Windows. ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #36

35. Сообщение от YetAnotherOnanym (ok), 30-Апр-14, 17:15	–1 +/–
"Сцабака, гет прозевал!!!" (цэ) :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

36. Сообщение от Andrey Mitrofanov (?), 30-Апр-14, 17:31	+1 +/–
>samag.ru/archive/article/1799 > также отметить, что реализация стека TCP/IP была практически полностью скопирована с > ОС FreeBSD. http://www.kuro5hin.org/story/2001/6/19/05641/7357 ""I worked at Microsoft for ten years, most of it on the core Windows NT/2000 [...] networking code. ""decision was made: ""1) To put a TCP/IP stack in NT [...] ""#1 was solved by licensing code from a company called Spider Systems. However, Spider's TCP/IP stack was written to run within an environment called STREAMS [...] As a result, STREAMS also had to be ported to NT. ""using Spider's stack was a temporary measure [...] So, a short time after this, work was begun on a new version of TCP/IP, written entirely by Microsoft. ""Now, some of Spider's code (possibly all of it) was based on the TCP/IP stack in the BSD flavors of Unix. These are open source, but distributed under the BSD license, not the GPL [...] > Это — практически история современного состояния стека TCP во FreeBSD, только рассказанная > словами маркетологов из MS для пользователей Windows. ;) #историяуспеха #майкрософт : купить бесплатное, переписать, получать фигню, прополоскать (а вот и маркетинг), повторить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #39, #48

37. Сообщение от rshadow (ok), 30-Апр-14, 18:23	+/–
Стек взяли, а pf забыли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #61

38. Сообщение от Аноним (-), 30-Апр-14, 19:57	+/–
А что такое БДТ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #41

39. Сообщение от Аноним (-), 30-Апр-14, 20:07	+2 +/–
> open source, but distributed under the BSD license, not the GPL Ну вот так MS срубил несколько миллиардов, а бздюки остались с голой попой, вплоть до того что некоторые из - не могут за электричество заплатить. Лицензия позволяет! <-> "Ничего личного, это бизнес".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #40

40. Сообщение от iZEN (ok), 30-Апр-14, 22:01	–1 +/–
>> open source, but distributed under the BSD license, not the GPL > Ну вот так MS срубил несколько миллиардов, а бздюки остались с голой > попой, вплоть до того что некоторые из - не могут за > электричество заплатить. Лицензия позволяет! <-> "Ничего личного, это бизнес". Скорее — ценностные ориентиры. У капиталистически-настроенных личностей ценностные ориентиры во главе угла это деньги и власть. Для них не важны технологии IT сами по себе, а важно само скопление людей вокруг той или иной идеи и выгоды, которые эти идеи и люди, готовые служить идеям, могут принести лично им. У хакеров (в истинном смысле) — интерес в разработке кода и железа превалирует над общепринятыми жизненными ценностями. Им нафик не сдалось мнение толпы и фанатиков. Сами разбираются что к чему применимо и насколько полезно. У других, причастных к IT, может развиться чувство "движухи" на волне популярности чего-то и каких-то идей. И они, видя только внешний вау-эффект, с головой могут окунуться в эту пропасть и потащить других в неё — так было с GNU, потом с Java, а сейчас такое же происходит с Linux. Хотя по сути это всё "мусорные" технологии, искусственно подогреваемые корпорациями, которые требуют взамен свободы кода огромных трудовых затрат и внимания. И ничего кроме "спецэффектов" и нагретого интереса в краткосрочной перспективе они не несут. Но держат каждая свою историческую ниточку, овеянную легендарностью, тянут её сквозь десятилетия благодаря харизматичности фанатов и мифологии. Одно плохо: фанатствующие остаются при идее, а обычные люди как придут, посмотрят, покрутят пальцем у виска, не поняв, зачем это всё нужно, так и уйдут к чему-то более приземлённому и жизненно востребованному. А время-то потеряно...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #45

41. Сообщение от Аноним (-), 30-Апр-14, 22:06	+/–
Большой театр ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #66

42. Сообщение от Аноним (-), 01-Май-14, 02:17	+/–
Вот тебе и эталонная реализация TCP ;)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

43. Сообщение от Аноним (-), 01-Май-14, 05:20	–1 +/–
Наш человек упорно пилит много(ядерный)поточный pf - npf. По слухам - весьма успешно! Так что дай BSD может скоро отличная замена дефолту получиться. :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #64

44. Сообщение от Аноним (-), 01-Май-14, 05:37	–1 +/–
>> В Linux тоже изначально был взято BSD-шный, но когда его переписали - >> уже и не вспомнить без гугла. > http://www.tldp.org/HOWTO/NET3-4-HOWTO-4.html > _Реализовали BSD sockets API_ и "был взят бздешный стек" совсем не одно и то же. Ну нубы и у нас есть :) > Но Вы не останавливайтесь, расскажите нам [ещё!], как корабли BSD бороздят просторы БДТ. А ты уже смазал и почистил свой Калашников? ТоварищщщЪ - не о том волнуешься! :-р
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

45. Сообщение от Аноним (-), 01-Май-14, 06:04	+/–
Если некто Истинный Хакер, ему абсолютно нет резона заботиться о благе корпорастов и прочих паразитов, которые имеют склонность к потреблению без отдачи. В этом плане можно отдельно отметить Столлмана. Абсолютно эпический лайфхакер, который хакнул самые основы устоев на которых держался проприетарный софт. Вот это я понимаю - отплатил за зажим сорцов и коммерсовские подходы по полной программе, с превышением. Как известно, настоящий профессионал использует бабочек, чтобы те вызвали возмущения атмосферы и сфокусировали космические лучи на поверхности диска. Так возникает программа. Столлман сделал что-то очень близкое по смыслу - запустил ряд процессов, которые поначалу никто всерьез даже и не воспринимал. Но которые имели правильно скомпонованную логику. Которая через несколько лет работы привела к существенному распостранению его лицензии. И вообще глобально изменилась вся картина мира. Теперь, купив роутер, я зачастую получаю симпатичную инструкцию. В ней распечатан GNU GPL. И рассказано что я могу пойти вон туда и получить там причитающийся сорц. Вот это я понимаю - качественное изменение мира относительно засилья проприерасии с EULA. Еще одно качественное изменение - конверсия группы хапуг в могучую тягловую силу, толкающую процессы вперед. И поскольку у них "ничего личного, это бизнсе" - гражданин очень правильно просек что надо помочь этим господам лицензией, вправляющей мозги на место :).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #50

46. Сообщение от Аноним (-), 01-Май-14, 07:41	+1 +/–
Сволочь ваш Тео, при всём уважении. "У соседа в доме спрятана бомба, но где именно я ему не скажу."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #47, #52

47. Сообщение от arisu (ok), 01-Май-14, 09:44	+/–
> Сволочь ваш Тео, при всём уважении. а не хочет он фряшникам помогать. Тео, конечно, не самый лёгкий в общении человек на свете, но со своей позиции — вполне прав. опять же: про бомбу-то сказал. а дальше — «ищите, вы ж типа крутые такие.»
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

48. Сообщение от arisu (ok), 01-Май-14, 09:47	+/–
> work was begun on a new version of TCP/IP, written entirely by Microsoft. что интересно — в исходниках тукана в tcp-стеке наблюдаются копирайты интеля.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #59

49. Сообщение от Аноним (-), 01-Май-14, 10:00	–1 +/–
эталонная - в солярке и план 9, допустим :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #54

50. Сообщение от iZEN (ok), 01-Май-14, 10:44	–1 +/–
Истинным хакерам наплевать на лицензии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #51, #53

51. Сообщение от Туту (?), 01-Май-14, 11:15	+1 +/–
Как раз нет. У вас школьное понятие этого слова
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

52. Сообщение от Аноним (-), 01-Май-14, 11:28	–1 +/–
> Сволочь ваш Тео, при всём уважении. Бесспорно. Но вы знаете, миндальничать с теми кто раздвигает ноги перед акулами бизнеса типа сонь, яплов и жуниперов смысла мало, имхо. Тео вот кажется несколько не рад тому что забесплатно поработал на толпу корпорасов и не получил никакой отдачи. Был бы поумнее и менее двинут на абстрактных свободах и больше целился бы на фактический результат - поюзал бы GPL в свое время. А так - ну извините, "лиценизия позволяет". А Торвальдс что-то вот не плачется что бабла на оплату серверов нет...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #55

53. Сообщение от Аноним (-), 01-Май-14, 11:34	+/–
> Истинным хакерам наплевать на лицензии. Что-то Тео, которому стало душно платить за электричество которое сожрали доисторические сервера не выглядит чрезмерно довольным и в последнее время скатился в какое-то вымогательство. А Торвальдс ездит на бэхе и вымогать ни у кого ничего не собирается - и так желающих занести денег и патчей - выше крыши. Видимо, "лицензия позволяет" не очень хорошо работает когда "ничего личного, это бизнес". И даже у истинного хакера могут быть некие цели, к достижению которых было бы неплохо припахать корпорации. Иначе как видишь, может выйти что корпорации покушают из бесплатной кормушки, бросят грязную посуду и удалятся, сыто рыгая. А ты за ними убирай. И нет, никакого тебе спасибо за кормежку - лицензия позволяет же!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #56, #83

54. Сообщение от Аноним (-), 01-Май-14, 11:36	+/–
> эталонная - в солярке и план 9, допустим :) Это в смысле ненyжности чтоли? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #57, #60

55. Сообщение от arisu (ok), 01-Май-14, 11:36	+/–
вообще-то у Тео совсем по другим поводам разногласия были — из-за чего он и ушёл форк пилить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #63

56. Сообщение от arisu (ok), 01-Май-14, 11:37	+/–
глядя на то, что сейчас пытаются сделать с системами на базе пингвинуса, я лично начинаю крепко подумывать о том, что пора менять рабочую ОС. на опёнка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #65

57. Сообщение от metallica (ok), 01-Май-14, 13:02	+/–
Стек сетевой в линуксе обогнал по внедрённому функционалу в плане поддержки разновидностей типов пакетов, network congestion, все unix-like ОС. Но делалось это просто сваливанием всего в одну кучу, при этом никто не думал о оптимальности или просто аккуратности, но таковые характерны для кода сетевого стека из опенсоляры. Просто поверхностного взгляда на коды достаточно, чтоб в это убедиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #68

58. Сообщение от Sw00p aka Jerom (?), 01-Май-14, 14:31	+/–
One reason not to scrub on an interface is if one is passing NFS through PF. http://www.openbsd.gr/faq/pf/scrub.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #62

59. Сообщение от Аноним (-), 01-Май-14, 15:41	+/–
который, внезапно, тоже его не сам "изобрел" как и компилятор, неожиданно ) и круг замкнулся ) и стало прекрасно видно что б-во ярых(в настоящем или прошлом)Линух/GPL-хэйтеров - всегда эксплуатировали и эксплоитировали оное :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #75

60. Сообщение от Аноним (-), 01-Май-14, 15:43	+/–
>> эталонная - в солярке и план 9, допустим :) > Это в смысле ненyжности чтоли? :) не, "в смысле ненужности" - вы не видели чего у QNX пока творится или на каком этапе сетевой стэк у БеОС, текущей :) АмигаОС вроде не стали мудрствовать, лукаво, к сожалению и результат - подобен тому что выше в новости :/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #69

61. Сообщение от Аноним (-), 01-Май-14, 16:08	+/–
> Стек взяли, а pf забыли? АпплЕ - менее разобрчивы - там и от фряхи и от Обзд и от стрекозы и от линукс и от бог знает чего, не только в сетевой подсистеме, намешано =) ребята реально без комплексов ;=)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #67

62. Сообщение от iZEN (ok), 01-Май-14, 16:19	+/–
> One reason not to scrub on an interface is if one is > passing NFS through PF. > http://www.openbsd.gr/faq/pf/scrub.html % cat /etc/pf.conf #1/Macros # Сетевой интерфейс ext_if="net0" # Разрешенные типы icmp сообщений allowed_icmp_types="{ echoreq, unreach }" # Разрешённые сервисы # 1. разрешить запросы к серверу NFS и RPCBIND только из локальной сети # 2. обеспечить запуск с флагами mountd -p 883, rpc.lockd -p 884, rpc.statd -p 885 в rc.conf # 3. выделенные порты для torrent и http/https/ssh-серверов доступны всем allowed_lan_tcp_services="{ ssh, www, http, https, ntp, nfsd, rpcbind, 883, 884, 885, 6881:9991, 8080 }" allowed_lan_udp_services="{ ntp, nfsd, rpcbind, 883, 884, 885, 6881:9991 }" allowed_wan_tcp_services="{ ssh, www, http, https, 6881:9991, 8080, 8081, 55822, 63952 }" allowed_wan_udp_services="{ ntp, 5501, 6881:9991, 55822, 63952 }" #------------------- #2/Tables #------------------- #3/Options # тем, кто лезет туда, куда не нужно, - бить по рукам set block-policy drop # на интерфейсах петли пакеты не фильтровать set skip on { lo } # укороченный таймаут для состояния установленного tcp соединения set timeout { frag 10, tcp.established 7200, icmp.first 10, icmp.error 5 } #------------------- #4/Scrub # Нормализовать все входящие пакеты scrub in all #------------------- #5/Queueing #------------------- #6/Translations # Перенаправить tcp трафик с порта 80 на порт 8080 для пользовательского Web-сервера rdr proto tcp from any to any port http -> self port 8080 #------------------- #7/Filter Rules # Антиспуффинг antispoof for $ext_if # Блокировать всё, что не разрешено block all #------------------- # Разрешить входящий ICMP (ping) pass inet proto icmp all icmp-type $allowed_icmp_types # Разрешающий доступ откуда угодно (ограниченные службы) pass in quick on $ext_if proto tcp to port $allowed_wan_tcp_services pass in quick on $ext_if proto udp to port $allowed_wan_udp_services # Разрешающий доступ из локальной сети (ограниченные службы) pass in quick on $ext_if proto tcp from $ext_if:network to port $allowed_lan_tcp_services pass in quick on $ext_if proto udp from $ext_if:network to port $allowed_lan_udp_services # Разрешить исходящий трафик pass out all
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #80, #81

63. Сообщение от Аноним (-), 01-Май-14, 16:38	+1 +/–
Да я про текущее состояние дел. У него судя по всему некий батхерт от того что его форк самый зачуханный, настолько что он бабла на оплату серверов найти не мог. Ну так, судя по не слишком адекватному поведению на границе между наездами и вымогательством.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #79

64. Сообщение от Аноним (-), 01-Май-14, 16:38	+/–
> Наш человек упорно пилит много(ядерный)поточный pf - npf. А вы - это кто?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #82

65. Сообщение от Аноним (-), 01-Май-14, 16:42	+/–
> глядя на то, что сейчас пытаются сделать с системами на базе пингвинуса, > я лично начинаю крепко подумывать о том, что пора менять рабочую ОС. на опёнка. Флаг в руки, барабан на шею и электричку навстречу. А я вот вижу для себя уйму новых фич которые мне пригодятся и сделают мою жизнь лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #78, #84

66. Сообщение от Аноним (-), 01-Май-14, 16:44	+/–
> Большой театр ;) А, по "бороздят просторы" мог бы и догадаться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

67. Сообщение от Аноним (-), 01-Май-14, 16:49	+/–
Linux это врядли - они жадные, GPLя боятся как черт ладана.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

68. Сообщение от Аноним (-), 01-Май-14, 16:51	+/–
> Но делалось это просто сваливанием всего в одну кучу, при этом никто > не думал о оптимальности или просто аккуратности, Но, в конечном итоге, оно работает и делает это довольно хорошо. > Просто поверхностного взгляда на коды достаточно, чтоб в это убедиться. Код - не экспонат в музее, чтобы им любоваться. Он работать должен для начала. Поэтому ну его на...й этот ваш идеализм. И опенсолярис туда же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #70

69. Сообщение от Аноним (-), 01-Май-14, 17:02	+/–
> не, "в смысле ненужности" - вы не видели чего у QNX пока творится Мне пофиг что в QNX творится. А зачем мне полудохлое микроядро от дышащего на ладан коммерса blackberry? Чтобы залететь по полной, помучавшись с конскими условяими лецензирования и тормозами микроядра? А оно мне надо? > или на каком этапе сетевой стэк у БеОС, текущей :) БеОС издох много лет назад. Вы о чем? О попытках откопать труп стюардессы в виде haiku? Там разработчики невменяемые, возятся с gcc 2.95, для совместимости с давно окочурившейся проприетарой, которую уже наверное декаду как невозможно легально купить. А эти болваны до сих пор ресурсы в унитаз сливают на "совместимость". Более кретинское управление проектом - еще поискать. Поэтому если вы меня хотите чем-то там удивить - не выйдет. > АмигаОС вроде не стали мудрствовать, лукаво, к сожалению и результат - > подобен тому что выше в новости :/ А амигаос это вообще нечто из времен вин95, с аналогичной архитектурой, где люая программа могла систему ушатать. Правда, там были какие-то потуги сделать нечто новое, но называя вещи своими именами, бобик сдох и эотерическая проприетарная система меня попросту не интересует. Особенно с учетом хронической неспособности выпустить новую версию оной. ИМХО пора оставить труп стюардессы в покое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #77

70. Сообщение от metallica (ok), 01-Май-14, 17:41	+/–
> Но, в конечном итоге, оно работает и делает это довольно хорошо. До поры, на днях поболтал с кернельщиком из одной местной шараги, которая производит специализированный дистр-файервол на базе дебиана. И он говорил про неоптимальность и жуткую неэффективность стека в линукс, про то как большую часть времени движения пакета через дебри функций стека он или висит на локах в функциях, или торчит в очередях. Говорил про то, что умные люди, для целей специализированных сетевых решений, обязательно пишут свой стек, цепляясь  сразу за netif_rx/ops->ndo_start_xmit(skb, dev);
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #71, #76

71. Сообщение от AlexAT (ok), 01-Май-14, 18:24	+/–
> Говорил про то, что умные люди, для целей специализированных сетевых решений, Ключевое слово: специализированных. Сетевой стек Linux является стеком общего назначения, и, кстати, баланс там соблюден в принципе неплохо - очень многое там можно сделать и правильно, в рамках существующего, просто судя по всему делающим специализированные решения лень разбираться. Насчёт "большую часть времени висит на локах" - гонево, ибо там серьёзно забитых локов не так уж и много для начала. Разве что какой-то краевой специализированный случай рассматривать, опять же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #72

72. Сообщение от metallica (ok), 01-Май-14, 18:45	+/–
> там можно сделать и правильно, в рамках существующего, просто судя по > всему делающим специализированные решения лень разбираться. Вроде разобрались, надо писать свой, но через начальство такое решение не пропихнуть, когда и так вроде работает, а узкие места просто маскируют и прикрывают. > Насчёт "большую часть времени висит на локах" - гонево, ибо там серьёзно > забитых локов не так уж и много для начала. Локи+очередя в совокупности тормозят не плохо. > какой-то краевой специализированный случай рассматривать, опять же. Про такой и говорилось, а простые общие решения любой школяр из дебиана сваяет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #73

73. Сообщение от Аноним (-), 01-Май-14, 20:00	+1 +/–
> но через начальство такое решение не пропихнуть, И это правильно, ибо дай эстетам-чистоплюям волю и они 20 лет будут наводить марафет. В это время все рабочие процессы загнутся, а контора станет банкротом. Но чистоплюев-академиков такие мелочи не интересуют. Вот начальство служит как некий вачдог, вправляющий мозг при выходе рабочего процесса за вменяемые рамки (при которых он ведет к решению задачи).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #74

74. Сообщение от AlexAT (ok), 01-Май-14, 20:02	+/–
+1. Иногда проще и дешевле забить на некоторые недостатки существующего, чем писать свой велоси^W стек, с блекджеком и шлюхами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

75. Сообщение от arisu (ok), 01-Май-14, 23:26	+/–
ты чего сказать-то хотел? я понимаю, первомай, формулировать тяжело. но ты уж постарайся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

76. Сообщение от arisu (ok), 01-Май-14, 23:34	+/–
беда. пойду, скажу, чтобы мне скорости интернетов понизили, а то ядро напрягается. оно работает? работает. неидеально? пичалечка. только мне байты уже сегодня гонять надо, а не через тридцать лет, когда МегаПрограммисты наконец реализуют свой идеальный МегаСтек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

77. Сообщение от arisu (ok), 01-Май-14, 23:35	+/–
> Более кретинское управление проектом - еще поискать. да занефиг: reactos.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

78. Сообщение от arisu (ok), 01-Май-14, 23:45	+/–
> Флаг в руки, барабан на шею и электричку навстречу. А я вот > вижу для себя уйму новых фич которые мне пригодятся и сделают > мою жизнь лучше. слушай, где-то я это слышал… сейчас вспомню… а, точно: у любителей системы от m$ и у любителей системы от огрызка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

79. Сообщение от arisu (ok), 01-Май-14, 23:54	+/–
пардон, ты чушь пишешь. не пиши её больше, пожалуйста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

80. Сообщение от Sw00p aka Jerom (?), 02-Май-14, 01:25	+/–
спс за развёрнутый конфиг, в принципе у мня точно так же работает без косяков при scrub in all, поэтому я написал "кажись", хотя судя по документации всё иначе
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

81. Сообщение от Sw00p aka Jerom (?), 02-Май-14, 01:27	–1 +/–
# Разрешить исходящий трафик pass out all буээээ последнее время жутко не одобряю это правило. :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #85, #86

82. Сообщение от Аноним (-), 02-Май-14, 04:03	+/–
Он про это: http://en.wikipedia.org/wiki/NPF_%28firewall%29 Мне тоже кто-то из канадских бсд-шнегов говорил что нпф неожиданно хорошо ложится на фряху. Но тут я не при делах, как по мне фаер - это сиска или жунипер какой :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

83. Сообщение от Аноним (-), 02-Май-14, 04:05	+/–
> Что-то Тео, Завидуешь плесень ? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

84. Сообщение от Аноним (-), 02-Май-14, 04:07	+/–
> А я вот вижу для себя уйму новых фич которые мне > пригодятся и сделают мою жизнь лучше. Ты овца по ходу про сисдемди? ... Раздвигай булки сейчас будут делать тебе лучше :)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

85. Сообщение от iZEN (ok), 02-Май-14, 10:40	+/–
> # Разрешить исходящий трафик > pass out all > буээээ последнее время жутко не одобряю это правило. :) А что разрешать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

86. Сообщение от Я (??), 01-Июл-22, 18:04	+/–
поясни
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #87

87. Сообщение от Sw00p aka Jerom (?), 01-Июл-22, 19:01	+/–
> поясни :) разрешаем то, что разрешено
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема