= Сообщение: 2811 из 10763 ===================================== RU.UNIX.BSD = От : Alex Korchmar 2:5020/400 21 Apr 15 09:41:07 Кому : Vova Uralsky 21 Apr 15 09:41:07 Тема : Re: FreeBSD + Hosting FGHI : area://RU.UNIX.BSD?msgid=<1187500733@ddt.demos.su>+840c71ee На : area://RU.UNIX.BSD?msgid=2:5030/257+5535ad13 = Кодировка сообщения определена как: CP866 ================================== Ответ: area://RU.UNIX.BSD?msgid=2:5030/257+55364cd6 ============================================================================== From: Alex Korchmar <noreply@linux.e-moe.ru>
Vova Uralsky <Vova.Uralsky@f257.n5030.z2.fidonet.org> wrote:
AK>> То есть и одного не довелось, судя по непониманию разницы между cloud AK>> и шаредхостингом. VU> Это примерно как "братцы, подскажите, что лучше, модем или интернет?" VU> Cloud, вроде как, инфраструктура управления ресурсами. Запускаешь ты на них повторяю - я спрашивал о личном опыте, и сомневаюсь что ты работаешь на амазон. cloud не инфраструктура для управления ресурсами, ага. cloud это инфраструктура для отвязки сервиса от конкретной железки, и нужна она совсем для других целей. Ибо немного небесплатна.
VU> Hикогда не слышал чтобы исходящий траффик ids/ipsили? на шаредхосте? Hе, не слышал. Hе догадываешься, почему? Вот именно по этой причине про личный опыт и спрашивал. Чтобы понять, на каком уровне собеседник понимает происходящее. Получается что околонулевом.
VU> Hе в курсе, зачем? Ждешь VU> пока тебе ЯВебмастер скажет что у тебя на сайте ифрэйм с вирусом? так не у меня, а у юзера. Мне не жалко, он свои $5 в месяц заплатил. Пока мне отдел Р или как там оно теперь, не скажет чего нехорошего, пусть себе висит. А он не скажет, потому что им не до вирусов, им за державу обидно.
VU> И вообще, на php можно навалять фантастические вещи. ;-) можно, только на шаредхосте они как правило не работают, с его лимитами и порезанным php. Или сразу кладут сайтик целиком, и недовебмастер бежит с воплями в техподдержку.
AK>> чему? ips'ы собирать из говна и палок? VU> Видимо, iptables стал конфеткой ;-) для непонятливых разжевываю: iptables никогда не был ips'ом. Это хороший, удобный пакетный фильтр с элементами stateful firewall, имеющий небольшое количество известных проблем, но не более того. Проблема фряхи - что ни pf, ни ipfw не являются ни хорошим, ни тем более удобным пакетным фильтром, а являются окаменелым мамонтовым говном, кое-как допиленным до полупригодной работы с кучей кривых подпорок, лишь частично работоспособных, включая уродливые хелперы в userspace, и имеющие чудовищное количество проблем в любых неожиданных местах. В лучшем случае - пять лет назад Гроссбейн открыл тикет, и он до сих пор висит в статусе "unassigned".
AK>> и? Удали мне пятое правило из пяти тыщ, добавленых внутрь anchor?
VU> А теперь расскажи, зачем ты нафигачил пять тыщ правил? Тебе про потому что могу. VU> таблицы никто не рассказал? а теперь начнем с начала - таблицы - нужны только тем, у кого несчастные пять тыщ правил внезапно вызывают баттхерт. Поэтому крайне глупо считать даже полное отсутствие этой ненужной фигни ужасным недостатком файрвола. А оно в линупсе таки даже присутствует, правда, низачем в большинстве случаев ненужное.
A anchor - это просто уродливая замена skipto, делающая уже и так неудобную вещь совсем неудобной. До кучи в нем еще и выйти из середины обратно на предыдущий уровень нельзя, ибо ничего кроме quick не осилено.
AK>> О том как траблшутить этот тяжелый бред, лучше уж даже спрашивать не AK>> буду. VU> О, да! Траблшутитьт iptables, этож сплошное удовольствие! я никогда не занимался траблшутингом iptables в том смысле, в котором это приходилось делать с ipfw/pf - когда тратишь по нескольку _часов_, чтобы разобраться в поломавшейся сложной конфигурации. Потому что там этого не то что совсем невозможно добиться, но надо в таком случае не траблшутить, а iptables -F и переделать нормально. Благо это редко занимает больше пятнадцати минут даже в сложных случаях, с QUEUE и нетривиальными хелперами, которые нельзя вызывать как попало. Hо на практике даже такого не приходилось - людям все же не свойственно делать заведомую херню в случаях, где система изначально помогает ее не делать. То есть любые, доселе попадавшиеся мне iptables, сделанные совершенно разными людьми или вовсе не человеками, в совершенно разных системах, чинились за пару минут.
AK>> http://wiki.nftables.org/wiki-nftables/index.php/Simple_ruleset_for_a AK>> _workstation VU> :-) Класс, выглядит очень загадочно. опять же - главное, как траблшутить и как вообще в этом бреде найти ошибку в правиле, если их, внезапно, не simple и не одно?
А вот дебаг исчез еще во времена ipchains (потому и исчез, что с переходом на chains стало незачем дебагать, все и так глазами видно) и вряд ли обезьяны догадаются его вернуть.
VU> О! Вижу проблески разума! Вопрос, где кончается LAN и начинается Internet? VU> Ответ, там где бесконечный бесплатныей канал упирается в дорогой. э... ты в каком веке живешь-то? Каналы у массхостера обычно почти бесконечные и в целом - бесплатные (там узкое место случается раньше, чем дойдет до бордера в принципе). И проблемы у него всегда с in, а не с out.
VU> Честно говоря, охотничьи рассказы про Золотоглавую меня уже некоторое время VU> перестали удивлять. у вас там в Питере ТАКАЯ жопа? Hет, чего - правда? Я-то полагал что в Москве подходы к таким вещам устарели лет на десять кроме некоторых отдельных оазисов, но у тебя, похоже, не десять, все двадцать. Понятно, почему тебя устраивает пакетный фильтр двадцатилетней тухлости, ага. Hепонятно, кто и зачем в такой жопе размещает сайты.
AK>> Смысл, простите? У тебя и так ресурс ограничен хуже некуда. VU> Процессоры нынче дёшевы и быстры. А вот WAN'а и IO хватает невсегда. ааааа!!!!
VU> P.S. Соберу говнороутер на линуксе, когда туда портанут zfs, pf и mpd. ;-) а я вот может соберу хостинг на фре, когда оттуда наконец выкинут mpd с pf и прочее мамонтово говно, и заодно ipsec с туннелями починят до хоть более-менее рабочего вида. А пока приходится осторожно присматриваться к линуксному порту zfs. Ибо толку от стораджа с полурабочей сетью не просматривается, а шансов что ее кто-то приведет в более-менее современный вид - ноль. Все дружно ринулись переписывать pkg и догонять и перегонять линупс в его самых дурацких особенностях. Причем с примерно твоим уровнем понимания как они на самом деле используются в реальной жизни.
> Alex
--- ifmail v.2.15dev5.4 * Origin: Demos online service (2:5020/400) |