BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 28 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: PF
СообщениеДобавлено: Ср 19 дек, 2007 8:05 pm 
Не в сети

Зарегистрирован: Вт 04 июл, 2006 7:13 pm
Сообщения: 195
Добрый вечер, раньше использовал в качестве файрвола - ipfw, захотелось попробовать в работе pf, но после того как перекомпилил ядро с поддержкой pf, начало появляться сообщение типа:
pflog0:promiscuous mode enabled
Dec 19 18:02:00 pflogd[291]:[priv]:msg PRIV_OPEN_LOG received
Конфиг /etc/pf.conf еще руками не ТРОГАЛСЯ

Ядро перекомпилил с опциями:
# For PF
device pf # PF OpenBSD packet-filter firewall
device pflog # Logging support interface for PF
device pfsync # Synchronization interface for PF
device carp # Common Adress Redundancy Protokol

options ALTQ
options ALTQ_CBQ # Class Bases Queueing
options ALTQ_RED # Random Early Detection
options ALTQ_RIO # RED In/Out
options ALTQ_HFSC # Hierarchical Packet Scheduler
options ALTQ_CDNR # Traffic conditioner
options ALTQ_PRIQ # Priority Queueing
options ALTQ_NOPCC # Required for SMP build

В /etc/rc.conf включил:
pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_program="/sbin/pfctl"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_program="/sbin/pflogd"
pflog_flags=""

В /var/log/pflog сообщений никаких, кроме какой-то строчки типа:
╘├▓б

Подскажите что не так, в чем грабли???


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 20 дек, 2007 2:04 pm 
Не в сети

Зарегистрирован: Вт 04 июл, 2006 7:13 pm
Сообщения: 195
Что не сталкивался что ли не кто???????


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 20 дек, 2007 8:53 pm 
Не в сети

Зарегистрирован: Чт 29 дек, 2005 2:57 pm
Сообщения: 145
Откуда: Санкт-Петербург
stepavm писал(а):
Что не сталкивался что ли не кто???????

Все сталкивались.
man pflogd прочтите.
http://www.freebsd.org/cgi/man.cgi?query=pflogd


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 21 дек, 2007 1:53 pm 
Не в сети

Зарегистрирован: Вт 04 июл, 2006 7:13 pm
Сообщения: 195
idle насколько я понял из мануала, требуеться создать интерфейс pflog0 я правильно понял????????


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб 22 дек, 2007 5:03 pm 
Не в сети

Зарегистрирован: Вт 04 июл, 2006 7:13 pm
Сообщения: 195
Как я понимаю это нормальная ситуация что он пишет
pflog0:promiscuous mode enabled
Dec 19 18:02:00 pflogd[291]:[priv]:msg PRIV_OPEN_LOG received

И смотреть лог надо tcpdump -n -e -ttt -r /var/log/pflog

Ну КТО-НИБУДЬ ВНЯТНО может ответить или все используют штатный ipfw?????????


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 23 дек, 2007 8:12 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 03 янв, 2006 12:49 pm
Сообщения: 1038
Откуда: Киев
на security-teams.net поднимался вопрос перехода на за. ...

сам пока не пробовал, использую стандартный ...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 24 дек, 2007 1:36 am 
Не в сети

Зарегистрирован: Вт 02 янв, 2007 8:20 pm
Сообщения: 137
Откуда: SPb
stepavm писал(а):
Ну КТО-НИБУДЬ ВНЯТНО может ответить или все используют штатный ipfw?????????

используйте ipfw. он - лучше pf.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 24 дек, 2007 11:13 am 
Не в сети

Зарегистрирован: Чт 29 дек, 2005 2:57 pm
Сообщения: 145
Откуда: Санкт-Петербург
stepavm писал(а):
Как я понимаю это нормальная ситуация что он пишет
pflog0:promiscuous mode enabled
Dec 19 18:02:00 pflogd[291]:[priv]:msg PRIV_OPEN_LOG received

И смотреть лог надо tcpdump -n -e -ttt -r /var/log/pflog

Ну КТО-НИБУДЬ ВНЯТНО может ответить или все используют штатный ipfw?????????

Вы сами уже на всё ответили. Всё правильно.

homoadminus писал(а):
используйте ipfw. он - лучше pf.

Вы по видимому в полной мере использовали как ipfw так и pf?
Можно тогда услышать обоснованные доводы в пользу ipfw?
Или Вы это просто так ляпнули?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 24 дек, 2007 11:14 am 
Не в сети

Зарегистрирован: Чт 03 авг, 2006 8:32 pm
Сообщения: 202
Тоже хотелось бы услышать внятные доводы в пользу ipfw.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 24 дек, 2007 11:45 am 
Не в сети

Зарегистрирован: Вт 02 янв, 2007 8:20 pm
Сообщения: 137
Откуда: SPb
idle писал(а):
homoadminus писал(а):
используйте ipfw. он - лучше pf.

Вы по видимому в полной мере использовали как ipfw так и pf?
Можно тогда услышать обоснованные доводы в пользу ipfw?
Или Вы это просто так ляпнули?

В pf Giant Lock, в ipfw с этим намного лучше.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 24 дек, 2007 12:10 pm 
Не в сети

Зарегистрирован: Чт 29 дек, 2005 2:57 pm
Сообщения: 145
Откуда: Санкт-Петербург
homoadminus писал(а):
idle писал(а):
homoadminus писал(а):
используйте ipfw. он - лучше pf.

Вы по видимому в полной мере использовали как ipfw так и pf?
Можно тогда услышать обоснованные доводы в пользу ipfw?
Или Вы это просто так ляпнули?

В pf Giant Lock, в ipfw с этим намного лучше.


То есть обоснованно Вы сказать ничего не можете?
А знаете, что написано в первой фразе которую выдаёт гугль на запрос "pf Giant Lock"? :D


FSA писал(а):
Тоже хотелось бы услышать внятные доводы в пользу ipfw.

Единственный довод в пользу ipfw - удобство шейпера, afaik.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 24 дек, 2007 2:16 pm 
Не в сети

Зарегистрирован: Вт 02 янв, 2007 8:20 pm
Сообщения: 137
Откуда: SPb
idle писал(а):
То есть обоснованно Вы сказать ничего не можете?
А знаете, что написано в первой фразе которую выдаёт гугль на запрос "pf Giant Lock"? :D

вам недостаточно упоминания про giant lock?
Откройте http://www.freebsd.org/smp/ , убедитесь:
"More finely-grained locking for pf(4). Gleb Smirnoff 19 October 2005 Not Started".

Для ipfw2 эта работа уже проделана.

idle писал(а):
Тоже хотелось бы услышать внятные доводы в пользу ipfw.

Единственный довод в пользу ipfw - удобство шейпера, afaik.[/quote]
вы смотрите на проблему исключительно со стороны пользователя. Вам тогда виндовый outpost - там вообще всё просто и удобно.

PS: на закуску: http://www.freebsd.org/cgi/query-pr.cgi?pr=117827


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 24 дек, 2007 2:17 pm 
Не в сети

Зарегистрирован: Вт 02 янв, 2007 8:20 pm
Сообщения: 137
Откуда: SPb
и в догонку: http://bsdportal.ru/viewtopic.php?t=13288

Цитата:
Может туда Linux поставить? Gentoo на этом железе проработал в качестве нагруженного веб-сервера больше года без единой проблемы.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 24 дек, 2007 3:17 pm 
Не в сети

Зарегистрирован: Чт 29 дек, 2005 2:57 pm
Сообщения: 145
Откуда: Санкт-Петербург
homoadminus писал(а):
idle писал(а):
То есть обоснованно Вы сказать ничего не можете?
А знаете, что написано в первой фразе которую выдаёт гугль на запрос "pf Giant Lock"? :D

вам недостаточно упоминания про giant lock?

Упоминания недостаточно, помоему я в первом посте ясно написал.
Цитата:
Откройте http://www.freebsd.org/smp/ , убедитесь:
"More finely-grained locking for pf(4). Gleb Smirnoff 19 October 2005 Not Started".

Отсутствие "великолепной огранки" у алмаза не превращает его в гальку.
Цитата:
Для ipfw2 эта работа уже проделана.

Ладно не хотите дать ссылку, поверю Вам на слово.
Цитата:
idle писал(а):
Единственный довод в пользу ipfw - удобство шейпера, afaik.

вы смотрите на проблему исключительно со стороны пользователя. Вам тогда виндовый outpost - там вообще всё просто и удобно.

Ну расскажите нам пожалуйста, со своей стороны(не пользователя) что у Вас за трафик такой что PF'у не достаточно одного CPU? И модель CPU заодно.
И почему у меня на трафике 40-70Мб, нагрузки на процессор(один без smp) не заметно вообще?
Цитата:

Бедная-бедная корбина... Но при чём здесь это? Программ без ошибок не бывает.
homoadminus писал(а):
и в догонку: http://bsdportal.ru/viewtopic.php?t=13288
Цитата:
Может туда Linux поставить? Gentoo на этом железе проработал в качестве нагруженного веб-сервера больше года без единой проблемы.

А это к чему? Вы предлагаете теперь обсудить тему bsd vs linux?
Нет-уж спасибо.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 24 дек, 2007 4:14 pm 
Не в сети

Зарегистрирован: Вт 02 янв, 2007 8:20 pm
Сообщения: 137
Откуда: SPb
idle писал(а):
Отсутствие "великолепной огранки" у алмаза не превращает его в гальку.

софтистика и игра словами.

idle писал(а):
Цитата:
Для ipfw2 эта работа уже проделана.

Ладно не хотите дать ссылку, поверю Вам на слово.

Видно по ссылкам вы не ходите:
http://www.freebsd.org/smp/
Цитата:
This table lists the todo subtasks for multithreading the network stack.
Lock ipfw2. Sam Leffler 4 October 2003 Done


idle писал(а):
Ну расскажите нам пожалуйста, со своей стороны(не пользователя) что у Вас за трафик такой что PF'у не достаточно одного CPU? И модель CPU заодно.
И почему у меня на трафике 40-70Мб, нагрузки на процессор(один без smp) не заметно вообще?

Трафик в мегабайтах и мегабитах - это всё равно что разговоры о грузоподъёмности болида F1.
60Kpps и любая однопроцессорная система умирает.
И ещё раз повторю: pf не умеет использовать более одного процессора.

[/quote]


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 24 дек, 2007 11:36 pm 
Не в сети

Зарегистрирован: Ср 01 сен, 2004 5:20 pm
Сообщения: 54
Цитата:
Трафик в мегабайтах и мегабитах - это всё равно что разговоры о грузоподъёмности болида F1.
60Kpps и любая однопроцессорная система умирает.
И ещё раз повторю: pf не умеет использовать более одного процессора.


эээ... а что такое 60Kpps? Kbps знаю, Mbps знаю...

А вообще пишу вам сидючи за pf на 7.0 работает он на P4 2.8 и гег оперативки (нафига ему стока???). И вам и торенты и ослики во всей красе...
странно ничего не падает. Чего я не так сделал???


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 25 дек, 2007 10:19 am 
Не в сети

Зарегистрирован: Чт 29 дек, 2005 2:57 pm
Сообщения: 145
Откуда: Санкт-Петербург
homoadminus писал(а):
И ещё раз повторю: pf не умеет использовать более одного процессора.

Да и чёрт с ним.
OpenBSD PF Developer писал(а):
On most firewalls, the CPU is not the bottleneck, so adding a second one will not help (and may even slow things down).

Давайте прикинем количество фаерволов в которых битрэйт переваливает за 60Kpps, условно выразим это как 1% от общего числа.
Теперь приведём Вашу оригинальную реплику:
"используйте ipfw. он - лучше pf."
к такому виду:
"используйте ipfw. в одном проценте случаев он - лучше pf."

И на этом закончим спор.

BadBarmaley писал(а):
Цитата:
Трафик в мегабайтах и мегабитах - это всё равно что разговоры о грузоподъёмности болида F1.
60Kpps и любая однопроцессорная система умирает.
И ещё раз повторю: pf не умеет использовать более одного процессора.


эээ... а что такое 60Kpps? Kbps знаю, Mbps знаю...

Packet Per Second
То есть пока у нас не будет 60 тысяч пакетов в секунду на интерфейсе,
оставаться нам простыми пользователями, ничего не понимающими в фаерволах.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 25 дек, 2007 2:04 pm 
Не в сети

Зарегистрирован: Вт 02 янв, 2007 8:20 pm
Сообщения: 137
Откуда: SPb
OpenBSD PF Developer писал(а):
On most firewalls, the CPU is not the bottleneck, so adding a second one will not help (and may even slow things down).

А что им ещё говорить, если у этой ОС всё плохо?
http://www.uaoug.org.ua/archive/msg00279.html
И это писали весьма лояльные к openbsd люди.

idle писал(а):
Давайте прикинем количество фаерволов в которых битрэйт переваливает за 60Kpps, условно выразим это как 1% от общего числа.
Теперь приведём Вашу оригинальную реплику:
"используйте ipfw. он - лучше pf."
к такому виду:
"используйте ipfw. в одном проценте случаев он - лучше pf."
И на этом закончим спор.

ок, убедили. Хотя, почему бы сразу не ограничиться домашними роутерами на старом хламе и каналами в 5-10Мбит?

Для примера, возьмём канал в 50Мбит/с.
Это 6.25Мбайт/с, но из-за оверхеда пусть будет 6Мбайт/с.
Возьмём размер пакета в 64байта. Тогда в этих по 50Мбит/с у нас будет
98.3kpps.

Я уж молчу о различных DDoS. В этих ситуациях pf ничем вам не поможет.
Вообще, советую посмотреть на таблички вот тут: http://www.tancsa.com/blast.html
Почти всегда ipfw с 10 правилами по скорости эквивалентен pf с 1 правилом.


idle писал(а):
То есть пока у нас не будет 60 тысяч пакетов в секунду на интерфейсе,
оставаться нам простыми пользователями, ничего не понимающими в фаерволах.

для простых пользователей есть Windows.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 25 дек, 2007 7:44 pm 
Не в сети

Зарегистрирован: Чт 03 авг, 2006 8:32 pm
Сообщения: 202
Цитата:
Почти всегда ipfw с 10 правилами по скорости эквивалентен pf с 1 правилом.

Не изучал сути ссылок, но есть вопрос. Почему именно такой вариант сравнения??? Почему не сравнить 20 правил с 20 правилами одного и другого файвервола? Почему не приводится сравнение производительности ipfw+natd против pf?
А сравнение производительности при уже установленном TCP соединении?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 25 дек, 2007 8:10 pm 
Не в сети

Зарегистрирован: Вт 02 янв, 2007 8:20 pm
Сообщения: 137
Откуда: SPb
FSA писал(а):
Цитата:
Почти всегда ipfw с 10 правилами по скорости эквивалентен pf с 1 правилом.

Не изучал сути ссылок, но есть вопрос. Почему именно такой вариант сравнения??? Почему не сравнить 20 правил с 20 правилами одного и другого файвервола? Почему не приводится сравнение производительности ipfw+natd против pf?
А сравнение производительности при уже установленном TCP соединении?

там ещё вариант с 1 правилом есть на разных ОС.
Вообще, чем больше простых правил, тем более очевидна разница.
А вариант с natd вообще не имеет смысла сравнивать: у вас natd в топе будет и жрать cpu, т.к. гонять данные из ядра в юзерспейс и обратно - удовольствие дорогое.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 28 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика