Discussion:
nie działa maskarada :(
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
wrkilu
2006-07-22 20:35:23 UTC
Permalink
Jak w temacie...

Robie ją na ipf+ipnat ... i tak ma być :).

winda (192.168.1.3)
/
sieć: WAN<-> 10.33.1.23 router
\
winda (192.168.2.3)

zrobilem wszystko wg opisu na http://www.bsd4u.org/content/view/11/125/ ,
czyli przeokmpilowalem jądro, stworzyłęm pliki (ipnat.rules wygląda tak:

map rl0 192.168.1.0/24 -> 0/32
map rl1 192.168.2.0/24 -> 0/32

gdy było zamiast 0/32 10.33.1.23/32 też nie działało ), i ipf.rules,

polecenie: sysctl net.inet.ip.forwarding .. .. zwraca
net.inet.ip.forwarding: 1

dhcpd działą bo windy pobierają sobie ustwienia no i można z nich pingować
bramę, ale świata już nie :((.

rc.conf skonfigurowany jak w podanym linku + wpisy:
router_enable="YES"

oczywisciw wpis o gateway też jest...

dmesg zwraca m.in.:
IP Filter: v4.1.8 initialized. Default = pass all, Logging = enabled
ipfw2 (+ipv6) initialized, divert loadable, rule-based forwarding disabled,
default to accept, logging limited to 100 packets/entry by default

CIĄGLE NIE DZIAŁA :(( , co robić ???
--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/
Jacek 'Szumak' Kotlarski
2006-07-22 21:43:40 UTC
Permalink
Dnia Sat, 22 Jul 2006 20:35:23 +0000 (UTC)
Post by wrkilu
CIĄGLE NIE DZIAŁA :(( , co robić ???
Maskarada (bal maskowy) - bal, na którym jego uczestnicy występują w
maskach i przebierają się w kostiumy.

Tradycja maskarad wywodzi się z włoskich zabaw karnawałowych,
popularnych pod koniec średniowiecza i w renesansie. Ma związek z
odbywającymi się w tym okresie procesjami, a więc ma podłoże
magiczno-rytualne i nawiązuje do form ludowej pobożności. Stąd wywodzi
swój rodowód europejski teatr nowożytny, balet i opera. Jedną z form
takich maskarad były popularne we Florencji triumfy.

Jeżeli masz z tym problem to nie wiem co Ci doradzić ale na pewno pomyliłeś grupy :P

A jeżeli chodzi Ci o NAT to rób go na właściwym interfejsie.
--
Jacek 'Szumak' Kotlarski
wrkilu
2006-07-23 00:24:12 UTC
Permalink
A jesli chodzi Ci o NAT to rob go na wlasciwym interfejsie.
Najpierw... nie wiem czemu łapiesz mnie za słowka (tu maskarada), skoro jest
ono zwyczajnie używane. No a jesli chodzi o interfejsy to wydaje mi sie ze
robie to dobrze. WAN wchodzi mi na xl0 natomiast lokalnie net podlaczony jest
przez rl0 i rl1 i tak reszta jak zauwazyles mam skonfigurowny ipnat.rules.
Gdzie zatem mialby tkwic blad w konfiguracji interfejsow???
--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/
Cezary Morga
2006-07-23 07:17:50 UTC
Permalink
Post by wrkilu
Najpierw... nie wiem czemu łapiesz mnie za słowka (tu maskarada), skoro
jest ono zwyczajnie używane.
Maskarada jest pojeciem linuksowym i nie jest powszechnie wykorzystywane
gdzie indziej... tam nazywa sie to NAT :)
Post by wrkilu
No a jesli chodzi o interfejsy to wydaje mi
sie ze robie to dobrze. WAN wchodzi mi na xl0 natomiast lokalnie net
podlaczony jest przez rl0 i rl1 i tak reszta jak zauwazyles mam
skonfigurowny ipnat.rules. Gdzie zatem mialby tkwic blad w konfiguracji
interfejsow???
Wlasnie nie. Jesli masz np. rl0 z adresem 192.168.1.1 i na tym interfejsie
mapujesz na 0/32 to de facto mapujesz wlasnie na 192.168.1.1. A taki adres
nie jest rutowalny w Internecie, a takze ten interfejs nie jest fizycznie
dolaczony do Internetu. Sieci wewnetrzne chcesz mapowac na zewnatrz, a
zatem musisz to robic na interfejsie zewnetrznym.

PS. Uzywasz FreeBSD? W ostatnich wersjach nie musisz rekompilowac jadra aby
uruchomic ipf i ipnat :)
--
---
Cezary Morga
wrkilu
2006-07-23 20:33:44 UTC
Permalink
Post by Cezary Morga
Wlasnie nie. Jesli masz np. rl0 z adresem 192.168.1.1 i na tym interfejsie
mapujesz na 0/32 to de facto mapujesz wlasnie na 192.168.1.1. A taki adres
nie jest rutowalny w Internecie, a takze ten interfejs nie jest fizycznie
dolaczony do Internetu. Sieci wewnetrzne chcesz mapowac na zewnatrz, a
zatem musisz to robic na interfejsie zewnetrznym.
no właśnie :). Przyznam, że przeklepałem bezmyślnie jakiś przykład ze strony
nie zastanawiając się jak to do końca działa tylko dlatego, że mi sie
spieszyło bo generalnie chciałem to zgłebić:). Mam jeszcze jednak jedno
pytanie: co oznacza wpis -> 0/32 ? w tej chwili tak mam i działa, czyli co
rozumiem, że ta notacja mapuje na mój zewn. IP czyli 10.33.1.23... choć
pomyślałbym ze moze na x.x.x.1 :)
--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/
Jacek 'Szumak' Kotlarski
2006-07-23 21:14:17 UTC
Permalink
Dnia Sun, 23 Jul 2006 20:33:44 +0000 (UTC)
Post by wrkilu
no właśnie :). Przyznam, że przeklepałem bezmyślnie jakiś przykład ze
strony nie zastanawiając się jak to do końca działa tylko dlatego, że
mi sie spieszyło bo generalnie chciałem to zgłebić:). Mam jeszcze
jednak jedno pytanie: co oznacza wpis -> 0/32 ? w tej chwili tak mam
To jest sposób na konfigurację natowania na interfejsie o zmiennym IP
przydzielanym np via ppp lub przez dynamiczny dhcp. Bez takiej
właściwości nie byłbyś w stanie skonfigurować ipnata przy tego typu
łączach.
Działa to w ten sposób, że ipnat konfiguruje automatycznie adres, na
który wykonuje mapowanie, odczytując go z interfejsu w momencie
uruchomienia.
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Jacek 'Szumak' Kotlarski
2006-07-23 07:41:37 UTC
Permalink
Dnia Sun, 23 Jul 2006 00:24:12 +0000 (UTC)
Post by wrkilu
A jesli chodzi Ci o NAT to rob go na wlasciwym interfejsie.
Najpierw... nie wiem czemu łapiesz mnie za słowka (tu maskarada),
skoro jest ono zwyczajnie używane.
Głównie w środowisku linuksowców - oni sią inni. ;)
Post by wrkilu
No a jesli chodzi o interfejsy to
wydaje mi sie ze robie to dobrze. WAN wchodzi mi na xl0 natomiast
lokalnie net podlaczony jest przez rl0 i rl1 i tak reszta jak
zauwazyles mam skonfigurowny ipnat.rules. Gdzie zatem mialby tkwic
blad w konfiguracji interfejsow???
To się zastanów czy chcesz natować WAN do LANu czy LAN do WANu bo w obu
przypadkach zrobiłeś błąd w regułkach ;)

map rl0 192.168.1.0/24 -> 0/32
map rl1 192.168.2.0/24 -> 0/32

W swoim przykładzie: mapowanie (map) wykonujesz na (rl0) dla wszystkich
pakietów z sieci (192.168.1.0/24) i każdemu z tych pakietów zmieniasz
adres źródłowy na adres przypisany do rl0 (0/32) czyli pewnie
192.168.1.1. Co się dalej dzieje? Jak masz default route na adres
routera swojego prowajdera to on tam pewnie wycina cały ruch, który nie
przychodzi od Ciebie z nadanym Tobie adresem (10.33.1.23).
Dalej: IMHO przypisanie na rl0 adresu z innego interfejsu sieciowego
nie jest dobrym pomysłem - zakładam, że w takim przypadku pakiet
wychodzący opuści Twój komputer lecz odpowiedź nie wróci z powrotem
ponieważ Twój system analizując standardowe reguły routingu nie będzie
wiedział, że pakiet o adresie 10.33.1.23 ma wysłać na interfejs rl0
(192.168.1.1) by tam mogło zostać sprawdzone mapowanie na ipnacie.
Nawet gdybyś to wymusił to zachodzi niejednoznaczność, bo nie wiesz czy
pakiet pochodził z rl0 czy z rl1.
Czy teraz to jest jasne?

Na koniec jeszcze jedna ewentualność: istnieje małe prawdopodobieństwo,
że Twój prowajder blokuje możliwość uruchamiania routerów po stronie
użytkownika (modyfikując TTL pakietów). W takim przypadku nawet
prawidłowa konfiguracja nic Ci nie da. Co prawda da się to obejść ale
nie baw się w to bo jeśli zrobisz to źle to zostanie to wykryte i
możesz ponieść regulaminowe sankcje.
--
Jacek 'Szumak' Kotlarski
Emil Grochocki
2006-07-23 06:22:21 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
Maskarada (bal maskowy) - bal, na którym jego uczestnicy występują w
maskach i przebierają się w kostiumy.
Nie robcie glupiego z kolegi :P Pewnie wczesniej trenowal linuxa, teraz *BSD
Post by Jacek 'Szumak' Kotlarski
A jeżeli chodzi Ci o NAT to rób go na właściwym interfejsie.
NAT a moze PAT bo to zdaje sie, ze to zupelnie co innego ?

Emil Grochocki
Emil Grochocki
2006-07-23 06:33:19 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
Maskarada (bal maskowy) - bal, na którym jego uczestnicy występują w
maskach i przebierają się w kostiumy.
Nie rob glupiego z kolegi :P Pewnie wczesniej trenowal linuxa, teraz *BSD
Post by Jacek 'Szumak' Kotlarski
A jeżeli chodzi Ci o NAT to rób go na właściwym interfejsie.
NAT a moze PAT bo jedno i drugie to zdaje sie zupelnie co innego ?

Emil Grochocki
Jacek 'Szumak' Kotlarski
2006-07-23 07:09:38 UTC
Permalink
Dnia Sun, 23 Jul 2006 08:33:19 +0200
Post by Emil Grochocki
Nie rob glupiego z kolegi :P Pewnie wczesniej trenowal linuxa, teraz *BSD
No to go coś słabo trenował i nie wróżę mu długiego trenowania *BSD
jeśli nie zacznie używać głowy. Przy bezmyślnym przepisywaniu
znalezionych gdzieś wyrwanych z kontekstu "przepisów" na konfigurację
daleko nie zajedzie. Może faktycznie powinien dalej ternować linuksa -
tam będzie miał łatwiej.
Post by Emil Grochocki
Post by Jacek 'Szumak' Kotlarski
A jeżeli chodzi Ci o NAT to rób go na właściwym interfejsie.
NAT a moze PAT bo jedno i drugie to zdaje sie zupelnie co innego ?
Chodzi Ci o Papieską Akademię Teologiczną? Tak, wydaje sie, że to jest
co innego ;)

Pozdrawiam
--
Jacek 'Szumak' Kotlarski
Emil Grochocki
2006-07-23 09:43:24 UTC
Permalink
Może faktycznie powinien dalej ternować linuksa - tam będzie miał łatwiej.
Poniekad tak powinien zrobic bo linux wydaje sie byc bardziej przemyslanym
systemem i nie trzeba przy byle czym rekompilowac kernela.
Chodzi Ci o Papieską Akademię Teologiczną? Tak, wydaje sie, że to jest
co innego ;)

Tak chodzi o Papieska Akademie Teologiczna a, jak juz poruszamy temat
kosciola to udaj sie czym predzej do spowiedzi a nastepnie na intensywna
terapie psychiczna (w skrocie ITP).

EG
Jacek 'Szumak' Kotlarski
2006-07-23 10:39:24 UTC
Permalink
Dnia Sun, 23 Jul 2006 11:43:24 +0200
Post by Emil Grochocki
Poniekad tak powinien zrobic bo linux wydaje sie byc bardziej
przemyslanym systemem i nie trzeba przy byle czym rekompilowac
kernela.
Dobrze że dodałeś to: "przy byle czym" biorąc pod uwagę ile każdego
miesiąca pojawia się na bugtraq doniesień o security hole (z remote hole
włącznie) w samym kernelu linuksa - byłem tym zmęczony dlatego nie
używam już tego przemyślanego systemu :P

FreeBSD ma zmodularyzowany kernel i zależnie od zastosowań można sobie
rekompilację odpuścić jeżeli nie ma się specjalnych wymagań jak
włączenie pollingu czy modyfikacja jakiś stałych konfiguracyjnych
których nie można ustawić w loaderze.
Mam kilka routerów na OpenBSD pracujących na GENERICu - tu wręcz zmiana
konfiguracji jądra jest odradzana.
NetBSD - tu czasem warto zrobić rekompilację, domyślne jądro jest
bardzo duże i spokojnie można większość rzeczy z niego wyrzucić, jest
też trochę urządzeń które nie są domyślnie włączone z różnych powodów.
Mała część urządzeń daje się ładować dynamicznie z modułów.
Post by Emil Grochocki
Tak chodzi o Papieska Akademie Teologiczna a, jak juz poruszamy temat
kosciola to udaj sie czym predzej do spowiedzi a nastepnie na
intensywna terapie psychiczna (w skrocie ITP).
Dziś znowu upał, jak widać koledze nieźle przygrzało że urządza sobie
osobiste wycieczki. Proponuję raczej wycieczkę nad jezioro tudzież inne
bajoro gdzie kolega sobie głowę nieco schłodzi.
--
Jacek 'Szumak' Kotlarski
Emil Grochocki
2006-07-23 11:58:40 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
Dobrze że dodałeś to: "przy byle czym" biorąc pod uwagę ile każdego
miesiąca pojawia się na bugtraq doniesień o security hole (z remote hole
włącznie) w samym kernelu linuksa - byłem tym zmęczony dlatego nie
używam już tego przemyślanego systemu :P
Dziury byly sa i beda. *BSD tez nie sa od nich wolne. Nie widze w tym co
kolega napisal zadnego argumentu za tym zeby rezygnowac z systemow
linuxowych.
Post by Jacek 'Szumak' Kotlarski
FreeBSD ma zmodularyzowany kernel i zależnie od zastosowań można sobie
rekompilację odpuścić jeżeli nie ma się specjalnych wymagań jak
włączenie pollingu czy modyfikacja jakiś stałych konfiguracyjnych
których nie można ustawić w loaderze
Wlasnie ale po ilu latach trzeba na to bylo czekac ?

Mam kilka routerów na OpenBSD pracujących na GENERICu - tu wręcz zmiana
konfiguracji jądra jest odradzana.
NetBSD - tu czasem warto zrobić rekompilację, domyślne jądro jest
bardzo duże i spokojnie można większość rzeczy z niego wyrzucić, jest
też trochę urządzeń które nie są domyślnie włączone z różnych powodów.
Mała część urządzeń daje się ładować dynamicznie z modułów.

A wiec jednak cos z ta budowa modulowa jest nie bardzo.
Post by Jacek 'Szumak' Kotlarski
Dziś znowu upał, jak widać koledze nieźle przygrzało że urządza sobie
osobiste wycieczki. Proponuję raczej wycieczkę nad jezioro tudzież inne
bajoro gdzie kolega sobie głowę nieco schłodzi.
A kolega ma chyba jakies kompleksy bo Swiat wydaje sie postrzegac w
kategorii "Ja - jedyny sluszny, reszta - pionki".

EG
Stachu 'Dozzie' K.
2006-07-23 12:19:37 UTC
Permalink
Post by Emil Grochocki
Post by Jacek 'Szumak' Kotlarski
Dobrze że dodałeś to: "przy byle czym" biorąc pod uwagę ile każdego
miesiąca pojawia się na bugtraq doniesień o security hole (z remote hole
włącznie) w samym kernelu linuksa - byłem tym zmęczony dlatego nie
używam już tego przemyślanego systemu :P
Dziury byly sa i beda. *BSD tez nie sa od nich wolne. Nie widze w tym co
kolega napisal zadnego argumentu za tym zeby rezygnowac z systemow
linuxowych.
To może spójrzmy na sprawę z innej strony. Disclaimer: będę trochę
demonizował.
Co dwa tygodnie wychodzi nowa dziura w linuksowym kernelu. Wprawdzie
stosunkowo łatwa do załatania workaroundami
(mount /proc -o remount,noexec,
echo '* hard core 0' >> /etc/security/limits.conf), ale to źle świadczy
o jakości kodu kernela. A ile jest jeszcze dziur nie wykrytych przez
white hats? Ile z nich black hats już znaleźli? Spodziewałbym się, że
mniej niż w kernelu FreeBSD, bo założenie, że ilość dziur wykrytych
przez BH i WH są skorelowane, wydaje się rozsądne.
Post by Emil Grochocki
Post by Jacek 'Szumak' Kotlarski
FreeBSD ma zmodularyzowany kernel i zależnie od zastosowań można sobie
rekompilację odpuścić jeżeli nie ma się specjalnych wymagań jak
włączenie pollingu czy modyfikacja jakiś stałych konfiguracyjnych
których nie można ustawić w loaderze
Wlasnie ale po ilu latach trzeba na to bylo czekac ?
Na FreeBSD? kldload działa od co najmniej piątki (wcześniejszych nie
ruszałem).
Post by Emil Grochocki
Mam kilka routerów na OpenBSD pracujących na GENERICu - tu wręcz zmiana
konfiguracji jądra jest odradzana.
NetBSD - tu czasem warto zrobić rekompilację, domyślne jądro jest
bardzo duże i spokojnie można większość rzeczy z niego wyrzucić, jest
też trochę urządzeń które nie są domyślnie włączone z różnych powodów.
Mała część urządzeń daje się ładować dynamicznie z modułów.
A wiec jednak cos z ta budowa modulowa jest nie bardzo.
Coś nie bardzo to FreeBSD jest.
--
Szukasz dobrego shella? mail | http://marcinhlybin.com/shell/
Stanislaw Klekot
Jacek 'Szumak' Kotlarski
2006-07-23 13:34:16 UTC
Permalink
Dnia Sun, 23 Jul 2006 12:19:37 +0000 (UTC)
Post by Stachu 'Dozzie' K.
To może spójrzmy na sprawę z innej strony. Disclaimer: będę trochę
demonizował.
Co dwa tygodnie wychodzi nowa dziura w linuksowym kernelu. Wprawdzie
stosunkowo łatwa do załatania workaroundami
(mount /proc -o remount,noexec,
echo '* hard core 0' >> /etc/security/limits.conf), ale to źle
świadczy o jakości kodu kernela. A ile jest jeszcze dziur nie
wykrytych przez white hats? Ile z nich black hats już znaleźli?
Spodziewałbym się, że mniej niż w kernelu FreeBSD, bo założenie, że
ilość dziur wykrytych przez BH i WH są skorelowane, wydaje się
rozsądne.
Hmmm, nie mam dużego doświadczenia ani nie zajmuję się poważnie
bezpieczeństwem systemów ale moja praktyka zawodowa pokazuje, że jednak
nie jest tak źle - spójrzmy z innej, praktycznej strony:
Widziałem trochę serwerów, głównie na debianie, konfigurowanych przez
osoby, którym trudno jest zarzucić fuszerkę, a które padały po krótkim
czasie działania w sieci.
Sam też uruchamiałem trochę serwerów/routerów przede wszystkim na
FreeBSD i te, które nie padły ze względu na awarie sprzętowe działają
do dziś bez obsługi i aktualizacji. Przypadek?
Post by Stachu 'Dozzie' K.
Na FreeBSD? kldload działa od co najmniej piątki (wcześniejszych nie
ruszałem).
Używałem z powodzeniem od 4.5, wcześniej nie bawiłem się kldload.

Myślę że w przypadku innych systemów sprawa wygląda dużo gorzej tylko
dlatego, że nie ma zapotrzebowania na rozwój w tym kierunku - mniej
użytkowników, ludzie, którzy używają tych systemów i są do niech
przekonani po prostu przyzwyczaili się do braków w modularności
kernela, bo w końcu jak często zmienia się konfigurację stacji
roboczej? Zwłaszcza przy założeniu, że większość serowników jest
domyślnie już wkompilowana i wymiana sprzętu niczego tak na prawdę nie
zmienia poza drobną korektą plików konfiguracyjnych?
Dlatego argumenty typu: "bo w *BSD każda pierdoła wymaga
rekompilacji kernela" świadczy wyłącznie o tym, że osoba która to
stwierdza zwyczajnie nie wie o czym mówi - zetknęła sie z systemem ale
go nie zna i nie pracuje z nim. Proste. Na tej samej zasadzie ja mogę
mówić o linuksie - dla mnie też każda pierdoła wymagała rekompilacji
linuksowego kernela z tego powodu, że na maszynach, na których go
używałem chodziło o minimalizację używanych zasobów.
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Jacek 'Szumak' Kotlarski
2006-07-23 12:45:17 UTC
Permalink
Dnia Sun, 23 Jul 2006 13:58:40 +0200
Post by Emil Grochocki
Dziury byly sa i beda. *BSD tez nie sa od nich wolne. Nie widze w tym
co kolega napisal zadnego argumentu za tym zeby rezygnowac z systemow
linuxowych.
Oczywiście, nie ma oprogramowania bez błędów, może więc kolega
przytoczy kilka ostatnich dziur znalezionych w kernelach systemów *BSD?

Popatrzmy... może to:

OpenBSD 3.4 Security Advisories
February 8, 2004: An IPv6 MTU handling problem exists that could be
used by an attacker to cause a denial of service attack.

jakoś nic nowszego nie mogę znaleźć, przeoczyłem? Być może.
Przypomnę, że obecnie mamy wersję 3.9
Post by Emil Grochocki
Post by Jacek 'Szumak' Kotlarski
FreeBSD ma zmodularyzowany kernel i zależnie od zastosowań można
sobie rekompilację odpuścić jeżeli nie ma się specjalnych wymagań
jak włączenie pollingu czy modyfikacja jakiś stałych
konfiguracyjnych których nie można ustawić w loaderze
Wlasnie ale po ilu latach trzeba na to bylo czekac ?
Nie wiem ile kolega się wyczekał, ja uczyłem się tego systemu dopiero
od wersji 3.0
Post by Emil Grochocki
Mam kilka routerów na OpenBSD pracujących na GENERICu - tu wręcz
zmiana konfiguracji jądra jest odradzana.
NetBSD - tu czasem warto zrobić rekompilację, domyślne jądro jest
bardzo duże i spokojnie można większość rzeczy z niego wyrzucić, jest
też trochę urządzeń które nie są domyślnie włączone z różnych powodów.
Mała część urządzeń daje się ładować dynamicznie z modułów.
A wiec jednak cos z ta budowa modulowa jest nie bardzo.
(Net|Open)BSD nie są dystrybucją FreeBSD, to zupełnie inne systemy i
inne rozwiązania, czy to jest takie zaskakujące?
Jeżeli to ma być główne kryterium wyboru systemu, to chyba raczej
solaris wypada lepiej od linuksa.
Post by Emil Grochocki
A kolega ma chyba jakies kompleksy bo Swiat wydaje sie postrzegac w
kategorii "Ja - jedyny sluszny, reszta - pionki".
Kolega ma prawo do swojego osądu choć osobiście nie wiem z jakich
imaginacji bierze się to przeświadczenie - czasem warto spojrzeć na
sprawę z boku zamiast podchodzić do wszystkiego emocjonalnie.
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Emil Grochocki
2006-07-23 13:25:16 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
Oczywiście, nie ma oprogramowania bez błędów, może więc kolega
przytoczy kilka ostatnich dziur znalezionych w kernelach systemów *BSD?
A spojrzmy teraz jakie jest wsparcie dla sprzetu przez freebsd. Chce
postawic sobie go na laptopie i odpalic tuner TV na PCMCIA. Jakie jest
prawdopodobienstwo, ze bedzie mi to dzialac ?
Post by Jacek 'Szumak' Kotlarski
Nie wiem ile kolega się wyczekał, ja uczyłem się tego systemu dopiero
od wersji 3.0
Ja sie zetknalem z FreeBSD w wersji 4.6 czy siakos takiej. System mimo, ze
zachwalalo wiele osob szybko sobie odpuscilem jak zobaczylem ile z tym jest
zabawy zeby odpalic ipfw + natd.

(Net|Open)BSD nie są dystrybucją FreeBSD, to zupełnie inne systemy i
inne rozwiązania, czy to jest takie zaskakujące?
Jeżeli to ma być główne kryterium wyboru systemu, to chyba raczej
solaris wypada lepiej od linuksa.

Glownym kryterium wyboru systemu jest wsparcie dla Oracle. Ktory z systemow
*BSD bedzie do tego najlepszy ?
Post by Jacek 'Szumak' Kotlarski
Kolega ma prawo do swojego osądu choć osobiście nie wiem z jakich
imaginacji bierze się to przeświadczenie - czasem warto spojrzeć na
sprawę z boku zamiast podchodzić do wszystkiego emocjonalnie.
Czasem tak a czasem ciezko stac z boku i dawac robic z siebie idiote.

EG
Jacek 'Szumak' Kotlarski
2006-07-23 14:39:15 UTC
Permalink
Dnia Sun, 23 Jul 2006 15:25:16 +0200
Post by Emil Grochocki
A spojrzmy teraz jakie jest wsparcie dla sprzetu przez freebsd. Chce
postawic sobie go na laptopie i odpalic tuner TV na PCMCIA. Jakie jest
prawdopodobienstwo, ze bedzie mi to dzialac ?
Oki, nikłe. Używam tego systemu na desktopie od tak wielu lat, że nie
jestem w stanie od razu powiedzieć od jak dawna ale nigdy mimo to nie
twierdziłem, że to system, którego pierwszoplanowym celem jest
realizacja zadań stacji roboczych. Twierdzę jedynie, że do moich celów
nadaje się idealnie i podnosi mi komfort pracy.
Post by Emil Grochocki
Ja sie zetknalem z FreeBSD w wersji 4.6 czy siakos takiej. System
mimo, ze zachwalalo wiele osob szybko sobie odpuscilem jak zobaczylem
ile z tym jest zabawy zeby odpalic ipfw + natd.
Bo to zdecydowanie nie jest dobry duet i faktycznie w tamtej wersji
systemu trzeba było robić własne jądro jeżeli chciało się wykorzystać
rozszerzone właściwości ipfw (nie pamiętam teraz kiedy pojawiło się
IPFW2). Jakkolwiek sam filtr pakietów jest IMO bardzo fajny i łatwo
konfigurowalny to natd na większe routery nie nadaje się zupełnie -
działa w userspace generując bardzo duże obciążenie.
Lepiej było użyć natenczas ipnat lecz w połączeniu z dummynetem jako
shaperem należało dodatkowo nakładać łatkę na kernel.
Powiedzmy sobie od razu, że to jest jedyny przypadek w którym musiałem
kiedykolwiek paczować źródła kernela - coś, co pod linuksem jest rzeczą
nagminną. Czy to źle czy dobrze? Po prostu inaczej - dla mnie to spory
plus.
Obecnie osobiście wolę używać PF - ma też swoje minusy ale uważam, że to
i tak najlepszy firewall jaki kiedykolwiek poznałem.
Post by Emil Grochocki
(Net|Open)BSD nie są dystrybucją FreeBSD, to zupełnie inne systemy i
inne rozwiązania, czy to jest takie zaskakujące?
Jeżeli to ma być główne kryterium wyboru systemu, to chyba raczej
solaris wypada lepiej od linuksa.
Glownym kryterium wyboru systemu jest wsparcie dla Oracle. Ktory z
systemow *BSD bedzie do tego najlepszy ?
Z *BSD? Oczywiście Free - ze względu na zdecydowanie najwydajniejszy
system plików oraz zaawansowane mechanizmy jakie od jakiegoś czasu są w
tym kierunku wprowadzane.
Nie zapominajmy jednak, że Oracle działa na emulacji linuksa:
http://42.pl/u/k8q

Z drugiej strony jeśli już ktoś inwestuje w Oracla to jest sens
uruchamiać to na linuksie? Czy może bezpieczniej będzie uruchomić bazę
na sprzęcie i systemie SUNa lub HP?
Post by Emil Grochocki
Post by Jacek 'Szumak' Kotlarski
Kolega ma prawo do swojego osądu choć osobiście nie wiem z jakich
imaginacji bierze się to przeświadczenie - czasem warto spojrzeć na
sprawę z boku zamiast podchodzić do wszystkiego emocjonalnie.
Czasem tak a czasem ciezko stac z boku i dawac robic z siebie idiote.
Szanowny kolego, żart na który sobie pozwoliłem nie był w najmniejszym
stopniu skierowany przeciwko Twojej osobie ani celowo ani nieświadomie
dlatego zaskoczyła mnie Twoja reakcja.

Więc przepraszam, że w taki sposób to odebrałeś.

Chciałem wyłącznie wskazać, że użyłeś akronimu, który bynajmniej nie
musi być prawidłowo identyfikowany (jak np. NAT z czym każda osoba
zajmująca się sieciami spotka się na pewno). PAT natomiast znaczy co
innego w środowisku linuksowców a co innego w nomenklaturze CISCO - co
nam w linku przedstawiłeś. Z kolei w znanych mi systemach sieciowych
nie używa się go wcale, choć przecież można się doszukiwać mechanizmów
identycznych lub podobnych które nazywane się inaczej - ot i tyle.

Pozdrawiam
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Emil Grochocki
2006-07-23 18:21:13 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
Szanowny kolego, żart na który sobie pozwoliłem nie był w najmniejszym
stopniu skierowany przeciwko Twojej osobie ani celowo ani nieświadomie
dlatego zaskoczyła mnie Twoja reakcja.
Więc przepraszam, że w taki sposób to odebrałeś.
OK. Trudno, nie dogadalismy sie. Niewazne.
Post by Jacek 'Szumak' Kotlarski
Chciałem wyłącznie wskazać, że użyłeś akronimu, który bynajmniej nie
musi być prawidłowo identyfikowany (jak np. NAT z czym każda osoba
zajmująca się sieciami spotka się na pewno). PAT natomiast znaczy co
innego w środowisku linuksowców a co innego w nomenklaturze CISCO - co
nam w linku przedstawiłeś. Z kolei w znanych mi systemach sieciowych
nie używa się go wcale, choć przecież można się doszukiwać mechanizmów
identycznych lub podobnych które nazywane się inaczej - ot i tyle.
Jak widac zatem najlepiej zdefiniowac wczesniej kryteria w obrebie ktorych
sie poruszamy. Ja przyjalem uzywac nomenklatury Cisco jako, ze w tej
technologii pracuje na codzien i konsekwentnie staram sie jej trzymac.

Rowniez pozdrawiam

Emil Grochocki
Krzysztof Oledzki
2006-07-31 00:30:23 UTC
Permalink
Jacek 'Szumak' Kotlarski <***@oksywienet.org.pl> wrote:
<CIACH>
Post by Jacek 'Szumak' Kotlarski
Post by Emil Grochocki
Ja sie zetknalem z FreeBSD w wersji 4.6 czy siakos takiej. System
mimo, ze zachwalalo wiele osob szybko sobie odpuscilem jak zobaczylem
ile z tym jest zabawy zeby odpalic ipfw + natd.
Bo to zdecydowanie nie jest dobry duet i faktycznie w tamtej wersji
systemu trzeba było robić własne jądro jeżeli chciało się wykorzystać
rozszerzone właściwości ipfw (nie pamiętam teraz kiedy pojawiło się
IPFW2). Jakkolwiek sam filtr pakietów jest IMO bardzo fajny i łatwo
konfigurowalny
Tylko że na dzisiaj brakuje w nim śledzenia połączeń, takiego prawdziwego.
Dynamiczne regułki nic nie załatwiają.
Post by Jacek 'Szumak' Kotlarski
to natd na większe routery nie nadaje się zupełnie -
działa w userspace generując bardzo duże obciążenie.
To prawda.
Post by Jacek 'Szumak' Kotlarski
Lepiej było użyć natenczas ipnat lecz w połączeniu z dummynetem jako
shaperem należało dodatkowo nakładać łatkę na kernel.
Niestety, ipnat (nie wiem jak natd) ma spory problem z działaniem
w połączeniu z ipfw i keep-state. ipfw widzi znatowane pakiety co prowadzi
do zrywania aktywnych połaczeń bo dynamiczne regułki wylatują.
Post by Jacek 'Szumak' Kotlarski
Powiedzmy sobie od razu, że to jest jedyny przypadek w którym musiałem
kiedykolwiek paczować źródła kernela - coś, co pod linuksem jest rzeczą
nagminną.
Przesadzasz.
Post by Jacek 'Szumak' Kotlarski
Czy to źle czy dobrze? Po prostu inaczej - dla mnie to spory plus.
Obecnie osobiście wolę używać PF - ma też swoje minusy ale uważam, że to
i tak najlepszy firewall jaki kiedykolwiek poznałem.
Zapraszam do poznania netfiletra. Nie trzeba stawać na głowie, żeby
poprawnie działał ftp, nie ma problemu z wylatywaniem połączeń,
czy też poprawną obsługa takich detali jak window-scaling. Pewnie
zostanie to za jakiś czas naprawione ale do tego czasu będzie wesoło.
Co tam będzie, już jest.
Post by Jacek 'Szumak' Kotlarski
Z *BSD? Oczywiście Free - ze względu na zdecydowanie najwydajniejszy
system plików oraz zaawansowane mechanizmy jakie od jakiegoś czasu są w
tym kierunku wprowadzane.
Z tym systemem plików to nie przesadzaj. Brak księgowania jest
na dzisiaj _wielkim_ problemem i montowanie fs w trybie sync,
co powoduje straszny spadek wydajności, niewiele pomaga.

O takich pomyłkach jak bg fsck to nawet nie staraj się wspominać - przy
większym fs bg fsck muli serwer przez bardzo długi czas i zazwyczaj na koniec
radośnie oznajmia iż:

UNEXPECTED SOFT UPDATE INCONSISTENCY; RUN fsck MANUALLY

Nie pamiętam kiedy po padzie zasilania miałem na ext3 jakieś zgubione pliki,
co niestety na UFS jest dość normalne.

Pozdrawiam,

Krzysztof Oledzki
--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)
Jacek 'Szumak' Kotlarski
2006-07-31 17:15:18 UTC
Permalink
Dnia Mon, 31 Jul 2006 00:30:23 +0000 (UTC)
Post by Krzysztof Oledzki
pojawiło się IPFW2). Jakkolwiek sam filtr pakietów jest IMO bardzo
fajny i łatwo konfigurowalny
Tylko że na dzisiaj brakuje w nim śledzenia połączeń, takiego
prawdziwego. Dynamiczne regułki nic nie załatwiają.
To fakt, mocno brakuje integracji ipfw z natem i zwykle trzeba się
nagłówkować by tworzony ruleset działał prawidłowo ale ...
Post by Krzysztof Oledzki
Niestety, ipnat (nie wiem jak natd) ma spory problem z działaniem
w połączeniu z ipfw i keep-state. ipfw widzi znatowane pakiety co
prowadzi do zrywania aktywnych połaczeń bo dynamiczne regułki
wylatują.
...nie przesadzajmy, można napisać działający state-full firewall.
Po to właśnie nakładało się łatkę na 4.x by odwrócić kolejność
przetwarzania pakietu:

lan--->ipfw--->ipnat--->inet
lan<---ipfw<---ipnat<---inet

czyli tak jak być to powinno by można było śledzić stan każdego
połączenia niezależnie od strony nawiązującej połączenie.
W późniejszych wersjach (od 5.x) zmieniono jednak mechanizmy decydujące
o tej kolejności i osobiście nie wiem czy da się ten problem łatwo
rozwiązać bo mi się nie udało ale też nie pracowałem nad tym na tyle
intensywnie by kategorycznie stwierdzić, że nie ma takiej możliwości
(cały czas mowa o ipfw + ipnat, bo z natd to inna historia).
Post by Krzysztof Oledzki
Zapraszam do poznania netfiletra. Nie trzeba stawać na głowie, żeby
poprawnie działał ftp, nie ma problemu z wylatywaniem połączeń,
czy też poprawną obsługa takich detali jak window-scaling. Pewnie
zostanie to za jakiś czas naprawione ale do tego czasu będzie wesoło.
Co tam będzie, już jest.
Nie wiem czy starczy mi życia na to, jak na razie jestem szczęśliwym
użytkownikiem pfa i póki co jestem z niego bardzo zadowolony.
Ale możesz mi naświetlić te problemy z ftp? Oraz z wylatującymi
połączeniami? Bo może nie wiem o czymś a bardzo chętnie nauczę się
czegoś nowego. Wszak może to być mój problem nieuświadomiony :D
Post by Krzysztof Oledzki
Z *BSD? Oczywiście Free - ze względu na zdecydowanie najwydajniejszy
system plików oraz zaawansowane mechanizmy jakie od jakiegoś czasu
są w tym kierunku wprowadzane.
Z tym systemem plików to nie przesadzaj. Brak księgowania jest
na dzisiaj _wielkim_ problemem i montowanie fs w trybie sync,
co powoduje straszny spadek wydajności, niewiele pomaga.
Troszkę się już pozmieniało w tej materii za sprawą naszych rodaków:

http://www.bsdguru.org/?f=1040076

Z drugiej strony widziałem rozwalone partycje z ext3 w wyniku padu
zasilania, więc nie jest to dla mnie argument.
I tak żaden system plików nie zastąpi sprawnego UPSa.
A tak poza tym to w linuksie w dalszym ciągu praktykuje się domyślnie
asynchroniczne montowanie zasobów dyskowych czy coś się zmieniło?
Post by Krzysztof Oledzki
O takich pomyłkach jak bg fsck to nawet nie staraj się wspominać -
przy większym fs bg fsck muli serwer przez bardzo długi czas i
mnie to też denerwuje, szczerze to znacznie bardziej wolę systemy
sprawdzające integralność systemu plików w trakcie startu -
przynajmniej widać od razu co się dzieje mimo dużego spowolnienia
całego procesu startu systemu
Post by Krzysztof Oledzki
UNEXPECTED SOFT UPDATE INCONSISTENCY; RUN fsck MANUALLY
??? coś takiego jeszcze nie widziałem. Ten komunikat jest zwykle
wyrzucany jeżeli slice nie mogą być zamontowane i wymagają ręcznego
sprawdzenia, jeszcze mi się nie zdarzyło by komunikat pojawił się w
trakcie sprawdzania systemu plików po uruchomieniu systemu.... no ale
może po prostu nie za często się to u mnie zdarza :)
Post by Krzysztof Oledzki
Nie pamiętam kiedy po padzie zasilania miałem na ext3 jakieś zgubione
pliki, co niestety na UFS jest dość normalne.
Hmmm, ja pamiętam za to 2 przypadki, gdy po padzie energii root partycje
_ext2_ przestały być zdatne do odczytu nawet w ro - coś co na UFS nigdy
mi się nie zdarzyło.
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Krzysztof Oledzki
2006-07-31 19:17:47 UTC
Permalink
Jacek 'Szumak' Kotlarski <***@oksywienet.org.pl> wrote:
<CIACH>
Post by Jacek 'Szumak' Kotlarski
...nie przesadzajmy, można napisać działający state-full firewall.
Po to właśnie nakładało się łatkę na 4.x by odwrócić kolejność
Czekaj, to Ty mówiłeś, że to w Linuksie bez ciągłego patchowania kernela
daleko nie zajedziesz?

<CIACH>
Post by Jacek 'Szumak' Kotlarski
Nie wiem czy starczy mi życia na to, jak na razie jestem szczęśliwym
użytkownikiem pfa i póki co jestem z niego bardzo zadowolony.
Ale możesz mi naświetlić te problemy z ftp?
Co tu naświetlać, przecież pewnie bardzo dobrze znasz ftp-proxy,
pftpx, anchory i inne wynalazki zrobione po to, aby głupie ftp
działało jak powinno z pf.
Post by Jacek 'Szumak' Kotlarski
Oraz z wylatującymi połączeniami? Bo może nie wiem o czymś a bardzo
chętnie nauczę się czegoś nowego. Wszak może to być mój problem nieuświadomiony :D
Poza ostatnio dość głośnym problemem z window scaling mam lokanly problem z moim
serwerm transparent proxy. Z nieznaczych dokładnie przyczyn co jakiś czas połączenia
wylatuje z tablicy stanów i komputer nawiązujący połączenie traktowany jest pakietami
z IP serwera proxy i portem 8080. Na pewno nie jest to problem timeoutów. Np. dzisiaj
miałem 1200 takich przypadków przy 2 milionach requestów http obsłużonych przez
serwer proxy.
Post by Jacek 'Szumak' Kotlarski
Post by Krzysztof Oledzki
Post by Jacek 'Szumak' Kotlarski
Z *BSD? Oczywiście Free - ze względu na zdecydowanie najwydajniejszy
system plików oraz zaawansowane mechanizmy jakie od jakiegoś czasu
są w tym kierunku wprowadzane.
Z tym systemem plików to nie przesadzaj. Brak księgowania jest
na dzisiaj _wielkim_ problemem i montowanie fs w trybie sync,
co powoduje straszny spadek wydajności, niewiele pomaga.
http://www.bsdguru.org/?f=1040076
Jak trafi do kernela, będzie stabilnie działało i pozwalało
na przepuszczanie przez journal tylko metadanych fs to wtedy porozmawiamy.
Czyli pewnie za jakieś dwa lata. Poza tym, na razie trzeba patchowac, tak?
Patchować? ;)
Post by Jacek 'Szumak' Kotlarski
Z drugiej strony widziałem rozwalone partycje z ext3 w wyniku padu
zasilania, więc nie jest to dla mnie argument.
I tak żaden system plików nie zastąpi sprawnego UPSa.
A tak poza tym to w linuksie w dalszym ciągu praktykuje się domyślnie
asynchroniczne montowanie zasobów dyskowych czy coś się zmieniło?
A po co synchroncznie jak masz księgowanie, bariery io, etc?
Post by Jacek 'Szumak' Kotlarski
Post by Krzysztof Oledzki
O takich pomyłkach jak bg fsck to nawet nie staraj się wspominać -
przy większym fs bg fsck muli serwer przez bardzo długi czas i
mnie to też denerwuje, szczerze to znacznie bardziej wolę systemy
sprawdzające integralność systemu plików w trakcie startu -
przynajmniej widać od razu co się dzieje mimo dużego spowolnienia
całego procesu startu systemu
Przy bg fsck system może i wstaje szybciej ale potem przez bardzo
długo jest średnio używalny...
Post by Jacek 'Szumak' Kotlarski
Post by Krzysztof Oledzki
UNEXPECTED SOFT UPDATE INCONSISTENCY; RUN fsck MANUALLY
??? coś takiego jeszcze nie widziałem. Ten komunikat jest zwykle
wyrzucany jeżeli slice nie mogą być zamontowane i wymagają ręcznego
sprawdzenia, jeszcze mi się nie zdarzyło by komunikat pojawił się w
trakcie sprawdzania systemu plików po uruchomieniu systemu.... no ale
może po prostu nie za często się to u mnie zdarza :)
Mi kilka razy - po awarii zasilania albo po freezie systemu. Ale serwerów
na FreeBSD mam sporo, więc mają szansę. ;)
Post by Jacek 'Szumak' Kotlarski
Post by Krzysztof Oledzki
Nie pamiętam kiedy po padzie zasilania miałem na ext3 jakieś zgubione
pliki, co niestety na UFS jest dość normalne.
Hmmm, ja pamiętam za to 2 przypadki, gdy po padzie energii root partycje
_ext2_ przestały być zdatne do odczytu nawet w ro - coś co na UFS nigdy
mi się nie zdarzyło.
Rozmawiamy o tym co jest teraz, tak? ;)

Pozdrawiam,

Krzysztof Oledzki
--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)
Jacek 'Szumak' Kotlarski
2006-07-31 21:28:39 UTC
Permalink
Dnia Mon, 31 Jul 2006 19:17:47 +0000 (UTC)
Post by Krzysztof Oledzki
Czekaj, to Ty mówiłeś, że to w Linuksie bez ciągłego patchowania
kernela daleko nie zajedziesz?
Oczywiście, mówiłem :) Przeczytaj również raz jeszcze tamtą wypowiedź,
w której pisałem, że to _jedyny_ znany mi z praktyki przypadek, w którym
musiałem patchować kernel FreeBSD... w zasadzie nawet nie patchować
tylko ręcznie zamienić kolejnością dwa małe bloki kodu - ale na jedno
wychodzi.
Post by Krzysztof Oledzki
Co tu naświetlać, przecież pewnie bardzo dobrze znasz ftp-proxy,
pftpx, anchory i inne wynalazki zrobione po to, aby głupie ftp
działało jak powinno z pf.
kotwice nie mają tu nic do rzeczy :) służą do zupełnie czego innego,
to bardzo mocne narzędzie dla osób, które potrafią się nim posłużyć.
W linuksie ładujesz takie "ftp-proxy" jako moduł kernela integrując go
z firewallem i tyle - dwa różne podejścia do sprawy, tam na pewno
wydajniejsze choć proxy w BSD nie generuje problematycznego obciążenia
- przynajmniej nie zauważyłem.
Post by Krzysztof Oledzki
Poza ostatnio dość głośnym problemem z window scaling mam lokanly
problem z moim serwerm transparent proxy. Z nieznaczych dokładnie
przyczyn co jakiś czas połączenia wylatuje z tablicy stanów i
komputer nawiązujący połączenie traktowany jest pakietami z IP
serwera proxy i portem 8080. Na pewno nie jest to problem timeoutów.
Np. dzisiaj miałem 1200 takich przypadków przy 2 milionach requestów
http obsłużonych przez serwer proxy.
Hmmm, na jakim filtrze i jaką masz ilość aktywnych jednocześnie stanów?
Post by Krzysztof Oledzki
Jak trafi do kernela, będzie stabilnie działało i pozwalało
na przepuszczanie przez journal tylko metadanych fs to wtedy
porozmawiamy. Czyli pewnie za jakieś dwa lata. Poza tym, na razie
trzeba patchowac, tak? Patchować? ;)
Może nie jest to aż tak odległa przyszłość? Paweł zapowiadał, że jeśli
uda się to pojawi się w 6.2-R a jak będzie - zobaczymy. Zresztą na
pewno pamiętasz tamten wątek na p.c.o.b
Na razie trwają intensywne prace, więc jeśli chcesz się dołożyć do
testów, to musisz patchować :) ale rozmawialiśmy o produkcyjnych
wersjach jądra.
Post by Krzysztof Oledzki
A po co synchroncznie jak masz księgowanie, bariery io, etc?
Jak się zaczynałem bawić linuksem to o księgowaniu jeszcze nikt
poważnie nie myślał... teraz znajomi używający ext3 wymuszają sync z
crona, po co skoro mają księgowanie?
Post by Krzysztof Oledzki
Przy bg fsck system może i wstaje szybciej ale potem przez bardzo
długo jest średnio używalny...
A o jakich dużych filesystemach mówimy?
Post by Krzysztof Oledzki
Mi kilka razy - po awarii zasilania albo po freezie systemu. Ale
serwerów na FreeBSD mam sporo, więc mają szansę. ;)
No, prawdopodobieństwo zawsze większe :) Ale lepiej odpukać i by się
nie zdarzało :)
Post by Krzysztof Oledzki
Post by Jacek 'Szumak' Kotlarski
Hmmm, ja pamiętam za to 2 przypadki, gdy po padzie energii root
partycje _ext2_ przestały być zdatne do odczytu nawet w ro - coś co
na UFS nigdy mi się nie zdarzyło.
Rozmawiamy o tym co jest teraz, tak? ;)
Tak, od tamtego czasu nie używam - mam uraz. :)
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Krzysztof Oledzki
2006-07-31 21:50:45 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
Dnia Mon, 31 Jul 2006 19:17:47 +0000 (UTC)
Post by Krzysztof Oledzki
Czekaj, to Ty mówiłeś, że to w Linuksie bez ciągłego patchowania
kernela daleko nie zajedziesz?
Oczywiście, mówiłem :) Przeczytaj również raz jeszcze tamtą wypowiedź,
w której pisałem, że to _jedyny_ znany mi z praktyki przypadek, w którym
musiałem patchować kernel FreeBSD... w zasadzie nawet nie patchować
tylko ręcznie zamienić kolejnością dwa małe bloki kodu - ale na jedno
wychodzi.
Post by Krzysztof Oledzki
Co tu naświetlać, przecież pewnie bardzo dobrze znasz ftp-proxy,
pftpx, anchory i inne wynalazki zrobione po to, aby głupie ftp
działało jak powinno z pf.
kotwice nie mają tu nic do rzeczy :) służą do zupełnie czego innego,
to bardzo mocne narzędzie dla osób, które potrafią się nim posłużyć.
Jak najbardziej do tego: /usr/ports/ftp/pftpx - http://www.benzedrine.cx/pf/msg05784.html
Post by Jacek 'Szumak' Kotlarski
W linuksie ładujesz takie "ftp-proxy" jako moduł kernela integrując go
z firewallem i tyle - dwa różne podejścia do sprawy, tam na pewno
wydajniejsze choć proxy w BSD nie generuje problematycznego obciążenia
- przynajmniej nie zauważyłem.
No różne, bo co innego firewall a co innego proxy. W przypadku ftp proxy
jest nie lada wyzwaniem bo musisz zapewnić aby ip się zgadzało...
Post by Jacek 'Szumak' Kotlarski
Post by Krzysztof Oledzki
Poza ostatnio dość głośnym problemem z window scaling mam lokanly
problem z moim serwerm transparent proxy. Z nieznaczych dokładnie
przyczyn co jakiś czas połączenia wylatuje z tablicy stanów i
komputer nawiązujący połączenie traktowany jest pakietami z IP
serwera proxy i portem 8080. Na pewno nie jest to problem timeoutów.
Np. dzisiaj miałem 1200 takich przypadków przy 2 milionach requestów
http obsłużonych przez serwer proxy.
Hmmm, na jakim filtrze i jaką masz ilość aktywnych jednocześnie stanów?
Mowa jest cały czas o pf, stanów jednocześnie jest pewnie kilka tysięcy.
Nie jest to więc jakaś straszna liczba.
Post by Jacek 'Szumak' Kotlarski
Post by Krzysztof Oledzki
Jak trafi do kernela, będzie stabilnie działało i pozwalało
na przepuszczanie przez journal tylko metadanych fs to wtedy
porozmawiamy. Czyli pewnie za jakieś dwa lata. Poza tym, na razie
trzeba patchowac, tak? Patchować? ;)
Może nie jest to aż tak odległa przyszłość? Paweł zapowiadał, że jeśli
uda się to pojawi się w 6.2-R a jak będzie - zobaczymy. Zresztą na
pewno pamiętasz tamten wątek na p.c.o.b
Oczywiście. :) Nie ukrywam że jest to rzecz, której chyba wszytskim brakuje.
Post by Jacek 'Szumak' Kotlarski
Post by Krzysztof Oledzki
A po co synchroncznie jak masz księgowanie, bariery io, etc?
Jak się zaczynałem bawić linuksem to o księgowaniu jeszcze nikt
poważnie nie myślał... teraz znajomi używający ext3 wymuszają sync z
crona, po co skoro mają księgowanie?
Totalnie bez sensu, wystarczy dopisac sync w fstab? Czy czegoś nie rozumiem?
Post by Jacek 'Szumak' Kotlarski
Post by Krzysztof Oledzki
Przy bg fsck system może i wstaje szybciej ale potem przez bardzo
długo jest średnio używalny...
A o jakich dużych filesystemach mówimy?
200GB - 1 TB :)

Pozdrawiam,

Krzysztof Oledzki
--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)
Jacek 'Szumak' Kotlarski
2006-07-31 23:39:58 UTC
Permalink
Dnia Mon, 31 Jul 2006 21:50:45 +0000 (UTC)
Post by Krzysztof Oledzki
Jak najbardziej do tego: /usr/ports/ftp/pftpx -
http://www.benzedrine.cx/pf/msg05784.html
A szczerze, to nie znam tego jeszcze. Dziękuję, zobaczę, poćwiczę, może
się przyda :)
Post by Krzysztof Oledzki
Post by Jacek 'Szumak' Kotlarski
Hmmm, na jakim filtrze i jaką masz ilość aktywnych jednocześnie stanów?
Mowa jest cały czas o pf, stanów jednocześnie jest pewnie kilka
tysięcy. Nie jest to więc jakaś straszna liczba.
Hmmm, muszę pomyśleć ale nie dziś, bo późno. Próbowałeś może robić
filtrowanie na OpenBSD? Niby ten sam PF ale jednak zawsze o wersję
nowszy i nie ma z nim problemów. Na FreeBSD zdarzało się, że robił mi
dziwne rzeczy. :(
Acha, rozumiem, że nie kolejkujesz ruchu z proxy?
Post by Krzysztof Oledzki
Post by Jacek 'Szumak' Kotlarski
Może nie jest to aż tak odległa przyszłość? Paweł zapowiadał, że
jeśli uda się to pojawi się w 6.2-R a jak będzie - zobaczymy.
Zresztą na pewno pamiętasz tamten wątek na p.c.o.b
Oczywiście. :) Nie ukrywam że jest to rzecz, której chyba wszytskim brakuje.
Zastanawiające jest dlaczego dopiero teraz wypłynęła taka inicjatywa
dla FreeBSD? Od lat czytam pytania ludzi o filesystem z księgowaniem i
jak dotąd zawsze były zbywane stwierdzeniami iż nie ma takiej potrzeby,
jest soft-update, kosmici czy inne bzdury. Tak więc dobrze się stało,
że wreszcie prace ruszyły w tym kierunku.
Post by Krzysztof Oledzki
Totalnie bez sensu, wystarczy dopisac sync w fstab? Czy czegoś nie rozumiem?
Tak, ale to ma drastyczny wpływ na wydajność pracy. Może lepszy byłby
noasync choć to nie daje gwarancji ale zawsze jest to pewniejsza metoda.
Post by Krzysztof Oledzki
Post by Jacek 'Szumak' Kotlarski
A o jakich dużych filesystemach mówimy?
200GB - 1 TB :)
Mam max 120 GB na macierzy

Pozdrawiam
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Ponure Zacietrzewienie
2006-08-24 12:08:48 UTC
Permalink
Jacek 'Szumak' Kotlarski <***@oksywienet.org.pl> wrote:

[..]
Post by Jacek 'Szumak' Kotlarski
Zastanawiające jest dlaczego dopiero teraz wypłynęła taka inicjatywa
dla FreeBSD? Od lat czytam pytania ludzi o filesystem z księgowaniem i
jak dotąd zawsze były zbywane stwierdzeniami iż nie ma takiej potrzeby,
jest soft-update, kosmici czy inne bzdury.
Dlatego, ze glowny cel istnienia journallingu - czyli mozliwosc
uzywania systemu plikow podmontowanego inaczej niz w trybie synchronicznym
bez ryzyka kompletnego rozjechania sie go przy awarii zasilania czy
kraszu systemu - zalatwialo softupdates. Szybkiego startu nie zalatwialo,
ale to funkcjonalnosc drugorzedna. ;-)

Poza tym, grzebanie w systemach plikow to afaik dosyc niewdzieczne zajecie.
Malo kto chce narazac uzywany przez kazdego uzytkownika freebsd element
systemu na destabilizacje.
Post by Jacek 'Szumak' Kotlarski
Tak więc dobrze się stało,
że wreszcie prace ruszyły w tym kierunku.
Ruszyly nawet w lepszym - w kierunku sportowania ZFS.

[..]
--
If you cut off my head, what would I say? Me and my head, or me and my body?
Jacek 'Szumak' Kotlarski
2006-08-24 15:33:30 UTC
Permalink
Dnia Thu, 24 Aug 2006 14:08:48 +0200
Post by Ponure Zacietrzewienie
Post by Jacek 'Szumak' Kotlarski
Zastanawiające jest dlaczego dopiero teraz wypłynęła taka inicjatywa
Dlatego, ze glowny cel istnienia journallingu - czyli mozliwosc
uzywania systemu plikow podmontowanego inaczej niz w trybie
synchronicznym bez ryzyka kompletnego rozjechania sie go przy awarii
zasilania czy kraszu systemu - zalatwialo softupdates. Szybkiego
startu nie zalatwialo, ale to funkcjonalnosc drugorzedna. ;-)
Niestety, mam tą nieprzyjemność pracować z dosyć ważnym serwerem
bazodanowym... a że działa on w jednostce budżetowej to wymiana
całkowicie zużytych baterii w UPSie trwa już od roku i dobrze
będzie jeżeli potrwa jeszcze tylko kolejny rok. Niestety, prąd tam
zanika średnio co 2 doby więc bywa, że w środku nocy jadę odzyskiwać
dane z backupów...
Post by Ponure Zacietrzewienie
Poza tym, grzebanie w systemach plikow to afaik dosyc niewdzieczne
zajecie. Malo kto chce narazac uzywany przez kazdego uzytkownika
freebsd element systemu na destabilizacje.
To jest oczywiście bardzo słuszny argument... z jednego konkretnego
punktu widzenia, niemniej jednak rozpoczęcie prac w tym kierunku daje
realną szansę, że (miejmy nadzieję) w niedalekiej przyszłości tenże
użytkownik będzie miał wybór między "tradycyjnym" i wszechstronnie
sprawdzonym systemem plików a nowym rozwiązaniem, które może nie od
razu lecz ostatecznie może mu zagwarantować te kilka procent więcej
pewności iż jego praca nie zniknie nagle nie wiadomo gdzie.
Post by Ponure Zacietrzewienie
Ruszyly nawet w lepszym - w kierunku sportowania ZFS.
i jak czytam, nabierają rozpędu :)
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Jacek 'Szumak' Kotlarski
2006-07-23 20:14:53 UTC
Permalink
Dnia Sun, 23 Jul 2006 15:25:16 +0200
Post by Emil Grochocki
A spojrzmy teraz jakie jest wsparcie dla sprzetu przez freebsd. Chce
postawic sobie go na laptopie i odpalic tuner TV na PCMCIA. Jakie jest
prawdopodobienstwo, ze bedzie mi to dzialac ?
W zasadzie mając takie pytania/wątpliwości w pierwszej kolejności
trzeba zerknąć na tą stronę: http://42.pl/u/k8D
a potem ewentualnie pytać googli.
Generalnie wspierany jest układ:

Brooktree Bt848/849/878/879 and Pinnacle PCTV video capture driver

http://42.pl/u/k8E
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Emil Grochocki
2006-07-23 09:58:30 UTC
Permalink
Może faktycznie powinien dalej ternować linuksa - tam będzie miał łatwiej.
Moze tak powinien zrobic.
Chodzi Ci o Papieską Akademię Teologiczną? Tak, wydaje sie, że to jest
co innego ;)

Nie, mi chodzilo o to: http://pl.wikipedia.org/wiki/Pat :D

EG
Jacek 'Szumak' Kotlarski
2006-07-23 10:41:58 UTC
Permalink
Dnia Sun, 23 Jul 2006 11:58:30 +0200
Post by Emil Grochocki
Moze tak powinien zrobic.
Zdecydowanie, po co ma się męczyć?
Post by Emil Grochocki
Nie, mi chodzilo o to: http://pl.wikipedia.org/wiki/Pat :D
Wyraźnie pisałeś PAT, może więc:
http://pl.wikipedia.org/wiki/Polska_Agencja_Telegraficzna ???
--
Jacek 'Szumak' Kotlarski
Emil Grochocki
2006-07-23 12:01:10 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
http://pl.wikipedia.org/wiki/Polska_Agencja_Telegraficzna ???
Nie, chodzi o:

http://www.pat.org.uk/

EG
Jacek 'Szumak' Kotlarski
2006-07-23 13:06:30 UTC
Permalink
Dnia Sun, 23 Jul 2006 14:01:10 +0200
Post by Emil Grochocki
Post by Jacek 'Szumak' Kotlarski
http://pl.wikipedia.org/wiki/Polska_Agencja_Telegraficzna ???
http://www.pat.org.uk/
Aaaa, no to wszystko wyjaśnia.

Ale wracając do meritum sprawy, to może kolega wyjaśni skąd wpadł na
pomysł, by w świetle zadanego pytania wspomnieć o przekierowaniach
portów? Bo to się zdeczka kupy nie trzyma.
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Emil Grochocki
2006-07-23 13:27:51 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
Ale wracając do meritum sprawy, to może kolega wyjaśni skąd wpadł na
pomysł, by w świetle zadanego pytania wspomnieć o przekierowaniach
portów? Bo to się zdeczka kupy nie trzyma.
Polecam:
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_q_and_a_item09186a00800e523b.shtml#Q1

EG
Emil Grochocki
2006-07-23 09:47:49 UTC
Permalink
Post by wrkilu
CIĄGLE NIE DZIAŁA :(( , co robić ???
Wywal te cale *BSD, zainstaluj linuxa, ustaw na eth0 adres zewnetrzny
serwera a nastepnie wydaj dwa polecenia:

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Banalne ?

Proponuje zrobic sonde "ile zajmie odpalenie tego z palca na linuxie i ile
na *BSD".

EG
Jacek 'Szumak' Kotlarski
2006-07-23 10:52:15 UTC
Permalink
Dnia Sun, 23 Jul 2006 11:47:49 +0200
Post by Emil Grochocki
Wywal te cale *BSD, zainstaluj linuxa, ustaw na eth0 adres zewnetrzny
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Banalne ?
Nie.
Proponuję włączyć udostępnianie połączenia w XP - linuksowi jeszcze
trochę do tego brakuje, ale prace idą w odpowiednim kierunku.
Post by Emil Grochocki
Proponuje zrobic sonde "ile zajmie odpalenie tego z palca na linuxie
i ile na *BSD".
sysctl net.inet.ip.forwarding=1
echo "nat on xl0 from !(xl0) -> (xl0:0)" | pfctl -f- -e

Na oko wychodzi, że z palca więcej się klikasz pod linuksem
--
Jacek 'Szumak' Kotlarski
Emil Grochocki
2006-07-23 11:43:07 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
Proponuję włączyć udostępnianie połączenia w XP - linuksowi jeszcze
trochę do tego brakuje, ale prace idą w odpowiednim kierunku.
Tzn czego brakuje ?
Post by Jacek 'Szumak' Kotlarski
Na oko wychodzi, że z palca więcej się klikasz pod linuksem
Na oko to jeden znalazl sie w szpitalu :P

EG
Jacek 'Szumak' Kotlarski
2006-07-23 12:51:19 UTC
Permalink
Dnia Sun, 23 Jul 2006 13:43:07 +0200
Post by Emil Grochocki
Post by Jacek 'Szumak' Kotlarski
Proponuję włączyć udostępnianie połączenia w XP - linuksowi jeszcze
trochę do tego brakuje, ale prace idą w odpowiednim kierunku.
Tzn czego brakuje ?
Przewagi "inteligentnych" wizardów, dzięki którym użytkownik nie musi
myśleć.
Post by Emil Grochocki
Post by Jacek 'Szumak' Kotlarski
Na oko wychodzi, że z palca więcej się klikasz pod linuksem
Na oko to jeden znalazl sie w szpitalu :P
Skończyły się argumenty więc pozostał sarkazm?
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Emil Grochocki
2006-07-23 13:12:12 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
Przewagi "inteligentnych" wizardów, dzięki którym użytkownik nie musi
myśleć.

Kto chce niech sobie korzysta z wizardow, kto nie chce nie musi.
Post by Jacek 'Szumak' Kotlarski
Skończyły się argumenty więc pozostał sarkazm?
No i kto tu mowi o sarkazmie ?

EG
Jacek 'Szumak' Kotlarski
2006-07-23 13:41:37 UTC
Permalink
Dnia Sun, 23 Jul 2006 15:12:12 +0200
Post by Emil Grochocki
Kto chce niech sobie korzysta z wizardow, kto nie chce nie musi.
Zdradź mi z łaski swojej jak skonfigurować w linii poleceń pod WindXP
udostępnianie połączenia? Nie chcę korzystać z wizardów ale nie
znalazłem w dokumentacji wzmianki o tym.
Post by Emil Grochocki
Post by Jacek 'Szumak' Kotlarski
Skończyły się argumenty więc pozostał sarkazm?
No i kto tu mowi o sarkazmie ?
Nie widać? Ja mówię. Zamiast podjąć merytoryczną dyskusję posuwasz się
do złośliwości by tylko coś powiedzieć.
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Emil Grochocki
2006-07-23 18:04:56 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
Zdradź mi z łaski swojej jak skonfigurować w linii poleceń pod WindXP
udostępnianie połączenia? Nie chcę korzystać z wizardów ale nie
znalazłem w dokumentacji wzmianki o tym.
Nie mowilem o W**s XP.

EG
Jacek 'Szumak' Kotlarski
2006-07-23 19:33:06 UTC
Permalink
Dnia Sun, 23 Jul 2006 20:04:56 +0200
Post by Emil Grochocki
Post by Jacek 'Szumak' Kotlarski
Zdradź mi z łaski swojej jak skonfigurować w linii poleceń pod
WindXP udostępnianie połączenia? Nie chcę korzystać z wizardów ale
nie znalazłem w dokumentacji wzmianki o tym.
Nie mowilem o W**s XP.
Lecz (wycięty już) kontekst rozmowy w tym punkcie bezpośrednio na to
wskazuje i do tego się odnosi - przeczytaj proszę uważnie te kilka
postów wstecz.
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Emil Grochocki
2006-07-23 20:53:00 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
Lecz (wycięty już) kontekst rozmowy w tym punkcie bezpośrednio na to
wskazuje i do tego się odnosi - przeczytaj proszę uważnie te kilka
postów wstecz.
ok, dajmy temu spokoj. Osobiscie jestem przeciwny rozmaitym wodotryskom w
stylu wizarda bo z reguly dzialaja zle, oduczaja myslec i rozleniwiaja ale
tez trzeba wziac pod uwage, ze nie sa one czescia linuxa jako takiego lecz
dodatkami do roznych desktopow jak kde czy gnome.
Moja prawdziwa "zabawa" z unixami zaczela sie od solarisa 8, gdzie mialem do
dyspozycji jedynie CDE (no, jeszcze OpenWindows ale z tego nie korzystalem)
i musze przyznac, ze system niezle potrafi nauczyc cierpliwosci w tym co,
sie robi.

Pozdrowienia

EG
Emil Grochocki
2006-07-23 12:05:56 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
sysctl net.inet.ip.forwarding=1
echo "nat on xl0 from !(xl0) -> (xl0:0)" | pfctl -f- -e
---
Post by Jacek 'Szumak' Kotlarski
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Ostatnie wydaje sie szybciej wpisac - mniej znakow specjalnych :P

EG
Jacek 'Szumak' Kotlarski
2006-07-23 13:53:28 UTC
Permalink
Dnia Sun, 23 Jul 2006 14:05:56 +0200
Post by Emil Grochocki
Post by Jacek 'Szumak' Kotlarski
sysctl net.inet.ip.forwarding=1
echo "nat on xl0 from !(xl0) -> (xl0:0)" | pfctl -f- -e
---
Post by Jacek 'Szumak' Kotlarski
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Ostatnie wydaje sie szybciej wpisac - mniej znakow specjalnych :P
Ale pierwsze ma zdecydowaną przewagę znaków specjalnych (czyli takich,
bez których to nie będzie działać) ;)
Ponadto mogę w powyższym przykładzie zrezygnować z ostatniego nawiasu,
niesie to z sobą pewne implikacje lecz na ogół można powiedzieć,
Post by Emil Grochocki
Post by Jacek 'Szumak' Kotlarski
echo "nat on xl0 from !(xl0) -> xl0"|pfctl -f- -e
i już obie linie poleceń są krótsze ;)
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Emil Grochocki
2006-07-23 17:41:35 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
i już obie linie poleceń są krótsze ;)
To pytanie z innej beczki. Jak uczynic dzialajacym ftp-data przy bramie do
sieci bazujacej na ipfiltrze ? Dopisanie keep state nie skutkuje przy
regulce dopuszczajacej port 20, 21.

EG
Jacek 'Szumak' Kotlarski
2006-07-23 19:51:02 UTC
Permalink
Dnia Sun, 23 Jul 2006 19:41:35 +0200
Post by Emil Grochocki
To pytanie z innej beczki. Jak uczynic dzialajacym ftp-data przy
bramie do sieci bazujacej na ipfiltrze ? Dopisanie keep state nie
skutkuje przy regulce dopuszczajacej port 20, 21.
ipfilter? Hmmm, metoda pasywna działa zawsze i nie trzeba nic
specjalnego kombinować, wystarczy zezwolić na nawiązywanie połączeń
przez użytkownika.
Metoda aktywna - przykład z dokumentacji, bo nie używałem nigdy
ipfiltra:

pass in quick proto tcp from any to any port = ftp keep state group 201
pass in quick proto tcp from any to any port = ftp-data keep state group 201
pass in quick proto tcp from any port = ftp-data to any port > 1023 keep state group 101

ostatnia regułka otwiera firewall na połączenia z ftp-data na wszystkie porty
powyżej 1023 - można ten zakres zasadniczo zmniejszyć do najczęściej używanej
puli portów.
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Krzysztof Oledzki
2006-07-30 21:20:18 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
Dnia Sun, 23 Jul 2006 11:47:49 +0200
Post by Emil Grochocki
Wywal te cale *BSD, zainstaluj linuxa, ustaw na eth0 adres zewnetrzny
echo 1 > /proc/sys/net/ipv4/ip_forward
Można ładniej:

sysctl net.ipv4.ip_forward=1
Post by Jacek 'Szumak' Kotlarski
Post by Emil Grochocki
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Banalne ?
Nie.
Tylko, że tutaj, przy odpodiednio skompilowanym kernelu/załadowanym module,
działa ftp...
Post by Jacek 'Szumak' Kotlarski
Proponuję włączyć udostępnianie połączenia w XP - linuksowi jeszcze
trochę do tego brakuje, ale prace idą w odpowiednim kierunku.
Post by Emil Grochocki
Proponuje zrobic sonde "ile zajmie odpalenie tego z palca na linuxie
i ile na *BSD".
sysctl net.inet.ip.forwarding=1
echo "nat on xl0 from !(xl0) -> (xl0:0)" | pfctl -f- -e
Na oko wychodzi, że z palca więcej się klikasz pod linuksem
A tutaj z ftp będzie problem. ;)

Pozdrawiam,

Krzysztof Oledzki
--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)
Jacek 'Szumak' Kotlarski
2006-07-31 16:32:34 UTC
Permalink
Dnia Sun, 30 Jul 2006 21:20:18 +0000 (UTC)
Post by Krzysztof Oledzki
Post by Jacek 'Szumak' Kotlarski
sysctl net.inet.ip.forwarding=1
echo "nat on xl0 from !(xl0) -> (xl0:0)" | pfctl -f- -e
Na oko wychodzi, że z palca więcej się klikasz pod linuksem
A tutaj z ftp będzie problem. ;)
Coś podobnego? Chcesz powiedzieć, że mi od 3 lat ftp nie działa?
(nie używam proxy, łączę się pasywnie)

Pozdrawiam
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Krzysztof Oledzki
2006-07-31 16:53:32 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
Dnia Sun, 30 Jul 2006 21:20:18 +0000 (UTC)
Post by Krzysztof Oledzki
Post by Jacek 'Szumak' Kotlarski
sysctl net.inet.ip.forwarding=1
echo "nat on xl0 from !(xl0) -> (xl0:0)" | pfctl -f- -e
Na oko wychodzi, że z palca więcej się klikasz pod linuksem
A tutaj z ftp będzie problem. ;)
Coś podobnego? Chcesz powiedzieć, że mi od 3 lat ftp nie działa?
(nie używam proxy, łączę się pasywnie)
A jakbyś się musiał połączyć aktywnie?

Pozdrawiam,

Krzysztof Oledzki
--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)
Jacek 'Szumak' Kotlarski
2006-07-31 17:23:22 UTC
Permalink
Dnia Mon, 31 Jul 2006 16:53:32 +0000 (UTC)
Post by Krzysztof Oledzki
A jakbyś się musiał połączyć aktywnie?
z binatem działa samo, jeśli nat to pozostaje systemowe (lub inne)
ftp-proxy + ze 3 dodatkowe regułki

Pozdrawiam
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Krzysztof Oledzki
2006-07-31 17:31:04 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
Dnia Mon, 31 Jul 2006 16:53:32 +0000 (UTC)
Post by Krzysztof Oledzki
A jakbyś się musiał połączyć aktywnie?
z binatem działa samo, jeśli nat to pozostaje systemowe (lub inne)
ftp-proxy + ze 3 dodatkowe regułki
Czyli już tak ładnie i łatwo nie będzie, tak? ;)

Pozdrawiam,

Krzysztof Oledzki
--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)
Jacek 'Szumak' Kotlarski
2006-07-31 19:15:12 UTC
Permalink
Dnia Mon, 31 Jul 2006 17:31:04 +0000 (UTC)
Post by Krzysztof Oledzki
Post by Jacek 'Szumak' Kotlarski
z binatem działa samo, jeśli nat to pozostaje systemowe (lub inne)
ftp-proxy + ze 3 dodatkowe regułki
Czyli już tak ładnie i łatwo nie będzie, tak? ;)
Biorąc pod uwagę, że state-full ruleset dla routera obsługującego
powiedzmy 5xWAN, DMZ dla kilku serwerów i rozbudowane kolejkowanie hfsc
dla powiedzmy 100 klientów to około 1000 regułek, to jak uważasz? Te 3
dodatkowe regułki będą miały jakiekolwiek znaczenie dla zwiększenia
złożoności konfiguracji? Bo IMHO to najmniejszy problem.

Pozdrawiam :)
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Krzysztof Oledzki
2006-07-31 19:47:00 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
Dnia Mon, 31 Jul 2006 17:31:04 +0000 (UTC)
Post by Krzysztof Oledzki
Post by Jacek 'Szumak' Kotlarski
z binatem działa samo, jeśli nat to pozostaje systemowe (lub inne)
ftp-proxy + ze 3 dodatkowe regułki
Czyli już tak ładnie i łatwo nie będzie, tak? ;)
Biorąc pod uwagę, że state-full ruleset dla routera obsługującego
powiedzmy 5xWAN, DMZ dla kilku serwerów i rozbudowane kolejkowanie hfsc
dla powiedzmy 100 klientów to około 1000 regułek, to jak uważasz?
Przeszukiwane liniowo? To musi boleć, nawet po dodaniu "quick".
Post by Jacek 'Szumak' Kotlarski
Te 3
dodatkowe regułki będą miały jakiekolwiek znaczenie dla zwiększenia
złożoności konfiguracji? Bo IMHO to najmniejszy problem.
Ale mowa była o jednolinijkowym nacie, tak? ;)


Pozdrawiam,

Krzysztof Oledzki
--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)
Jacek 'Szumak' Kotlarski
2006-07-31 20:37:35 UTC
Permalink
Dnia Mon, 31 Jul 2006 19:47:00 +0000 (UTC)
Post by Krzysztof Oledzki
Przeszukiwane liniowo? To musi boleć, nawet po dodaniu "quick".
Boleć? Uważasz, że jaka maszyna byłaby właściwa do podanej
konfiguracji, by nie "bolało"?

BTW jak zrobisz liniową strukturę rulesetu to masz liniowo, ale nikt
tego od Ciebie nie wymaga. Możesz wrzucić dowolnie duże podsieci na
kotwice, w zasadzie stopień optymalizacji rulesetu zależy tylko i
wyłącznie od osoby, która go projektuje.
Post by Krzysztof Oledzki
Post by Jacek 'Szumak' Kotlarski
Te 3
dodatkowe regułki będą miały jakiekolwiek znaczenie dla zwiększenia
złożoności konfiguracji? Bo IMHO to najmniejszy problem.
Ale mowa była o jednolinijkowym nacie, tak? ;)
ale jednolinijkowy nat działa wszakże, aktywny ftp to już obsługa
połączeń przychodzących - więc w najprostszej wersji binat (1 regułka
zamiast nat) załatwia sprawę.
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Krzysztof Oledzki
2006-07-31 21:55:27 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
Dnia Mon, 31 Jul 2006 19:47:00 +0000 (UTC)
Post by Krzysztof Oledzki
Przeszukiwane liniowo? To musi boleć, nawet po dodaniu "quick".
Boleć? Uważasz, że jaka maszyna byłaby właściwa do podanej
konfiguracji, by nie "bolało"?
To zależy od ruchu, po prostu dużo tych regułek...
Post by Jacek 'Szumak' Kotlarski
BTW jak zrobisz liniową strukturę rulesetu to masz liniowo, ale nikt
tego od Ciebie nie wymaga. Możesz wrzucić dowolnie duże podsieci na
kotwice, w zasadzie stopień optymalizacji rulesetu zależy tylko i
wyłącznie od osoby, która go projektuje.
A możesz tak jak w iptables zrobić podłańcuchy przez co pakiet zamiast
oblecieć po wszystkich regułkach przelatuje tylko po tych co powinien,
np. dedykowanych dla danego intrface in/out? :)
Post by Jacek 'Szumak' Kotlarski
Post by Krzysztof Oledzki
Post by Jacek 'Szumak' Kotlarski
Te 3
dodatkowe regułki będą miały jakiekolwiek znaczenie dla zwiększenia
złożoności konfiguracji? Bo IMHO to najmniejszy problem.
Ale mowa była o jednolinijkowym nacie, tak? ;)
ale jednolinijkowy nat działa wszakże, aktywny ftp to już obsługa
połączeń przychodzących - więc w najprostszej wersji binat (1 regułka
zamiast nat) załatwia sprawę.
A kto podmieni IP w pakiecie z sesji kontrolej? ;)

Pozdrawiam,

Krzysztof Oledzki
--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)
Jacek 'Szumak' Kotlarski
2006-07-31 23:14:15 UTC
Permalink
Dnia Mon, 31 Jul 2006 21:55:27 +0000 (UTC)
Post by Krzysztof Oledzki
Post by Jacek 'Szumak' Kotlarski
Boleć? Uważasz, że jaka maszyna byłaby właściwa do podanej
konfiguracji, by nie "bolało"?
To zależy od ruchu, po prostu dużo tych regułek...
A to oczywiście racja, ja niestety musze męczyć się z DSLemi i mam w
sumie 16MB w takiej konfiguracji. Router z Celeronem 400MHz ma w
szczycie 20% obciążenia a i to tylko z powodu snorta tnącego p2p na
jednym z łącz, tak więc nie powiedział bym, że to boli. Jeśli
przepustowość wzrośnie (lub liczba klientów) to zawsze można włożyć tam
szybszą maszynę, to w dzisiejszych czasach przecież nie problem.
Regułek dużo, to fakt ale to z powodu dosyć złożonych limitów i
kolejkowania na łączach asymetrycznych.
Post by Krzysztof Oledzki
A możesz tak jak w iptables zrobić podłańcuchy przez co pakiet zamiast
oblecieć po wszystkich regułkach przelatuje tylko po tych co powinien,
np. dedykowanych dla danego intrface in/out? :)
Najprościej w przykładzie z kotwicami, o którym wspomniałem:
tworzysz drzewiastą strukturę regułek:
- kilka głównych gałęzi filtrujących ruch w/g jakiegoś ustalonego
kryterium i kierujących złapany pakiet w głąb na podwieszony mniejszy
ruleset
- niżej już bardziej szczegółowe regułki z quick i oczywiście keep state
- ruch możesz przypisywać do kotwicy w/g wszystkich możliwych na tym
filtrze atrybutów: in/out na interfejsach, protokoły, adresy, porty,
flagi, tagi, itd. Po stringach w pakietach się nie da na jakimkolwiek
filtrze w *BSD.
Używając IPFW podobną funkcjonalność realizujesz przy pomocy skipów.
Post by Krzysztof Oledzki
Post by Jacek 'Szumak' Kotlarski
ale jednolinijkowy nat działa wszakże, aktywny ftp to już obsługa
połączeń przychodzących - więc w najprostszej wersji binat (1
regułka zamiast nat) załatwia sprawę.
A kto podmieni IP w pakiecie z sesji kontrolej? ;)
Na binacie? Kernel? ;)

Pozdrawiam
--
: Jacek 'Szumak' Kotlarski : Stowarzyszenie OKSYWIE_NET :
::: < szumak at moja domena z nagłówka > : GG 2052377 :::
:::::::::: UWAGA: adres w nagłówku to SPAMTRAP ::::::::::
Krzysztof Oledzki
2006-07-31 23:40:22 UTC
Permalink
Post by Jacek 'Szumak' Kotlarski
Post by Krzysztof Oledzki
A kto podmieni IP w pakiecie z sesji kontrolej? ;)
Na binacie? Kernel? ;)
Ale nie nagłowku tylko w payloudzie pakietu?

Pozdrawiam,

Krzysztof Oledzki
--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)
Emil Grochocki
2006-07-31 19:43:57 UTC
Permalink
Post by Krzysztof Oledzki
A jakbyś się musiał połączyć aktywnie?
... to w Linuxie modprobe ip_nat_ftp ;)

EG
Krzysztof Oledzki
2006-07-31 19:48:23 UTC
Permalink
Post by Emil Grochocki
Post by Krzysztof Oledzki
A jakbyś się musiał połączyć aktywnie?
... to w Linuxie modprobe ip_nat_ftp ;)
O ile nie masz statycznie wkompilowanego w kernel. Poza tym
potrzebujesz jeszcze ip_conntrack_ftp.

Pozdrawiam,

Krzysztof Oledzki
--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)
Emil Grochocki
2006-07-31 21:03:48 UTC
Permalink
Post by Krzysztof Oledzki
O ile nie masz statycznie wkompilowanego w kernel.
Zgoda. Jest wiele drog. Ja netfilter / xtables przywyklem kompilowac jak
moduly ale jak ktos chce to moze sobie wkompilowac je statycznie. Jesli nie
ma sie natomiast ochoty, czasu, checi itp. aby customizowac kernel to w
prekompilowanym, ktory dostajemy z krazka to co wyzej jest jako modul(y).
Post by Krzysztof Oledzki
Poza tym
potrzebujesz jeszcze ip_conntrack_ftp.
Potrzebowac - oczywiscie, ze potrzebuje ale wystarczy wykonac samo modprobe
ip_nat_ftp, ktore i tak zaladuje ip_conntrack_ftp jako zaleznosc, czyz nie ?

EG
Krzysztof Oledzki
2006-07-31 21:56:51 UTC
Permalink
Post by Emil Grochocki
Post by Krzysztof Oledzki
O ile nie masz statycznie wkompilowanego w kernel.
Zgoda. Jest wiele drog. Ja netfilter / xtables przywyklem kompilowac jak
moduly ale jak ktos chce to moze sobie wkompilowac je statycznie. Jesli nie
ma sie natomiast ochoty, czasu, checi itp. aby customizowac kernel to w
prekompilowanym, ktory dostajemy z krazka to co wyzej jest jako modul(y).
A co to za różnica czy ftp jest czy go nie ma? Większą różnicą jest np. obecność
conntracka.
Post by Emil Grochocki
Post by Krzysztof Oledzki
Poza tym
potrzebujesz jeszcze ip_conntrack_ftp.
Potrzebowac - oczywiscie, ze potrzebuje ale wystarczy wykonac samo modprobe
ip_nat_ftp, ktore i tak zaladuje ip_conntrack_ftp jako zaleznosc, czyz nie ?
A to prawda, ale nie od zawsze. ;)

Pozdrawiam,

Krzysztof Oledzki
--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)
Emil Grochocki
2006-07-31 22:39:14 UTC
Permalink
Post by Krzysztof Oledzki
A co to za różnica czy ftp jest czy go nie ma? Większą różnicą jest np. obecność
conntracka.
Przeciez nikt temu nie przeczy :)
Post by Krzysztof Oledzki
A to prawda, ale nie od zawsze. ;)
Tak. Piszac o tym zakladalem podswiadomie, ze mowimy o obecnej wersji
kernela.

Pozdrawiam

EG
Krzysztof Oledzki
2006-07-31 22:50:32 UTC
Permalink
Post by Emil Grochocki
Post by Krzysztof Oledzki
A to prawda, ale nie od zawsze. ;)
Tak. Piszac o tym zakladalem podswiadomie, ze mowimy o obecnej wersji
kernela.
Kernela 2.6 - afair w 2.4 jest i raczej zostanie to niezależne.


Pozdrawiam,

Krzysztof Oledzki
--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO60-6BONE, KO581 (Network Solutions)
Emil Grochocki
2006-07-31 23:00:15 UTC
Permalink
Post by Krzysztof Oledzki
Kernela 2.6 - afair w 2.4 jest i raczej zostanie to niezależne.
Dokladnie.

Pozdrawiam

EG
Cezary Morga
2006-07-23 17:26:59 UTC
Permalink
Post by Emil Grochocki
Post by wrkilu
CIĄGLE NIE DZIAŁA :(( , co robić ???
Wywal te cale *BSD, zainstaluj linuxa
ROTFL...
Dawno sie tak nie usmialem :)
--
---
Cezary Morga
Emil Grochocki
2006-07-23 18:06:35 UTC
Permalink
Post by Cezary Morga
ROTFL...
Dawno sie tak nie usmialem :)
Ja tez.

EG
Loading...