forum.opennet.ru

Составление сообщения

Исходное сообщение

"Обзор развития проекта OpenBSD"
Отправлено nuclight, 07-Июн-10 17:37

>И на закуску: когда в ipfw появятся именованные таблицы, отдельные (также именованные и вложенные) блоки правил,
Именованность - вредна. Так, как она сделана в pf, она не позволяет доверить управление машине (автоматизировать). Когда мы делали ipfw tag/tagged, мы честно хотели сделать их совместимыми с pf tag/tagged. Не получилось - потому что внутреннее представление в ядре - уже не строка, а число, и оно может меняться при каждой перекомпиляции рулесета. В результате их нельзя использовать в конфигурировании другой подсистемы ядра (нужнее всего в netgraph). То есть pf - это вещь в себе. Не unix way, с чем-то еще его подружить - почти нереально.
>умение роутить (не форвардить, а именно роутить) пакеты
А это зачем? И в чем именно, кстати, отличие? :)
BTW, умеет ли pf аналог fwd tablearg ?
>и их копии,
ng_tee
>аналог "keep state (max-src-conn-rate 10/5 overload flush <bruteforcers>)" — тогда его тоже можно будет воспринимать всерьёз, да? Это я так, лишь что первое на ум пришло упомянул.
А толку с всего этого, если pf NAT не умеет фиксап протоколов на L7, если сам он не масштабируется с ростом числа процессоров и на определенной нагрузке просто затыкается?.. Узкая ниша?..

Исходное сообщение
"Обзор развития проекта OpenBSD" Отправлено nuclight, 07-Июн-10 17:37
>И на закуску: когда в ipfw появятся именованные таблицы, отдельные (также именованные и вложенные) блоки правил, Именованность - вредна. Так, как она сделана в pf, она не позволяет доверить управление машине (автоматизировать). Когда мы делали ipfw tag/tagged, мы честно хотели сделать их совместимыми с pf tag/tagged. Не получилось - потому что внутреннее представление в ядре - уже не строка, а число, и оно может меняться при каждой перекомпиляции рулесета. В результате их нельзя использовать в конфигурировании другой подсистемы ядра (нужнее всего в netgraph). То есть pf - это вещь в себе. Не unix way, с чем-то еще его подружить - почти нереально. >умение роутить (не форвардить, а именно роутить) пакеты А это зачем? И в чем именно, кстати, отличие? :) BTW, умеет ли pf аналог fwd tablearg ? >и их копии, ng_tee >аналог "keep state (max-src-conn-rate 10/5 overload flush <bruteforcers>)" — тогда его тоже можно будет воспринимать всерьёз, да? Это я так, лишь что первое на ум пришло упомянул. А толку с всего этого, если pf NAT не умеет фиксап протоколов на L7, если сам он не масштабируется с ростом числа процессоров и на определенной нагрузке просто затыкается?.. Узкая ниша?..

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру