= Сообщение: 2811 из 10763 ===================================== RU.UNIX.BSD =
От : Alex Korchmar 2:5020/400 21 Apr 15 09:41:07
Кому : Vova Uralsky 21 Apr 15 09:41:07
Тема : Re: FreeBSD + Hosting
FGHI : area://RU.UNIX.BSD?msgid=<1187500733@ddt.demos.su>+840c71ee
На : area://RU.UNIX.BSD?msgid=2:5030/257+5535ad13
= Кодировка сообщения определена как: CP866 ==================================
Ответ: area://RU.UNIX.BSD?msgid=2:5030/257+55364cd6
==============================================================================
From: Alex Korchmar <noreply@linux.e-moe.ru>
Vova Uralsky <Vova.Uralsky@f257.n5030.z2.fidonet.org> wrote:
AK>> То есть и одного не довелось, судя по непониманию разницы между cloud
AK>> и шаредхостингом.
VU> Это примерно как "братцы, подскажите, что лучше, модем или интернет?"
VU> Cloud, вроде как, инфраструктура управления ресурсами. Запускаешь ты на них
повторяю - я спрашивал о личном опыте, и сомневаюсь что ты работаешь на амазон.
cloud не инфраструктура для управления ресурсами, ага. cloud это инфраструктура
для отвязки сервиса от конкретной железки, и нужна она совсем для других целей.
Ибо немного небесплатна.
VU> Hикогда не слышал чтобы исходящий траффик ids/ipsили?
на шаредхосте? Hе, не слышал. Hе догадываешься, почему?
Вот именно по этой причине про личный опыт и спрашивал. Чтобы понять, на
каком уровне собеседник понимает происходящее. Получается что околонулевом.
VU> Hе в курсе, зачем? Ждешь
VU> пока тебе ЯВебмастер скажет что у тебя на сайте ифрэйм с вирусом?
так не у меня, а у юзера. Мне не жалко, он свои $5 в месяц заплатил.
Пока мне отдел Р или как там оно теперь, не скажет чего нехорошего,
пусть себе висит.
А он не скажет, потому что им не до вирусов, им за державу обидно.
VU> И вообще, на php можно навалять фантастические вещи. ;-)
можно, только на шаредхосте они как правило не работают, с его лимитами и
порезанным php. Или сразу кладут сайтик целиком, и недовебмастер бежит
с воплями в техподдержку.
AK>> чему? ips'ы собирать из говна и палок?
VU> Видимо, iptables стал конфеткой ;-)
для непонятливых разжевываю: iptables никогда не был ips'ом. Это хороший,
удобный пакетный фильтр с элементами stateful firewall, имеющий небольшое
количество известных проблем, но не более того.
Проблема фряхи - что ни pf, ни ipfw не являются ни хорошим, ни тем более
удобным пакетным фильтром, а являются окаменелым мамонтовым говном,
кое-как допиленным до полупригодной работы с кучей кривых подпорок, лишь
частично работоспособных, включая уродливые хелперы в userspace, и имеющие
чудовищное количество проблем в любых неожиданных местах. В лучшем
случае - пять лет назад Гроссбейн открыл тикет, и он до сих пор
висит в статусе "unassigned".
AK>> и? Удали мне пятое правило из пяти тыщ, добавленых внутрь anchor?
VU> А теперь расскажи, зачем ты нафигачил пять тыщ правил? Тебе про
потому что могу.
VU> таблицы никто не рассказал?
а теперь начнем с начала - таблицы - нужны только тем, у кого несчастные
пять тыщ правил внезапно вызывают баттхерт. Поэтому крайне глупо считать
даже полное отсутствие этой ненужной фигни ужасным недостатком файрвола.
А оно в линупсе таки даже присутствует, правда, низачем в большинстве
случаев ненужное.
A anchor - это просто уродливая замена skipto, делающая уже и так неудобную
вещь совсем неудобной. До кучи в нем еще и выйти из середины обратно на
предыдущий уровень нельзя, ибо ничего кроме quick не осилено.
AK>> О том как траблшутить этот тяжелый бред, лучше уж даже спрашивать не
AK>> буду.
VU> О, да! Траблшутитьт iptables, этож сплошное удовольствие!
я никогда не занимался траблшутингом iptables в том смысле, в котором это
приходилось делать с ipfw/pf - когда тратишь по нескольку _часов_, чтобы
разобраться в поломавшейся сложной конфигурации. Потому что там этого не то
что совсем невозможно добиться, но надо в таком случае не траблшутить,
а iptables -F и переделать нормально. Благо это редко занимает больше
пятнадцати минут даже в сложных случаях, с QUEUE и нетривиальными хелперами,
которые нельзя вызывать как попало. Hо на практике даже такого не
приходилось - людям все же не свойственно делать заведомую херню в случаях,
где система изначально помогает ее не делать.
То есть любые, доселе попадавшиеся мне iptables, сделанные совершенно
разными людьми или вовсе не человеками, в совершенно разных системах,
чинились за пару минут.
AK>> http://wiki.nftables.org/wiki-nftables/index.php/Simple_ruleset_for_a
AK>> _workstation
VU> :-) Класс, выглядит очень загадочно.
опять же - главное, как траблшутить и как вообще в этом бреде найти ошибку
в правиле, если их, внезапно, не simple и не одно?
А вот дебаг исчез еще во времена ipchains (потому и исчез, что с переходом
на chains стало незачем дебагать, все и так глазами видно) и вряд ли обезьяны
догадаются его вернуть.
VU> О! Вижу проблески разума! Вопрос, где кончается LAN и начинается Internet?
VU> Ответ, там где бесконечный бесплатныей канал упирается в дорогой.
э... ты в каком веке живешь-то?
Каналы у массхостера обычно почти бесконечные и в целом - бесплатные (там узкое
место случается раньше, чем дойдет до бордера в принципе). И проблемы у него
всегда с in, а не с out.
VU> Честно говоря, охотничьи рассказы про Золотоглавую меня уже некоторое время
VU> перестали удивлять.
у вас там в Питере ТАКАЯ жопа? Hет, чего - правда? Я-то полагал что в Москве
подходы к таким вещам устарели лет на десять кроме некоторых отдельных
оазисов, но у тебя, похоже, не десять, все двадцать. Понятно, почему тебя
устраивает пакетный фильтр двадцатилетней тухлости, ага. Hепонятно, кто и
зачем в такой жопе размещает сайты.
AK>> Смысл, простите? У тебя и так ресурс ограничен хуже некуда.
VU> Процессоры нынче дёшевы и быстры. А вот WAN'а и IO хватает невсегда.
ааааа!!!!
VU> P.S. Соберу говнороутер на линуксе, когда туда портанут zfs, pf и mpd. ;-)
а я вот может соберу хостинг на фре, когда оттуда наконец выкинут mpd с pf и
прочее мамонтово говно, и заодно ipsec с туннелями починят до хоть
более-менее рабочего вида.
А пока приходится осторожно присматриваться к линуксному порту zfs.
Ибо толку от стораджа с полурабочей сетью не просматривается, а шансов что
ее кто-то приведет в более-менее современный вид - ноль. Все дружно
ринулись переписывать pkg и догонять и перегонять линупс в его самых
дурацких особенностях. Причем с примерно твоим уровнем понимания как они
на самом деле используются в реальной жизни.
> Alex
--- ifmail v.2.15dev5.4
* Origin: Demos online service (2:5020/400)
|
