Исходное сообщение
"Порядок прохождения пакетов в пакетных фильтрах FreeBSD" Отправлено redixin, 16-Апр-09 23:33
>Это уже давно не патч, модуль ipset у меня наличествует в дистрибутиве >Debian Etch (stable), который часто BSD-шники обвиняют в том, что он >устаревает на момент выпуска. Заметьте - это самый консервативный дистрибутив, и >даже в нём этот модуль есть! > http://w3dev.org.ua/debian-guaranteed-entropy.jpg ок >Прежде чем повторять одну и ту же мантру "ipset не для продакшн" >или "костыли в виде патчей", стоит ознакомиться с вопросом. кто повторял? я разок сказал, а вы тут про дебиан 3 абзаца мантр =) дело даже не в том что ipset это костыль который стремаются добавлять в основную ветку, а в том что iptables даже вместе с ipset уступают и ipfw и pf. > >А вот в *BSD до сих пор несколько PPTP-сессий нельзя установить из-за >NAT'а, несмотря на все их три фаерволла. И в stateful режиме >фаерволлов не отслеживаются сессии данных активных FTP-клиентов, благодаря чему приходится настраивать >ещё и NAT там, где он не нужен. насчет pptp не тестил, но FTP работает отменно, враки это всё >А уж насчёт стабильности BSD так лучше бы вообще помолчали, там разработчики >отвечают только за базовую систему, а дырки в программах из портов >их не волнуют. Метод закрытия дырок тоже занятный - берут более >свежую версию программы, в которой дыра уже закрыта. В Debian берут >ту же версию и закрывают дырку в ней, благодаря чему обновления >безопасности происходят совершенно безболезненно, даже в автоматическом режиме без участия сисадмина. ну вы поняли лол http://w3dev.org.ua/debian-guaranteed-entropy.jpg >Во FreeBSD порт может не скомпилироваться, во время компиляции будет создаваться >дополнительная нагрузка на сервер, после установки какое-нибудь мелкое изменение в формате >конфига при переходе с одной версии на другую может привести к >тому, что обновлённый демон не запустится. Поэтому при обновлении FreeBSD сисадмин >должен быть рядом с сервером. А если их двадцать, тридцать и >на каждом разные задачи? А если сисадмин уехал в отпуск на >месяц, можно ли без участия обновить системы? Нельзя? :-( Что теперь >- системы не патчить или обновлять автоматом и молиться, что ни >одно обновление не приведёт к неработоспособности сервака? > чего это вдрук оно приведет к неработоспособности? http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/up... ок >На йух BSD, им место на маршрутизаторах, только в виде базовой системы, >и лучше без портов. И это должны быть единичные маршрутизаторы или >абсолютно идентичные, чтоб по rsync все обновлять можно было. обновлять, строить кластеры, идентичные, не идентичные, можно всё это не проблема. но и речь не об этом откуда такая ненависть к BSD?

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>Это уже давно не патч, модуль ipset у меня наличествует в дистрибутиве >>Debian Etch (stable), который часто BSD-шники обвиняют в том, что он >>устаревает на момент выпуска. Заметьте - это самый консервативный дистрибутив, и >>даже в нём этот модуль есть! >> > http://w3dev.org.ua/debian-guaranteed-entropy.jpg > ок >>Прежде чем повторять одну и ту же мантру "ipset не для продакшн" >>или "костыли в виде патчей", стоит ознакомиться с вопросом. > кто повторял? я разок сказал, а вы тут про дебиан 3 абзаца > мантр =) > дело даже не в том что ipset это костыль который стремаются > добавлять в основную ветку, а в том что iptables даже вместе с > ipset уступают и ipfw и pf. >> >>А вот в *BSD до сих пор несколько PPTP-сессий нельзя установить из-за >>NAT'а, несмотря на все их три фаерволла. И в stateful режиме >>фаерволлов не отслеживаются сессии данных активных FTP-клиентов, благодаря чему приходится настраивать >>ещё и NAT там, где он не нужен. > насчет pptp не тестил, но FTP работает отменно, враки это всё >>А уж насчёт стабильности BSD так лучше бы вообще помолчали, там разработчики >>отвечают только за базовую систему, а дырки в программах из портов >>их не волнуют. Метод закрытия дырок тоже занятный - берут более >>свежую версию программы, в которой дыра уже закрыта. В Debian берут >>ту же версию и закрывают дырку в ней, благодаря чему обновления >>безопасности происходят совершенно безболезненно, даже в автоматическом режиме без участия сисадмина. > ну вы поняли лол > http://w3dev.org.ua/debian-guaranteed-entropy.jpg >>Во FreeBSD порт может не скомпилироваться, во время компиляции будет создаваться >>дополнительная нагрузка на сервер, после установки какое-нибудь мелкое изменение в формате >>конфига при переходе с одной версии на другую может привести к >>тому, что обновлённый демон не запустится. Поэтому при обновлении FreeBSD сисадмин >>должен быть рядом с сервером. А если их двадцать, тридцать и >>на каждом разные задачи? А если сисадмин уехал в отпуск на >>месяц, можно ли без участия обновить системы? Нельзя? :-( Что теперь >>- системы не патчить или обновлять автоматом и молиться, что ни >>одно обновление не приведёт к неработоспособности сервака? >> > чего это вдрук оно приведет к неработоспособности? > http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/updating-freebsdupdate.html > ок >>На йух BSD, им место на маршрутизаторах, только в виде базовой системы, >>и лучше без портов. И это должны быть единичные маршрутизаторы или >>абсолютно идентичные, чтоб по rsync все обновлять можно было. > обновлять, строить кластеры, идентичные, не идентичные, можно всё > это не проблема. но и речь не об этом > откуда такая ненависть к BSD?
	Введите код, изображенный на картинке: