В пакетном фильтре ipfw устранены две уязвимости в коде разбора опций TCP, вызванные некорректной проверкой данных в обрабатываемых сетевых пакетах. Первая уязвимость (CVE-2019-5614) при обработке определённым образом оформленных TCP-пакетов может привести к доступу к памяти вне выделенного буфера mbuf, а вторая (CVE-2019-15874) к обращению к уже освобождённым областям памяти (use-after-free)...Подробнее: https://www.opennet.me/opennews/art.shtml?num=52783
> обращению к уже освобождённым областям памяти (use-after-free)Шел сишник по лесу. Видит -- память освобождена. Взял и освободил ее еще раз.
Я традиционно буду краток. Решетo!!!
Как всегда оперативно. Молодцы.
> CVE-2019-5614
> 2019.
Чем Вы читаете?
"...(в stable-ветки исправления были внесены ещё в декабре прошлого года, но о том, что эти исправления связаны с устранением уязвимости стало известно только сейчас)..."
Уязвимости находятся и устраняются, потому что хороших людей в мире больше, чем плохих. Идет медленный, но созидательный процесс. Многим плохишам это не по нраву, ведь уязвимости позволяют вредить, шантажировать и эксплуатировать людей. Здесь все как в реале, только тоньше, изощренней и порой не так заметно. В отличии от реала, цифровой коммунизм вполне происходит на наших глазах и однажды полностью победит, закопав вонючих корпорастов и их кандалы.
Ох, хотелось бы верить в эту утопию...
Чем верить, лучше творить. Начни творить своими руками, расскажи ближнему о трудах твоих, и пусть он присоединится к тебе!
Утопия - не создание идеального мира, утопия - убить волю человека. С убитой волей человек был бы подобен алгоритму. Воля человека не подвластна человеку, её нельзя заставить или попросить что либо сотворить или разрушить.
>закопав вонючих корпорастов и их кандалы.Корпорациям в первую очередь выгодно развивать и улучшать, т.к. используют в работе. Анонимусы не обладают деньгами и компетенциями.
Выгодно далеко не всем.
>Выгодно далеко не всем.Можно список корпораций, которым не выгодно?
Открой список фаундеров линукса - все там. Себе-то они напишут как надо, а все остальные путь довольствуются отрыжкой с барского стола. Сустемды плопали. ГТК3 слопали. nftables слопали. Какие еще вопросы.
Вы это так говорите, как будто застрявший в середине XX века пакетный фильтр во фре - не по той же самой причине?У всяких нетфликсов периметр очевидно не на фре, а жунипер шкурно заинтересован не в том чтобы во фре был работающий файрвол, а ровно в обратном.
> жунипер шкурно заинтересован не в том чтобы во фре был работающий файрвол, а ровно в обратномJuniper продаёт железо (с ПО внутри), а не само ПО. И Juniper заинтересован, чтобы их ПО работало хорошо (иначе никто не будет покупать железо). Таким образом они заинтересованы, чтобы с FreeBSD всё было хорошо)
> И Juniper заинтересован, чтобы их ПО работало хорошоТак его ПО - работает хорошо.
А от фри ему нужен загрузчик и, возможно (я свечку не держал) драйвер сетевой карты. С первым все в полном порядке, со вторым - если повезет. А может и тот не нужен, и используется свой. Ни ipfw, ни pf ему не только нафиг не сдались, а чем хуже, тем лучше - потому что если будет бесплатно - кто же будет платить за SRX?!
Ты путаешь жунипер с циской, это как раз в последней линукс используется как запускатор для образов ios. В кишках джунос - полноценная фрюха, поэтому они и вваливаются в разработку.
> В кишках джунос - полноценная фрюха, поэтому они и вваливаются в разработку.ну да, ты-то лично свечку держал?
asa как раз - вполне себе полноценный линух (здорово напоминающий кастрированный redhat), но из полезного, а не завернутого вместе с редхатом, от линуха она использует только драйверы. Для того и использует, чтоб денег за разработку не платить.
В ios-xr вообще rpm - но там даже драйверов не пригодилось, поскольку железо ни разу не похоже на обычное.
Из nexus можно вывалиться в bash - "но зачем?!"
Из-за используемых для дистрибуции архивов вытекает, что дистр - Linux? Серьезно? Значит ли это, что в iPhone с Cydia работает Debian? А IBM под брендом AIX продает Fedora?
И, да - в Juniper внутри пока еще полноценный FreeBSD.
IOS-XR использует ядро Linux, как в прочем и все остальные ОС Cisco, кроме AsyncOS она на базе FreeBSD, как и JunOS у Juniper.
> IOS-XR использует ядро Linuxон не только ведро использует, там пол-редхата теперь поселилось, вместе с rpm.
> как в прочем и все остальные ОС Cisco
нет, обычный IOS и XE никакого линукса не содержат, они сами себе ос. Некоторые даже FAT толком не научились, используют свою fs времен 70х годов, не умеющую фрагментировать файлы (это железо активно продается, не какой-то мусор устаревший ;-)
Еще у кого-то там был rtos, а в пиксе, кажись, и вовсе qnx (по этой причине от его рождения и до самого EOL встроенный usb так и не заработал - никто из живущих не умеет писать драйвер usb для qnx ;)
> Еще у кого-то там был rtos, а в пиксе, кажись, и вовсе
> qnx (по этой причине от его рождения и до самого EOL
> встроенный usb так и не заработал - никто из живущих не
> умеет писать драйвер usb для qnx ;)Да ладно. Мне достоверно известно, что #русскиехакеры с kpda.ru умеют заводить USB2 в промышленной железке CPC514 на базе "Эльбрус-4С" под своим вариантом QNX, который "Нейтрино-Э". Я тоже умею, но мне проще (Linux). Урежьте осетра ;)
Классический IOS да, но его в расчёт я не брал, всё таки его постепенно сворачивают. А IOS XE чуть более чем полностью состоит из Linux ядра и IOSd процесса внутри для Control Plane, правда в зависимости от версии IOS XE архитектура распределения функций между разными процессами внутри огромная.А вот QNX ранее был у IOS XR в качестве ядра, которое запускало требуемые изолированные процессы IOS. У PIX до какой-то версии было своё, самописное ядро, которое заменили на Linux ядро, а потом и вовсе на ASA OS.
> застрявший в середине XX века пакетный фильтр во фреэто вы про како из трех фаерволов? или про все?
>> застрявший в середине XX века пакетный фильтр во фре
> это вы про како из трех фаерволов? или про все?Эк ты категорично Пингвинчика опустил-то
https://www.kernel.org/doc/Documentation/networking/filter.txt
> Linux Socket Filtering (LSF) is derived from the Berkeley Packet Filter.(если что - усиленно начинай мотать головой и гузочкой, повторяя "Выы!Фсеее!Вреееетиии!" и НИ В КОЕМ СЛУЧАЕ не интересуйся расшифровкой eBPF!
> Эк ты категорично Пингвинчика опустил-то
> https://www.kernel.org/doc/Documentation/networking/filter.txt
>> Linux Socket Filtering (LSF) is derived from the Berkeley Packet Filter.я конечно понимаю,что у глупых религиозных фанатиков не принято разбираться ни в чем, зато навык поверхностного гугления хорошо развит...
но можно ж было и поинтересоваться, где и как это используется?Поздравляю, ты реально выкопал мертвый раритет позапрошлого века. Кстати, к файрволам никакого отношения не имеющий.
> и НИ В КОЕМ СЛУЧАЕ не интересуйся расшифровкой eBPF!
ebpf тоже ни разу не файрвол. Это апи. Когда-то, двести лет назад, и правда имевший отношение к беркли (но не к bsd), но давным-давно уже ни на что не похожий.
Теоретически на нем можно и фиревал сделать - но пока что-то одна полуработающая херня получается. А вот userspace networking таки пейсбукам пригодился. Обратите внимание - не во фре, где он не слишком жизнеспособен.
>> Эк ты категорично Пингвинчика опустил-то
>> https://www.kernel.org/doc/Documentation/networking/filter.txt
>>> Linux Socket Filtering (LSF) is derived from the Berkeley Packet Filter.
> я конечно понимаю,что у глупых религиозных фанатиков не принято разбираться ни в чем, зато навык поверхностного гугления хорошо развит...
> но можно ж было и поинтересоваться, где и как это используется?Я конечно понимаю, что у умных и все-все-все знающих похов не принято разбираться, что и куда постить - но почитать ветку целиком и немного подумать можно было?
> Поздравляю, ты реально выкопал мертвый раритет позапрошлого века. Кстати, к файрволам никакого отношения не имеющий.
Поздравляю - ты понял половину комментария. Теперь посмотри, выпилили уже LSF из Линукса (не должны, иначи доку удалили бы - за этим и выкопал) и расскажи нам, в чем принципиальная разница между ЭТИМ и тем же ipf, c его единственным пользователем (которые его и поддерживает)?
Или обычные двойные стандарты Линуксят - это считаем, это не считаем?>> и НИ В КОЕМ СЛУЧАЕ не интересуйся расшифровкой eBPF!
> ebpf тоже ни разу не файрвол. Это апи.И че? BPF тоже API. А eBPF = Extended Berkeley Packet Filter.
> Когда-то, двести лет назад, и правда имевший отношение к беркли (но не к bsd), но давным-давно уже ни на что не похожий.Имевший отношение к Berkeley но не к Berkeley Software Distribution? От оно че, Михалыч!
> Имевший отношение к Berkeley но не к Berkeley Software Distribution?
> От оно че, Михалыч!Вас, если что, матёрый в т.ч. бздишник ткнул носом в Ваше непонимание. И то, что продолжаете упорствовать -- характеризует Вас и только Вас.
Одумайтесь.
>> Имевший отношение к Berkeley но не к Berkeley Software Distribution?
>> От оно че, Михалыч!
> Вас, если что, матёрый в т.ч. бздишник ткнул носом в Ваше непонимание.Придумав и оспорив по ходу чуть ли не 2/3 "ткнутого"? Это да, это он может.
Да и ловили этого "матерого знатока" уже не раз на откровенном пи*деже или как минимум, игнорировании "неудобных" фактов и фактиков.> И то, что продолжаете упорствовать -- характеризует Вас и только Вас.
> Одумайтесь.То, что Вы не разобравшись влезли в обсуждение, да еще и бросаетесь обвинениями - характеризует Вас точно так же.
А ведь достаточно не верить форумным знатокам "на слово" и почитать самому:
https://lwn.net/Articles/740157/
> A thorough introduction to eBPF
> The original Berkeley Packet Filter (BPF) [PDF] was designedЭто одновременно и ссылка. Пройдя по ней и открыв PDF, любой желающий и умеющий cможет прочесть:
> December 19, 1992
> Lawrence Berkeley Laboratory
> The BSD Packet Filter:
> This paper describes the BSD Packet Filter, BPF, a new kernel architecture for packet capture.------------
На этом можно бы и закончить, но так и быть, только сегодня, немного бонусного материала:
Внимательный читатель, не обделенный толикой любознательности, может так же найти упомянутые API прямиком в "не имеющей отношения"
https://www.freebsd.org/cgi/man.cgi?query=bpf&sektion=9&n=1
> bpf_tap(struct ifnet *ifp, u_char *pkt, u_int *pktlen);а заглянув в код, обнаружить реализацию представленной в этом любопытном документе BPF-машины
> The BPF Pseudo-Machine
> Table 1: BPF Instruction Set/usr/src/sys/net/bpf.h
* @(#)bpf.h 8.1 (Berkeley) 6/10/93
* @(#)bpf.h 1.34 (LBL) 6/16/96/* ld/ldx fields */
#define BPF_SIZE(code) ((code) & 0x18)
#define BPF_W 0x00
#define BPF_H 0x08
#define BPF_B 0x10
/* 0x18 reserved; used by BSD/OS */
#define BPF_MODE(code) ((code) & 0xe0)
#define BPF_IMM 0x00
#define BPF_ABS 0x20
#define BPF_IND 0x40
#define BPF_MEM 0x60
#define BPF_LEN 0x80
#define BPF_MSH 0xa0
/* 0xc0 reserved; used by BSD/OS */
/* 0xe0 reserved; used by BSD/OS *//* alu/jmp fields */
#define BPF_OP(code) ((code) & 0xf0)
#define BPF_ADD 0x00
#define BPF_SUB 0x10
#define BPF_MUL 0x20
#define BPF_DIV 0x30
#define BPF_OR 0x40
#define BPF_AND 0x50
#define BPF_LSH 0x60
#define BPF_RSH 0x70
#define BPF_NEG 0x80
#define BPF_MOD 0x90
#define BPF_XOR 0xa0Любой внимательный читатель (даже с пингвинчиком на маечке), не сможет не заметить "некоторое сходство" с появившимся на два десятка лет позднее:
https://github.com/torvalds/linux/blob/master/include/uapi/l...
/* ld/ldx fields */
#define BPF_SIZE(code) ((code) & 0x18)
#define BPF_W 0x00 /* 32-bit */
#define BPF_H 0x08 /* 16-bit */
#define BPF_B 0x10 /* 8-bit */
/* eBPF BPF_DW 0x18 64-bit */
#define BPF_MODE(code) ((code) & 0xe0)
#define BPF_IMM 0x00
#define BPF_ABS 0x20
#define BPF_IND 0x40
#define BPF_MEM 0x60
#define BPF_LEN 0x80
#define BPF_MSH 0xa0/* alu/jmp fields */
#define BPF_OP(code) ((code) & 0xf0)
#define BPF_ADD 0x00
#define BPF_SUB 0x10
#define BPF_MUL 0x20
#define BPF_DIV 0x30
#define BPF_OR 0x40
#define BPF_AND 0x50
#define BPF_LSH 0x60
#define BPF_RSH 0x70
#define BPF_NEG 0x80
#define BPF_MOD 0x90
#define BPF_XOR 0xa0
Удивительнейшие совпадения самих опкодов, как и наименования, порядка определения, форматирования и даже комментариев с "неимевшей отношения".Но раз, цуко, местный "гуру" говорит что это совпадение и на самом деле оно "не похоже", то наверняка так и есть - чего только, лять, не бывает!
>> The BPF Pseudo-Machine
>> Table 1: BPF Instruction Set
> /usr/src/sys/net/bpf.hНебольшое дополнение и объяснение к бонусному материалу:
первый листинг - из современной фри, второй, как можно догадаться по ссылке - из пингвинчика.
Но с фрей я немного сглупил, ведь 96 год слишком молодежный!Надо было NET/2 (4.3 BSD) вставлять, поэтому пусть будет еще одним бонусом:
https://minnie.tuhs.org/cgi-bin/utree.pl?file=Net2/usr/src/s...
* This code is derived from the Stanford/CMU enet packet filter,
* (net/enet.c) distributed as part of 4.3BSD, and code contributed
* to Berkeley by Steven McCanne of Lawrence Berkeley Laboratory.@(#)bpf.h 7.1 (Berkeley) 5/7/91 *
* @(#) $Header: bpf.h,v 1.20 91/04/24 22:06:24 mccanne Locked $ (LBL)/* ld/ldx fields */
#define BPF_SIZE(code) ((code) & 0x18)
#define BPF_W 0x00
#define BPF_H 0x08
#define BPF_B 0x10
#define BPF_MODE(code) ((code) & 0xe0)
#define BPF_IMM 0x00
#define BPF_ABS 0x20
#define BPF_IND 0x40
#define BPF_MEM 0x60<snip - все точно так же как в первом>
#define BPF_JGT 0x20
#define BPF_JGE 0x30
#define BPF_JSET 0x40
#define BPF_SRC(code) ((code) & 0x08)
#define BPF_K 0x00
#define BPF_X 0x08
Да. неудобненько получилось. Мишенька, тред снесешь или как поступишь?:-)
Скажи, ты тоже разницу между мягким и теплым осилить не в состоянии?Мда... я-то наивно полагал что среди здешних bsdшников уровень развития чуть получше чем у л@п4атых, но, похоже, никакой разницы. Такие же просто феноменально глупые.
Самое смешное, что bpf - действительно фильтрует пакеты. Как и pf. Можно даже добавить - что тот и другой их фильтруют между интерфейсами. Дальше есть малозначительная разница. Непонимание которой и является критерием полной безмозглости.
Так что да, можно сносить тред - в споре с идиотом всегда участвуют минимум два идиота.
Сеанс переобувания в прыжке:
>ты реально выкопал мертвый раритет позапрошлого века. Кстати, к файрволам никакого отношения не имеющийcспустя 6 сообщений
>bpf - действительно фильтрует пакеты
как будто бы наху впервой такое проворачивать.
> Теперь посмотри, выпилили уже LSF из Линуксане выпилили, валяется в дальнем темном углу - никем не используется, и не будет, как и двадцать лет назад.
> и расскажи нам, в чем принципиальная разница между ЭТИМ и тем же ipf
мальчик, извини, но ты просто феноменально альтернативно одарен. Я не могу тебе рассказать в чем принципиальная разница между мягким и теплым, извини уж.
ipf это был (давно умер) файрвол такой. bpf - это такой интерфейс в ядре для программ. Если до тебя до сих пор не дошло в чем "разница" - тебе лучше попробовать кодить в markdown, там все такие.> Имевший отношение к Berkeley но не к Berkeley Software Distribution?
Внезапно, университет Беркли - не только операционную систему произвел, да, еще и некоторое количество просто универсальных api.
Мальчик, тебя кто к компьютеру допустил?
нет, ну зачем же все - ipf это не середина, это первая треть ;-)На самом деле да - в "2k20" польза от пакетных фильтров сильно преувеличена (и, как видишь, есть вполне реальный вред)
С юбилеем )
т.е. в файрволле фряхи такие дыры? возникает вопрос о том , что за профи его писали и не проверили свой же код(ну тут известно кто). тут скорее вопрос о их компетентности в сфере той самой безопасности.
Удивляться "дырам" во фрюхе, закрывая глаза на девляпиксовый nftables, в котором баги находят каждую неделю. Ок. Сколько там, кстати, лет прошло перед тем, как iptables стал стронг?
> Сколько там, кстати, лет прошло перед тем, как iptables стал стронг?после того как перестал, ты хотел сказать? Да лет десять уже как.
iptables был изначально написан не так уж плохо, я не помню в нем, а не в самом tcp-стеке удаленно-используемых уязвимостей. Но тогда в нем не было прекрасного sctp, dccp и кучи другого вредного корявого мусора.
Правда, попутно в нем не было много чего другого, что было в ipchains, и что обещали как-только-так-сразу. Но что-то сперва все было недосуг, а потом и вовсе некому.
> Правда, попутно в нем не было много чего другого, что было в ipchainsА чего именно, кстати? Ты столько раз ipchains уже вспомнил, что мне любопытно стало, но я не настолько сетевик и перечитывать весь tldp двадцатилетней давности явно не осилю.
>> Правда, попутно в нем не было много чего другого, что было в ipchains
> А чего именно, кстати? Ты столько раз ipchains уже вспомнил, что мнепрежде всего, вот этого:
# ipchains -v -b -C input -p tcp -f -s 192.168.1.1 -d 192.168.1.2 -i lo
tcp opt ---f- tos 0xFF 0x00 via lo 192.168.1.1 -> 192.168.1.2 * -> *
packet accepted
tcp opt ---f- tos 0xFF 0x00 via lo 192.168.1.2 -> 192.168.1.1 * -> *
packet accepted- то есть, если у тебя что-то в сложном нетривиальном файрволе не работает, теперь ты можешь только гадать и вручную рассовывать -j LOG во все подозрительные места, а потом может месяц ждать пакета, если не ты контролируешь оба конца, снова его потерять, повторять пока не получится - а не просто взять и посмотреть, какая конкретно группа правил решила отправить пакет в /dev/null и одна ли она такая.
Причем Ржавый мамой клялся, что всьо-всьо починит, как только так сразу, а потом куда-то девался. Наверное, его убили и съели.
Ну и до кучи - угадай, кто из них выжил:
net/ipv4/ip_masq_app.c net/ipv4/ip_masq_mod.c
net/ipv4/ip_masq_autofw.c net/ipv4/ip_masq_portfw.c
net/ipv4/ip_masq.c net/ipv4/ip_masq_quake.c
net/ipv4/ip_masq_cuseeme.c net/ipv4/ip_masq_raudio.c
net/ipv4/ip_masq_ftp.c net/ipv4/ip_masq_user.c
net/ipv4/ip_masq_irc.c net/ipv4/ip_masq_vdolive.c
net/ipv4/ip_masq_mfw.c
(да, обрати внимание, что userspace хелпер тоже был, поэтому multiple gre nat не был в те времена недостижимым чудом. Тоже кто-то тогда мамой клялся, что вот-вот, интерфейсы стабилизируются, и он нам напишет работающий - и даже интерфейс есть, правило честно создается. Хелпер - ПИШУТЪ! ДВАДЦАТЬ гребаных лет!)
Фуу то в чём фряха была авторитет - такой зашквар... Тьюринг всем дыр оставил ))
"2019"
Ауч!
Значит все кто хотел имели возможность обновится уже в течении 5 месяцев.
Мне даже когда лень и то раз в 1-3 месяца всё обновляется :)
> Значит все кто хотел имели возможность обновится уже в течении 5 месяцев.все кто хотели обновляться ради обновления - имели.
Кто верили в сказочку про штабильность - сколько ни обновляйся, в релизную ветку ничего не попадало.А stable может иногда просто не собираться вообще - такая вот шта6ильность.
Я на стабле сижу, она бывает не собирается 1-2 дня в году и чинится это очень быстро.
Ну не все же наслаждаются страданием. Кому-то (наивному) хочется чтоб работало, а не пересобирать без конца. А оно - вот.
Приключения - в карренте.
В релизах - застой совсем, оно может для ленивого продакта годится, где полтора админа и те калеки.
Продакт который могёт - он на каретне сидит и контрибутит.
с карентом тоже не все просто на самом деле:) у меня вот 2 стойки карентов есть с zfs-on-root и от 4 Тб данных на каждом сервере в raid10. Но сетапил крайне давно, пихая диски целиком. а потом рраз и переделали поиск загрузчика(?), теперь оно весь диск не taste`д. разделы подавай, коих нет. какое-то время жил, ревертя 2 коммита, но потом и это отломали, а разбираться уже лень, сейчас вот любовно, по 1 хосту, обновляю до r360004 (вот на нем решил заморозиться пока что) :-)
ССЗБ :)
Плохая идея юзать ZFS для загрузки и вообще для системы, ИМХО.
> ССЗБ :)
> Плохая идея юзать ZFS для загрузки и вообще для системы, ИМХО.чем она плохая ?
Переусложнение на ровном месте без каких либо профитов.
UFS основная система и лучше юзать её, если только это не что то особенное, но в последнем случае рассчитывать что оно будет всегда так работать само - не стоит, ибо мало кто этим пользуется и уж тем более никто не знает о частных особенностях использования.
> Переусложнение на ровном месте без каких либо профитов.
> UFS основная система и лучше юзать её, если только это не что
> то особенное, но в последнем случае рассчитывать что оно будет всегда
> так работать само - не стоит, ибо мало кто этим пользуется
> и уж тем более никто не знает о частных особенностях использования.т.е предлагаешь на UFS городить raid10 объемом от 4Тб(самое "мелкое" что есть) ? cпасибо, я рядом лучше пройду. а от su+j у меня до сих пор задница дымится, когда это только втащили, хорошо что то десктоп был.
> а от su+j у меня до сих пор задница дымится, когда это только втащилиwokrs as intended! (c) МакКузик, а не какой лох с полки.
Но верующие все равно верят что "ufs - надежно!"
Для системы 4тб не нужно, а про хранение данных на зфс я ничего не говорил.SU рулит, а вот журналирование и правда какая то лажа в случае сбоев.
Поотключал везде - пусть уж лучше оно долго проверяется чем иметь подземные стуки.
У меня дома данные на UFS хранятся, особых проблем не заметил.
Было один раз поймано что данные повреждаются в конкретно одном файле, но я так и не понял почему: или потому что раздел был забит под 100% или потому что снизу геом или ещё по какой то причине.
> раздел был забит под 100%Вы же в курсе, что такая ФС в общем случае не может быть быстрой?
Где-то после 90--95% наступает резкое падение производительности.
Думаю, исключение -- линейная архивная запись на чистую ФС.
>[оверквотинг удален]
> ничего не говорил.
> SU рулит, а вот журналирование и правда какая то лажа в случае
> сбоев.
> Поотключал везде - пусть уж лучше оно долго проверяется чем иметь подземные
> стуки.
> У меня дома данные на UFS хранятся, особых проблем не заметил.
> Было один раз поймано что данные повреждаются в конкретно одном файле, но
> я так и не понял почему: или потому что раздел был
> забит под 100% или потому что снизу геом или ещё по
> какой то причине.ну, если иметь отдельный девайс для бута то и пофиг что там будет, ufs или zfs. Пересетапить даже с 0 ОС без проблем, не трогая данные. Но в моем случае это слишком жирно - забивать 1(а лучше 2) "дырки" сервера под бутовые диски. всякие DOM/usb флешки, конечно, вар-т. Но лучше нет.
> сейчас вот любовно, по 1 хосту, обновляю до r360004 (вот на
> нем решил заморозиться пока что) :-)...из жизни крупных коша^Wбездельников... :-)
(не, реально, местами сочувствую, но Вы ж помните тот анекдот про летать и выпендриваться)
>> сейчас вот любовно, по 1 хосту, обновляю до r360004 (вот на
>> нем решил заморозиться пока что) :-)
> ...из жизни крупных коша^Wбездельников... :-)
> (не, реально, местами сочувствую, но Вы ж помните тот анекдот про летать
> и выпендриваться)так а сказать-то ты чего хотел? я пытался понять, но не смог.
"Надо же так себе проблемы на пятую точку умудряться находить".
> "Надо же так себе проблемы на пятую точку умудряться находить".какими будут твои, конструктивные, предложения ?
>> "Надо же так себе проблемы на пятую точку умудряться находить".
> какими будут твои конструктивные предложения ?Сам стараюсь сочетать задачи и инструменты подходящим образом.
В частности, не пихать любимые инструменты вообще везде.
Вам что-либо предлагать, не зная ситуации, не стану.
>>> "Надо же так себе проблемы на пятую точку умудряться находить".
>> какими будут твои конструктивные предложения ?
> Сам стараюсь сочетать задачи и инструменты подходящим образом.
> В частности, не пихать любимые инструменты вообще везде.
> Вам что-либо предлагать, не зная ситуации, не стану.но пройти мимо просто так не смог, правда?:)
окей. вот тебе задача: хранить много файлов и раздавать их по http. расскажи чем "любимые инструменты" (на фоне какого-нибудь Божественного Альтлинакс) не подходят.
> но пройти мимо просто так не смог, правда?:)Да я же практиццки дружжски ;]
> окей. вот тебе задача: хранить много файлов и раздавать их по http.
Если несколько терабайт (куда регулярно пишут rsync'и) и раздавать по гигабиту -- с таким у меня на ftp.linux.kiev.ua справлялся двуствольный оптерон (до того одноствольный, а ранее вообще duron, но тогда и канал был соточка). Из софта -- альт 2.4, xfs, nginx.
> расскажи чем "любимые инструменты" (на фоне какого-нибудь
> Божественного Альтлинакс) не подходят.Гм, перечитал #71 -- зачем-то zfs, а тем более загрузчик на дисках с данными -- это же неудобства на ровном месте при обновлении дисков.
Кроме DoM и уж всяко лучше даже неплохих USB-флэшек (если это не UAS с настоящим SSD внутри) порой колхозил небольшие SSD, например, в 2,5" держатель вместо DVD-ROM (такие бывают, ссылку быстро не соображу).
До того обычно выделял два дискоместа и под систему делал зеркало.
>> но пройти мимо просто так не смог, правда?:)
> Да я же практиццки дружжски ;]
>> окей. вот тебе задача: хранить много файлов и раздавать их по http.
> Если несколько терабайт (куда регулярно пишут rsync'и) и раздавать по гигабиту --
> с таким у меня на ftp.linux.kiev.ua справлялся двуствольный оптерон (до того
> одноствольный, а ранее вообще duron, но тогда и канал был соточка).
> Из софта -- альт 2.4, xfs, nginx."В частности, не пихать любимые инструменты вообще везде." (С) во всей красе, чо.
а так то да, 2Гбита в бондинге, минимум что у меня есть. Процы, хз, что было. хеоны 2603 v2-4, и 2 дерьмосервера с E5606. прям даже не знаю почему ты модели/сокеты начал упоминать. они там вообще примерно ни на фига не влияют.>> расскажи чем "любимые инструменты" (на фоне какого-нибудь
>> Божественного Альтлинакс) не подходят.
> Гм, перечитал #71 -- зачем-то zfs, а тем более загрузчик на дисках
> с данными -- это же неудобства на ровном месте при обновлении
> дисков.
> Кроме DoM и уж всяко лучше даже неплохих USB-флэшек (если это не
> UAS с настоящим SSD внутри) порой колхозил небольшие SSD, например, в
> 2,5" держатель вместо DVD-ROM (такие бывают, ссылку быстро не соображу).чтобы не ждать пока FS прочекается из-за падения питания/чего-либо еще. про загрузчик и DOM я в том же сообщении (?) писал.
> До того обычно выделял два дискоместа и под систему делал зеркало.а я просто забиваю все возможные корзинки шпинделями (2 дерьмосервера только с 4х3.5" есть, остальные от 8 дисков и до 36), получая доп. объем данных.
Вот и получается, что, теоритически, могу загрузить сервер с любого из дисков. А если бы я изначально собирал пулы из разделов, а не raw девайсы пихал, этой "проблемы" даже не возникло бы
> Значит все кто хотел имели возможность обновится уже в течении 5 месяцев.
> Мне даже когда лень и то раз в 1-3 месяца всё обновляется :)https://svnweb.freebsd.org/base/releng/11.3/sys/netpfil/ipfw...
Revision 360149 - (view) (download) (annotate) - [select for diffs]
Modified Tue Apr 21 15:52:22 2020 UTC (16 hours, 20 minutes ago) by gordon
File length: 91348 byte(s)
Diff to previous 349026
Fix ipfw invalid mbuf handling.
>> Значит все кто хотел имели возможность обновится уже в течении 5 месяцев.
>> Мне даже когда лень и то раз в 1-3 месяца всё обновляется :)
> https://svnweb.freebsd.org/base/releng/11.3/тебе чего неясно-то сказали "не сиди на releng" ?
"кто хотел", использует stable.
Разве при наличии pf кто-то в своём уме всё ещё использует ipfw?Помнится, даже во времена, когда Макс ещё не портанул pf - на большинстве продакшнов люди использовали Дарреновский ipf... Что уже про наши дни говорить...
> Разве при наличии pf кто-то в своём уме всё ещё использует ipfw?например те, кому нужны fibers.
То есть, видимо, все, у кого фря таки используется именно в сетевой инфраструктуре, а не голую оппу кое-как прикрыть убогим фильтром.
Нет, понятно, сами виноваты, нехрен было жмотиться и экономить на циске.
> когда Макс ещё не портанул pf - на большинстве продакшнов люди использовали Дарреновский ipf...
> Что уже про наши дни говорить...что в ваши дни ipf доломали, а с тех пор как портанули pf - прошло много-много лет, и сетевой стек изрядно изменился за это время, а pf и ныне там - переделывать его некому.
> pf и ныне там - переделывать его некому.Там даже всё ещё хуже. pf настолько стал завязан на ABI "безопасной" OpenBSD что его стало проще переписать с 0, чем портировать.
блин, а что - САМИМ-то дописать уже спортированный - некому, да? Пусть бы впопенбесдешники мучались, пытаясь сделать обратный мерж.В безопастной fiber'ов-то, по-моему, даже в дальних планах нет.
Ну и на самом деле чего дописывать и так полно. Начиная с полной бесполезности для ipsec.
Насколько я понимаю, там вообще планов по pf нет.
Ну, разве что, кто-то сильно заинтересованный профинансирует работы.
Там теперь разработчиков нет, которым был бы нужен pf. Впрочем, там вообще уже никаких скоро не останется, а от комитеров в .md очень мало пользы.> Ну, разве что, кто-то сильно заинтересованный профинансирует работы.
не, брателло, так не бывает. Финансируют только тем, кто подтвердил что на самом деле способен сделать работу. А такие будут работать и без финансирования. Просто потому что не могут иначе.
А когда пишут "sponsored by ..." - это значит что в ... был чувак, который в это ... притащил freebsd, лично подписавшись что "все будет работать хорошо". А не что ему отвалили кус монет просто на то чтобы он что-то поулучшал где-то.
> Впрочем, там вообще уже никаких скоро не останетсяПисать, конечно :(
Пичаль, чёртово автоисправление
Что за fiber ты упоминаешь? Это netgraph имеется в виду?
FIB - это приблизительный аналог ip rule в твоем линуксе - независимые наборы таблиц маршрутизации. (полагаю, будь у тебя под рукой фря, ты бы и так знал, что это ;)Насколько я знаю, pf им так и не научился, и не планирует, а другого способа переложить пакет из одной нитки в другую, кроме пакетного фильтра как-то и не намечалось.
Впрочем, про netgraf-то я и забыл, в open же ж нет никакого netgraf - вот и в pf тоже нет.
И так у нас примерно всьо.
Такты писал бы FIB, было бы понятно. Я уж думал что-то новое придумали, с 9 версии (последняя которой пользовался).
> Такты писал бы FIB, было бы понятно. Я уж думал что-то новое
> придумали, с 9 версии (последняя которой пользовался).фак, а они что, уже в девятой были? Нда... в каком годе, говоришь, застрял pf? ;-)
>> Такты писал бы FIB, было бы понятно. Я уж думал что-то новое
>> придумали, с 9 версии (последняя которой пользовался).
> фак, а они что, уже в девятой были? Нда... в каком годе,
> говоришь, застрял pf? ;-)Я не припоминаю существенных изменений в PF между 4-ой версией FreeBSD и 9-ой. Ну разве что CARP и pfsync, но это то порт с OpenBSD.
Зато лично для меня тогда pfsync и CARP были недостающей штукой, чтобы довести фарйволл до идеала (моего :) ) и мне после этого уже было ничего от него не нужно.P.S. Но с другой стороны мне примерно c 2010-2012 годов от FreeBSD да и от Linux уже особо ничего не нужно, всё что мне надо там есть.
мне от них в общем-то уже в 2008м было особенно ничего не нужно - все что мне надо, было в винде XP ;-)Но необходимость держать где ворованную asa, а где на вырванную с мясом у начальства деньги купленную PA пару, потому что нормально работающих пакетных фильтров (я уж не говорю про полноценный файрвол с app detect) у нас нет и уже никогда не будет - все еще, по привычке, огорчает.
> Но необходимость держать где ворованную asa, а где на вырванную с мясом
> у начальства деньги купленную PA пару, потому что нормально работающих пакетных
> фильтров (я уж не говорю про полноценный файрвол с app detect)
> у нас нет и уже никогда не будет - все еще,
> по привычке, огорчает.Каких умений от файрволла ты ждешь, которые есть в ASA, но нет в том же PF?
P.S. Жуткий синтаксис правил как в ASA чур за умение не выдавать! :)
> Каких умений от файрволла ты ждешь, которые есть в ASA, но нет в том же PF?тебе список fixup'ов из даже не асы, а pix 2004го года процитировать? В PF до сих пор банальный ftp требует уродливого user helper, а все остальное не написано и никогда не будет. tcp/443 ваше всьо, других протоколов в мире нет и быть не может.
> Жуткий синтаксис правил как в ASA чур за умение не выдавать!
этот "жуткий синтаксис" хотя бы не перемешивает в одну кучу фильтр, nat и vpn, причем кучей со всех интерфейсов подряд.
Конечно, после того как они зачем-то вздумали скосплеить линукс, причем - задом-наперед, стало хуже и неудобочитаемей, но не хуже и не неудобочитаемей pf.conf.
Ладно б ты еще сравнил с iptables, иерархическая система правил и полное разделение nat и фильтра - это реально космос по сравнению с плоскими простынями, хотя отсутствие packet tracer часто даже этот разрыв перевешивает.
С протоколами беда, не спорю. Это наверное от желания сделать файрволы "красиво", а не практично.
У меня в эпоху FreeBSD 4 natd вызывал жуткое отторжение, хотя бы тем, что безбожно тормозил на мало-мальски нагруженном шлюзе. А все от того, что в ipfw тогда были такие вещи архитектурно не предусмотрены, да и потом в итоге прихерачили ng_nat. И всё бы вроде хорошо, но из самого ipfw ноды netgraph вызываются как-то чужеродно.
Например тот же ftp или sip/rtp в такой модели ipfw + netgraph будет выглядеть как минимум криво.
На фоне ipfw pf выглядел не так уж и плохо, хотя бы целостно.
> У меня в эпоху FreeBSD 4 natd вызывал жуткое отторжениеда, divert sockets - это п-ц какой-то (представь что у тебя не один внешний интерфейс, натов много, есть ненатимые, есть ipsec, и он не доверенный, а теперь попробуй распутать эту вермишель и не свести всю защиту к х..ю - поэтому и бежали с него на pf без оглядки, кто линукс себе не мог позволить). Забавно что линyпсеры это скопипастили - в ранних ядрах у них был клон того самого ipfw, но маскарадинг (полноценного нат, конечно, еще не было) сразу реализовали в ядре, сокетов я не помню (когда появился таки способ проброса пакетов в userspace, это его переизобрели заново). Зато аналог keep-state был userspace'ным.
Отдельный забавный вопрос - почему в нагромождении прокладок под именем netgraph не появилось нормального собственного фильтра, хотя он прямо просится в концепцию.
Такой вот свободный софт - за что ни схватись - ну можно ж было сделать хорошо и надежно...но нет, хрен там.
А если где-то случайно получается хотя бы чуть лучше чем в среднем - надо срочно-срочно объявить deprecated и заменить фуфлом, как только автор уйдет в туман :-(
Про netgraph.
Думаю нет в нем нормального фильтра потому что Netgraph возник как разумное желание втащить некий такой абстрактный механизм сетевых потоков в ядро, да только в качестве практического обоснования выступил mpd, на котором костылыли себе многие провайдеры тарифицируемый доступ в инет.
Ну nat потом еще влепили, вышло так себе. В итоге что на netgraph-то кроме mpd и nat есть вменяемого? Как будто только для mpd его и сделали, вот так выглядит.
"Хотели как лучше, вышло как всегда"
Вы спутали, PF появился в FreeBSD 5.2, в FreeBSD 4.11 его не было.
Немудрено, давно это было.
Согласен, сам с FreeBSD 4.11 на 5.1 переходил и помню, как впервые появился PF в 5.2 и сразу на него перешёл с IPFW. :)
ipf поломали при переходе на 10ку. по-крайней мере поломан мой любимый ipnat в котором было очень удобно мониторить текущие соединения.вот это печаль, хотя мшжет в 12.1 уже починили, не слежу уже, перешел на нат средствами ipfw.
> вот это печаль, хотя мшжет в 12.1 уже починилиего вроде не собирались чинить - еще тогда сказали "в морг!"
типа как всегда - "поддерживать некому, тормозитразвитие, этофресофтваре, тут вам никтонеобязан" и т д.
Функционалы заметно разные.
ipfw просто не возможно заменить в ряде usecase на PF.
Но лично я почти никогда ipfw не пользовался, с одной стороны мне ничего не требовалось из его уникальных возможностей, с другой в PF мне нравится принцип что оно грузит правила с файла как то более человечно :)
> мне нравится принцип что оно грузит правила с файла как то
> более человечно :)каждый раз лезть в редактор, когда понадобилось поменять или добавить одно-единственное правило - совершенно бесчеловечно.
Но я от этих странных из openbsd ничего хорошего и не ждал.
С другой стороны, читать pf.conf все же проще чем тот омерзительный бейсик, поэтому я ipfw тоже стараюсь не пользоваться.
Немного жаль что операционных систем с хорошими пакетными фильтрами больше не существует, но, с другой стороны, в эпоху единственного порта 443 они свое, в общем, отжили.
по динамике ipfw рулитPF не пользуюсь именно по причине того, что нужно каждый раз
перезагружать файл, заместо логичного add/del/change, ну и flush если припрет
Вообще новость меня сильно расстроила и удивила
неповерил, что нет решения и стал гуглить
вот что пишут:> On Tue, 21 Apr 2020 at 18:50, Eugene Grosbein <eu...@grosbein.net> wrote:
>>
>>> I believe this is correct; what about this statement:
>>>
>>> No workaround is available. Systems not using the ipfw firewall, and
>>> systems that use the ipfw firewall but without any rules using "tcpoptions"
>>> or "tcpmss" keywords, are not affected.
>>..........
> So perhaps:
> Systems not using the ipfw firewall, and systems that use the ipfw firewall
> but with no rules using "tcpoptions" or "tcpmss" keywords, are not affected.I like it.
источник https://www.mail-archive.com/freebsd-security@freebsd.o...
> неповерил, что нет решения и стал гуглитьи выяснилось, что, как обычно, баг проявлялся только у Жени, потому что только ему понадобились совсем уж покрытые пылью веков tcpoptions в правилах фильтра.
Женя только года 4 назад закопал последний джейл с 4.11, с фидософтом. ну, может 5 лет назад, ок.
в определенных кругах даже термин был - GrosBSD.
так то jail.
Мой патч для freebsd8 в э... 2017м ему нифига не показался.У меня эта 8 жива до сих пор, и вряд ли я стану ее апгрейдить.
> так то jail.
> Мой патч для freebsd8 в э... 2017м ему нифига не показался.
> У меня эта 8 жива до сих пор, и вряд ли я
> стану ее апгрейдить.ну stable/8 у него еще года 3 назад были вширь и ввысь
давно ждал
На том и стоим, защита наше всё.
если кто то вроде меня наткнется на новость - проблема
отсутствует если не используется tcpoptions, лично я его
видел только в мане, когда что то другое искал.расходимся ;)
> если кто то вроде меня наткнется на новость - проблемамы уже тут жевали эту булочку.
> отсутствует если не используется tcpoptions, лично я его
> видел только в мане, когда что то другое искал.ну вот представь что ты оператор связи, и начальство повелело косплеить мегафон - резать нахрен юзеров использующих больше одного устройства. Денег на оборудование, как обычно, не дали. ;-)
> расходимся ;)
В целом, да, такие должны страдать ;-)
P.S. приятно отметить что ajust-mss с этой проблемой не связан. Те кто, наоборот, обманывают мегафона - не пострадают ;-)
>> если кто то вроде меня наткнется на новость - проблема
> мы уже тут жевали эту булочку.уточнил, что для таких, как я- не гуру/не умеющих|имеющих
возможности вдумчиво все коменты прочесть и объеденить в единое целоелично был бы рад увидеть такой комент в самом начале, например,
глянул бы быстро патч и все.>> отсутствует если не используется tcpoptions, лично я его
>> видел только в мане, когда что то другое искал.
> ну вот представь что ты оператор связи, и начальство повелело косплеить мегафон
> - резать нахрен юзеров использующих больше одного устройства. Денег на оборудование,
> как обычно, не дали. ;-)тут хз полностью зависящие от ИТ конторы врядли будут жалеть деньги на
ИТ (если только на персонал :))
> тут хз полностью зависящие от ИТ конторы врядли будут жалеть деньги на
> ИТ (если только на персонал :))еще как будут.
Потому что для них это операционные расходы, и их инвестор постоянно плющит. Чтобы корова меньше жрала и больше давала молока - ее надо просто меньше кормить и больше доить.А для не-ИТ это так, мелочь, они сейчас больше об аренде пустующих офисов плачут. Поскольку доят совершенно другую корову, и расходы жмут именно на нее.
уже давно не занимаюсь сетями, но разве проблему косплееров не решили еще лет 10-15 назад махинацией с ттл на шлюзе?
не у всех взломанный хуавеевский свисток, некоторым негде подменять ttl, а некоторые просто не знают как это делается.У Гроссбейна видимо именно такие клиенты - раз ему оно зачем-то было надо ;-)