переписал конфиг линуксового файрвола на фряшный

лет 6 назад или больше

Помню уже в 2008 примерно всё было на грабе (ну кроме конструкторов, которые собирал сам, и мог хоть loadlin.exe использовать). Речь не про 6 лет, а наверное уже лет про 15, если не 20.

Вот это надо было в топике написать. А то развели панимаешь интригу на «750+ строчек » :)

)

этот файрвол еще участвовал в войне местных провайдеров. когда они только делили рынок. тогда я еще самопальный биллинг на нем писал, чтобы тайком пропускать друзей из одной сети к друзьям в другую:)

на pentium I...

Так вы его с чего начинали (ipfw/ipchains)? Хотя если P1 видимо ipchains?

нет, это уже было 2.4 и iptables. 2.2 я помню, но вроде его на той машине не было.

Значит точно mmx :)

о, да, это был настоящий зверь, mmx) правда в итоге и он перестал справляться с трафиком.

правда в итоге и он перестал справляться с трафиком.

Ну собстно я с этого и начал намекая на ipchains. А вы раздухарились сразу на iptables :)

я фактически ipchains не знаю. поэтому намек и не понял:)

Мне почему-то казалось что «у вас майка грязнее» (с) анекдот :)
Признаться по правде я ipchains уже и не помню. (а уж ipfwadm тем более) Понадобилось н-лет назад на одной железке использовать ipchains для пользы дела, с наскоку с «двумя» правилами которые надо было добавить в пустой fw, не справился, пришлось вдумчиво гуглить ман. А ведь самому казалось, да шо там такого, тот же iptables только проще, блямс, жмяк, твоюж... и так далее и тому подобное... А ведь когда-то я на нём не то что «пел», «танцевал вприсядку», разбуди в 22 утра первого января, любой конфиг нарисую не приходя в сознание :) В провайдинге в том числе оно использовалось :)

да, поэтому я и рад, что FreeBSD предоставляет такую возможность понастальгировать:) это ж надо же! файрвол с call-процедурами)))

допустим, нужен тебе какой-то график загрузки сетевых интерфейсов или диска и вот оно тут чисто консольный systat

поэтому я и рад, что FreeBSD предоставляет такую возможность понастальгировать:)

Всё! Больше не подкалываю на тему как оно там на бзде? :) Ну если подколю, то звиняйте, мышечная память :)

единственное, не хватает cisco (запрещено в российской федерации!) ping, который бы рисовал !!!! и ....

Когда мы доходим до таких вещей как «график», сначала это кажется здорово, но потом нам приходиться изучать, а что же на самом деле значит этот график. И вот тут зачастую дьявол и зарыт, мы полагаемся на «график» думая одно, а он рисует другое. Печально но факт.

это все понятно, но для прикидок как раз нужные такие вещи из коробки под рукой. а не чтобы в новом релизе их выкинули «потому что уже не модно» (ifconfig).

Такова особенность мозга, что не используется - то забывается. Сам с трудом сейчас вспомнил про MASQ. А целиком ни одного правила ipchains/ipfwadm на память не напишу - это точно, хотя огого и агага в своё время на них тоже :)

а не чтобы в новом релизе их выкинули «потому что уже не модно» (ifconfig).

Ну нет же. Сам нежно люблю ifconfig, но net-tools выкинули из условного base system из-за другого, конечно.

у тебя, как всегда могут быть свои причины, но я вот вижу, что во FreeBSD все, что хотели, туда интегрировали, а в RH зачали новый инструмент, т.к. не шмогли. для меня это однозначный показатель.

а в RH зачали новый инструмент

Ты хоть погугли, кто такой Алексей Кузнецов, где он работал и чем занимался, чтобы не нести такую ересь.

и когда обновил ее на 13.0-RELEASE, то этот pf там сломался. т.е. при разработке его не тестируют также хорошо, как ipfw.

Это у тебя что-то не то с руками.

Корректируют, тестируют в -CURRENT, обкатывают в -STABLE, а в -RELEASE всё готово к продакшену. И сейчас актуальна 13.1, а не 13.0.

Из неприятного - качество кода. Я периодически вижу сегфолты в базовых мелких утилитах. В линуксе такого не было.

А я такого не нахожу. Как можно ТАК изловчиться, что бинарный код неправильно поставить (обновить)?! С какой помойки ты его брал?

И до сих пор не осилил из src собрать собственный дистрибутив, фряховод называется.

% ifconfig tun0 destroy
ifconfig: interface tun0 does not exist
% ifconfig tun0 create
% ifconfig tun0 
tun0: flags=8010<POINTOPOINT,MULTICAST> metric 0 mtu 1500
	options=80000<LINKSTATE>
	groups: tun
	nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
% ifconfig tun0 destroy
% ifconfig tun0
ifconfig: interface tun0 does not exist
% ifconfig tun0 create
% ifconfig tun0
tun0: flags=8010<POINTOPOINT,MULTICAST> metric 0 mtu 1500
	options=80000<LINKSTATE>
	groups: tun
	nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
% ifconfig tun0 destroy
% ifconfig tun0
ifconfig: interface tun0 does not exist

Почему у меня такой глюк не повторяется?

а не чтобы в новом релизе их выкинули «потому что уже не модно» (ifconfig).

У меня релиз онтопика этого года, завтра будет 5 месяцев как он родился. Специально завел установленный с нуля.

root@64:~# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500

Почему у меня такой глюк не повторяется?

если бы он повторялся так очевидно, то его бы давно исправили. я именно имею ввиду те глюки, которые проявляются, когда систему _настраиваешь_ и _используешь_. а не поставил и выполнил команду для теста.

он-топик фряха вообще-то, а у тебя оффтопик)

In 2009, Red Hat decided to deprecate ifconfig as the default command line network interface management utility, because the “net-tools” package (which provides ifconfig) did not support InfiniBand addresses (commonly used interconnect in high-performance computing applications). InfiniBand addresses were too big for ifconfig to display; therefore, it was necessary to deprecate ifconfig and to find a tool that could display long InfiniBand addresses.

pf даже в fib не умел до какого-то времени. Ну и NAT там только один. Но для домашних нужд хватит pf.

Вообще же FreeBSD поддерживает несколько механизмов NAT: natd, ipnat, PF nat, ng_nat, kernel nat.

а у тебя оффтопик)

Мой оффтопик ближе к

фряха

Чем

Red Hat

Название дистра предлагаю угадать с первого раза :)

в общем, как видишь, чего-то у них там в RedHat не влезло в ifconfig в 2009 и они так запросто взяли и выкинули из базы.

депривация сна повышает дофамин

Это если есть мотив.

нет, это в принципе на уровне биологии как-то работает.

Нет, ну iproute это действительно очень годная вещь! А то, что кто-то может поставлять или не поставлять ifconfig, это его личное дело. Честно смогу сказать ip [буква[ы]] быстрее набирать, чем ifconfig, мелочь а приятно.

Нет, ну iproute это действительно очень годная вещь!

так это... она более годная, чем ifconfig?

Честно смогу сказать ip [буква[ы]] быстрее набирать

Мне ещё cisco style ключей понравился:

ip a sh

Ещё быстрее набирать.

здесь суть в том, что в линуксе базар: перестала устраивать одна тулза, взяли проект кузнецова и включили в дистрибутив. ничего даже не пытались править. взяли и выкинули.

а во freebsd же base system делает одна команда. они развивали то, что есть. и в результате это все выглядит приятнее.

взяли проект кузнецов и включили в дистрибутив

iproute/iproute2 давным давно во всех дистрибутивах, просто в rh сделали рокировку ifconfig->ip давно, а в ubuntu сильно позднее.

они развивали то, что есть. более централизовано.

У разделения системы на base/ports есть как свои плюсы, так и минусы, я плотно админил freebsd когда-то (4.х)

iproute/iproute2 давным давно во всех дистрибутивах

это нельзя назвать просто рокировкой, т.к. функционал разный. плюс на них же скрипты завязаны.

кузнецов тут не при чем, он дистрибутивы не делает: переписал конфиг линуксового файрвола на фряшный (комментарий)

тон задает RH.

ubuntu

мартышки.

админил freebsd когда-то (4.х)

как сейчас помню, записал 4.11 на блестящий такой Verbatim RW. думаю: ссееейчас перейду и у меня сразу член в метр будет. она возьми и зависни на моем железе (kernel panic). никогда ее не админил, т.к. считал более глючной по сравнению с линуксом. неэффективно для заработка. и вот «на пенсии» сбылась мечта идиота.)

так это... она более годная, чем ifconfig?

Скажите, а заз+ваз+газ+маз более годно чем ваз?

это нельзя назвать просто рокировкой, т.к. функционал разный. плюс на них же скрипты завязаны.

В ifconfig тоже синтаксис относительно недавно менялся, также пришлось править скрипты и это примерно также затратно, как замена ifconfig->ip

кузнецов тут не при чем, он дистрибутивы не делает

Однако он написал ip :)

мартышки

Мда. Эти «мартышки» имеют по объективным причинам «более лучшести» (с) на порядки больше установок и использования в проде, чем freebsd.

ip a sh

ip a s на символ короче :)

она возьми и зависни на моем железе (kernel panic)

Ггг, небось на двухъядерном/двухпроцессорном железе запустил, giant lock он такой.

Однако он написал ip :)

да пофигу. важно, что никто не заботился о развитии того, что есть.

В ifconfig тоже синтаксис относительно недавно менялся

мы сейчас снова про линукс, верно?

Эти «мартышки» ... больше установок и использования в проде, чем freebsd.

само собой. но они как флюгер. куда RH плюнет, туда и они бегут.

Да, но я же написал cisco style, там принято sh, если я не забыл ещё.

хочу себе пинг, как в cisco!

...!!!...

/* все, ушел патчить пинг */

мы сейчас снова про линукс, верно?

Да

само собой. но они как флюгер. куда RH плюнет, туда и они бегут.

Нет, это опять субъективизм. То, что они перешли на systemd, забросив upstart - это не флюгер.

И не всегда базар в разработке это плохо. По доле «рынка» freebsd видно, что подобная стабильность может быть минусом.

мы сейчас снова про линукс, верно?

Да

my point exactly

Вот ты опять выдёргиваешь удобную тебе отдельную фразу из цельного комментария, а потом обижаешься, когда тебе указывают на это.

чтобы это делать хорошо, немного мозги нужны. ты завидуешь, вот и обижаешься.

это именно мой поинт, что в линуксе опять поломали то, что работало.