LINUX.ORG.RU

Zend прекращает поддержку FreeBSD

 , ,


0

0

Производственный директор компании Zend Кент Митчелл (Kent Mitchell) официально заявил, что поддержка платформы FreeBSD в продуктах Zend прекращена в связи с отсутствием спроса.

По словам Митчелла, спрос на коммерческую продукцию компании Zend под платформу FreeBSD ничтожно мал — даже на сборки под Mac спрос на порядки выше. Оставлять поддержку FreeBSD-версий только для бесплатных продуктов (в частности, Zend Optimizer) также нецелесообразно, потому что они развиваются на деньги, вырученные при продаже коммерческой продукции.

Заметим, что последняя доступная под FreeBSD версия Zend Optimizer — 3.3.9 — существует только в 32-битной сборке.

Мейнтейнер PHP во FreeBSD Алекс Дюпре (Alex Dupre) уже сообщил, что новых релизов порта ZendOptimizer больше не будет.

>>> Подробности

★★★★

Проверено: maxcom ()

Ответ на: комментарий от lystor

> Вкусная штука - поддержка таблиц. Мы же берем следующий простой велосипед

ipset

Nao ★★★★★
()

Ждём в интернетах вопросов «Как поставить Zend Optimizer под FreeBSD?»

Zmacs
()
Ответ на: комментарий от anonymous

хахаха, линухоиды на любую недоработку отвечают «нэ нужин, да» либо «uniks-wey» :)) поди и отвёртка у вас вместо шила?

а теперь подумай, интлигентишко, сколько правил это займёт? подумай, что для файервола поддержка списков - очень полезная штука, до которой не дорос ещё iptables... «нэ нужин, да»?

wilkomen-to-lor
()
Ответ на: комментарий от iZEN

> Пример конфигурации с балансировкой трафика на два провайдера и предоставление доступа в внутренним web-серверам извне:

pass in quick on $int_if route-to { ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net

Я так понимаю NAT тут не делается? Не видел таких провайдеров чтобы белые адреса пускали через свой шлюз. Или у тебя там одни белые адреса на машинах из LAN?

pass in quick on $int_if route-to { ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin from $lan_net

Этого достаточно чтобы трафик потом обратно прошёл ибо тут вроде как block all?..

Nao ★★★★★
()
Ответ на: комментарий от lystor

Видимо это и имел в виду Изен, когда говорил про соотношение создаваемых правил в iptables и pf- ваш пример это полностью подтверждает. Это конечно же не является большой проблемой

ingoa
()
Ответ на: комментарий от anonymous

и ещё - давно iptables поддерживает переменые? это для того, чтобы в правилах не приходилось постояно указывать в каждой интерфейс или ip-шник?

wilkomen-to-lor
()
Ответ на: комментарий от wilkomen-to-lor

> и ещё - давно iptables поддерживает переменые? это для того, чтобы в правилах не приходилось постояно указывать в каждой интерфейс или ip-шник?

Как правило правила iptables распологаются в шелл-скрипте, по этому нужды в переменных нет.

Ещё раз повторяю что наборы ip адресов/маков и портов в iptables есть и это ipset

Nao ★★★★★
()
Ответ на: комментарий от wilkomen-to-lor

в iptables заполнение производится из шела, а как же еще? Пишешь скрипт и в нем определяешь необходимые тебе переменные.

ingoa
()
Ответ на: комментарий от anonymous20090302

>Между прочим и на ЛОРе бзду^Wпользователей BSD становится всё меньше, печально это както, видимо действительно скоро RIP...

Между прочим, число умных людей на ЛОРе становится всё меньше. И это неспроста.

Sun-ch
()
Ответ на: комментарий от Nao

> Как правило правила iptables распологаются в шелл-скрипте, по этому нужды в переменных нет.

и из-за изменения всего одной переменной будете перегружать все правила? или предпочтёте _ручками_ вначале удалить старое правило а потом добавить новое???

wilkomen-to-lor
()
Ответ на: комментарий от Nao

Я так понимаю NAT тут не делается? Не видел таких провайдеров чтобы белые адреса пускали через свой шлюз.

NAT/biNAT тоже одной командой на исходящем интерфейсе для списка адресов или подсеток делается. В чём проблема?

Этого достаточно чтобы трафик потом обратно прошёл

Да. Этого достаточно.

ибо тут вроде как block all?..

«block all» запрещает всё, что не разрешено в опциях и правилах.

В IPTABLES пришлось бы открывать как входящие, так и исходящие соединения для КАЖДОГО интерфейса.

iZEN ★★★★★
()
Ответ на: комментарий от wilkomen-to-lor

Зачем перегружать?
ipset -N servers ipmap --network 192.168.0.0/16
ipset -A servers 192.168.0.1
ipset -A servers 192.168.0.2

ipset -N ports portmap --from 1 --to 1024
ipset -A ports 21
ipset -A ports 22
ipset -A ports 25

iptables -A FORWARD -m set --set servers dst,dst -j ACCEPT

Выглядит корявее чем в pf но по сути то ж создается хэш по адресам/сетям/портам с быстрым поиском в дальнейшем по этому хэшу

ingoa
()
Ответ на: комментарий от iZEN

Вчитайтесь в эту сентенцию и подумайте, почему это — бред.


iZEN, дружище, я тебя правда зауважал за последовательный фанатизм.
Но твоя позиция здесь исключительно по защите фрибсд в качестве десктопа. Ты сам признавался что на сервере ее не юзал. А тем более на серверах (это важно).

В конкретно твоем случае все ништяк.

Потому что во FreeBSD нет тех проблем, которые вылазят в линуксах тут и там. На форумах FreeBSD практически нет подобных тем, что есть в линаксах. Сравните форумы: www.bsdportal.ru и forum.ubuntu.ru, проведите качественный анализ возникающих проблем и путей решения. Убедились, что контент/круг вопросов/, мягко говоря, не совпадает?


Ты сравни еще форумы hurd, plan9 и еще чего-нить экзотического, там вообще проблем никаких нет, потому что этим НИКТО НЕ ПОЛЬЗУЕТСЯ (хотя они то в отличии от фри действительно интересны), тем более нубы, которые и засирают ляликсовые форумы своими тупыми вопросами так же как вантузятники без мозга засирают форумы по вантузу. А фрибсд да, все чисто, потому что есть ровно три активных старпера, на среднем сайте посвященном ей, и им обсуждать нечего, по той простой причине что в фрибсд ничего никогда не происходит.

Коллапс наступил. Поэтому вы ее и любите, признай, что через 10 лет там ничего не изменится. Можно выйти из анабиоза и все будет по прежнему. Но мир вокруг меняется, вот в чем неувязочка.

anonizmus
()
Ответ на: комментарий от iZEN

>Ну-ка такое же изобрази на IPTABLES?

Ну записано то красиво, а вот pfctl какой рулесет выдаст? Вот с ним и надо будет сравнивать рулесет iptables. И разница там c применением conmark не на много будет, грубо говоря на каждый wan будет: nat POSTROUTING, mangle -j CONNMARK ну также mangle POSTROUTING -j ROUTE заворачивая по интерфейсам.

TheMixa ★★★
()
Ответ на: комментарий от iZEN

> В IPTABLES пришлось бы открывать как входящие, так и исходящие соединения для КАЖДОГО интерфейса.

Нет. пришлось бы добавить только -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Nao ★★★★★
()
Ответ на: комментарий от anonymous

> ipset же отсутствует в vanilla kernel
К сожалению отсутствует. Но в Gentoo достаточно сказать emerge ipset чтобы собрать модули ядра и юзерспейс утилиту для него.

Nao ★★★★★
()
Ответ на: комментарий от ingoa

# RFC 3330 table <rfc3330> { 0.0.0.0/8, 10.0.0.0/8, 14.0.0.0/8, 24.0.0.0/8, \ 39.0.0.0/8, 127.0.0.0/8, 128.0.0.0/16, 169.254.0.0/16, 172.16.0.0/12, \ 191.255.0.0/16, 192.0.0.0/24, 192.0.2.0/24, 192.88.99.0/24, 192.168.0.0/16 \ 198.18.0.0/15, 223.255.255.0/24, 176.16.1.0/24, 224.0.0.0/4, 240.0.0.0/4 }

# Block <rfc3330> through external iface block in log quick on $ext_if from <rfc3330> to any block out log quick on $ext_if from any to <rfc3330>

iptables -A INPUT -m set --match-set RFC3330 src,src -d 0/0 -i $ext_if -j DROP iptables -A OUTPUT -m set --match-set RFC3330 dst,dst -s 0/0 -o $ext_if -j DROP

anonymous
()
Ответ на: комментарий от wilkomen-to-lor

Корявее- это не значит- сливает. В хороших руках все прекрасно работает и удобно настраивается- нет никаких проблем написать качественный скрипт который реализует любые ваши фантазии. Для администратора, как вы понимаете- это не проблема, а десктопные юзеры и через гуй смогут добавить-удалить 3-4 правила
Правила PF лучше читаются и их надо меньше- это факт, но еще раз: это не проблема iptables

ingoa
()
Ответ на: комментарий от TheMixa

Ну записано то красиво, а вот pfctl какой рулесет выдаст?

Согласен.

Однако я говорил о СОПРОВОЖДЕНИИ (pf.conf), а не о выдаче всего рулесета в голую консоль.

Простыня рулесета нужна только для контроля функционирования или для грубого восстановления pf.conf, если тот утерян. Ну и ещё для того, если временно потеряна связь между правилами и реальностью в голове у настройщика файервола. ;)

В Linux простыню IPTABLES придётся писать от нуля и до конца. Всё держать в голове, иначе — «начинай сначала».

iZEN ★★★★★
()

BSD на хостингах RIP

leave ★★★★★
()
Ответ на: комментарий от TheMixa

[ingoa@mail backup]$ sudo pfctl -s rules | grep rfc
block drop in log quick on em1 from <rfc3330> to any
block drop out log quick on em1 from any to <rfc3330>

ingoa
()
Ответ на: комментарий от wilkomen-to-lor

Ну тут вы можете и сами догадаться- первоначальная настройка(если с 0 пишем правила)для iptables долшье чем для pf
Сопровождение- одинаково

ingoa
()
Ответ на: комментарий от anonymous

А как у pf c производительностью? Он помоему только для NAT подходит, и то когда хватит производительности одного ядра.
Pf использует только на одно процессорное ядро.

ventilator ★★★
()
Ответ на: комментарий от wilkomen-to-lor

> в том, что изначально была просьба привести пример нескольких правил pf которые на iptables увеличиваются раз в пять...

Ретроградная амнезия?

В чем проблема создания правил средствами «шела»?

Охохо, ты это делаешь средствами шела, а не iptables :))))) Слиф засчитан? :)))

lystor ★★
()
Ответ на: комментарий от ventilator

Зачем на гавно рутерах производительность???

А в продакшне на высоких нагрузках всеравно линукс

anonymous
()
Ответ на: комментарий от anonymous

Ну наверное починили заодно, когда чинили падение серверов при вытаскивании флэшки =)
[ingoa@mail backup]$ grep scrub /etc/pf.conf
scrub in all no-df

ingoa
()
Ответ на: комментарий от ventilator

Pf использует только на одно процессорное ядро.


Хороший вопрос кстати. Я вот хотел ради эксперимента поставить OpenBSD на один роутер который надо на днях настроить, а там двухкорый процессор, одно ведро будет простаивать что ли ?

anonizmus
()
Ответ на: комментарий от ingoa

> Ну тут вы можете и сами догадаться- первоначальная настройка(если с 0 пишем правила)для iptables долшье чем для pf

Сопровождение- одинаково

Проблема любой первоначальной настройки заключается в том «как реализовать задачу».

Думаю, что может получиться вариант, когда на bash + iptables сделать получится быстрее, т.к. скопировать строки в текстовом файле проще, чем вспоминать синтаксис длинных правил для pf.

lystor ★★
()

Ура! Наконец-то это под это г.. не надо будет плясать танцы с бубнами, чтобы заработало как надо. Желаю им успехов в закрытие поддержки и для линукса. Желаю им убытков и побольше!

P.S. Да, я злой =)

gh0stwizard ★★★★★
()
Ответ на: комментарий от anonymous

А в продакшне на высоких нагрузках всеравно линукс

Наверно из-за этого столько воя на тормоза из-за переполненных таблиц NAT от тех, кто пользуется torrent через Linux-шлюзы. Да домашние роутеры ещё тому пример. :))

iZEN ★★★★★
()
Ответ на: комментарий от anonizmus

>> Ты сравни еще форумы hurd, plan9 и еще чего-нить экзотического, там вообще проблем никаких нет, потому что этим НИКТО НЕ ПОЛЬЗУЕТСЯ

Хурдом и план9 никто не пользуется потому, что они для этого непригодны по объективным причинам, а не по «религиозным» как ты пытаешься представить. А то, что iZEN защищает бздю на десктопе, так правильно делает. Поддержка всяких Ораклов, Зендов, САПов на десктопе в уйх не впилась, и кто бы что ни говорил про поддержку большего числа драйверов в линуксе, она там часто корявая, т.к. api ломают быстрее, чем производители успевают писать драйвера. Чего стоит поддержка ati/amd. Из релиза в релиз той же самой убунты вечно что-то отваливается, то, блин, суспенд не работает, то fglrx изза того, что в ядре новую фичу втиснули, то fb в консоле отвалился, то по раздолбайству русской комманды переводчиков не работает restricted driver manager. Каждый dist-upgrade новые сюрпризы. Потому, что у дистроклепателей наплевательское отношение к своим пользователям, напихать побольше горячих фич, а пользователи *битесь как хотите.

cathode
()
Ответ на: комментарий от anonymous

>опция то есть, а вот какой трафик нормализует, вот в чем вопрос :)

По-уму, дефрагментировать нужно только входящий трафик и отбрасывать ICMP-пакеты неопределённой длины. Что «scrub in all» с успехом и делает.

iZEN ★★★★★
()
Ответ на: комментарий от iZEN

Переполняются нат таблицы у тех кто не умеет поменять их размер, и настроить размер хеша для увеличения производительности.

ventilator ★★★
()
Ответ на: комментарий от iZEN

Прастите, а как же транзитный ? :)):):):):):):):)

anonymous
()
Ответ на: комментарий от cathode

а не по «религиозным» как ты пытаешься представить


Я не про религиозные причины а как раз про пригодность говорил.

кто бы что ни говорил про поддержку большего числа драйверов в линуксе, она там часто корявая, т.к. api ломают быстрее, чем производители успевают писать драйвера. Чего стоит поддержка ati/amd.


В FreeBSD поддержка 3д в драйверах ати лучше ? (она там вообще хоть есть?). По поводу api - ты такой странный, правда, ну только недавно с кернел.орг ведро 2.2 убрали с заглавной, есть 2.4, для тех кому нужно древнее, т.е. выбор есть, что хочешь то и юзай. Защищать конкретный дистрибутив я не буду, мне по человечески лень (у меня лично убунта обновлялась не на одном компе безпроблемно по моему с времен какой то шестой версии или седьмой).

Потому, что у дистроклепателей наплевательское отношение к своим пользователям


Ну так ты им не родной родственник и не жена, вроде, а ? Платишь деньги - есть отношение, как то так. Ты из какого измерения ? вышел ? %)

anonizmus
()
Ответ на: комментарий от iZEN
#!/bin/sh
lan_net = "192.168.0.0/24" 
int_if  = "eth0" 
ext_if1 = "eth1" 
ext_if2 = "eth2" 
ext_gw1 = "68.146.224.1" 
ext_gw2 = "142.59.76.1" 
web_servers = "--to 10.0.0.10-10.0.0.11 --to 10.0.0.13"

IPT=iptables

$IPT -P INPUT -j DROP
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT

$IPT -P FORWARD -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

$IPT -A OUTPUT -m state --state INVALID -j DROP

$IPT -t nat -A PREROUTING -i $ext_if -p tcp --dport 80 -j SAME $web_servers
$IPT -A FORWARD -i $ext_if -p tcp --dport 80 -j SAME $web_servers

ip route add table 77 default nexthop via $ext_if1 dev $ext_gw1 nexthop via $ext_if2 dev $ext_gw2
ip rule add from $lan_net table 77

Получилось больше, однако

Сопровождать 200 правил PF или 5000 правил IPTABLES — есть разница?

4.2 ибо кол-во правил у iptables получилась не в 25 раз больше.

Nao ★★★★★
()
Ответ на: комментарий от anonizmus

>> В FreeBSD поддержка 3д в драйверах ати лучше ?

Не лучше. Только она там не ломается с периодичностью в 6 месяцев.

По поводу api - ты такой странный, правда, ну только недавно с кернел.орг ведро 2.2 убрали с заглавной, есть 2.4, для тех кому нужно древнее, т.е. выбор есть, что хочешь то и юзай.

Я не говорил, что мне нужно древнее ядро. Я говорил про стабильный api. Разница существенна?

Ну так ты им не родной родственник и не жена, вроде, а ? Платишь деньги - есть отношение, как то так.

Вот именно. И чем тогда линукс лучше маздайки?

cathode
()
Ответ на: комментарий от cathode

> Из релиза в релиз той же самой убунты вечно что-то отваливается

Я думаю Ubuntu - не самый лучший пример стабильности. Сравните хотя бы с Debian stable, Gentoo (не ~arch), etc

Nao ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.