Доступен стабильный релиз интерфейса для упрощения настройки параметров сети - NetworkManager 1.40.0. Плагины для поддержки VPN (Libreswan, OpenConnect, Openswan, SSTP и др.) развиваются в рамках собственных циклов разработки...Подробнее: https://www.opennet.me/opennews/art.shtml?num=57685
> для упрощения?
именно, для продакшна не заменим, ни разу не подводил, в отличие от васянских поделок
ip - это васянская поделка?
именно. и netctl, и прочий мусор. управлять кластерами через эти наколеночные поделки невозможно
А как гуёвая прога помогает управлять кластерами?
nmcli не гуёвый.
NM - это сервис, гуй - это nm-connection-editor и network-manager-applet.
NM - это и есть "васянская поделка" для домохозяек и админов которые только и настраивают, что ip да gateway.
админы чего? они все одинаковые?
нюню. особенно с nis+
iptables и bpf вообще какие-то инвалиды пилили
Они хотя бы предсказуемые, в отличие от сабжа.
Не могу не вступиться за авторов iptables, ebtables, arptables, iproute2 и их продолжателя nftables
Изумительные продуманные инструменты.>iptables и bpf вообще какие-то инвалиды пилили
Сразу видно копипастера со StackOverflow и OpenNet. Этим не дано понять логику и оценить продуманность архитектуры.
>Не могу не вступиться за авторов iptables, ebtables, arptables, iproute2 и их продолжателя nftables
>Изумительные продуманные инструменты.
>iptables и bpf вообще какие-то инвалиды пилили
>Сразу видно копипастера со StackOverflow и OpenNet. Этим не дано понять логику и оценить продуманность архитектуры.iptables то с продуманной архитектурой? он уже перестал выгружать все правила (даже если их 100000) чтобы добавить к ним одно новое? nftables, если что, именно из-за всеобщего признания убл*дошности iptables и появился
>он уже перестал выгружать все правила (даже если их 100000) чтобы добавить к ним одно новое?Ты путаешь iptables со всякими GUI и надстройками-фронтендами, типа ufw.
RTFM iptables. Он умеет без перезагрузки цепочек:
-A Append one or more rules to the end of the selected chain
-I Insert one or more rules in the selected chain as the given rule number
и еще много чего.
> RTFM iptablesахахахах, я много лет подряд читал, к счастью это уже в прошлом
у вас в школе ещё не проходили, но iptables именно это и делает: на каждый вызов "-A" и "-I" он выгрузит вообще(!) все правила (не в цепочке), добавит к ним новое и загрузит обратно
Лет 15 назад уже обсуждали это вранье с примерами из кода ядра.При добавлении формируется новая таблица ядра с правилами, потом атомарно меняется указатель.
При этом счетчики не страдают.
И ничего обратно он не грузит.
> Лет 15 назад уже обсуждали это вранье с примерами из кода ядра.
> При добавлении формируется новая таблица ядра с правилами, потом атомарно меняется указатель.
> При этом счетчики не страдают.
> И ничего обратно он не грузит.звучит разумно, но почему тогда тормозит даже на паре тысяч правил? давайте разбираться, давайте свои "примеры из кода ядра"
Каким образом вы загружаете эти "пару тысяч правил"?
Подозреваю, что они у вас они в скрипте, где каждое правило добавляется при помощи вызова команды iptables, и если это именно так, то ничего удивительного :D
>Каким образом вы загружаете эти "пару тысяч правил"?
>Подозреваю, что они у вас они в скрипте, где каждое правило добавляется при помощи вызова команды iptables, и если это именно так, то ничего удивительного :DСейчас никак. Раньше была скриптовая обвязка вокруг приложеньки, она поставляла ip-шники подбирателей паролей к учёткам ip-телефонии.
> но почему тогда тормозит даже на паре тысяч правил?Все просто — вы их по новой одним файлом передобавляете? Подправил файл и его целиком опять хренакс?
Ну.. ССЗБ как говорится.
> давайте разбираться, давайте свои "примеры из кода ядра"Опять?!! Не, либо ищите в архиве (а еще лучше в ядре, там не сложно), либо за отдельную плату.
> И ничего обратно он не грузит.почитал про внутрянку. разрабы netfilter пишут, что все правила хранятся "одним блобом" (буквальная цитата). у вас есть сто тысяч правил и хотите добавить одно? отлично, добавить одно не получится, загружаем обратно сто тысяч, а вместе с ними и одно новое. хотите добавить к ста тысячам правил ещё сто тысяч по одному (например через скриптуху)? ну вы испытываете столько боли, что понимаете, почему iptables выкинут его же разрабами на помойку и заменен nftables
> разрабы netfilter пишут, что все правила хранятся "одним блобом" (буквальная цитата)ну, пи..шунов везде хватает.
> у вас есть сто тысяч правил и хотите добавить одно? отлично, добавить одно не получится, загружаем обратно сто тысячдетский вопрос - откуда загружаем то?
..
Пример - после загрузки через чрут меняю одно правило.
Откуда все другие "загружаем обратно сто тысяч" берем?
> у вас в школе ещё не проходилиВ моей школе точно не проходили - я ее закончил в 1979 году. (ты, наверное, тогда еще не родился)
А мне довелось еще ipchains на ядрах 2.2 крутить. А уж когда вместе с ядром 2.4 появился iptables - это был просто праздник.>выгрузит вообще(!) все правила (не в цепочке), добавит к ним новое и загрузит обратно
Какая чушь!!
Ты бы еще подсказал неграмотному КУДА правила из памяти выгружаются и ОТКУДА потом загружаются обратно (/tmp не предлагать)
> В моей школе точно не проходили - я ее закончил в 1979 году. (ты, наверное, тогда еще не родился)я не про физиологический возраст, он ума скорее убавляет, чем добавляет
я про опыт того, что iptables плох архитектурно, тормозит на любых серьёзных наборах правил и подпирается костыликом ipset> А мне довелось еще ipchains на ядрах 2.2 крутить. А уж когда вместе с ядром 2.4 появился iptables - это был просто праздник.
тот, конечно, ещё хуже, даже посочувствую. но то, что бывает что-то "хуже", не делает iptables хорошим, только "лучше самых плохих"
> Ты бы еще подсказал неграмотному КУДА правила из памяти выгружаются и ОТКУДА потом загружаются обратно
тож в память для десериализации, изменения правил, обратной сериализации (правила внутри ядра хранятся не в том виде, как мы их пишем)
> тормозит на любых серьёзных наборах правил и подпирается костыликом ipsetДа ладно? Прям таки все проходящие пакеты тормозят?
А то тут весь тырнет про скорость фильтрации "линух_вс_другая ос" не согласен.Или только тогда, когда буратины всю портянку правил перезагружают?
> я не про физиологический возраст, он ума скорее убавляетХа.
А я то думаю, что так ай-ку (или 2 раза ку? х/з :-) у молодежи так зашкаливает, что аж нано-технологии пора вводить.
> В моей школе точно не проходили - я ее закончил в 1979 годуДедуль, что ты тут песком своим соришь? Иди вон на мейнфрейме в Spacewar! поиграй, вспомни молодость.
какой, в мелкомягкую, мейнфрейм, дитя неразумное?!!
spacewar! сваяли на pdp. то, куда её потом припортили - дело десятое :)
Это вот эта dbus-кака, котора в контейнерах себя ведет как ей вздумается? Для localhost-продакшна самое то, ага.
> в контейнерах... всё ясно с тобой. выросло поколение с "сервера=контейнеры" в голове, без них запускать кластеры уже разучились
Так это у вас там в кластерах NetworkManager используеся? Во, дожили.
Если где-то есть кластер с неизолированными в контейнерах/виртуалках инстансами, то лучше не работать в таких местах и других отговаривать.
На продакшен серверах в принципе его быть не должно, потому что лишнее.
"Васянские" поделки подводить не могут, потому что nm их и сам же использует.Что касается "упрощения" то периодически (примерно через одно обновление бубунты) приходят юзвери жаловаться что у них отвалился vpn (да, модуль для этого vpn еще не вышел, а nmcli уже обновился; в особо тяжелых случаях причины другие, но они просто не видят логи и не знают где посмотреть). И в 100% случаев никаких проблем с vpn из консоли нет.
Вердикт:
Ничего он не упрощает.
GUI: он не гибкий, его постоянно нужно обновлять, периодически он отваливается, создает проблемы на ровно месте (а не решает их), прячет проблемы (далеко не всегда информирует пользователя о проблемах, для пользователя это выглядит как "не работает, почему - не понятно")
CLI (nmcli, nmtui): неочевидный, неудобный, лишняя прослойка (ок, "васянские подделки" на которые он упирается еще менее удобные, но хотя бы надежные)P.S. Нет, писать аналог не буду.
Упрощает на всяких ноутбуках, где надо постоянно перетыкать wifi а то и rndis. Там netplan и systemd-networkd разваливаются и не ведут себя корректно, а руками делать всё это каждый раз долго и неудобно
> netplan и systemd-networkd разваливаютсяsystemd тоже не бог весть какая замечательная штука. Попробуйте дистибутивы вообще без него.
Опять сломали USB модемы? После некоторых обновлений не устанавливается соединение или ещё хуже. Приходится откатывать.
тоже это заметил, раздача интернета с моего сяоми работает но при это на лж соеденение отваливается спустя пару секунд
Хоть этот то умеет в несколько основных шлюзов как винда или еще нет?
https://s1.hostingkartinok.com/uploads/images/2022/08/fe6501...
Это я про Dead Gateway Detection. Оно в винде вроде как со времен 9х существует. Линух вроде как в этом плане типа "круче", но сколько я не бился, так и не смог настроить в линухе систему подобным образом.
Ты бы описал проблему подробней, а то телепаты в отпуске. Что за шлюзы? Куда смотрят? Кого пускать?
> Ты бы описал проблему подробней, а то телепаты в отпуске. Что за
> шлюзы? Куда смотрят? Кого пускать?Он похоже хочет страшного: чтобы клиенты по списку сканировали айпишники, выбирали по очереди себе новый дефолтный гейтвей из списка живых (видимо первый живой), а потом его заносили в маршруты.
Но про то что машинок с одним ip в сегменте может быть несколько и выбирать кто из них ответит на запросы они могут и сами, без потока трафика к клиентам, а только между собой, он похоже не догадывается, потому что "на винде всё было по-другому".
Я не волшебник, но волшебные заклинания знаю: VRRP, CARP, GLBP.
Я про то, что жесткая привязка одного TCP/IP соединения к одному физическому интерфейсу является бредом собачим, т.к. TCP/IP это просто логическая надстройка над канальным уровнем OSI, а значит она к нему не должна быть привязана жестко. Я пришел к этой мысли когда мне была поставлена обманчиво простая задача. Прокинуть два интернет соединения через одну физическую сеть. Оказалось, что для нормальной работы такой конфигурации нужно две сетевых карты. Но блин. Это же пустая трата денег. Т.к. я по сути просто делаю два параллельных провода, подключенных к одному и тому же свичу и выполняющих по сути одну и ту же функцию. TCP/IP соединения же логические. Их можно прокинуть сколько угодно сразу через один и тот же канал Ethernet. И винда это прекрасно умеет. Уже давно. А вот линух какой-то отсталый.
> два интернет соединения через одну физическую сеть. Оказалось, что для нормальной работы такой конфигурации нужно две сетевых картыТ.е. делать два интерфейса на одной карте ты не умеешь?!
Я пытался. У меня не получилось. Обычно во всех гайдах пишут, что для этого требуется подправить какой-то там конфиг. Но когда в системе стоит NetworkManager, он берет конфигурирование на себя. А сам он так не умеет.
* Once nmtui is open, go to the Edit a network connection and select the interface you want to add an alias on.
* Click Edit and tab your way through to Add to add extra IP addresses.
* Save the configs and the extra IP will be added.
Это не то. IP-шники добавлять можно. Но шлюзы для них указывать нельзя. И отдельно добавлять шлюзы как в винде тоже нельзя.
Шлюз указывается в таблице маршрутизации, а не в интерфейсе.
https://access.redhat.com/documentation/en-us/red_hat_enterp...nmcli connection modify enp1s0 +ipv4.routes "192.168.122.0/24 10.10.10.1"
это аналог ip ro add 192.168.122.0/24 via 10.10.10.1
Ты не разобрался, но линукс отсталый. Ясно, понятно. Тебя не смутило что например докеры, vpn'ы, движки виртуализации создают отдельный интерфейс и не требуют отдельной сетевухи?
> TCP/IP это просто логическая надстройка над канальным уровнем OSI90% пишущих про "модель OSI" необходимо утилизировать в биореакторе.
возможно 10% оставшихся пишут по делу (и ежедневно ковыряют что-то типа MPLS и DWDM),
но я не уверен.> Оказалось, что для нормальной работы такой конфигурации нужно две сетевых карты.
если нужна максимальная скорость на каждом "соединении", сравнимая
со скоростью сетевой карты, то так и следует поступить.
в остальных случаях я бы начал мутить с вланами и транком.
ооо сразу видно сисиэнэйшика:)
книжка по подготовке на CCNP у меня есть, я ее даже читал. лет 15 назад.
как дочитал до "классы IP адресов: A, B, C, ..." - так и дропнул.
а про вланы там ничего не было.
Да я вижу — Вы здесь самый крутой специалист. Надеюсь, сумели разобраться, как волнистый (синусоидальный) ток по прямому проводу идёт?
> возможно 10% оставшихся пишут по делу (и ежедневно ковыряют что-то типа MPLS и DWDM),В mpls тоже нет никакого Оси. И Изи тоже нет. (Он вообще чудовищное издевательство над идеями комитетских дедулек, принесших нам свое творение.)
Единственное место OSI - чудовищно неудобный (именно потому что) isis. В котором обычно тоже только адресация - а передает он исключительно ip маршруты.
> В mpls тоже нет никакого Оси.значит, некий еврейский ИТ-инженер из Израиля меня обманул. ожидаемо.
ps: это случайно не ваше ли творчество: https://habr.com/ru/users/MechanicusJr/posts/ ?
> значит, некий еврейский ИТ-инженер из Израиля меня обманул.скорее - не обладает достаточной квалификацией, и сам обманываться рад (проверочные вопросы - спросить про isis если младший, спросить про ПРОТОКОЛЫ OSI если архитектор или уже ближе к). Ожидаемо, да, к сожалению.
> ps: это случайно не ваше ли творчество
Нет, конечно. Я не патриот.
Интересно - вроде как ifconfig <ip> alias писали ещё в 90х
> Интересно - вроде как ifconfig <ip> alias писали ещё в 90хА потом те кто писали сам ifconfig - популярно объясняли (тем кто готов был услышать и понять) почему это устарело не только на уровне самой утилиты ifconfig "для совместимости с незнамочем", а и концептуально, на уровне механики ядра. И что нет уже никаких "алиасов", а есть интерфейсы и адреса.
В обработке их ведром есть свои странности, но через ifconfig этого не видно - все загораживают странности самого ifconfig.
Тут недавно писали, что для какой-то приватности в NM нужно здорово сношаться с конфигами: https://nixsanctuary.com/linux-networkmanager-and-anti-priva.../Судя по чейнджлогу нифига не исправлено.
добавить две строчки = здорово сношатьсяслишком толсто
Внизапна, там далеко не две.
Две - рандомизация МАС и хранение хэшированного пароля.
Там больше, но чукча же не читатель, не трать время.
О боже, их четыре! Ужос!
Для владельцев сайтов, блокирующих доступ по стране, должно быть есть отдельный круг в аду.
Зато нынче модно.
Да, к сожалению, очень много пагубных вещей нынче стали модными )))
Нормальная практика ещё с бородатых времён — отключать целыми странами по базе GeoIP. Зачем мне трафик из, скажем, РФ, если у меня там нет ни клиентов, ни партнёров, а ломятся из адресного пространства только спамоботы и сканеры?
Ненормальная практика. Для клиентов и партнёров можно огородится вайтлистом или как он там сейчас в инклюзивной терминологии?
Я блокирую только всяких яндексботов, семрушей и ахрефсов. Яндексботов особенно, но они не из РФ ко мне приходят.А, кстати по сабжу - apt purge network-manager это первое что я делаю после инсталляции.
> Зачем мне трафик из, скажем, РФ, если у меня там нет ни клиентов, ни партнёровА как они появятся, если они про тебя даже не знают и не видят?
>А как они появятсякто же его посадит..., маркетологи сами навяжутся кек:)
Боты сканируют адресное пространство автоматически.
Какой-то васян решил что надо принудительно включить рандомизацию мака и хранить ключи в киринге, мне например это не нужно, с какого переругу они должны это "исправлять"
Так не включай. Чего хныкать то без причины
> Так не включай. Чего хныкать то без причиныЭто не мне говори, а автору статьи и комментатору который её в пример привёл
Тяжело установить нужный параметр при настройк соединения?
Зачем по умолчанию, если профиль соединения все равно настраивается?
Какая то кривая дичь, работает хуже самые дешевые роутеры, иногда пару раз в день отваливается и просто не подсасывает ip адрес от провайдера, приходится вручную нажимать на профиль, или ждать, через некоторое время всё же получает адрес. В локальной сети та же дичь, после выкл->вкл роутера доступ к интернет отваливается пока не нажмешь на профиль, хотя к локальной сети доступ есть и все адреса на месте, но как будто бы шлюза нету.
Возможно тебе стоит написать багрепорт авторам твоего дистрибутива в котором такая старая версия с ошибками.
Дишманский провайдер, у которого ты в такой же локалке ))
Честно говоря, NM — не самое лучшее приобретение для любого дистрибутива.
Предпочитаешь подключать wifi из командной строки руками запуская wpa_supplicant? Ну имеешь право :-)
Я не подключаю wifi на блейд-серверах и других интересных и забавных штуках вроде систем хранения.
> Я не подключаю wifi на блейд-серверах и других интересных и забавных штуках
> вроде систем хранения.более того, если штука настолько интересная что на ней таки бывает нужен wifi - и при этом "почему-то" на ней не стоит винда - таки я буду запускать на ней wpa_supplicant ручками. Чтобы он делал только то что мне нужно, и когда нужно, а не ломился по умолчанию в любую дырку, светя во все стороны уникальными idшками.
Для всего остального существует и прекрасно работает прямо из коробки windows11.
Подскажите команду nmcli что бы отключить/включить уведомления NetworkManager?
nmcli -help