LINUX.ORG.RU

OpenBSD 3.4 Released


0

0

Ура, товарищи! 30.10.2003 вышла OpenBSD 3.4, на два дня раньше чем обещалось. Авторы поняли, что ждать еще два дня никто уже не мог и пошли на этот шаг. Изменений очень много, как обычно: безопасность, новые пакеты, вопросы лицензирования и т.д. На ftp://ftp.openbsd.org уже не пробиться...

>>> Подробности

anonymous

Проверено: ivlad

ура товарищи!!!

anonymous
()

Расскажите, pls, кто-нибудь использует OpenBSD, как гейт, умеющий делать QoS? Что там в этом плане реализованно и что он умеет делать?

anonymous
()

> Авторы поняли, что ждать еще два дня никто уже не мог и пошли на этот шаг

скорее поняли что выходные уже ничего не решат - можно и отдохнуть :) а заодно и отметить :))))

hoopoe ★★
()
Ответ на: комментарий от Sun-ch

Нашел инфу о том, что altq умеет: - CBQ, HFSC, JoBS, RED, RIO, Blue, WFQ, and PRIQ implementations - RSVP stubs for CBQ/HFSC - diffserv model support

Ну а что реально в жизни используется?

anonymous
()
Ответ на: комментарий от anonymous

### /etc/pf.conf

## MACROS - here's where you set variables for use in your rules
# specify your own values and interfaces
loop="lo0"
ext_if="xl0"
ext_net="xxx.xxx.xxx.xxx/xx"
int_if="rl0"
int_net="192.168.0.0/24"
unfiltered="{ lo0, rl0 }"
tcp_svcs="{ 22, 25, 53, 80, 110, 443, 465, 995, > 1024 }"

## OPTIONS - network settings
# use 'return' instead of 'drop' if you wish to return responses to connection
# attempts, 'drop' is the same as the 'blackhole' sysctl option
set timeout { frag 15, interval 5 }
set limit { frags 2500, states 5000 }
set optimization aggressive
set block-policy drop
set loginterface $ext_if

## TABLES - useful for specifying large lists of data

## NORMALIZATION - Scrubbing will automatically drop TCP packets that have invalid
# flag combinations, so there's no need for typical 'anti-portscan' rules that ipf
# and ipfw use.
scrub in on $ext_if
scrub out on $ext_if no-df random-id min-ttl 24 max-mss 1492

## QUEUES - ALTQ rules
altq on $ext_if cbq bandwidth 500Kb queue { q_std }
queue q_std bandwidth 100% cbq
{ q_def, q_pri, q_web, q_msc, q_dat, q_gms }
queue q_def bandwidth 25% priority 1 cbq(borrow default red ecn)
queue q_dat bandwidth 10% priority 0 cbq(red)
queue q_web bandwidth 25% priority 5 cbq(borrow)
queue q_msc bandwidth 15% priority 4 cbq(borrow)
queue q_gms bandwidth 25% priority 6 cbq(borrow)
queue q_pri priority 7

## TRANSLATIONS - nat, binat and rdr rules
no nat on $unfiltered
no rdr on $unfiltered
nat on $ext_if from $int_net to any -> $ext_if

## FILTER - specific rules for blocking and allowing various traffic
# 'from any to any' and 'all' are inferred by default and do NOT have to be
# declared in your rules.
# Let loopback and internal interface traffic flow without restrictions
pass quick on $unfiltered

# Deny and log all by default
# This replaces 'block in all' and 'block out all'
block log

# Allow pings and replies while keeping state
pass out quick on $ext_if inet proto icmp icmp-type 8 code 0 keep state
pass in quick on $ext_if inet proto icmp icmp-type 8 code 0 keep state

# Keep state on all outgoing UDP and allow DNS replies
pass out on $ext_if inet proto udp keep state
pass in quick inet proto udp from any to $ext_if port 53 keep state

# Modulate state on all outgoing TCP and keep state on allowed incoming TCP ports
pass out on $ext_if inet proto tcp from $ext_if to any flags S/SA modulate state
pass in on $ext_if inet proto tcp from any to $ext_if port $tcp_svcs flags
S/SA keep state

# Here are some ALTQ rules to show how 'cbq' works, 'priq' is also popular
# The indented lines are a continuation of the previous line, as
# backslash doesn't display here # Pass out valid TCP states and UDP.
pass out on $ext_if keep state queue(q_std)
pass out on $ext_if inet proto tcp from $ext_if to any
flags S/SA modulate state queue(q_def, q_pri)
pass out on $ext_if inet proto tcp
port { 21, 20, 5800, 5801, 5900, 5901 } queue(q_dat)
pass out on $ext_if inet proto { tcp, udp } keep state
port { 53, 80, 443 } queue(q_web)
pass out on $ext_if inet proto tcp
port { 22, 25, 110, 143, 993, 994, 995, 6667 } flags S/SA
modulate state queue(q_msc)
pass out on $ext_if inet proto udp keep state
port { 27000 >< 28000 } queue(q_gms)

# EOF

Sun-ch
()
Ответ на: комментарий от Sun-ch

Спасибо, конечно, за конфиг. Но там так сразу без опыта и пол литра не разберешся.

Вот нашел, что можно это все настроить как бридж: http://www.monkey.org/openbsd/archive/tech/0112/msg00099.html

А есть ли что-то похожее на IMQ, как в Линуксе?

(The Intermediate queueing device can be used for advanced traffic control. You can use it to implement egress + ingress traffic control, possibly over multiple network devices. All packets entering/leaving the ipstack marked with an special iptables target will be directed through the qdisc attached to an imq device. After enqueueing the decision what happens to a packet is up to the qdisc. It can reorder/drop packets according to local policies. This allows you to treat network devices as classes and distribute bandwidth among them as well as doing real ingress traffic control using egress qdiscs.)

anonymous
()

Кстати как-то писал как сделать исошник из той каши, что они выкладывают. Может кому еще пригодится...

========================================================
To make bootable iso image and install OpenBSD from CD:
========================================================

1. Make iso image using your favourite program. Make sure you made iso bootable.
For example, using cdrtools:

shell# mkhybrid -b openbsd/floppy34.fs -c boot.catalog -l -J -L -r -o obsd34.iso openbsd/

It's supposed all files are in openbsd/ catalog.

options are:

-l -- allow files that contain "~" and "#" in the filename.
-J -- includes Joliet extensions.
-L -- allow filenames to begin with ".".
-r -- sets file permissions.
-o obsd.iso -- output goes in obsd33.iso
-b openbsd/floppy34.fs -- specifies the boot image to use, path is relative to /openbsd.
-c boot.catalog -- creates a boot catalog.

Your iso image will be about 240 mbytes. It's normal for 650/700 mb (75/80 min) cd's
but too large for small pretty 210 mb (23 min) cd's. You can play with gzip/bzip2 utulites to convert
src.tar.gz, sys.tar.gz and ports.tar.gz to bzip2-archives. For example:

shell# gzip -d src.tar.gz && bzip2 -z -9 src.tar

As result, your get src.tar.bz2 is much smaller size.
Do this with sys.tar.gz and ports.tar.gz also, and whole iso image will be 205 mbytes. Great!

2. Burn new image using your favourite program.
For example, using cdrtools:

shell# cdrecord -v speed=8 dev=0,2,0 -eject -data obsd34.iso

options are:

-v -- verbose mode
speed -- speed using to burn (your drive must supports it as like as blank cd-rw!)
dev -- device node, try shell# cdrecord -scanbus to determine it
-eject -- eject CD after burning
-data obsd33.iso -- path to your OpenBSD iso image

3. Play your BIOS settings to boot from cdrom. Put your new OpenBSD 3.3 compact disk into drive and enjoy!

tokza
()
Ответ на: комментарий от tokza

Там везде 33 на 34 позаменяйте, инструкция писалась для 33.

tokza
()
Ответ на: комментарий от anonymous

Ты ослышался, малыш

www.google.com, search - 'openbsd sucks'
Первая ссылка:

OpenBSD rules, Red Hat Linux sucks. ...
zgp.org/linux-elitists/ 20001212144955.B17123@zgp.org.html - 13k 

tokza
()
Ответ на: комментарий от anonymous

А кому нужны эти правила в PF если на 1000 человек нужно править рулузеты ? MS ISA - вот настоящий firewall - хоть по IP хоть по логину делай правила. А делать подделки на perl/shell долгая история.

anonymous
()
Ответ на: комментарий от anonymous

2anonymous (*) (03.11.2003 11:39:48)

"А кому нужны эти правила в PF если на 1000 человек нужно править рулузеты ?"

Во-первых, 1000 правил фильтрации только по юзерам это однозначно клиника... Не проще ли их в группы заколбасить и вместо 1000 рулсетов написать 10?
Во-вторых, не надо путать пакетный фильтр и прокси.

Krause
()
Ответ на: комментарий от anonymous

Потому что ЛОР - отстойник ;)

anonymous
()
Ответ на: комментарий от anonymous

Отстой потому, что мозгов не хватило, чтобы разобраться? Этот отстой считается самый защищённым. - Only one remote hole in the default install, in more than 7 years! www.openbsd.org - windows->linux->*bsd вы недалеко ушли...

anonymous
()
Ответ на: комментарий от anonymous

"MS ISA - это файрволл."
Скажем так. Это прокси с кастрированной возможностью фильтрации и трансляции адресов. ISA в принципе не может быть полноценным файрволом поскольку работает сугубо как аппликуха. Для сравнения посмотри как сделан чекпойнт. Вся фильтрация идет на уровне ядра OS. А как аппликухи выполняются только интерфейсы управления etc..

Krause
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.