Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск firewalld 1.0"	+/–
Сообщение от opennews (??), 23-Июл-21, 09:24
Представлен релиз динамически управляемого межсетевого экрана firewalld 1.0, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке  Python и распространяется под лицензией GPLv2... Подробнее: https://www.opennet.me/opennews/art.shtml?num=55537
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 23-Июл-21, 09:24	+7 +/–
скриптеры балуются
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Аноним (2), 23-Июл-21, 09:32	+11 +/–
Двоякие впечатления. С одной стороны решили проблему с добавлением и изменение правил на лету. Но создали новые проблемы с прозрачностью процессов. Совершенно неочевидно, что блокируется, а что нет, логика размыта. В одной версии запрещают перенаправление между интерфейсами, а в другой разрешают. Нет полного контроля за настройками.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #85, #136

3. Сообщение от pofigist (?), 23-Июл-21, 09:33	–3 +/–
Опенсоурсники пытаются скопировать zbfw, про который они слышали, но не видели...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

4. Сообщение от Аноним (4), 23-Июл-21, 09:36	+7 +/–
Нагородили лишних абстракций. С точки зрения удобства и предсказуемости действий идеален ipfw из FreeBSD.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #47

5. Сообщение от Ананомизец (?), 23-Июл-21, 09:37	+4 +/–
Мне более по нраву PF
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #10

6. Сообщение от Котовшив (?), 23-Июл-21, 09:42	–5 +/–
Питон и руст как раковая опухоль убьют Линукс.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #54

7. Сообщение от пох. (?), 23-Июл-21, 09:42	–3 +/–
винду они пытаются скопировать, винду. чтоб пщщ - и порт сам открылся, по команде шибкоумного системного-менеджера. А что не тот и не надо было - ну это мелочи. Зато девляпсу не надо знать какой порт использует ssh. Он и протокола-то не знает - "чего-то там ip? ААА, v6, точно!". Ну и ладно. Зато е6анутый синтаксис и совершенно нечеловекочитаемые правила nft учить не придется. За нас все сделают. И есть за нас тоже будут, но поскольку г-но - то пусть хавают, полной пастью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #44

8. Сообщение от Аноним (8), 23-Июл-21, 09:42	–4 +/–
мало того что на линуксе система сетевой инициализации на питоне, так теперь и фаервол на питоне :D они что сами не понимают какой зашквар это?)))
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #12, #14

9. Сообщение от пох. (?), 23-Июл-21, 09:45	–5 +/–
"как в венде". Чего ты хочешь от опоздавших родиться? Им не нужна система с предсказуемым поведением. Им надо "се-се-хе" вместо tcp/22 - все равно они не знают ни про tcp, ни что такое 22. Если сесехе на нестандартном порту - ну, делают лужицу и садятся в ее середку, как и принято у детей-д-билов, ныне политкорректно называемых аутистами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #16, #17, #84

10. Сообщение от пох. (?), 23-Июл-21, 09:47	–6 +/–
оба сорта г-на. Расскажите, как пробросить через ваше недоразумение sip? Да, кстати, у нас тут dual cone nat и еще туннельчик,поэтому часть серых адресов доступна прямо с белых по другую сторону туннеля - и для них ничего автоматически портить не надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #19, #26, #39

11. Сообщение от пох. (?), 23-Июл-21, 09:49	–3 +/–
можешь начинать переписывать на свой любимый bash. Только учти, из него немного неудобно делать интерфейс к dbus.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #24, #28

12. Сообщение от Онаним (?), 23-Июл-21, 09:50	–2 +/–
systemd+iptables - и никакого питона ;D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #13

13. Сообщение от Онаним (?), 23-Июл-21, 09:50	+1 +/–
(systemd-networkd)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

14. Сообщение от Амоним (?), 23-Июл-21, 10:04	+2 +/–
> так теперь и фаервол на питоне не файервол, а гуй и прочая обвязка к системному файерволу. и потихоньку привыкайте к мысли что питон это такой новый скриптовый шелл.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #22, #55, #114, #163

15. Сообщение от Anonimous (?), 23-Июл-21, 10:09	+3 +/–
Я когда разбирался с nftables ради интереса сравнивал теже правила добавленные через firewalld с бекендом nftables. Так firewalld создает примерно 20-ти кратный оверхед сравнительно с просто nftables. В принципе можете сами повторить эксперимент и убедится.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #147

16. Сообщение от Аноним (16), 23-Июл-21, 10:09	+15 +/–
кто-нибудь, зобаньте уже этого токсичного
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #20

17. Сообщение от Аноним (17), 23-Июл-21, 10:10	+3 +/–
Какой же ты олень. ПЕРВЫЙ запрос в гугле показывает как настроить в этой фигне ssh на нестандартном порту. Ну и чисто в целях борьбы в безграмотностью: в Cisco ASA из начал двухтысячных тоже можно было "блокировать сесехе" без указания порта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #31, #32, #40

18. Сообщение от Аноним (18), 23-Июл-21, 10:19	+/–
>свободное перемещение пакетов между сетевыми интерфейсами или источниками трафика внутри одной зоны (public, block, trusted, internal и т.п.). Очень странный дефолт, особенно для зон public и block. Я еще понимаю для trusted и internal, home, но для всех это перебор.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #35

19. Сообщение от Аноним (19), 23-Июл-21, 10:21	–1 +/–
За деньги рассказал бы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #21, #137

20. Сообщение от нах.. (?), 23-Июл-21, 10:34	–4 +/–
А что, правда глазки режет, ага?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #25

21. Сообщение от нах.. (?), 23-Июл-21, 10:37	–2 +/–
Ооо, представитель бздни как он есть, на словах герои, а как к делу...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

22. Сообщение от нах.. (?), 23-Июл-21, 10:39	–3 +/–
> потихоньку привыкайте к мысли что питон это такой новый скриптовый шелл. Чейта, где выходил такой закон?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

23. Сообщение от нах.. (?), 23-Июл-21, 10:41	–4 +/–
Ну тогда учите ip/nftables. Нехотите? Ну тогда как хозяиманама сказала так и будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

24. Сообщение от Аноним (8), 23-Июл-21, 10:48	+/–
У меня из любимых sh и csh, а bash для школоты вроде тебя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #30

25. Сообщение от anonymous (??), 23-Июл-21, 11:05	+13 +/–
Просто вы апеллируете к ложным сообщениям и эмоциям, а не к фактам, и подаёте всё в достаточно мерзкой форме. Оно было бы ещё терпимо, если бы давало какую-то пищу для размышления, но чтение ваших комментариев вызывает эстетическое отвращение и сожаление за мир, что он носит таких людей. Всё же хотелось бы читать объективные технические комментарии, а не быдло-наезды из-за личных тараканов в голове.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #33, #36

26. Сообщение от Аноним (26), 23-Июл-21, 11:07	+5 +/–
эксперды в виде похов и нахов подъехали. недоразумение sip легко и непринужденно пробрасывается, руки нужно иметь прямые
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

27. Сообщение от anonymous (??), 23-Июл-21, 11:08	+3 +/–
И тут похейтить rust успели. Мило.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #48

28. Сообщение от anonymous (??), 23-Июл-21, 11:09	+/–
Можно на Go переписать ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #34

29. Сообщение от Аноним (29), 23-Июл-21, 11:20	–3 +/–
> Fedora 18+ Я всегда знал, что Федору в приличном обществе лучше не показывать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37, #38

30. Сообщение от пох. (?), 23-Июл-21, 11:24	–4 +/–
> У меня из любимых sh и csh, а bash для школоты вроде > тебя. да ты ни на чем не умеешь, вот в чем беда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #100

31. Сообщение от Annoynymous (ok), 23-Июл-21, 11:28	–1 +/–
Даже в iptables можно блокировать сесехе без указания порта. Порты берутся из /etc/services.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

32. Сообщение от пох. (?), 23-Июл-21, 11:30	–4 +/–
> Какой же ты олень. ПЕРВЫЙ запрос в гугле показывает как настроить в отойди от зеркала, рогами разшибешь. > этой фигне ssh на нестандартном порту. Ну и чисто в целях спасибо, мне нах не надо. > борьбы в безграмотностью: в Cisco ASA из начал двухтысячных тоже можно > было "блокировать сесехе" без указания порта. можно. Только это не подавалось как виликая пое6да. Обычный getservicebyname, в те времена считалось стыдным его не уметь прозрачно. Но тут пришли л@п4...е со своей iputils, на тот момент первой и единственной кастрированной поделкой. По сей день не умеет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #45

33. Сообщение от пох. (?), 23-Июл-21, 11:31	–5 +/–
> Всё же хотелось бы читать объективные технические комментарии, а не быдло-наезды из-за я не успел, там за номером 1 объективный технический.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

34. Сообщение от пох. (?), 23-Июл-21, 11:33	–1 +/–
> Можно на Go переписать ;) было бы хотя бы небессмысленно - миллиона пихонодеталек, каждый день новых, в зависимостях зависимостей по крайней мере избежали бы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

35. Сообщение от пох. (?), 23-Июл-21, 11:35	–2 +/–
> Очень странный дефолт, особенно для зон public и block. Я еще понимаю пупсики ломают себе взаимодействие собственных "сервисов" из-за этого. Пришлось разрешить. У серверов в облачках никаких зон кроме public и нету.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #56, #57

36. Сообщение от andy (??), 23-Июл-21, 11:35	+3 +/–
> Просто вы апеллируете к ложным сообщениям и эмоциям, а не к фактам Почему к ложным? Пох/нах, если его попросить, вполне может дать развернутый ответ. К примеру, на вопрос про xfs, я получил ссылку на коммит, который при монтировании краш вызывает. > и подаёте всё в достаточно мерзкой форме. Скажите пожалуйста, а как относится к людям которые делают вашу жизнь хуже? > Оно было бы ещё терпимо, если бы давало какую-то пищу для размышления, Пищи для размышления достаточно. Помимо достижений, пох сообщает о пачке проблем. Что же касается firewalld - это недоделка, которая была призвана "облегчить" написание правил, вместо, якобы, "путанного" синтаксиса iptables. Но, поскольку поделка была не написана не до конца, то получили direct rules в этом firewalld. Внимание вопрос, если мне необходим direct rules (почти всегда), тогда накой хрен мне этот firewalld вообще сдался?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #41

37. Сообщение от Аноним (-), 23-Июл-21, 11:35	+1 +/–
тебе ли об этом думать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

38. Сообщение от пох. (?), 23-Июл-21, 11:36	–1 +/–
>> Fedora 18+ > Я всегда знал, что Федору в приличном обществе лучше не показывать. с чего ты взял что твой детский садик - приличное общество?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

39. Сообщение от HyC (?), 23-Июл-21, 11:37	–2 +/–
> Расскажите, как пробросить через ваше недоразумение sip? Точно так-же как FTP. Выражаясь дипломатично пробрасывать сип "через недоразумение" еще большее недоразумение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #43

40. Сообщение от andy (??), 23-Июл-21, 11:38	–2 +/–
> ПЕРВЫЙ запрос в гугле показывает как настроить в этой фигне ssh на нестандартном порту. firewall-cmd --add-forward-port=port=3333:proto=tcp:toport=22:toaddr=192.168.1.1 "Хороший" синтаксис, да
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #42

41. Сообщение от пох. (?), 23-Июл-21, 11:38	–3 +/–
> Внимание вопрос, если мне необходим direct rules (почти всегда), тогда накой > хрен мне этот firewalld вообще сдался? но как же интуитивно приятный гуй? И вон, вон - апплет!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

42. Сообщение от пох. (?), 23-Июл-21, 11:40	–2 +/–
>> ПЕРВЫЙ запрос в гугле показывает как настроить в этой фигне ssh на нестандартном порту. > firewall-cmd --add-forward-port=port=3333:proto=tcp:toport=22:toaddr=192.168.1.1 > "Хороший" синтаксис, да Да прекрасный же ж синтаксис. По сравнению с nft ruleset который оно порождает. Во всяком случае, однострочный и не требует jq для парсинга.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

43. Сообщение от пох. (?), 23-Июл-21, 11:42	–7 +/–
>> Расскажите, как пробросить через ваше недоразумение sip? > Точно так-же как FTP. > Выражаясь дипломатично пробрасывать сип "через недоразумение" еще большее недоразумение. Понятно. "sip нинужна" и прочите типовые решения специалистов впопеннета. А потом они удивляются, что на желающих притащить решения на базе freebsd с порога смотрят как на полных м-ков, которых непонятно кто вообще на собеседовании проморгал. А не м-ки вынуждены молчать, чтоб не сойти за м-ка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #53, #162

44. Сообщение от pofigist (?), 23-Июл-21, 11:55	–2 +/–
Да ладно! В виндовом фаерволе додумались до понятия зон? Серьезно - я помню только как его отключать ибо от фаервола на арм-е - одни проблемы и никакой пользы. На сервере к слову аналогично... Ну почти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #46, #51

45. Сообщение от Аноним (17), 23-Июл-21, 11:56	+2 +/–
>отойди от зеркала, рогами разшибешь. Лол. Ты ещё маме на меня пожалуйся. >спасибо, мне нах не надо Ну так не кукарекая тогда о том, в чём не разбираешься. Мне вот оно тоже не нужно и я даже не планировал этим пользоваться. >Только это не подавалось как виликая пое6да. А где этот тут подаётся как великая победа? У них в списке преимуществ только "Changes can be done immediately in the runtime environment. No restart of the service or daemon is needed." и т.п.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #60

46. Сообщение от пох. (?), 23-Июл-21, 11:58	+1 +/–
> Серьезно - я помню только как его отключать уровень опеннета, угу. > ибо от фаервола на арм-е - одни проблемы и никакой пользы. На сервере к слову аналогично... главное верить. И первый же залетевший внутрь периметра дятел или браузерный эксплойт рушит весь карточный домик.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

47. Сообщение от pda (ok), 23-Июл-21, 12:07	+1 +/–
firewalld абстрагирует от конкретного фаервола. Т.е. с ним можно прозрачно переехать с iptables на nftables и ничего не заметить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #67, #72, #90, #96

48. Сообщение от Аноним (-), 23-Июл-21, 12:15	–2 +/–
> И тут похейтить rust успели. Мило. Это констатация фактов! И вообще, даже если у вас растофойа, это не означает что растаманы не следят за вами и не пытаются тайком на*рать вам в штаны!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #50

49. Сообщение от Аноним (49), 23-Июл-21, 12:19	+/–
Чем это лучше того же ufw?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #82

50. Сообщение от Аноним (50), 23-Июл-21, 12:41	+/–
> Это констатация фактов! Это истерика или жирный троллинг, современных опеннет-клоунов не поймешь > растаманы не следят за вами и не пытаются тайком на*рать вам в штаны! Значит ли это, что растоманы -- сионисты-жидорептилоиды с нибиру новой эпохи?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

51. Сообщение от Аноним (-), 23-Июл-21, 13:01	+/–
Понятия зон ввела ещё сама тётя Cisco. А не знамши - нечего и трындеть. Мать часть учи. Сам механизм зон предоставил дополнительный уровень удобства. Но вот язык 3CPL достаточно не тривиален, это не Хруст, не Си и не Бэйсик с Питоном.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #61

52. Сообщение от Аноним (-), 23-Июл-21, 13:04	+/–
> Код firewalld написан на языке Python и распространяется под лицензией GPLv2. Демонов положено писать на С, и вряд ли на Хрусте. Куда вы сос винной харей в калашный ряд то!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #59, #126

53. Сообщение от Sw00p aka Jerom (?), 23-Июл-21, 13:17	+/–
лучше бы описали проблему, что куда по каким портам нужно "пробросить", может кто-то и подсказал бы решение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #63, #65

54. Сообщение от Аноним (54), 23-Июл-21, 13:23	+/–
У Питона уже было более чем достаточно времени, чтобы убить, но не убил же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

55. Сообщение от Онаним (?), 23-Июл-21, 13:25	–1 +/–
Ды вот щаз. Я на пхп доскриптовываю всё то, что на баше лениво.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #58

56. Сообщение от Онаним (?), 23-Июл-21, 13:26	+/–
У пупсиков всё взаимодействие их собственных сервисов и так смузи сломано. Я не про серверы :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

57. Сообщение от Онаним (?), 23-Июл-21, 13:26	+/–
Почему ж нету. Вполне возможны всякие тунельки, ну и локалхост никто не отменял.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

58. Сообщение от Аноним (54), 23-Июл-21, 13:34	+/–
Считаешь, что Пых прямее Питона?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #62, #64

59. Сообщение от нах.. (?), 23-Июл-21, 13:39	–1 +/–
Тссс ты че, они моск сломают, а потом в суд подадут!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

60. Сообщение от пох. (?), 23-Июл-21, 13:46	–2 +/–
Мастер во всем разбираться...ой, нет, быстрогуглежа шестого дана. Причем совершенно ненужной информации. > А где этот тут подаётся как великая победа? Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (а вовсе не "мы научились, научились, использовать getservicebyname - еще лет через пять научимся и gethostbyname, вот тогда и похохочем" [ничего что вообще-то и iptables это умеют, причем правильно понимая что делать, если вернули не одну строчку] но я понимаю, упертые бараны читать же ж не умеют, тем более понимать прочитанное, им лишь бы нахамить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

61. Сообщение от пох. (?), 23-Июл-21, 13:52	–1 +/–
> Понятия зон ввела ещё сама тётя Cisco. она их с винды, пожалуй, и скопипастила (zbf был уже после/одновременно с семеркой). или все вместе с кто там тогда под винду был модно, я уже забыл... До них были только security levels в pix'оподобных, которые были вообще непонятно для чего, поскольку ломаются  необратимо и навсегда от первого же acl. Хз что циска этим хотела сказать. > Сам механизм зон предоставил дополнительный уровень удобства. Но вот язык 3CPL достаточно да, больше не надо запоминать как сегодня называется хитропереименованный системдрянью eth0. Уп-с, вообще-то и раньше было не надо - он был eth0. Ну, хрен с ним... Привыкайте жить с "Сетевой адаптер ethernet #23456" (после перезагрузки станет 23457) - вы ж хотели какввенде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #69

62. Сообщение от Онаним (?), 23-Июл-21, 13:52	–2 +/–
Хз насчёт прямее, я не спец по изгибам рук честно говоря. Но то, что удобнее и читабельнее для тех, кто с C и плюсами знаком - да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

63. Сообщение от Онаним (?), 23-Июл-21, 13:54	+/–
5060 и RTP на произвольном порту без открытия всего диапазона 1024-65535
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #66, #98

64. Сообщение от Онаним (?), 23-Июл-21, 13:55	–1 +/–
Ну и зависимостей меньше, в рантайме по сути есть почти всё, что может понадобиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

65. Сообщение от пох. (?), 23-Июл-21, 13:59	–3 +/–
> лучше бы описали проблему, что куда по каким портам нужно "пробросить", может > кто-то и подсказал бы решение. да нет у меня проблем (если ты не узнал описание - ты просто не имел дело с ip телефонией в значимом количестве) - просто не использую поделку, нуждающуюся в userland врапперах. Хотя, да, проблема есть - щас iptables окончательно добьют, и мои kernel-level хаки перестанут работать. Ну, тоже решаемая - еще одну asaV купят, что мне, жалко что ли чужие деньги? Синтаксис простыни без иерархии и нат правил задом-наперед, конечно, вызывает желание принести индусского автора в жертву Справедливой (хотя она таким и тигра-то кормить побрезгует, поди) максимально мучительным способом, но прочитать его все еще можно, не смотря на все улучшизмы, и отлаживать предусмотрено, чем. В отличие от недоразумений типа ipfw и тем более от трэша и п-ца nft. И fixup'ы хоть и тоже изуродовали в новых версиях, но все еще включаются и выключаются как мне надо и когда мне надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #71, #97

66. Сообщение от пох. (?), 23-Июл-21, 14:04	–2 +/–
> 5060 и RTP на произвольном порту без открытия всего диапазона 1024-65535 ты забыл еще привычку софтсвичтей _иногда_ пытаться угадать что нужно использовать nat. В случае наличия в сети одновременно софтсвитча на белых адресах и потребителей в 192.xxxx но за натом - результат немножко фееричен. C 323 разумеется ничуть не лучше. Да, для iptables были модули, умевшие ЭТО разгребать. Их весьма несложно было написать. Для nft пусть макаки на пихоне пишут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #70

67. Сообщение от пох. (?), 23-Июл-21, 14:06	–3 +/–
> firewalld абстрагирует от конкретного фаервола. Т.е. с ним можно прозрачно переехать с > iptables на nftables и ничего не заметить. это было очень мило, спасибо. А можно без него и без nft - кому этот "переезд" даром не нужно? С моей точки зрения все ровно наоборот - nft и вызвало к жизни желание какввенде и неумение питонописателей в iptables.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #102

68. Сообщение от Хан (?), 23-Июл-21, 14:15	–1 +/–
FirewallD от Лени с любовью
Ответить | Правка | Наверх | Cообщить модератору

69. Сообщение от PnD (??), 23-Июл-21, 14:22	+1 +/–
> запоминать как сегодня называется хитропереименованный системдрянью eth0 Не хотим. И даже не будем: # cat /proc/cmdline … biosdevname=0 net.ifnames=0 … printk.devkmsg=on consoleblank=0 Вот так, примерно. * consoleblank на железках с видеокартами даёт шанс ознакомиться с содержимым паники, не задействуя "тяжёлую артиллерию".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #88

70. Сообщение от Онаним (?), 23-Июл-21, 14:27	+1 +/–
Вроде как сиповый хелпер с nft работает, просто надо ручками к 5060 прибивать. И в iptables автоприбитие вроде тоже задепрекейчено, если не убрано. А то да, придётся на ёbpf писать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #81

71. Сообщение от Онаним (?), 23-Июл-21, 14:29	+/–
Я кстати удивлён что через ASA SIP до сих пор нормально ходит, хотя там хелпер древнющее говно мамонта, и иногда делает сипу слегка больно, спасает только симметричность RTP на свитчах по умолчанию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #79

72. Сообщение от Онаним (?), 23-Июл-21, 14:30	+/–
Он ещё и от реальности абстрагирует, в реальности чётко выделить файрвольные зоны можно только в SOHO, и то не всегда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #104

73. Сообщение от Аноним (73), 23-Июл-21, 14:44	–1 +/–
А если ssh на нестандартном порту? Ты ему команду "запрети ssh", а он что?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #80, #93, #118

76. Сообщение от ыы (?), 23-Июл-21, 15:08	–1 +/–
жутко неудобная штука, поскольку когда начинаешь блокировать исходящие соединения- вся магия именованных сервисов идет попиз.е и все делается построчно, ручками...
Ответить | Правка | Наверх | Cообщить модератору

77. Сообщение от Аноним (77), 23-Июл-21, 15:23	–1 +/–
ну вот, еще лет 10 и может осилят интерфейс микротиковского фаервола и будет наконец-то счастье, жаль что не долго, кто-нибудь придет и начнет все это дело переписывать :)
Ответить | Правка | Наверх | Cообщить модератору

79. Сообщение от пох. (?), 23-Июл-21, 15:55	–2 +/–
> Я кстати удивлён что через ASA SIP до сих пор нормально ходит, хотя там хелпер древнющее говно >  мамонта, и иногда делает сипу слегка больно, спасает только симметричность RTP на свитчах по для несимметричных все еще есть возможность явно обозначить между какими адресами фиксап работает, а какими нет. Уже уродливая (policy, а не просто acl, а она одна глобальная на все устройство), но еще есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

80. Сообщение от пох. (?), 23-Июл-21, 16:03	–3 +/–
> А если ssh на нестандартном порту? Ты ему команду "запрети ssh", а > он что? напустит лужу, сядет в нее и будет прыгать. Как и альтернативно-одаренное дитя, которое такое написало, ага. В ентих мелочах, собственно, и диавол. "Было бы величайшей ошибкой - думать!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #115

81. Сообщение от пох. (?), 23-Июл-21, 16:07	–2 +/–
он не все умеет, поэтому я в свое время нужные фичи добавлял ручками, это было просто, в отличие от йоптбепефе. И да, хелперы нынче надо руками к портам привешивать, а то, говорят, чтототам небезопастно. Для немодных есть sysctl, возвращающий нормальную работу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

82. Сообщение от пох. (?), 23-Июл-21, 16:10	–3 +/–
> Чем это лучше того же ufw? IPX хороший протокол, но у него есть один недостаток - он разработан фирмой novell.(c) ufw кажется не очень здорово интегрируется с дерьмобасом и гомощелью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

83. Сообщение от Аноним (83), 23-Июл-21, 16:16	+/–
Вроде как для предотвращения разрывов давно придумали conntrack и первое правило в INPUT - разрешение уже установленных соединений. Хз, но имхо это пердолина как ufw. Что-то серъёзное ваять в этом - ну такое, да, для любителей. А если там несколько аплинков, vpn-туннелей, snat/dnat/masq? Загнётся жи мосх такое воплощать на firewalld.
Ответить | Правка | Наверх | Cообщить модератору

84. Сообщение от псевдонимус (?), 23-Июл-21, 16:56	–1 +/–
Но ты же ведь сам писал, что пакетный фильтр-де устарел, нужен фаервол, которые знает от какого приложения идут пакеты и т.п. ЗЫ: в любом случае это не делает  сабж из новости не г-ном.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #86

85. Сообщение от Аноньимъ (ok), 23-Июл-21, 17:30	+2 +/–
У меня от Ситемы-Д всегда впечатление одинаковое. Без всякого дуализма. Нужно просто откинуть все религиозные предрассудки, веру в то, что якобы это должно быть полезным и кому-то нужным, и сразу все просто с впечатлениями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #94

86. Сообщение от пох. (?), 23-Июл-21, 17:31	–1 +/–
дык. Эта-то надстройка над пакетным фильтром чем тут может помочь? Только еще больше сбивает с толку - потому что в ней как раз _есть_ "сервисы" и нет никаких пакетов - а на самом деле нет никаких сервисов, а есть кривой враппер. То есть чисто внешне похоже на какввенде, а на деле даже какввенды тут нет, видимость скопировали. При том что и какввенде - технология 2006го года. Индусы из палоальты могут спокойно кушать свой карри - их рабочим местам еще дооолго ничего не грозит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #91

88. Сообщение от пох. (?), 23-Июл-21, 17:36	–1 +/–
>> запоминать как сегодня называется хитропереименованный системдрянью eth0 > Не хотим. И даже не будем: пока дядя разрешает - не будете. А потом еще как будете, за обе щеки. > … biosdevname=0 net.ifnames=0 а теперь попробуй на redhat. Эта фича уже выпилена-выпилена, давным-давно. После многочисленных леминговых взвизгов - ее ненадолго вернули обратно майнтейнеры убунты, но в апстриме этот "кого надо комит", насколько я помню, так и не откатили. Теперь только вопрос времени, когда тривиальный патч (на нетривиальные майнтейнеры неспособны. были бы они хорошими программистами - они бы программировали) сломается из-за очередного гениального редизайна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #149

90. Сообщение от gogo (?), 23-Июл-21, 17:58	+1 +/–
По четвергам переезжаю на iptables, а по вторникам - на nftables. Кайф! Каждый раз наслаждаюсь плавностью и незаметностью переезда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #106, #124

91. Сообщение от псевдонимус (?), 23-Июл-21, 18:00	+/–
Каждому приложению по контейнеру, каждому контейнеру по айпишнику, а взаимодействовать они будут через дубас. Шах и мат! $-))))))))). На самом деле :-(((((
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

92. Сообщение от Аноним (92), 23-Июл-21, 19:38	+1 +/–
Есть фатальный недостаток, наличие Python.
Ответить | Правка | Наверх | Cообщить модератору

93. Сообщение от Пряникё (?), 23-Июл-21, 19:59	+/–
вы это серьезно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #116

94. Сообщение от Аноним (94), 23-Июл-21, 21:05	+1 +/–
Ну разработчикам полезно, раз пилят. Гики получили своимим же граблями по бубунцам. Забавно за этим наблюдать. ПС: контроль приложений то оно наконец умеет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #99

95. Сообщение от Аноним (95), 23-Июл-21, 21:22	+/–
>>firewall-cmd --add --service=ssh Как оно поймёт на каком порту у меня ССХ? У меня их два. К обоим доступ даст?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #109

96. Сообщение от sukaslayer (?), 23-Июл-21, 22:30	+3 +/–
systemctl stop firewalld yum -y remove firewalld yum -y install iptables-services
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #107, #125

97. Сообщение от Sw00p aka Jerom (?), 23-Июл-21, 22:37	+/–
> да нет у меня проблем (если ты не узнал описание - ты > просто не имел дело с ip телефонией в значимом количестве) - отлично, да не имел дел, но "Расскажите, как пробросить через ваше недоразумение sip?" - должен ли L3/L4 файервол (без разницы pf или iptables) что-либо знать о L7 протоколах (SIP,SDP,RTP и любой другой этого уровня)? Если нет, то в чем претензия к pf, он по определению не должен. > просто не использую поделку, нуждающуюся в userland врапперах. А нужно использовать L7 (NGFW) файервол, и согласен с вами про всякие эти хелперы (врапперы), костыли одним словом, которые прикручивают к L3/L4 файерволам, чтобы была поддержка того или иного L7 протокола. И проблема тут вовсе не только в файерволе кроется, разделения пространств на ядерное и пользовательское, разделение протоколов на уровни, проектировка таких протоколов "недоразумений" как SIP, RTP и т.д. без учета тех же разделений. Вопрос, в каком пространстве (ядерном, пользовательском) должен работать L7 (NGFW)  файервол? и почему его нет до сих пор в линуксах, юниксах? > Хотя, да, проблема есть - щас iptables окончательно добьют, и мои kernel-level > хаки перестанут работать. Ну, тоже решаемая - еще одну asaV купят, > что мне, жалко что ли чужие деньги? Опять таки, это не проблема iptables, он не обязан знать про L7 протоколы. > В отличие от недоразумений типа ipfw и тем более от трэша и > п-ца nft. Вот они как раз свои функции выполняют нормально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #103, #113, #145

98. Сообщение от Sw00p aka Jerom (?), 23-Июл-21, 22:40	+/–
> 5060 и RTP на произвольном порту без открытия всего диапазона 1024-65535 SIP, RTP какого уровня OSI? Когда найдете ответ, тогда и поймете, что тот же pf не только не умеет, но и не обязан уметь это делать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #110, #111, #138, #148

99. Сообщение от Аноньимъ (ok), 23-Июл-21, 22:43	+1 +/–
Это не гики пилят. Для этого нужно другое слово. Любители, наверное подходит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

100. Сообщение от Sw00p aka Jerom (?), 23-Июл-21, 22:46	+/–
> да ты ни на чем не умеешь, вот в чем беда. вредный какой :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

102. Сообщение от pda (ok), 24-Июл-21, 00:02	+/–
> это было очень мило, спасибо. А можно без него и без nft > - кому этот "переезд" даром не нужно? Да лично для себя вы можете что угодно. Я его сам отключаю, мне удобнее nft напрямую конфигурировать. Но человеку попроще пожалуй с firewalld удобнее будет. RHEL всё-таки не гикоориентированный дистр... > С моей точки зрения все ровно наоборот - nft и вызвало к > жизни желание какввенде и неумение питонописателей в iptables. Простите, я не смог перевести это на русский.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

103. Сообщение от Sem (??), 24-Июл-21, 00:06	+/–
> должен ли L3/L4 файервол (без разницы pf или iptables) что-либо знать о L7 протоколах (SIP,SDP,RTP и любой другой этого уровня)? Если нет, то в чем претензия к pf, он по определению не должен. Это у вас только в голове OSI уровни. TCP/IP изначально не соответствует OSI. А хороший файрвол должен уметь заглядывать в любой уровень при необходимости. Мы в 21 веке живём и пишем уже давно не на ассемблере.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #105

104. Сообщение от pda (ok), 24-Июл-21, 00:09	+/–
> Он ещё и от реальности абстрагирует, в реальности чётко выделить файрвольные зоны > можно только в SOHO, и то не всегда. ну, да. Так он и не ставит перед собой цель заменить базовый инструмент сисадмина.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

105. Сообщение от Sw00p aka Jerom (?), 24-Июл-21, 00:25	+/–
> Это у вас только в голове OSI уровни. TCP/IP изначально не соответствует OSI. lol > А хороший файрвол должен уметь заглядывать в любой уровень при > необходимости. Мы в 21 веке живём и пишем уже давно не > на ассемблере. и смузи, из ежа и ужа, с натертым хером и пальцем, готовить должен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #117

106. Сообщение от pda (ok), 24-Июл-21, 00:36	+/–
> По четвергам переезжаю на iptables, а по вторникам - на nftables. Кайф! > Каждый раз наслаждаюсь плавностью и незаметностью переезда. Скажите, а бравировать неспособность заглянуть дальше потребностей админа локалхоста это особой удовольствие приносит?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

107. Сообщение от pda (ok), 24-Июл-21, 00:39	+1 +/–
> iptables-services Учитывая всеобъемлющее отвращение пользователей opennen ко всему новому - ни разу не удивлён. Наверное, если бы ipchains не выпилили, то увидел бы ipchains-services...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

108. Сообщение от Аноним (108), 24-Июл-21, 02:02	–2 +/–
Эх Agnitum, это был правильный firewall, с мониторингом процессов, портов, ип
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #132

109. Сообщение от hefenud (ok), 24-Июл-21, 07:46	+/–
man services grep ssh /etc/services То что ты сумасшедший перевешивающий сервисы куда попало и у тебя ssh на 946/tcp, а https на 317/tcp никого не волнует
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #131

110. Сообщение от Онаним (?), 24-Июл-21, 09:02	+/–
Ну вот пусть и сосёт через трубочку. А потом эти же ребята будут удивляться: "ой, а чойто BSD ненужен".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

111. Сообщение от Онаним (?), 24-Июл-21, 09:04	+/–
Никто ж не заставляет, нет. Пусть себе будет абстрактная академическая поделка в вакууме. А работать будем на более дружащих с реальностью имплементациях. iptables, например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #155

113. Сообщение от Онаним (?), 24-Июл-21, 09:14	+/–
Я помню ещё, как мне тучу лет тому назад, когда мультикоры только что пошли, точно так же бздуны на упоминание однопоточности PF заливали, что PF вообще не обязан больше чем в 1 морду трафик жрать, он типа ни для того. Ну и где ваша бздя с PF теперь? Сегмент малых роутеров просран полностью. И в основном - потому что мультикоры и туда пришли, а поддержка железа и таковых в бзде была никакой на момент их появления. Соответственно было выбрано то, что можно легче допилить. Да и вообще - где ваша бздя в сети? Даже в контролплейнах осталась только у самых упоротых проприетарщиков, которые и плачут, и колятся о кактус академиков, но надо лярды вложить, чтобы слезть теперь. Хотя та же циска в своих контролплейнах XR слезла с QNX внезапно не на бзду, а на то же линуховое ядро. Поигрались в XE, понравилось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #120

114. Сообщение от Аноним (114), 24-Июл-21, 09:49	–1 +/–
Что тут привыкать? Давно пора баш выпилить и заменить питоном.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

115. Сообщение от Аноним (115), 24-Июл-21, 10:41	+/–
Обожаю опеннет за дружелюбное комьюнити!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

116. Сообщение от Аноним (115), 24-Июл-21, 10:45	+/–
Да, серьезно. Вот ниже и пишут, что для исходящих соединений это не работает, ибо неоткуда взять эту информацию
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

117. Сообщение от Аноним (117), 24-Июл-21, 12:28	+/–
Вообще-то тебе умные дяди правильно за SIP всё сказали. Ты его пакеты видел? У него в сессионных пакетах в ЕГО заголовках могут содержаться IP и порты текстом. А может их там и не быть, а может там rport, а может его нету. А еще есть SDP и ICE, которые собирают кандидатов для установки медиасессии клиента, поэтому IP клиентов там будут тоже указаны текстом. А потом медиасессия, которая может быть проходит через тот единственно верный IP на который ты "пробрасываешь", а может быть она идет между клиентами напрямую. А еще могут применяться STUN/TURN для того чтобы обмануть NAT на твоём фаерволе. Поинтересуйся, поузнавай как работает. Там на всё есть причины, почему так, а не иначе. >> Это у вас только в голове OSI уровни. TCP/IP изначально не соответствует OSI. > lol Ну про OSI обычно говорят студенты, которые смогли дочитать Олифера и прочую лабуду, которая: 1) Про SIP старательно умалчивает 2) Красоту академической модели ставит превыше объективной реальности. Если следовать той же OSI, то протокол SIP там можно считать размазанным ровным слоем от 4 до 7 включительно. Этот протокол использует самые разные транспорты для создания пиринговых сессий между клиентами поверх сетевой топологии, которая есть. Если ты думаешь, что его можно считать простым протоколом 7-го уровня, то это значит, что ты о нем только слышал. За 6 лет плотного опыта работы с телефонией и вообще UC в РФ могу смело сказать, что самое страшное зло - pfsence. Но опять же, не так страшен pfsence, как страшен дурачок-админ, который его поставил и не знает ничего сложнее fail2ban для HTTP, но с самомнением будто самый умный. Там даже стадии есть, когда ему говоришь настрой в "такой-то такой-то топологии". Я о стадиях принятия неизбежного, потому что пока еще ни один адепт BSD-образных фаерволов не смог сделать так, чтобы в медиа трафик с клиента на клиент шел через корпоративные туннели, когда сессионка идет через SSL на внешке, и чтобы медиапотоки переключались заворачивались через внешку при падении или отсутствии туннеля как с использованием внешнего медиарелея так и без него. А почему? А всё просто! Бандар-логи умеют "портики пробрасывать для протоколов седьмого уровня" а всё остальное уже не их дело и не дело их богоподобного фаервола. Информация к размышлению: Чем дешевле файрвол, тем дешевле специалист, который умеет его настраивать. > и смузи, из ежа и ужа, с натертым хером и пальцем, готовить должен. Читаем вслух и с выражением: https://datatracker.ietf.org/doc/html/rfc8445 https://datatracker.ietf.org/doc/html/rfc8489 https://datatracker.ietf.org/doc/html/rfc8656 Свой смузи из ежа и ужа принимай ректально по 50 грамм утром и вечером. Эти протоколы чихали на твою OSI и существуют для того чтобы тупые фаерволы с тупыми сетевыми администраторами не были помехой для прохождения медиатраффика. Они родом из SIP, но также используются для XMPP Jingle и WebRTC. Пойми, быть неграмотным дурачком, который пафосно кичится парой зазубренных знаний из учебника, это неприятно и больно в первую очередь для окружающих... дурачок-то обычно не замечает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #119

118. Сообщение от Аноним (117), 24-Июл-21, 12:49	+1 +/–
Ну как бы в фаерволлд имеет xml-ки вот такого вида: https://firewalld.org/documentation/man-pages/firewalld.serv... Вот в ssh там будет внутри: <port protocol="tcp" port="22" /> Соответственно, если ты перенес ssh на порт 65022, то как ты понимаешь, файлик /usr/lib/firewalld/services/ssh.xml сам себя не отредактирует. Зайди и поменяй там и тогда всё будет работать. У меня подобные "автоматизации" вызывают леденящий душу восторг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #127

119. Сообщение от Sw00p aka Jerom (?), 24-Июл-21, 13:59	+/–
>Вообще-то тебе умные дяди правильно за SIP всё сказали. ага, претензии к L3/L4 файерволу за то, что он не знает про L7 протоколы? Где логика? >Ты его пакеты видел? У него в сессионных пакетах в ЕГО заголовках могут содержаться IP и порты текстом. Да там любая херь может быть, это же не делает из него L3/L4 протокол. >А может их там и не быть, а может там rport, а может его нету. А еще есть SDP и ICE, которые собирают кандидатов для установки медиасессии клиента, поэтому IP клиентов там будут тоже указаны текстом. Так эти притензии предъявляйте разработчикам сего "гамно протокола", L3/L4 файервол причем тут? >А еще могут применяться STUN/TURN для того чтобы обмануть NAT на твоём фаерволе. В том, что NAT создает проблемы для вашего "недо протокола" это разве проблемы L3/L4 файервола? Накостыляли ведь всяких STUN/TURN протоколов, что не так? >Поинтересуйся, поузнавай как работает. Там на всё есть причины, почему так, а не иначе. А что создатели того же SIP,SDP,RTP знать не знали как работают NAT-ы и L3/L4 файерволы когда проектировали хрень? Это им надо было интерессоваться, а не мне. Телекомщики они все такие, и их протоколы очевидное гамно. >Ну про OSI обычно говорят студенты, которые смогли дочитать Олифера и прочую лабуду, которая: Открыли америку, L3/L4 от вашего L7 не зависит. >1) Про SIP старательно умалчивает Хех, а зачем и с чего L3/L4 знать про L7? >2) Красоту академической модели ставит превыше объективной реальности. Реальность такова, что когда не следуешь стандарту появляются всякие гавно поделки которые толкают еще свои костыли, лишь бы работало. >Если следовать той же OSI, то протокол SIP там можно считать размазанным ровным слоем от 4 до 7 включительно. каким боком он L4? у него свой транспорт есть? Откройте хотя бы википедию и прочтите, что он не зависит от транспорта, что собственно и есть подтверждение того, что он прикладного уровня L7. >Если ты думаешь, что его можно считать простым протоколом 7-го уровня, то это значит, что ты о нем только слышал. Да знать даже я не хочу про L7 ничего, как бы он там не был "размазан", ежа с ужем я тоже могу скрестить и написать очередной рецепт по приготовлению смузи. >За 6 лет плотного опыта работы с телефонией и вообще UC в РФ могу смело сказать, что самое страшное зло - pfsence. Телекомщик одним словом, больше нечего сказать, Пох за них уже один раз высказался. А по pfsence давайте поконкретнее. Опять таки, претензии за L7 - идут лесом. >Но опять же, не так страшен pfsence, как страшен дурачок-админ, который его поставил и не знает ничего сложнее fail2ban для HTTP, но с самомнением будто самый умный. Да вы что, файервол должен быть умным, а оказалось L3/L4 знать не знает про L7, печалька. >потому что пока еще ни один адепт BSD-образных фаерволов не смог сделать так Конкретика, что куда и зачем, пусть адепты опеннета ответят и решат, получается или нет. А так пустой разговор. >А почему? А всё просто! Бандар-логи умеют "портики пробрасывать для протоколов седьмого уровня" а всё остальное уже не их дело и не дело их богоподобного фаервола. Дошло все таки? А чего вы хотели от L3/L4 файервола? Чтобы админчег накостылял всяких хелперов для L7? Покупайте себе NGWF и делов то, вот он и решит ваши проблемы, если только не приумножит :) >Информация к размышлению: Чем дешевле файрвол, тем дешевле специалист, который умеет его настраивать. Все ясно, очередной "давайте купим", и все верно, для каждой работы - свой инструмент. >Свой смузи из ежа и ужа принимай ректально по 50 грамм утром и вечером. Забыли ссылку на WebRTC :) костыль на костыле костылем ..... >Эти протоколы чихали на твою OSI и существуют для того чтобы тупые фаерволы с тупыми сетевыми администраторами не были помехой для прохождения медиатраффика. :)))) Собака лает .... >Пойми, быть неграмотным дурачком, который пафосно кичится парой зазубренных знаний из учебника, это неприятно и больно в первую очередь для окружающих... дурачок-то обычно не замечает. Да вы "батя" Фрейд. пс: тут должна была быть ссылка на 1000500 рецептов по приготовлению смузи, мой любимый среди них - смешайте L3/L4/L7, хорошенько размешайте и пейте натощак :) успехов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #130

120. Сообщение от Sw00p aka Jerom (?), 24-Июл-21, 14:20	+/–
>точно так же бздуны на упоминание однопоточности PF заливали, что PF вообще не обязан больше чем в 1 морду трафик жрать, он типа ни для того. а для чего, не уточнили? >Ну и где ваша бздя с PF теперь? а где должна быть? в конкурентах пальто, чекпоинта и фортинета? готовы платить - платили бы и тот же пф был бы в их рядах. А то одни разговоры - должен, должен - только не ясно кому и чего должен. >Да и вообще - где ваша бздя в сети? Там где должна, из ненужности вам не следует ненужность никому. >которые и плачут, и колятся о кактус академиков, но надо лярды вложить, чтобы слезть теперь. и сколько лярдов за пф вы платили? может вам все должны? платите и покупайте NGFW. >Поигрались в XE, понравилось. Еще бы деньги заплатили, боль еще впереди.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #121, #122, #123

121. Сообщение от Онаним (?), 24-Июл-21, 14:25	–1 +/–
Конечно не следует, но - не нужно :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

122. Сообщение от Онаним (?), 24-Июл-21, 14:27	+/–
Где должна быть? Да я хз, где она вам должна. По факту - линуховое ядро в любом SOHO роутере. И не очень SOHO. И если я роутер собираю - я его на линуховой софтовой обвязке собираю, а не на бзде. Нигде не должна. Просто вопрос выбора-удобства.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #128

123. Сообщение от Онаним (?), 24-Июл-21, 14:28	–1 +/–
> а для чего, не уточнили? Почему же. Уточнял. Чтобы колом не вставать, когда трафика станет больше, чем одно ядро прожевать сможет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #129, #134

124. Сообщение от Онаним (?), 24-Июл-21, 14:29	+/–
Сижу на iptables и никуда не переезжаю. На nft посматриваю, но пока острой необходимости нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

125. Сообщение от Онаним (?), 24-Июл-21, 14:30	+/–
Абсолютно так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

126. Сообщение от Ordu (ok), 24-Июл-21, 14:36	+/–
Кем положено? Мы живём в мире свободного ПО, все эти положатели пускай идут в госдуму работать и оттуда вещают всем, как и что им надо делать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

127. Сообщение от Аноним (127), 24-Июл-21, 15:09	+2 +/–
думаю отредактированое в /usr будет работать до первого обновления пакета. Потом кто-то будет удивляться результатам работы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118

128. Сообщение от Sw00p aka Jerom (?), 24-Июл-21, 15:11	+/–
>И если я роутер собираю - я его на линуховой софтовой обвязке собираю, а не на бзде. а мне вот без разницы, ибо и пф и тот же иптейблс предназначены для одного и того же. Я тут не собираюсь выгораживать пф, это такое же гамно как и иптейблс, и не собираюсь кричать мол почему пф куево пашет под квм с виртайо, пользуюсь тем что есть, не годится для какой-то задачи - выкидываю к чертям собачим и покупаю то что необходимо. >Нигде не должна. Просто вопрос выбора-удобства. скорее вопрос денег, конечно каждый хочет меньше гемора, бесплатное и большую зп. Хотя даже покупая готовое решение вы не избавляетесь от гемора, если на саппорт все не свалить, тогда и вам зп меньше дадут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

129. Сообщение от Sw00p aka Jerom (?), 24-Июл-21, 15:12	+/–
>Чтобы колом не вставать, когда трафика станет больше тут нужна конкретика, описать ситуацию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

130. Сообщение от Аноним (117), 24-Июл-21, 16:43	+/–
Приведи мне пример СТАНДАРТА на NAT. Ну же... Я шучу =) Все знают, что этого стандарта нет. NAT никто никогда не стандартизировал. Принципы работы NAT варьируются от вендора к вендору. Если бы был бы стандарт на NAT, то и не было бы никаких проблем. > Да там любая херь может быть, это же не делает из него L3/L4 протокол. Вообще у тебя очень мало знаний и много беспочвенной веры в модель OSI. SIP - это Session Initiation Protocol. Протокол установки сессий. Сам по себе SIP-траффиком легко можно рулить на любом уровне, вот только он порождает ДРУГИЕ сессии в других протоколах, теоретически любых, но чаще всего там RTP/RTCP, реже SOAP, RDP и другие протоколы приложений. SIP поднимает пиринговую сеть и управляет сессиями. Он их описывает и модифицирует, обновляет... Если пользовательский протокол решает с какого IP:порт на какой IP:порт по TCP/UDP/SCTP по ipv4 или ipv6 с TLS/DTLS/QUIC или без него будет поднята ВТОРАЯ сессия, то твоем малюсеньком семиуровневом мирке это куда укладывается, я стесняюсь спросить? В самом NAT как таковом бы не было бы проблемы, если бы был бы стандарт с описанием того, как это работает. Вместо этого - это просто набор правил, каждый вендор сетевой железки делает "как автор видит". NAT вообще появился сравнительно быстро, потому что уже 30 лет назад было понятно, что давать /24 каждому юр. лицу не вариант, вот только костыляли сетевики как могли. Когда эти косорылые бараны осознали, что их NAT ломает часть уже существующих протоколов, они придумали ALG (Application Level Gateway) и поверх нестандартизированного костыля NAT придумали еще больший костыль ALG. Причем у каждого вендора он работает по-своему. Естественно, по мнению сетевиков, протоколы развиваться не должны, поэтому ALG конкретно для SIP охватывает юзкейсы середины 90-х и не больше. Современный стандарт оборудование они поддерживать не хотят, но и выпилить, сволочи поганые, это барахло тоже отказываются. Гады включают его по-умолчанию. Маразм доходит до такой степени, что уязвимости, которые генерируют их костыли фиксят на уровне браузеров и другого софта в юзерспейсе. Почитай новости про SIP ALG хотя бы тут на опеннете. > А что создатели того же SIP,SDP,RTP знать не знали как работают NAT-ы и L3/L4 файерволы когда проектировали хрень? Хммм... нет не знали. И никто не знает наверняка даже сейчас в 2021-ом году. Как я и сказал, стандарта на NAT нет и, видимо, никогда не будет, поэтому каждый воротит что хочет и как хочет. SIP же и идущие рядом с ним мультимедийные протоколы, наоборот, устандартизированы до морковкиного заговенья. > Телекомщик одним словом, больше нечего сказать, Пох за них уже один раз высказался. А по pfsence давайте поконкретнее. Опять таки, претензии за L7 - идут лесом. Давай-ка ты тоже будешь говорить за себя. Конкретно я тебе уже описал: "Но опять же, не так страшен pfsence, как страшен дурачок-админ, который его поставил и не знает ничего сложнее fail2ban для HTTP, но с самомнением будто самый умный." Обычно от косорылого барана, который настраивает файрвол требуется не так много: просто не лезь в телефонию. Телефония тупеет от сетевика. Однако, когда речь про UC и всякие клиенты под пека, то приходится иметь дело с такими вот "грамотеями". Сам pfsence прекрасно можно настроить для работы с топологией SIP любой сложности проблема, нужно только понаудалять оттуда тонну костылей, который этот умник туда навесил, которые по его глупому мнению нужны ДЛЯ БЕЗОПАСНОСТИ/ДЛЯ SIP/ДЛЯ ЧСВ и прочий бред... Проблема в том, что царьки-божки пфсенса обычно очень туго расстаются с контролем над целыми сегментами сети, а учиться как работает что-то сложнее... ну как бы ты сам свой комментарий выше перечитай посмотри на себя, пойми почему с такими как ты жутко тяжело сотрудничать. > Покупайте себе NGWF и делов то, вот он и решит ваши проблемы, если только не приумножит :) Ох, дурачок... NGFW это порт технологий граничных контроллеров от телефонистов в мир простых клиент-серверных приложений. Это даже покупать не обязательно есть куча реализаций этого всего под GPL под разные случаи жизни. Что они там делают? Аутентифицируют и авторизуют сессии к приложениям относительно базы LDAP и строят правило с DPI... ну молодцы, чо. SER-у и его форкам сколько лет? Кстати, а DAP/LDAP кто по-вашему придумал когда и зачем? Финально, вот с этим вот я на 100% согласен: > Да вы что, файервол должен быть умным, а оказалось L3/L4 знать не знает про L7, печалька. Нет, нет, нет и еще раз нет! Не должен. Поэтому из файрвола нужно удалить все те "улучшалки"-ALG, а тем админам, которыми ими пользуется нужно всовывать этот фаервол по самое "L7". Далее сетевик настраивает NAT так как саказал умный дядя-телефонист и тогда все эти ICE/STUN/TURN работают как надо. Обычно настройка NAT сводится к простым вещам: 1) Отключить все свои тупые ALG-модули, хитрый DPI от вендора для SIP и прочее. 2) Не делать никаких DNAT на клиентские тачки/телефоны/серваки 3) Добиться того чтобы NAT работал только там где это реально надо. Последнее условие чаще всего трудновыполнимое, потому что есть упоротые, которые считают, что NAT-это средство безопасности. Плюс внедрение UC выводит на чистую воду все ошибки настройки сети. Вот пример самой частой проблемы: "случайный" NAT между парой внутренних подсетей, причем иногда идущий в одну сторону, когда 192.168.10.0/24 натится в туннель за 10.10.0.1/30 для доступа к сети 192.168.20.0/24, но наоборот пакеты летят без трансляции минуя файрвол. Телефонист же сам должен себе настроить B2BUA или SBC или какое слово тебе понятнее. Обычно это делают в демилитаризованной зоне. И если сетевику уж сильно-сильно хочется безопасности своими силами для телефониста, то ACL никто не отменял. NAT же в DMZ в случае с телефонией обсуждается с телефонистом, подходит не для всех сервисов. Например, B2BUA (всякие атски типа астериска) могут с ним работать, STUN/TURN - строго настрого нет. Ну и опять же я про топологии сильно сложнее чем "офисная атс на базе астериск для пары телефонов". > Да вы "батя" Фрейд. Твоя нетерпимость к телефонистам основана на твоём буйном невежестве. Если ты восполнишь недостаток знаний, и тебе проще станет и другим. Я ведь просто сужу из личного опыта. Вижу пфсенс, значит админ там скорее всего человек сложный, нетерпимый, глупый и воинственный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119 Ответы: #133

131. Сообщение от Stax (ok), 25-Июл-21, 02:57	+1 +/–
Внезапно, совершенно неправильный ответ. Потому что он про iptables, в котором текстовые названия портов - всего лишь алиасы из /etc/services, да. А в firewalld сервисы - это такие определения, из коробки совпадающие с портами из services, но от них не зависящие и модифицируемые. Правильный ответ: это делается через модификацию сервиса командой firewalld или правкой xml-определения сервиса, пример тут: https://www.centlinux.com/2019/01/3-ways-create-custom-firew... После чего можно сделать сервисы ssh_external, ssh_internal и ssh_both, например, и использовать который нужно, ну или оба, если так подразумевается...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

132. Сообщение от Stax (ok), 25-Июл-21, 03:01	+/–
Брр. Это который работал через грязный хук в сетевой стек?? Спасибо, не надо...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #143, #144

133. Сообщение от Sw00p aka Jerom (?), 25-Июл-21, 16:04	+/–
>Вообще у тебя очень мало знаний и много беспочвенной веры в модель OSI. Если нет стандартна о каких знаниях может быть речь? И OSI это не вера, а модель, которая как минимум соблюдается до L4 протокола, а вот у вас на L7, как вы сами и говорите, все "размазано". И любая говноподелка на уровне L7 никак не затронет уровни ниже. Я представляю L7 протокол, где предъявляют претензию к медной витой паре, и видите ли нужна сверхпроводимость для нормальной работы. >то твоем малюсеньком семиуровневом мирке это куда укладывается, я стесняюсь спросить? :)))) именно ваш этот протокол в L7 внутри себя создал модель OSI, вопрос - зачем? Если модель OSI слоистый пирог или сендвич со своими уровнями, то ваш L7 протокол это пирог да еще залитый (размазан) полностью шоколадным кремом. Другой пример стейтлес транспортного протокола UDP, когда пытаются из него сделать стейтфулл, но прикол в том, что - ничего не меняется, UDP как был так и остался стейтлес для всей модели. >что давать /24 каждому юр. лицу не вариант, вот только костыляли сетевики как могли. не только для этого, но и еще для разделения сегментов, отсюда и пошли публичная адресация и приватная. И нужда во взаимодействии этих сегментов привела к таблицам трансляций одних адресов в другие. И когда начали придумывать протоколы, которые думают что они работают в одном сегменте, но забывая о том что есть разделение сегментов, в место того чтобы "закопать" такой протокол, начали херачить всякие хелперы для транслятора. >Когда эти косорылые бараны осознали, что их NAT ломает часть уже существующих протоколов, они придумали ALG (Application Level Gateway) NAT ничего не ломал и его предназначение выше описано. Все решается довольно просто, либо должен существовать один единый сегмент (IPv6), либо закапывать понятия пиринга между разными сегментами, либо делать частичный пиринг, что собственно и придумали со всякими сигналлерами и пробивальщиками натов. ALG это страшнейший костыль, сами ведь говорите, что у разных вендоров разные реализации. >Почитай новости про SIP ALG хотя бы тут на опеннете. Лучше WebRTC хрень почитаю. >SIP же и идущие рядом с ним мультимедийные протоколы, наоборот, устандартизированы до морковкиного заговенья. :))) оставлю тут Когда в товарищах согласья нет, На лад их дело не пойдет, И выйдет из него не дело, только мука. Однажды Лебедь, Рак да Щука Везти с поклажей воз взялись, И вместе трое все в него впряглись; Из кожи лезут вон, а возу всё нет ходу! Поклажа бы для них казалась и легка: Да Лебедь рвется в облака, Рак пятится назад, а Щука тянет в воду. Кто виноват из них, кто прав,— судить не нам; Да только воз и ныне там. Вопрос, кто Рак, кто Лебедь и кто Щука? минута пошла :) >Конкретно я тебе уже описал: "Но опять же, не так страшен pfsence, как страшен дурачок-админ, который его поставил и не знает ничего сложнее fail2ban для HTTP, но с самомнением будто самый умный." Ваши же слова: "Давай-ка ты тоже будешь говорить за себя." >просто не лезь в телефонию. Телефония тупеет от сетевика. смешное утверждение. >нужно только понаудалять оттуда тонну костылей, который этот умник туда навесил, которые по его глупому мнению нужны ДЛЯ БЕЗОПАСНОСТИ/ДЛЯ SIP/ДЛЯ ЧСВ и прочий бред... allow all решает ваши проблемы телефониста? >пойми почему с такими как ты жутко тяжело сотрудничать. Я выполняю функции L3/L4, а вы L7 - какое дело мне до вас? OSI модель на то и придумали в виде сендвича. >Ох, дурачок... NGFW это порт технологий граничных контроллеров от телефонистов в мир простых клиент-серверных приложений. :)))))))) телефонисты рулят миром, ясно теперь из-за кого весь сыр бор. >Финально, вот с этим вот я на 100% согласен: Ну и в чем проблема? Своим первым же коментом я послал всех телефонистов покупать NGFW, а не предъявлять L3/L4 файерволам, за то что они не должны делать. >Нет, нет, нет и еще раз нет! Не должен. Поэтому из файрвола нужно удалить все те "улучшалки"-ALG, а тем админам, которыми ими пользуется нужно всовывать этот фаервол по самое "L7". Ну хоть в чем то пришли к согласию. >Далее сетевик настраивает NAT так как саказал умный дядя-телефонист и тогда все эти ICE/STUN/TURN работают как надо. :)) Рак на Щуке, Лебедем погоняет - ясно. >1) Отключить все свои тупые ALG-модули, хитрый DPI от вендора для SIP и прочее. Вспомнилось, отрубал SIP-ALG на одном из NGFW - WTF? И таймауты подкручивал. NGFW вроде, а че так? >Ну и опять же я про топологии сильно сложнее чем "офисная атс на базе астериск для пары телефонов". Поэтому, все разговоры про то, что нужно, а что нет, нужно оставить в стороне, ибо нет конкретики, требований и т.д. >Твоя нетерпимость к телефонистам основана на твоём буйном невежестве. :))) с чего это? Ровно дышу ко всем. >Если ты восполнишь недостаток знаний, и тебе проще станет и другим. Вот когда перепишут все на раст, вот тогда и восполню :))) >Я ведь просто сужу из личного опыта. Вижу пфсенс, значит админ там скорее всего человек сложный, нетерпимый, глупый и воинственный. Опыт - это количество совершенных ошибок. Пфсенс кажись вам изрядно попил крови. Глупый и воинственный ответил бы - НЕ ОСИЛИЛ, но не я.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130 Ответы: #140

134. Сообщение от псевдонимус (?), 25-Июл-21, 16:48	+/–
>> а для чего, не уточнили? > Почему же. Уточнял. Чтобы колом не вставать, когда трафика станет больше, чем > одно ядро прожевать сможет. Он в бзде и нетбзде многопоточный. А Линукс да, больше не нужен. Его место в Хоум роутерах и пробэгдореных некротиках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123 Ответы: #135

135. Сообщение от Онаним (?), 25-Июл-21, 19:32	+/–
Это он сейчас многопоточный. А тогда был очень даже не многопоточный и упирался в одно ядро.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134

136. Сообщение от Аноним (-), 25-Июл-21, 20:13	+/–
> Двоякие впечатления. С одной стороны решили проблему с добавлением и изменение правил > на лету. Но создали новые проблемы с прозрачностью процессов. Создали маздайфайрвол очередной. Только этот еще и на питоне к тому же. Гадость вебмакачная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

137. Сообщение от Аноним (-), 25-Июл-21, 20:15	+/–
> За деньги рассказал бы Кто ж тебе за это платить то будет, чудак? Проще И ДЕШЕВЛЕ снести твою бзду в ад к чертям.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #154

138. Сообщение от Аноним (-), 25-Июл-21, 20:17	+/–
> SIP, RTP какого уровня OSI? Когда найдете ответ, тогда и поймете, что > тот же pf не только не умеет, но и не обязан уметь это делать. Хочу посмотреть как вы юзерам расскажете что софт который они используют видите ли не нужен. Этак скорее вас в deprecated вынесут и заменят на тех кто может это организовать. На вашем фоне даже пох - спец.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #139

139. Сообщение от Sw00p aka Jerom (?), 25-Июл-21, 21:07	+/–
> Хочу посмотреть как вы юзерам расскажете :)) кому кому? юзерам? о них хоть кто-то думает? хавают, что им дадут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

140. Сообщение от Аноним (117), 25-Июл-21, 21:17	+/–
OSI - это увлекательная теоретическая модель, которая не имеет отношения к объективной реальности. Когда человек заявляет, что его модель видения мира единственно верная, а всё что в нее не вписывается плохое и вредное, то такого человека называют религиозным. Конкретно, это адепт авраамического монотеистического культа. Только вместо Великой Истины там модель OSI, а всё что не укладывается в священное писание (видимо, учебник Олифера) то всё плохое вредное и дальше по тексту. > Опыт - это количество совершенных ошибок. Ну это у дурака так. Дурак - это человек, который учится исключительно на собственных ошибках. Опять же если сочетать это с религиозностью, то всё как раз встаёт на свои места. У меня лично пфсенес не вызывает никаких проблем с настройкой. Для настройки мультимедиа нужно знать и уметь сильно больше чем знает обычный сантехник^W сетевик, поэтому там с точностью до интерфейса управления... > NAT ничего не ломал и его предназначение выше описано. Все решается довольно просто, либо должен существовать один единый сегмент (IPv6), либо закапывать понятия пиринга между разными сегментами, либо делать частичный пиринг, что собственно и придумали со всякими сигналлерами и пробивальщиками натов. ALG это страшнейший костыль, сами ведь говорите, что у разных вендоров разные реализации. > Я выполняю функции L3/L4, а вы L7 - какое дело мне до вас? OSI модель на то и придумали в виде сендвича. Реальность такова, что вот с такими вот религиозными баранами как ты приходится иметь дело, время от времени. Есть стандарт - стандарт говно. NAT, нестандартизированное вендорозависимое барахло - конфетка. И вот как только эти идиоты встречаются с чем-то сложнее, чем портик пробросить в NAT у них моментально включается вахтёрша "это ваше L7, ничего не знаю, моя хата с краю". > allow all решает ваши проблемы телефониста? Проблемы телефониста зачастую заканчиваются не техническим, а гуманитарным способом, через HR, когда барана отправляют на курсы повышения квалификации или увольняют, если он надоел много кому еще. > И когда начали придумывать протоколы, которые думают что они работают в одном сегменте, но забывая о том что есть разделение сегментов, в место того чтобы "закопать" такой протокол, начали херачить всякие хелперы для транслятора. А зачем закапывать протокол, который работает на миллионах устройств по всему миру, взять всё что умеет LTE, где он обязателен и WCDMA, где он опционален, в угоду какому-то нестандартизированному костылю, который придумала пара мелких (по сравнению с международным телекомом) вендоров сетевых железок. Брось, ты  же ахинею пишешь. Их постоянные потуги выработать хелперы как раз идут от того, что им хочется чтобы железо было хоть сколько-то совместимо, хоть в паре простых топологий. Я поверю, что ipv4 с его NAT-ом закопают раньше чем SIP. > Вот когда перепишут все на раст, вот тогда и восполню :))) Не только дурак, но и клоун, значит... > Ну и в чем проблема? Своим первым же коментом я послал всех телефонистов покупать NGFW, а не предъявлять L3/L4 файерволам, за то что они не должны делать. Да не нужно телефонистам ничего покупать. У них и так всё своё есть. Главное, чтобы сетевой администратор, знал своё место. И не портил жизнь своими влажными мечтами о прелести модели OSI. Таким обычно нужно читать басню "Мартышка и очки", причем вдумчиво. > Я представляю L7 протокол, где предъявляют претензию к медной витой паре, и видите ли нужна сверхпроводимость для нормальной работы. Ну тут у меня есть 2 вещи тебе рассказать. Во-первых, о существовании TDM-протоколов, которые требуют GMPLS для поставки на последнюю милю на стороне провайдера. Во-вторых есть же еще проблема Wi-Fi. Обратил внимание, что телефонисты наортрез отказываются пользоваться Wi-Fi и всем, что построено поверх этой радиосети? WiMax вон похоронили в пользу LTE с SIP-ом под капотом. Вообще через Wi-Fi телефонист может заставить сетевика рыдать кровью, если руководство действительно хочет пользоваться UC через Wi-Fi. Скажем так, телефония по SIP в радиосетях требует QoS повышения приоритетов. Wi-Fi может промаркаривать траффик только по DSCP. Для большинства внедрений это кончается тем, что нужно просто нахер выбросить цисковский вайвай, ввиду того что циско не может нормально строить очереди по DSCP. Про юнифаи и прочий мусор даже разговаривать не буду. И приоритет она себе возьмет EF, не ниже. И тут обычна нужно считать, что дешевле: 1) Заменить весь вайвай на корпусе/кампусе 2) Развернуть базовый станции DECT с роумингом на всю территорию предприятия 3) Купить контракт у ОпСоС-а и связать с ним корпоративные АТС-ки c 3G по FMC. И вот если сетевик дурак, обхаивает протокол SIP, говорит телефонисту гадости и преувеличивает собственную сетевую значимость... то телефонист улыбнется и предложит решить через вайфай, "забыв" указать, с какими контроллерами не будет проблем, предоставив сетевику выбрать решение. Пусть ему модель OSI подскажет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133 Ответы: #141, #156

141. Сообщение от Sw00p aka Jerom (?), 25-Июл-21, 22:29	+/–
>OSI - это увлекательная теоретическая модель, которая не имеет отношения к объективной реальности. ещё бы, когда телефонисты в L7 строят свою OSI :) >то всё плохое вредное и дальше по тексту постойте, разве NAT из-за SIP-a не работает или SIP из-за NAT-а? Разве у L3/L4 претензии к L7? Я устал повторять, для L3/L4 пофиг, что там у вас на L7. И кто фанатик после этого? Кто вой поднял? Для кого и чего ради накостыляли ALG? NAT-у это нужно было? Короче, смысла нет дальше что-то пояснять, ответов я на вопросы не услышал. >Ну это у дурака так. Дурак - это человек, который учится исключительно на собственных ошибках. Отсюда Не Дурак тот, кто учится на чужих ошибках, то есть на веру чужой опыт принимает, и кто тут фанатик? >У меня лично пфсенес не вызывает никаких проблем с настройкой. Как говорил Спиноза, если хочешь сделать что-то хорошо - делай это сам. >Реальность такова, что вот с такими вот религиозными баранами как ты приходится иметь дело, время от времени. Осталось только сжечь меня, валяйте. >Есть стандарт - стандарт говно. NAT, нестандартизированное вендорозависимое барахло - конфетка. Уже и стандарт появился? >чем портик пробросить в NAT у них моментально включается вахтёрша "это ваше L7, ничего не знаю, моя хата с краю" NAT смузи готовить не умеет!!! >А зачем закапывать протокол, который работает на миллионах устройств по всему миру А в чем тогда проблема раз это гамно работает? >Брось, ты  же ахинею пишешь. Послал бы учить матчасть, не буду тратить ваше время. >Я поверю, что ipv4 с его NAT-ом закопают раньше чем SIP. Аминь, будем живы, я вам напомню про это утверждение, WebRTC скоро его закопает. >Да не нужно телефонистам ничего покупать. У них и так всё своё есть :))))))))))) вот это признание, у них своя OSI в L7б мне нечему удивляться. >Главное, чтобы сетевой администратор, знал своё место. L2/L3/L4 его место, а вы там на мансарде не знаете как подн*срать, чтобы все стекло по самый L1. >Таким обычно нужно читать басню "Мартышка и очки", причем вдумчиво. А вы место свое среди Лебедя, Рака да Щуки нашли? >Во-первых, о существовании TDM-протоколов, которые требуют GMPLS для поставки на последнюю милю на стороне провайдера. вы уже на L2 намазать хотите? >Во-вторых есть же еще проблема Wi-Fi. Обратил внимание, что телефонисты наортрез отказываются пользоваться Wi-Fi и всем, что построено поверх этой радиосети? WiMax вон похоронили в пользу LTE с SIP-ом под капотом. Гавно в прямой кишке. >И вот если сетевик дурак, обхаивает протокол SIP, говорит телефонисту гадости и преувеличивает собственную сетевую значимость... Сетевик знать не знает про ваш SIP и не обязан. пс: устал повторять одно и тоже!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140 Ответы: #142

142. Сообщение от Аноним (117), 26-Июл-21, 04:44	+/–
> Аминь, будем живы, я вам напомню про это утверждение, WebRTC скоро его закопает. А ты в курсе, что WebRTC это тот же самый набор стандартов ICE/STUN/TURN для обхода NAT, тот же самый набор протоколов передачи данных RTP/RTCP, внутри которого те же самые сессии описываемые протоколом SDP? Он сделан таким как есть, только с целью отсутствия единого стандарта сигнализации сессионного траффика. Во многом для того чтобы сетевику DPI-ить его было тежелее и чтобы кучу сайтов не переписывать и JS-никам жить было легче. Внутри WebRTC ничего не мешает использовать SIP. Есть реализации как WebRTC клиента к SIP-серверу так и наоборот. Ты полный профан в том, о чем пытаешься говорить. Эти стандарты пишут одни и те же люди. Они же спорили в своё время над тем, что вместо изобретения Jingle, нужно было прикрутить к XMPP SIP. В свое время сторонники самобытности XMPP (там был полный NIH) говорили, что SIP слишком сложен и объемен для внедрения и мы сделаем свою пиринговую сеть на базе клиент-серверного джаббера. Кончилось тем, что выкинут был этот джаббер на свалку истории и его по факту съели несовместимые друг с другом решения на базе WebRTC. Когда спохватились написали тонну экспериментальных XEP-ов себе, чтобы начать портировать куски того что имеет SIP и WebRTC, было уже поздно. Наоборот, кстати работает. SIP всегда умел федерироваться с XMPP отдавать ему пресенс. Нехитрой конвертацией текста можно хоть SIP SIMPLE в XMPP завернуть, но полимеры уже просраны... У WebRTC сейчас другая проблема, проблема 8-ми ендпоинтов. И там большие драмы, то ли стандартизировать понятие конференц-релея и MCU (редкая полосатая проприетарь), либо строить mash-сети силами SIP и WebRTC (вот тут сетевикам совсем туго будет). Подобные релеи - это "умные" TURN-сервера, которые есть у всяких скайпов, вацапов, дискордов в мире WebRTC. Обычное RTC поверх SIP их имеет еще дольше в форме MCU от всяких поликомов, логитеков и прочих... программно и аппаратно. Принятие умного релея как стандарта хотят корпоративщики, так прослушивать проще, а mash-сети академики. И если ближайшее время ничего толкового не решится все вернётся в те времена, когда кроме проприетари не было нифига. Тихие и незаметные новости про возвращении технологий позволяющей открывать обычные TCP и UDP соединения в браузерах видели? Это порт того куска Adobe Flash, который недопортировали в современные Web-стандарты. Если это вернется, то реалтайм и потоковое вещание уйдет обратно в закрытые вендороспецифичные протоколы. Вот где драма. А у тебя в голове SIP с WebRTC сражаются. Левое полушарие с правым. > Как говорил Спиноза, если хочешь сделать что-то хорошо - делай это сам. Собственно так всегда в медиа/телекоме и происходит. Интернет имеет фатальный недостаток, он не понимает что такое время. SIP - по сути, единственное, что позволяет поднять вменяемого качества телефонную сеть, отвечающую современным требованиям поверх интернет-сети с её пакетиками. Был когда-то H.323, да сплыл. > Короче, смысла нет дальше что-то пояснять, ответов я на вопросы не услышал. А ты где-то задал вопросы, на которые можно ответить иначе кроме как "модель OSI существует только на бумажке в учебнике, прекрати равнять на нее реальность"? Или у тебя есть другой какой-то тезис кроме "SIP-говно"? Раз говно, зачем пользуешься? Выкини все устройства, которые используют его протоколы и пиши текстом через... я хз... ICQ и мобильник не позднее 2G/GPRS. Звонить еще можешь по PSTN-телефону. И СМС-ки шли. Вообще вся красота абстракции OSI летит псу под хвост, когда поверх одной сети строится другая сеть, а с медиасетями всегда так, потому что они эмулируют TDM-образное поведение поверх пачки UDP-потоков, отбрасываю невовремя пришедшие пакеты, адаптивно буферизируются на клиентах, серверах и релеях, следят за собственной пакетизацией, динамически управляют качетвом, меняют кодеки, длины буферов во время сессии. RTP это вообще канал, по-сути. Если тебе не нравится такая реальность - выйди в окно. > L2/L3/L4 его место, а вы там на мансарде не знаете как подн*срать, чтобы все стекло по самый L1. Вооот! Вот я такое очень часто слышал. В уютный воображаемый мир сетевика ворвалась реальность в форме телефонии, грубо взяв за соски. > Для кого и чего ради накостыляли ALG? NAT-у это нужно было? Вендоры сетевого барахла это делали для самих себя, в первую очередь ради NAT-а. Телефонисты с эти барахлом борются как могут. Обходят это, шифруются изобретают всё новые и новые способы, как надёжно построить пиринговую мультимедийную сеть поверх зоопарка нестандартизированного оборудования, котором управляют люди с ограниченными умственными возможностями (7 извилин). Из моего опыта - построить корпоративную телефонную сеть на 3 страны с более чем 400 офисов в разных городах намного проще, если шифровать сессионный траффик в TLS и не на 5061, а на 65061. Так проще потому что тупое роутерное барахло не лезет своими NAT, ALG, DPI. Стык с местными провайдерами, конечно делать всё равно придется в DMZ и писать отдельные правила, чтобы очередная сраная железка не увидела 5060/5061 в DST  и не полезла "помогать". А клиентам за "симметричными" NAT-ами (та еще медвежья услуга) придется соединятся через отдельно стоящий медиапроксикластер из TURN-релеев. Это усложняет жизнь, увеличивает задержку и увеличивает время на перебор кандидатов во время установки соединения. Вот если бы можно было сделать стандарт на NAT, выкинуть ALG, то жизнь была бы у всех проще, но нет... Опять же, именно поэтому SIP-сигнализацию не взяли в WebRTC. У сетевого оборудования при виде SIP-траффика начинается чудное вендороспецифичное поведение. А вот представь, ты один сколько вони поднимаешь со своим мелким представлением о мире через "L2/L3/L4", а представь скольких я таких "умников" повидал. Не все смогли сохранить работу, кстати. А про pfsence, да. Есть забавная статистика из личного опыта. Видишь pfsence - примерно понятно, КТО там админит. По-началу, конечно я с ними всегда вежливо, мало ли, вдруг умный и адекватный, я никогда не терял надежду. Но пока еще грамотного админа с pfsence не встречал, а перенянчил я многих. Для меня загадка, как у меня на тебя терпения всё еще хватает. Очередной же...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141 Ответы: #152

143. Сообщение от Аноним (143), 26-Июл-21, 07:22	+/–
Это не о том через что он работал, а про возможности и удобство мониторинга!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132

144. Сообщение от Аноним (144), 26-Июл-21, 07:26	+1 +/–
не то что ваши ss - bwm-ng и др. г
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132

145. Сообщение от пох. (?), 26-Июл-21, 13:37	+/–
Как только человек в обсуждении сетей начинает использовать термины "Lчтототам" я поворачиваюсь и ухожу. О чем спорить с не владеющими предметом? Справка: в интернет нет никаких L7. Это терминология мертворожденной сети OSI/ISO. Люди, сделавшие интернет таким, каким он является, ей не пользовались и ее не знали (потому что делом были заняты, а не высасыванием из пальцев технологической бредятины).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #151

146. Сообщение от Аноним (146), 26-Июл-21, 16:56	+1 +/–
безумие какое
Ответить | Правка | Наверх | Cообщить модератору

147. Сообщение от анонимус (??), 26-Июл-21, 17:24	–1 +/–
nft поддерживает правила с вариантами, вроде "разрешить порты 80 и 443 одним правилом". Для firewalld же для блокировки двух портов необходимы два правила - это сильно огорчает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

148. Сообщение от пох. (?), 26-Июл-21, 19:14	–1 +/–
sip и rtp - протоколы, используемые в сети internet. Поэтому правильный ответ - никакого. Они к мертворожденному osi стеку не имеют вообще ни малейшего отношения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #150

149. Сообщение от PnD (??), 26-Июл-21, 22:35	+/–
> Эта фича уже выпилена-выпилена, давным-давно. После многочисленных леминговых взвизгов > - ее ненадолго вернули обратно майнтейнеры убунты, но в апстриме этот > "кого надо комит", насколько я помню, так и не откатили.   Не совсем RH, но… # uname -r 5.4.17-2102.201.3.el8uek.x86_64 # ip l 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000     link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: eth0: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc mq master bond0 state UP mode DEFAULT group default qlen 1000     link/ether ac:1f:6b:ec:94:44 brd ff:ff:ff:ff:ff:ff 3: eth1: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc mq master bond0 state UP mode DEFAULT group default qlen 1000     link/ether ac:1f:6b:ec:94:44 brd ff:ff:ff:ff:ff:ff 4: bond0: <BROADCAST,MULTICAST,MASTER,UP,LOWER_UP> mtu 1500 qdisc noqueue master br0 state UP mode DEFAULT group default qlen 1000     link/ether ac:1f:6b:ec:94:44 brd ff:ff:ff:ff:ff:ff 5: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000     link/ether ac:1f:6b:ec:94:44 brd ff:ff:ff:ff:ff:ff 6: vlan666@br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br666 state UP mode DEFAULT group default qlen 1000     link/ether ac:1f:6b:ec:94:44 brd ff:ff:ff:ff:ff:ff 7: br666: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000     link/ether ac:1f:6b:ec:94:44 brd ff:ff:ff:ff:ff:ff … ну и т.д. Маки, как легко заметить, от супер-микры (т.к. "восьмёрки" пока плохо обкатаны). Но есть ещё один нюанс. Пока я готовил OEL-8, запускал в т.ч. и с RH-ядром. Как минимум, инсталлятор, из-под cobbler + kickstart (пересобрать инсталлятор с UEK ораклоиды тупо не потянули). В кикстарте мне угадайка с именами нах не впилась, посему eth0 и те же самые параметры CLI ядра.   Так что, "кого надо" может и коммит, но до 2029 доедет вот так. А там "будем посмотреть". * На "vlan666" у меня РКН, если что.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #153

150. Сообщение от Sw00p aka Jerom (?), 27-Июл-21, 00:11	+/–
> sip и rtp - протоколы, используемые в сети internet. Поэтому правильный ответ > - никакого. Они к мертворожденному osi стеку не имеют вообще ни > малейшего отношения. правильно  пишется Ынтернет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #148

151. Сообщение от Sw00p aka Jerom (?), 27-Июл-21, 00:16	+/–
> начинает использовать термины "Lчтототам" я поворачиваюсь > и ухожу. Скатертью ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #145

152. Сообщение от Sw00p aka Jerom (?), 27-Июл-21, 00:43	+/–
>А ты в курсе, что WebRTC это тот же самый набор стандартов я то в курсе, а вот создатели WebRTC в курсе? Вы лучше им задайте этот вопрос :))) >Внутри WebRTC ничего не мешает использовать SIP. Пофиг что там внутри него, все равно крутится внутри L3/L4 :)))) >Ты полный профан в том, о чем пытаешься говорить. Эти стандарты пишут одни и те же люди. :))) убили, ну вот объясните им, что некуй велосипед создавать. >Они же спорили в своё время над тем, что вместо изобретения Jingle, нужно было прикрутить к XMPP SIP. спасибо поржал >Если это вернется, то реалтайм и потоковое вещание уйдет обратно в закрытые вендороспецифичные протоколы. Вот где драма. А у тебя в голове SIP с WebRTC сражаются. Левое полушарие с правым. Мне до лампочки что у этих вебдванольнутых на уме, телефонистов обижать не буду. Стою в сторонке и жую попкорн. >А ты где-то задал вопросы, на которые можно ответить иначе кроме как "модель OSI существует только на бумажке в учебнике, прекрати равнять на нее реальность"? Приличия ради википедию откройте, ссылку давать не буду там всего три буквы. >Вообще вся красота абстракции OSI летит псу под хвост, когда поверх одной сети строится другая сеть Так и будет, когда L7 недопротокол внутри себя строит свою OSI. >Вооот! Вот я такое очень часто слышал. В уютный воображаемый мир сетевика ворвалась реальность в форме телефонии, грубо взяв за соски. Вам в психушку, там тоже воображаемые миры, лечите больных. >Вендоры сетевого барахла это делали для самих себя, в первую очередь ради NAT-а. Когда ребенок ноет, лучше дать ему то, что он хочет, это бизнес. >как надёжно построить пиринговую мультимедийную сеть ага полный пиринг, я посмотрю как товарищ майор вам это позволит. С другой стороны IPv6 избавил вас от NAT-а, дерзайте. >если шифровать сессионный траффик в TLS ага в ядро это еще пихните и будет радости, хотя чему удивляться, пихают уже. >Вот если бы можно было сделать стандарт на NAT, выкинуть ALG, то жизнь была бы у всех проще, но нет... Ну делайте, кто мешает? ааааа забыл вы же про L3/L4 знать не знаете. А кто по вашему ALG придумал? - да да вендора сетевики как вы выше указали, так они открыли ваш же "стандарт" протокола и по нему же реализовали логику ALG, за вас работу сделали, а вы в зубы коню? >А вот представь, ты один сколько вони поднимаешь со своим мелким представлением о мире через "L2/L3/L4", а представь скольких я таких "умников" повидал. Оставьте свои контакты, я вас в рабочую группу по этим недопротоколам порекомендую. >Но пока еще грамотного админа с pfsence не встречал мы тут не грамотность чью то обсуждаем, человек придумавший естественный язык по определению безграмотен, о чем речь за грамотность? Давай те по существу, суть сей дискуссии такова, каким боком L3/L4 должен что-либо знать за L7. пс: можете не отвечать, раз уж дальнейшие разговоры заходят за чью-то грамотность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142 Ответы: #159

153. Сообщение от пох. (?), 27-Июл-21, 12:46	–1 +/–
более информативно было бы rpm -qf /sbin/init или где он теперь там модно. - откатили, или он просто у них, как обычно, на пару лет позади прогресса. Ну и это тоже полумеры - инфраструктуру позволяющую при этом еще и _зафиксировать_ eth0 вручную если надо - тоже ж доломали. Как только rh разберется со своими немодными башпортянками в /etc/sysconfig/network-scripts/ так уже и руками не восстановишь - пока у нее почему-то не получается ;-) но это вряд ли надолго.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

154. Сообщение от пох. (?), 27-Июл-21, 12:47	–1 +/–
>> За деньги рассказал бы > Кто ж тебе за это платить то будет, чудак? Проще И ДЕШЕВЛЕ > снести твою бзду в ад к чертям. главное, что в итоге выходит что проще (и дешевле) снести даже если такой индивидуй очень гордый собой - забесплатно все настроил. Потому что через два дня выяснится что настроил криво, а герой наш уже в аду с чертями и телефон вне зоны действия.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137

155. Сообщение от пох. (?), 27-Июл-21, 12:49	–1 +/–
> Никто ж не заставляет, нет. Пусть себе будет абстрактная академическая поделка в > вакууме. > А работать будем на более дружащих с реальностью имплементациях. iptables, например. это пока не запретили. А это уже очень скоро - как оно там... "никто не хочет быть майнтейнером (нет, ты, ты и ты - идите найух, у вас рожи неправильные, вы сначала постойте на коленях лет десять, попредлагайте свои ценные и нужные colour-color в правильной ветке рассылки, а потом мы еще подумаем) - а stable api nonsense, поэтому выпилить-выпилить немедля!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

156. Сообщение от пох. (?), 27-Июл-21, 13:05	+/–
> OSI - это увлекательная теоретическая модель, которая не имеет отношения к объективной > реальности. ошибаетесь. OSI это практически реализованная теоретиками мертворожденная сеть. Она была написана и даже опытно эксплуатировалась. После чего торжественно вынесена в помойку, поскольку _по всем_ характеристикам проиграла интернету, который делали практики. На память остался только неописуемо уродливый isis (где оверинжинеринг зашел потому что через двадцать лет понадобилось). А поскольку ребятам надо было отчитываться о профуканных грантах - они сделали хорошую мину при плохой игре, сделав вид что ничего такого и не собирались, модель теоретическая, очень полезная для общества получилась. Но полезная получилась для начетников, которые зазубрили бессмысленные идиотские заклинания "уровней", и теперь молются. Встретив такого - просто разворачивайтесь и уходите, работать с такими персонажами невозможно, поскольку знания заменены религиозными песнопениями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140 Ответы: #157

157. Сообщение от Sw00p aka Jerom (?), 27-Июл-21, 13:40	+/–
> Но полезная получилась для начетников, которые зазубрили бессмысленные идиотские заклинания > "уровней", и теперь молются. Вы отрицаете существование этих "уровней"? Тогда как вы это называете? Ынтернет? Дайте определение этому понятию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156 Ответы: #160

159. Сообщение от Аноним (117), 27-Июл-21, 15:40	+/–
> я то в курсе, а вот создатели WebRTC в курсе? Вы лучше им задайте этот вопрос :))) Мне не надо никому задавать вопросы, я просто в курсе этой темы. Была попытка создать "альтернативный" протокол ORTC, эдакая форма NIH, проталкиваемая в первую очередь со стороны MS и их старым Edge. Основная идея была как раз в максимальной вебдванольности и независимости от мультимедийных стандартов VoIP, сложившихся вокруг в первую очередь SIP. Ясно-понятно ICE/STUN/TURN переизобрести вообще безумие, они и не пытались, но попытались избавиться от классического SDP (Session Description Protocol) и RTP. Кончилась она похоронами как их Object API for RTC (ORTC), так и самого Edge. То что лично ты понавоображал себе про WebRTC имеет отношении к ныне покойному ORTC. WebRTC же наоборот оно от всего остального VoIP отличается только одной вещью, нет стандарта на сигнальный траффик и есть обязательное требование к шифрованию этого сигнального траффика, который пойдёт по 443-му порту. Из-за этого сетевик будет писать глупости вроде этой: > Пофиг что там внутри него, все равно крутится внутри L3/L4 :)))) Как я и писал выше, это и было одной из целей этого стандарта. Не дать сетевому оборудованию вмешиваться в построение мультимедийной сети. > Так и будет, когда L7 недопротокол внутри себя строит свою OSI. Вот, ты это так пишешь, будто в этом есть что-то плохое... И не важно в каком учебнике, на какой странице это написано, оно в реальности не работает. Смирись. > ага полный пиринг, я посмотрю как товарищ майор вам это позволит. С другой стороны IPv6 избавил вас от NAT-а, дерзайте. Телефония существовала сильно раньше интернетов, и у современного VoIP нету никаких проблем с законом, а наоборот. Тот же самый SIP и его применение в VoLTE - это стандарты принятые Россвязью и Роскомнадзором... Возможно, поправь меня, если я ошибаюсь, ты просто услышал слово "пиринговая сеть" и поэтому у тебя возникла ассоциация с "тов. майором" и запретами. Пиринговая сеть (peering network) - это сеть, которая порождается P2P-протоколом (peer-to-peer). SIP - это P2P-протокол, равно как и торренты, ослы, кадемлии и прочее, просто он заточен для передачи мультимедиа-потоков в реальном времени, а не вареза и ворованного кинца. Хотя, опять же, тот же торрент не виноват в том, что его так любят пираты. Просто телефония исторически пиринговая технология. Она соединяет друг с другом АБОНЕНТОВ, прикинь. Логично, что SIP, который в первую очередь используется именно для телефонии порождает пиринговую сеть и является P2P-протоколом. Твой тов. майор, если такое запретит, свои следующие запреты уже не по телефону будет выдавать, а по почте. =) > ага в ядро это еще пихните и будет радости, хотя чему удивляться, пихают уже. А в чем претензия? Linux - ОС с монолитным ядром. Там всё в ядро пихают, и, да, в ядре Linux есть Crypto API в том числе для сети. https://www.kernel.org/doc/html/latest/networking/tls.html > суть сей дискуссии такова, каким боком L3/L4 должен что-либо знать за L7 Я не разделяю твою веру в OSI. С тем же успехом можешь спорить со мной о строках из Библии или Корана, я вообще не религиозен. Ты _веришь_, в то что все протоколы делятся на 7 волшебных уровней, как 7 чудес света или 7 кругов ада или  7 небесных сводов, а, по-факту, в реальности этого нету. Ты пытаешься спорить со мной в рамках ТВОЕЙ религии, веры к которой я не принадлежу. Если верить в модель OSI, как будто бы она применялась бы в реальности, то, наверное, ты был бы прав, хотя и тут я не уверен. В любом варианте, спорить в рамках несуществующей воображаемой модели, как минимум, контрпродуктивно. Для меня эта дискуссия выглядит так: Очередной сетевой администратор, который всю жизнь файрвол настраивал, обороняет свои религиозные чувства. Как любой истинно верующий, он ехидно и лицемерно пропускает мимо ушей всё что идет в разрез с его верой. Например, самый болезненный вопрос: "Если все сетевые протоколы делятся на 7 уровней, то на каком уровне находится NAT?" настолько неудобен, что пропускается при любом удобном случае, потому что: а) NAT не является протоколом б) NAT не имеет единого стандарта в) NAT объективно существует и обязателен в сетях IPv4 по гуманитарным причинам, а не по техническим. г) Параметрами NAT можно похерить реальные сетевые стандарты. Все протоколы, которые так или иначе имеют проблемы с NAT разработали свои решения борьбы с этой дрянью, в виду обязательности работы с ним в сетях IPv4. На практике, работа SIP совместно с NAT, если там вообще есть проблема, то это не проблема двух протоколов "разных уровней". Это проблема работы международного принятого и подробно описанного сетевого и телефонного стандарта, поверх конкретного вендороспецифичного решения, применяемого на конкретном предприятии и управляемого сетевым администратором с ограниченными возможностями, который почему-то не может привести в порядок своё сетевое барахло. > А кто по вашему ALG придумал? - да да вендора сетевики как вы выше указали, так они открыли ваш же "стандарт" протокола и по нему же реализовали логику ALG, за вас работу сделали, а вы в зубы коню? То что они открыли стандарт, не значит что они умеют читать (7 извилин слишком мало для когнитивной деятельности). Сравни реализацию ALG от каждого вендора между собой и со Стандартом и ты поймешь, что ровным счетом НИКТО из них ему не следует, а наоборот портит жизнь. Одно радует, что ты хотя бы поинтересовался и увидел, что ALG и костыли придумывали не телефонисты, и не ради себя. Значит не всё потеряно. Вот тебе еще информация к размышлению: 1) телефонисты не хотят от сетевика, чтобы он вмешивался в работу своим оборудованием. Они требуют обратного, чтобы его оборудование прекратило заниматься диверсионной деятельностью (ALG) и чтобы он сам договорился о том как будет работать его оборудование (NAT), потому что отсутствие стандартизации и вендорозависимость - это проблема, причем на ЕГО стороне. 2) Прекратил заниматься религиозным лицемерием. Вот ты сам пишешь "L3/L4", а почему вдруг нужно 2 уровня сразу, чтобы описать твою работу? А почему в твоей же догме нельзя считать SIP за "L3/L4/L5/L6/L7" одновременно? А то современный VoIP, по-факту, начинает свою работу с выбора кандидатов в SDP для второй сессии, начиная с выбора протокола IPv4/IPv6, дальше под ВСЕ адреса сетёвки подбирает порты, далее включает NAT-PNP/UPnP и если удалось так поговорить с вышестоящим железом, то добавляет туда IP:port-ы кандидатов проброшенные таким способом. Потом обращается к STUN и вычисляет реальные внешние IP:port для всех локальных кандидатов и проверяет типы NAT, которые сетевик настроил, чтобы понять как можно стучаться на автопроброшенный временный порт в таблице NAT. Есть варианты: 1) Можно всё (Full или DST NAT) 2) Можно только с того IP на который клиент изначально соединялся, но порт любой 3) Можно с любого IP но порт источника должен совпадать 4) Только тот IP:port, на который устанавливалось изначальное соединение, которое привело к созданию динамического правила в таблице NAT, имеет право слать ответы (Симметричный NAT) Далее добавляются адреса TURN-релеев в список кандидатов, с которыми работает этот клиент. И вот после этого нужно вычислить 2 вещи: 1) Можно ли соединить двух клиентов напрямую по локальным IP, вдруг они внутри одной сети (несмотря на наличие полностью внешного SIP/WebRTC-сервера) 2) При наличии прямого коннекта выяснить, где задержка лучше, напрямую или через TURN-релей (это умеют только "умные" клиенты) Кроме того нужно учитывать, что клиент с симметричным натом не может принимать ничего "входящего", соответственно соединения для второй сессии должны быть иницированы с его стороны, чтобы победить сраный файрвол. Если нужно соединять двух таких вот клиентов, то TURN-релей в такой сессии - единственный кандидат. Вот примерно так работает ICE. И это стандарт. Ты знал, что это так работает? Ну как, сложно? А всё потому что есть как минимум 4 варианта работы NAT и нет гарантии, что устройство ответит на запрос временной фиксации порта через UPnP, среди прочего есть симметричный NAT, который вынуждает клиентов инициировать вторую сессию всегда, даже если реально не они её инициировали. И вот скажи мне, умник, где конкретно в этом вина SIP/WebRTC (ICE применяется в обоих) и иже с ними. Эту сложность порождает отсутствие стандартов на заполнение таблицы NAT на файрволе и возможность загнать пользователей гетто (симметричный NAT), целесообразность которого близка к нулю, потому что файрволы на клиентов всё равно придется ставить. И вот когда вот в эту топологию влазит ALG и начинает "помогать", подменять IP:port в SIP/SDP-пакетах приходится шифровать всё через TLS/DTLS. Не столько ради конфеденциальности, сколько ради обхода того идиотизма, который применяется на роутерах и файрволах. Мало того что NAT свой в порядок привести не способны, так еще и усложняют работу с тем что есть. Как я и говорил раньше "Сетевикам нельзя лезть в телефонию, она от них тупеет". В корпоративном мире, их задача отказаться от своей религиозной бредятины и сделать так как приказали, потому что как международные стандарты, так и государственные, как видишь, явно не в пользу NAT и свидетелей модели OSI.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152

160. Сообщение от пох. (?), 27-Июл-21, 16:43	–1 +/–
Для бестолковых повторяю: эти уровни на самом деле существовали. В мертворожденном сетевом стеке ISO/OSI, ничего общего не имеющим с internet, в котором нет изолированных "уровней", и tcp не ходит поверх udp. Если вам нужны "определения" что такое "internet protocol" - вам в школу, а не в разговор технических специалистов. Нам от OSI на память остался только is-is. Который отчасти потому и остался, что бездумное bloatware (и когда современные сети и превратились в такое г., оказалось удобным что в него все дерьмо поместилось), а отчасти именно потому что не имеет ни малейшего отношения к ip-сетям, и от них не зависит, поэтому до некоторой степени независим и от твоих факапов в настройках ip.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #157 Ответы: #161

161. Сообщение от Sw00p aka Jerom (?), 28-Июл-21, 19:02	+/–
> и tcp не ходит поверх udp Где это я утверждал такое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160

162. Сообщение от HyC (?), 03-Авг-21, 13:26	+/–
А как связано "sip нинужна" c FreeBSD и "полными м-ками" где бы то ни было от которых у вас бомбануло ? Кстати на бзде сип если мне не отбило склероз натится чуть ли не от начала времен. Но я не настоящий бздишник, могу ошибиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

163. Сообщение от Аноним (163), 05-Авг-21, 22:51	+/–
вы хотели сказать "сквиртовый"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема