nuclight: (Default)
nuclight ([personal profile] nuclight) wrote2012-04-26 03:11 am
  • Add Memory
  • Share This Entry
Entry tags:

IpfwNg

В честь 26 годовщины 26 апреля уволился с текущей работы и таки наконец начал проект http://wiki.freebsd.org/IpfwNg — хотя на работе FreeBSD и была основной системой, реальную возможность пилить ядро я так и не получил (хотя тот же NAT64 нам бы понадобился не через полгода, так через год). В ближайшие недели посижу дома и надеюсь сделать хотя бы скелет, который можно будет потом уже в свободное время потихоньку пилить — работы по проекту предстоит очень много.

Желающие обсудить по делу — велкам в каменты (хотя я туда еще не все наброски оформил).
Flat | Top-Level Comments Only

[identity profile] sem-lj.livejournal.com 2012-05-05 12:56 pm (UTC)(link)
Что бы это было без проблем, надо по крайней мере две команды: проверить ipfw -n /path/to/file и уже непосредственно загрузка. И не дай бог забыть первую. Причем гадкий ipfw остановится на правиле с ошибкой, а не проигнорирует ее (с сообщением конечно), что (по закону подлости) как правило приведет к потере машины с радаров. В этом случае скрипт с загрузкой по одному правилу может быть предпочтительней. Только тут есть другая засада - если правил очень много, можно этого не заметить. В общем, при любом раскладе, нужно что-то городить (Женя например, ниже привел пример с сетами).

[identity profile] dadv.livejournal.com 2012-05-05 01:11 pm (UTC)(link)
Кому лениво писать set N в списке правил, могут пропатчить /sbin/ipfw, добавив новый ключ -S N, который бы по задавал новый дефолт для set (вместо нуля) для правил без set N и использовать ipfw -S 1 -f /path/to/ruleset && ipfw set swap

[identity profile] nuclight.livejournal.com 2012-05-10 01:38 am (UTC)(link)
> могут пропатчить

Это не должно быть "пропатчить", это должно быть "из коробки". Тем более там внутри каша, к тому же еще и недокументировано ничего. Тоже подлежит исправлению.

[identity profile] dadv.livejournal.com 2012-05-10 05:36 am (UTC)(link)
> Это не должно быть "пропатчить", это должно быть "из коробки".

А из коробки есть set N в каждом правиле.

> Тем более там внутри каша, к тому же еще и недокументировано ничего.

ipfw sets документированы ещё с 4.x. Или ты про отсутствие комментариев в коде? :-)

и снова бесполезный разговор

[identity profile] nuclight.livejournal.com 2012-05-10 09:41 pm (UTC)(link)
Ну написано же, в чем проблема. Иди и прочитай. Если не доходит, иди освой lex и yacc, сравни с имеющимися решениями, тогда дойдет.

[identity profile] dadv.livejournal.com 2012-05-11 01:41 am (UTC)(link)
Там написано: ниасилил и не хочу, хочу "до основанья, а затем".

[identity profile] nuclight.livejournal.com 2012-05-16 09:42 pm (UTC)(link)
Ты б читать научился, и понимать о чем речь вообще. Нет там никакого "до основания", соответственно насчет хирургов с терапевтами столь же глупо.

[identity profile] denis-sotchenko.livejournal.com 2012-05-05 11:57 pm (UTC)(link)
По поводу подлости - я применяю очень простое решение:

add 1 allow ip from any to any
[…]
delete 1
Flat | Top-Level Comments Only