= Сообщение: 2818 из 10763 ===================================== RU.UNIX.BSD =
От : Vova Uralsky 2:5030/257 21 Apr 15 10:43:54
Кому : Alex Korchmar 21 Apr 15 10:43:54
Тема : Re: FreeBSD + Hosting
FGHI : area://RU.UNIX.BSD?msgid=2:5030/257+55364cd6
На : area://RU.UNIX.BSD?msgid=<1187500733@ddt.demos.su>+840c71ee
= Кодировка сообщения определена как: CP866 ==================================
Ответ: area://RU.UNIX.BSD?msgid=<1187500746@ddt.demos.su>+9b500721
==============================================================================
Hello Alex!
21 Apr 15 09:41, Alex Korchmar wrote to Vova Uralsky:
AK>>> То есть и одного не довелось, судя по непониманию разницы между
AK>>> cloud и шаредхостингом.
VU>> Это примерно как "братцы, подскажите, что лучше, модем или интернет?"
VU>> Cloud, вроде как, инфраструктура управления ресурсами. Запускаешь ты
VU>> на них
AK> повторяю - я спрашивал о личном опыте, и сомневаюсь что ты работаешь
AK> на амазон.
не, на этих кровососов не работаю. И не рвусь :-D
AK> cloud не инфраструктура для управления ресурсами, ага. cloud это
AK> инфраструктура
AK> для отвязки сервиса от конкретной железки, и нужна она совсем для
AK> других целей.
AK> Ибо немного небесплатна.
Ты бы хоть статью в википедии почитал бы чтоли....
VU>> Hикогда не слышал чтобы исходящий траффик ids/ipsили?
AK> на шаредхосте? Hе, не слышал. Hе догадываешься, почему?
AK> Вот именно по этой причине про личный опыт и спрашивал. Чтобы понять,
AK> на
AK> каком уровне собеседник понимает происходящее. Получается что
AK> околонулевом.
У меня, вот, тоже складывается впечатление что мой собеседник просто тролль. Вот снова, поскипал всё про zfs, оставил только флэйм.
VU>> Hе в курсе, зачем? Ждешь
VU>> пока тебе ЯВебмастер скажет что у тебя на сайте ифрэйм с вирусом?
AK> так не у меня, а у юзера. Мне не жалко, он свои $5 в месяц заплатил.
AK> Пока мне отдел Р или как там оно теперь, не скажет чего нехорошего,
AK> пусть себе висит.
AK> А он не скажет, потому что им не до вирусов, им за державу обидно.
Правильно, на $5 купил, на $5 получил. Какие там вирусы.
VU>> И вообще, на php можно навалять фантастические вещи. ;-)
AK> можно, только на шаредхосте они как правило не работают, с его
AK> лимитами и
Точно, за $5 никто ничего другого и не ожидает. Хотя, там где ТУПОЗ заведётся, можно многое наворотить.
AK> порезанным php. Или сразу кладут сайтик целиком, и недовебмастер
AK> бежит
AK> с воплями в техподдержку.
И сайтики такие ищем мы глазками? Таджиков нанимаете?
AK>>> чему? ips'ы собирать из говна и палок?
VU>> Видимо, iptables стал конфеткой ;-)
AK> для непонятливых разжевываю: iptables никогда не был ips'ом. Это
AK> хороший,
AK> удобный пакетный фильтр с элементами stateful firewall, имеющий
AK> небольшое
AK> количество известных проблем, но не более того.
Это мы уже слышали, и степень субъективности уже уловили.
AK> Проблема фряхи - что ни pf, ни ipfw не являются ни хорошим, ни тем
AK> более
AK> удобным пакетным фильтром, а являются окаменелым мамонтовым говном,
Это тоже малообъективно.
AK> кое-как допиленным до полупригодной работы с кучей кривых подпорок,
AK> лишь
AK> частично работоспособных, включая уродливые хелперы в userspace, и
AK> имеющие
AK> чудовищное количество проблем в любых неожиданных местах. В лучшем
Голословное утверждение.
AK> случае - пять лет назад Гроссбейн открыл тикет, и он до сих пор
AK> висит в статусе "unassigned".
:-D Я тоже как-то разок-другой, что с того?
AK>>> и? Удали мне пятое правило из пяти тыщ, добавленых внутрь anchor?
VU>> А теперь расскажи, зачем ты нафигачил пять тыщ правил? Тебе про
AK> потому что могу.
Система виновата в том что позволила тебе прострелить себе ногу?
VU>> таблицы никто не рассказал?
AK> а теперь начнем с начала - таблицы - нужны только тем, у кого
AK> несчастные
AK> пять тыщ правил внезапно вызывают баттхерт. Поэтому крайне глупо
AK> считать
AK> даже полное отсутствие этой ненужной фигни ужасным недостатком
AK> файрвола.
Я как раз с этого начал, расскажите, как правильно зафильтровать стотыщ одиночных адресов iptablesами, чтобы проседало не сильнее чем на pf?
AK> А оно в линупсе таки даже присутствует, правда, низачем в большинстве
AK> случаев ненужное.
AK> A anchor - это просто уродливая замена skipto, делающая уже и так
AK> неудобную
AK> вещь совсем неудобной. До кучи в нем еще и выйти из середины обратно
AK> на
AK> предыдущий уровень нельзя, ибо ничего кроме quick не осилено.
Это дело вкуса. Кому как удобнее, кому-то надо прямой как палка рулесет, кому-то иерархические структуры.
AK>>> О том как траблшутить этот тяжелый бред, лучше уж даже спрашивать не
AK>>> буду.
VU>> О, да! Траблшутитьт iptables, этож сплошное удовольствие!
AK> я никогда не занимался траблшутингом iptables в том смысле, в котором
Я так понимаю, Бог миловал. ;-)
AK> это
AK> приходилось делать с ipfw/pf - когда тратишь по нескольку _часов_,
AK> чтобы
AK> разобраться в поломавшейся сложной конфигурации. Потому что там этого
AK> не то
AK> что совсем невозможно добиться, но надо в таком случае не
AK> траблшутить,
Я, конечно, отморозок, наверное, но мне удобно собранное pflogd прочитать в wireshark и там анализировать, привык, видимо.
AK> а iptables -F и переделать нормально. Благо это редко занимает больше
AK> пятнадцати минут даже в сложных случаях, с QUEUE и нетривиальными
AK> хелперами,
AK> которые нельзя вызывать как попало. Hо на практике даже такого не
AK> приходилось - людям все же не свойственно делать заведомую херню в
AK> случаях,
AK> где система изначально помогает ее не делать.
AK> То есть любые, доселе попадавшиеся мне iptables, сделанные совершенно
AK> разными людьми или вовсе не человеками, в совершенно разных системах,
AK> чинились за пару минут.
:-D :-D :-D
VU>> О! Вижу проблески разума! Вопрос, где кончается LAN и начинается
VU>> Internet? Ответ, там где бесконечный бесплатныей канал упирается в
VU>> дорогой.
AK> э... ты в каком веке живешь-то?
AK> Каналы у массхостера обычно почти бесконечные и в целом - бесплатные
AK> (там узкое
AK> место случается раньше, чем дойдет до бордера в принципе). И проблемы
AK> у него
AK> всегда с in, а не с out.
Угумс, типа скорости порта в свитче, как не удивительно, добиться отключения этого порта не так сложно. Возвращаясь к вопросу... То есть где мы QoSить будем всё-таки не так важно?
VU>> Честно говоря, охотничьи рассказы про Золотоглавую меня уже некоторое
VU>> время перестали удивлять.
AK> у вас там в Питере ТАКАЯ жопа? Hет, чего - правда? Я-то полагал что в
Ой, я и не знаю, как там в Питере, не был там уже лет 15.
AK> Москве
AK> подходы к таким вещам устарели лет на десять кроме некоторых
AK> отдельных
AK> оазисов, но у тебя, похоже, не десять, все двадцать. Понятно, почему
AK> тебя
AK> устраивает пакетный фильтр двадцатилетней тухлости, ага. Hепонятно,
Возможно это станет для тебя разрывом контекста, но есть горячие головы, использующие pf+CARP+pfsync, вполне успешно и на протяжении многих лет. Правда покачто видел только на базе OpenBSD.
AK> кто и
AK> зачем в такой жопе размещает сайты.
Размещай в Москве
AK>>> Смысл, простите? У тебя и так ресурс ограничен хуже некуда.
VU>> Процессоры нынче дёшевы и быстры. А вот WAN'а и IO хватает невсегда.
AK> ааааа!!!!
Что, процессоры дорогие и медленные? ;-)
VU>> P.S. Соберу говнороутер на линуксе, когда туда портанут zfs, pf и
VU>> mpd. ;-)
AK> а я вот может соберу хостинг на фре, когда оттуда наконец выкинут mpd
AK> с pf и
AK> прочее мамонтово говно, и заодно ipsec с туннелями починят до хоть
AK> более-менее рабочего вида.
Точно, собери ipsec хостинг. Вот все удивятся!
AK> А пока приходится осторожно присматриваться к линуксному порту zfs.
AK> Ибо толку от стораджа с полурабочей сетью не просматривается, а
AK> шансов что
Сам полсети отломал?
AK> ее кто-то приведет в более-менее современный вид - ноль. Все дружно
AK> ринулись переписывать pkg и догонять и перегонять линупс в его самых
AK> дурацких особенностях. Причем с примерно твоим уровнем понимания как
AK> они
AK> на самом деле используются в реальной жизни.
Как опыт показывает, реальность жизни у всех примерно одинаковая, только восприятие разное.
Из свежих впечатлений. Как ты думаешь, насколько практично сделать хостинг на базе 1ВМ блэйдцентра с нетаповским iscsi storage и с gpfs поверх? Хотя, это скорее портал, где отдельные клиенты управляют собственными инстансами апача, имея возможность ходить к общей базе данных, css'ам, js'ам, платёжным сервисам идр ипр. Бэкап, архив, 24х7. Для тебя такие хостеры, видимо, будут идиотами, не понимающими как правильно строить. Ты для них будешь идиотом, который не в состоянии понять зачем это сделано так, и не иначе.
Regards,
Vova
--- Msged/BSD 6.2.0
* Origin: Permission denied (2:5030/257)
|
