FreeBSD + Нosting

Alex Korchmar написал(а) к Vova Uralsky в Apr 15 09:41:07 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Vova Uralsky <Vova.Uralsky@f257.n5030.z2.fidonet.org> wrote:

AK>> То есть и одного не довелось, судя по непониманию разницы между cloud
AK>> и шаредхостингом.
VU> Это примерно как "братцы, подскажите, что лучше, модем или интернет?"
VU> Cloud, вроде как, инфраструктура управления ресурсами. Запускаешь ты на них
повторяю - я спрашивал о личном опыте, и сомневаюсь что ты работаешь на амазон.
cloud не инфраструктура для управления ресурсами, ага. cloud это инфраструктура
для отвязки сервиса от конкретной железки, и нужна она совсем для других целей.
Ибо немного небесплатна.

VU> Никогда не слышал чтобы исходящий траффик ids/ipsили?
на шаредхосте? Не, не слышал. Не догадываешься, почему?
Вот именно по этой причине про личный опыт и спрашивал. Чтобы понять, на
каком уровне собеседник понимает происходящее. Получается что околонулевом.

VU> Не в курсе, зачем? Ждешь
VU> пока тебе ЯВебмастер скажет что у тебя на сайте ифрэйм с вирусом?
так не у меня, а у юзера. Мне не жалко, он свои $5 в месяц заплатил.
Пока мне отдел Р или как там оно теперь, не скажет чего нехорошего,
пусть себе висит.
А он не скажет, потому что им не до вирусов, им за державу обидно.

VU> И вообще, на php можно навалять фантастические вещи. ;-)
можно, только на шаредхосте они как правило не работают, с его лимитами и
порезанным php. Или сразу кладут сайтик целиком, и недовебмастер бежит
с воплями в техподдержку.

AK>> чему? ips'ы собирать из говна и палок?
VU> Видимо, iptables стал конфеткой ;-)
для непонятливых разжевываю: iptables никогда не был ips'ом. Это хороший,
удобный пакетный фильтр с элементами stateful firewall, имеющий небольшое
количество известных проблем, но не более того.
Проблема фряхи - что ни pf, ни ipfw не являются ни хорошим, ни тем более
удобным пакетным фильтром, а являются окаменелым мамонтовым говном,
кое-как допиленным до полупригодной работы с кучей кривых подпорок, лишь
частично работоспособных, включая уродливые хелперы в userspace, и имеющие
чудовищное количество проблем в любых неожиданных местах. В лучшем
случае - пять лет назад Гроссбейн открыл тикет, и он до сих пор
висит в статусе "unassigned".


AK>> и? Удали мне пятое правило из пяти тыщ, добавленых внутрь anchor?

VU> А теперь расскажи, зачем ты нафигачил пять тыщ правил? Тебе про
потому что могу.
VU> таблицы никто не рассказал?
а теперь начнем с начала - таблицы - нужны только тем, у кого несчастные
пять тыщ правил внезапно вызывают баттхерт. Поэтому крайне глупо считать
даже полное отсутствие этой ненужной фигни ужасным недостатком файрвола.
А оно в линупсе таки даже присутствует, правда, низачем в большинстве
случаев ненужное.

A anchor - это просто уродливая замена skipto, делающая уже и так неудобную
вещь совсем неудобной. До кучи в нем еще и выйти из середины обратно на
предыдущий уровень нельзя, ибо ничего кроме quick не осилено.

AK>> О том как траблшутить этот тяжелый бред, лучше уж даже спрашивать не
AK>> буду.
VU> О, да! Траблшутитьт iptables, этож сплошное удовольствие!
я никогда не занимался траблшутингом iptables в том смысле, в котором это
приходилось делать с ipfw/pf - когда тратишь по нескольку часов, чтобы
разобраться в поломавшейся сложной конфигурации. Потому что там этого не то
что совсем невозможно добиться, но надо в таком случае не траблшутить,
а iptables -F и переделать нормально. Благо это редко занимает больше
пятнадцати минут даже в сложных случаях, с QUEUE и нетривиальными хелперами,
которые нельзя вызывать как попало. Но на практике даже такого не
приходилось - людям все же не свойственно делать заведомую херню в случаях,
где система изначально помогает ее не делать.
То есть любые, доселе попадавшиеся мне iptables, сделанные совершенно
разными людьми или вовсе не человеками, в совершенно разных системах,
чинились за пару минут.

AK>> http://wiki.nftables.org/wiki-nftabl...leset_for</b>a
AK>> _workstation
VU> :-) Класс, выглядит очень загадочно.
опять же - главное, как траблшутить и как вообще в этом бреде найти ошибку
в правиле, если их, внезапно, не simple и не одно?

А вот дебаг исчез еще во времена ipchains (потому и исчез, что с переходом
на chains стало незачем дебагать, все и так глазами видно) и вряд ли обезьяны
догадаются его вернуть.

VU> О! Вижу проблески разума! Вопрос, где кончается LAN и начинается Internet?
VU> Ответ, там где бесконечный бесплатныей канал упирается в дорогой.
э... ты в каком веке живешь-то?
Каналы у массхостера обычно почти бесконечные и в целом - бесплатные (там узкое
место случается раньше, чем дойдет до бордера в принципе). И проблемы у него
всегда с in, а не с out.

VU> Честно говоря, охотничьи рассказы про Золотоглавую меня уже некоторое время
VU> перестали удивлять.
у вас там в Питере ТАКАЯ жопа? Нет, чего - правда? Я-то полагал что в Москве
подходы к таким вещам устарели лет на десять кроме некоторых отдельных
оазисов, но у тебя, похоже, не десять, все двадцать. Понятно, почему тебя
устраивает пакетный фильтр двадцатилетней тухлости, ага. Непонятно, кто и
зачем в такой жопе размещает сайты.

AK>> Смысл, простите? У тебя и так ресурс ограничен хуже некуда.
VU> Процессоры нынче дёшевы и быстры. А вот WAN'а и IO хватает невсегда.
ааааа!!!!

VU> P.S. Соберу говнороутер на линуксе, когда туда портанут zfs, pf и mpd. ;-)
а я вот может соберу хостинг на фре, когда оттуда наконец выкинут mpd с pf и
прочее мамонтово говно, и заодно ipsec с туннелями починят до хоть
более-менее рабочего вида.
А пока приходится осторожно присматриваться к линуксному порту zfs.
Ибо толку от стораджа с полурабочей сетью не просматривается, а шансов что
ее кто-то приведет в более-менее современный вид - ноль. Все дружно
ринулись переписывать pkg и догонять и перегонять линупс в его самых
дурацких особенностях. Причем с примерно твоим уровнем понимания как они
на самом деле используются в реальной жизни.


> Alex

--- ifmail v.2.15dev5.4

Sergey Anohin написал(а) к Alex Korchmar в Apr 15 09:48:06 по местному времени:

Нello Alex* *Korchmar
SA>> ZFS вpоде как она пpиватизиpована под лицензию бсд тепеpь?
AK> зачем на шаpедхостинге - zfs ?

Ну допустим не пpо шаpедхостинг:
масштабиpуемость, отказоустойчивость, надежность?

AK> Он обычно и так нехило упиpается именно в диски (впpочем, и в память, и
AK> в сеть, и в пpоцессоp и вообще во что он не упиpается, за то ты и
AK> пеpеплатил) Для vps еще как-то что-то полезное можно из этого извлечь.
AK> Из полезного шаpедхостингам, чего нет ни в каких линупсах - jail,
AK> способность кое-как pаботать с r/o /usr, и, по-моему, все. Без этого
AK> вполне можно пpожить.

SA>> MPD5 вpоде как умеет на уpав тысячи туннелей деpжать
AK> ну и зачем нам это умение на шаpедхостингах?

Ну это общий плюс.

SA>> pf не юзал, но нахваливают
AK> для совсем пpимитивных задач - да, ничего. Для чего-то более сложного -
AK> опаньки. впpочем, возможно еще чеpез пол-годика линупс тут догонит и
AK> пеpегонит. Но как pаз сделав хоpошо всяким автоматическим ублюдкам, то
AK> есть как pаз в автоматических хостинг-системах все станет только лучше.
AK> А тpаблшутить будем pубильником.
SA>> ipfw по сpавнению с иптаблес это куда более пpосто и понятно, с
SA>> таблицами
AK> ipfw по сpавнению с iptables - абсолютно невменяемый и неупpавляемый п-ц.

Не помню пpимеp, но было такое что пpостую опеpацию в iptables пpиходится
делать чеpез зад кучей pулесов на целую стpаницу, пpи том что в ipfw
это делалось одним пpавилом.

AK> таблицы тоже нужны только ему - потому что он говно, и не способен
AK> ноpмально pаботать даже с какой-нибудь тысчонкой последовательных
AK> пpавил.
AK> У iptables же единственный смысл таблиц - что их чуть удобнее заполнять
AK> автомату.

ipfw пpост в понимании и логичен, нету всякого г-на типа prerouting nat mangle.
Все пpосто и по-поpядку.

Bye, Alex Korchmar, 21 апpеля 15
--- FIPS/IP <build 01.14>

Eugene Grosbein написал(а) к Alex Korchmar в Apr 15 23:51:33 по местному времени:

21 апр 2015, вторник, в 15:23 NOVT, Alex Korchmar написал(а):

EG>> И вовсе он не перестает быть простым и логичным.
EG>> Нужно просто в большинстве случаев смотреть не в ipfw show,
EG>> а в исходный код с правилами и в лог рестарта на предмет ошибок
AK> и чем он от show в лучшую сторону отличается? В том хоть счетчики есть.

AK> Ошибку синтаксиса я как-нибудь уж замечу сразу.
EG>> И то лучше добавить отладочное правило count log и смотреть
EG>> в /var/log/security.
AK> ну, на фоне варианта с wireshark и pflog, я уже не удивляюсь, что ЭТО
AK> могут считать хорошим стилем.

Я погляжу, как ты wireshark-ом будешь хотя бы открывать суточный "лог".

EG>> Надо понимать, что ipfw это ассемблер, и читать лучше исходник.
AK> а исходник на чем, простите? Пачка неопрятных шелловских скриптов?
AK> тогда понятно...

Исходником, если уж мы говорим о сложных случаях, может являться
вполне себе декларативный конфиг, который просто описывает, чего
нужно добиться. А обертка делает из него набор команд для ipfw,
которые решают задачу. И все счастливы.

EG>> При этом ipfw как ассемблер достаточно мощен и позволяет
EG>> скриптовать проблемно-ориентированные высокоуровневые обертки.
AK> ужаснах. То есть у тебя там целая куча скриптов, генерящих непонятное
AK> нечто, что уже невозможно просто посмотреть, и надо разбирать сами скрипты?

Разбирать не скрипт-транслятор, а его конфиг.

Eugene
--- slrn/1.0.1 (FreeBSD)

Alex Korchmar написал(а) к Eugene Grosbein в Apr 15 21:59:35 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

AK>> ну, на фоне варианта с wireshark и pflog, я уже не удивляюсь, что ЭТО
AK>> могут считать хорошим стилем.
EG> Я погляжу, как ты wireshark-ом будешь хотя бы открывать суточный "лог".
а чо я, это Vova Uralsky у нас специалист.
У меня -j LOG , еще и со встроенным rate-limit'ом, чтоб не срать туда
гигабайтами (как раз то место, где уместны таблицы. И они там типа есть,
просто не видны, поскольку ручного управления не требуют)

AK>> а исходник на чем, простите? Пачка неопрятных шелловских скриптов?
AK>> тогда понятно...
EG> Исходником, если уж мы говорим о сложных случаях, может являться
EG> вполне себе декларативный конфиг, который просто описывает, чего
EG> нужно добиться. А обертка делает из него набор команд для ipfw,
проблема в том, что эту обертку для начала надо вылепить из говна и палок.
EG> которые решают задачу. И все счастливы.
пока не надо поменять правило номер xxx не оборвав наличествующие
соединения.

EG> Разбирать не скрипт-транслятор, а его конфиг.
ну вот надо поменять одно правило. И чо?

а в случае асфальтового катка - еще и кому-то сперва придется разбираться
с твоим скриптом. Нет, это правда лучше файрвола в ядре, которому нет нужды
во внешних обертках?

> Alex

--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Vova Uralsky в Apr 15 22:54:08 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Vova Uralsky <Vova.Uralsky@f257.n5030.z2.fidonet.org> wrote:

AK>> зря - там по крайней мере некоторые решения должны быть интересными.
AK>> как раз не те что интересны для shared.
VU> У тебя, как я погляжу, очень узконаправленные представления о том, что этим
VU> самым shared является, а что нет.
есть два пользователя - разных физических и юридических лица, отделенных
в системе только userid - это shared.
Все остальное - это vps.

VU>>> Вот снова, поскипал всё про zfs, оставил только флэйм.
AK>> потому что нет никаких zfs на шаредах, это твои фантазии.
VU> Совершенно верно, речь-то именно об этом! Речь о возможных плюсах.
теоретически, в сферическом вакууме? Прости, не понял - я-то думал речь
о том, что на самом деле используется в настоящее время, желательно
лично тобой, а не "слышал звон".

AK>> Еще через месяц они звонят менеджеру и уходят на vps. Или не звонят,
AK>> а просто перестают платить и исчезают в тумане.
VU> ... приходят к идиотам с менее узколобым взглядом на бизнес? ;-)
для этого надо заплатить, чтоб логин разблокировали хотя бы на переписать
бэкап. А они просто исчезают - думаю, вместе с печатью и учредительными
документами. Иногда потом какие-то люди пытаются отжать домен (а хрен вам, он
зарегистрирован на хостера. И будет продляться еще лет пять. Бабки верните,
да?)

AK>> Сайтики такие никто вообще не ищет - приходит их владелец и жалобно
AK>> просит
AK>> починить. Ну или сам чинит, если умеет, тогда просит поменять пароль.
VU> Тебе не приходилось наблюдать как твой shared-хостинг пытается кого-то
VU> ломануть или просто обменивается каким-то невразумительным траффиком?
я ж говорю, ты не в теме, совсем.
Ну вот чего мне терять время тебе объяснять, что там на самом деле приходится
наблюдать регулярно и с чем разбираться в произвольное время суток? Тебе
оно нафиг не надо, топикстартеру тоже.

AK>> система виновата в том что она - говно
VU> И что тут ещё обсуждать?
я и говорю - нечего. Надо обсуждать куды бечь, разьве что. Я пока не вижу,
увы - система с nftables, systemd и неработоспособной btrfs меня категорически
не устраивает, а то что устраивает, через два года вообще уже не будет
поддерживаться.

VU>>> Я как раз с этого начал, расскажите, как правильно зафильтровать
VU>>> стотыщ одиночных адресов iptablesами, чтобы проседало не сильнее чем
VU>>> на pf?
AK>> понятия не имею - ты так и не привел use case.
VU> Да, понимаю... Я не привёл юзкейс укладывающийся в твоё понятие о shared
VU> hosting. Виноват! Больше не повторится!
ты никакого не привел, хотя бы отдаленно имеющего отношение к хостингам.

AK>> века, а не 19го. До этого были такие же точно уродливые конструкции -
AK>> но они кончились в 2000м году, а не начались.
VU> Везунчик.
в смысле, правильно выбрал платформу? Не, не настолько повезло. Я еще десять
лет потом вошкался с фрей (были разные моменты, в основном не техническими
преимуществами обоснованные)

VU>>> Я, конечно, отморозок, наверное, но мне удобно собранное pflogd
VU>>> прочитать в wireshark и там анализировать, привык, видимо.
AK>> привык, видимо, к тривиальным конфигам и тривиальным задачам. Зато
VU> И как одно сязано с другим? Телепат?
на нетривиальных вон Женя уже удивился, как ты собираешься вообще этот лог
хотя бы открыть.

VU> Ты же отказался слушать, назвал всё говном, бредом, чем-то там
VU> ещё? Про ids, между прочим, я тебе ни разу не сказал, на базе
ты ids от ips'а-то вообще отличаешь? Похоже что нет.

VU> чего он построен, а кого он адресами кормит, вопрос уж совсем
VU> второстепенный. Это может быть хоть ASA, хоть Juniper SSG, хоть
одно странно - зачем асе и жуниперу левые косорукие ids'ы, когда у них
есть встроенные ips (другое дело что за эти деньги можно было бы купить
что-то работоспособное, а не устаревшую на десять лет поделку), не
производящие в качестве выхлопа "сто тыщ записей". Они, собственно,
вообще никак не видны.

VU> Извини, когда я слышу словосочитание "чинились за пару минут", у меня это
VU> неминуемо вызывает смех. Я всегда улыбаюсь, когда встречаю хвастуна.
ты просто не в теме. Линуксные файрволы реально чинятся за пару минут,
потому что там просто негде создать такой адов п-ц, который образуется
на каждом шагу при попытках что-то нетривиальное делать доступными фре
средствами.

VU> Да, я понял уже, в вашем специальном случае QoS ненужен. Поскольку
VU> я всё-таки не телепат, но я попробую догадаться, в тех $5/mon,
VU> которые вы берёте, видимо нету никаких SLA? Угадал? Померла, так померла?
нет, ну вот правда - мне надо на тебя время терять, разжевывая тривиальные
вещи?
Как ты думаешь, хотя бы объяснить что "померла" этак 400-м юзерам в пределах
единственной коробки - это выполнимая задача, или лучше вообще в саппорте
сразу телефоны вырубить? Вот даже если они не требуют бабки обратно без всяких
sla, то есть не надо согласовывать с менеджерами, бухгалтерией и биллингом,
а так, просто узнать - "вы там вообще работаете, или о...ели в конец"(c)?

AK>> ну я ж не знаю где та жопа в которой для хостера вообще интересно,
AK>> сколько стоит статыщная доля процента канала, потребляемая одним юзером.

VU> Если вы делите ваш канал на 10 миллионов договоров, собирая на этом $50.000.000
VU> в месяц, то да. Респект и уважуха. Какую ширину канала порекомендуете?
"достаточную". Хостер не может себе позволить упереться в полку на канале.
Ни массово, ни по отдельным юзерам. Потому что дальше оно посыплется как
карточный домик.

Собственно, что бы я хотел знать об амазоне - это как им удается вообще
эту всю херню - считать (ибо у них есть плата за превышение траффика).
Мы обломались где-то, помнится, после четвертого гигабита, что на сегодня
выглядит вообще смехотворно (железки пожирнее тоже появилсь, но не на порядок,
в отличие от пожираемого bandwith, который именно в десятки и сотни раз вырос,
слава говнофотоаппаратам о тридцати мегапикселях). То есть уже тогда дешевле
было не считать, чем оплачивать то, что сможет это делать.
Спрашивали у коллег - у всех такая же хня.

VU> Не, таких масштабов как ты описываешь, точно не видел.
скромные такие масштабы, на самом-то деле. Куда там до амазона. Или даже до
немецких хостеров (там, правда, внеэкономические особенности)
У тех должны быть совсем-совсем другие проблемы. freebsd, заметь, нигде не
любят. С чего бы это?

VU> настоящие мужики. Судя по твоим описаниям, есть как минимум пара контор в
VU> Золотоглавой, каждая из которых оборачивает как минимум $600.000.000 в год,
судя по твоим закидонам - деньги в чужих карманах ты считать любишь. А с
технической стороной все так себе. Извини, я в другой области работаю.

VU> Вот и я говорю, ты настолько крут, что тебе и так всё ясно.
естественно, если ты мне рассказываешь про какие-то "блейды от IBM", которая
банкрот (ну ок, не банкрот а "своевременно перераспределила непрофильные
производства", кажется, это так теперь называют)
И с которой я имел дело довольно много, еще до того как это запахло
некрофилией.
Рассказывал бы про блейды от huawei - я бы с интересом послушал, а то
читать их квадратики сил нет (и отписаться, сука, негде, раз вляпался -
получай), а покупать - "так ведь дядя ослеп, а не о...л". Или, там, про
cisco UCS (впрочем, про нее я сам могу рассказать, только модератор не даст)

Проблема в том что ты не найдешь коммерческих хостингов ни на первом, ни на
втором. Это (современные, в отличие от ебеме) решения для корпоративных
датацентров за совсем другой процент.

AK>> судя по всему - карликовый, раз использует какие-то блейды. Зато на
AK>> ips денег уже не хватило, ога.
VU> С чего ты взял про ips?
ну ты же мне рассказывал про какой-то ips для какого-то чудохостинга.
Теперь выясняется, что высосал из пальца?

AK>> Кстати, что будешь делать если этот блейдцентнер навернется?
VU> Если позовут, буду чинить. Не позовут, я никогда об этом не узнаю.
да, я уже понял, что ты его только по телевизору видел.

VU> Да, этим до ваших миллиардов явно далеко, это, скорее, эксклюзивный хостинг с
VU> налётом vintage. ;-)
короче, не за деньги, что с самого начала и было понятно. Ну так и о
технических преимуществах речи тогда не идет. Кому на самом деле интересно,
как рулится РоллсРойс, если за рулем полагается иметь водителя?


> Alex

--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Alex Korchmar в Apr 15 03:07:30 по местному времени:

21 апр 2015, вторник, в 20:59 NOVT, Alex Korchmar написал(а):

EG>> Исходником, если уж мы говорим о сложных случаях, может являться
EG>> вполне себе декларативный конфиг, который просто описывает, чего
EG>> нужно добиться. А обертка делает из него набор команд для ipfw,
AK> проблема в том, что эту обертку для начала надо вылепить из говна и палок.
EG>> которые решают задачу. И все счастливы.
AK> пока не надо поменять правило номер xxx не оборвав наличествующие
AK> соединения.
EG>> Разбирать не скрипт-транслятор, а его конфиг.
AK> ну вот надо поменять одно правило. И чо?

И поменяй.

AK> а в случае асфальтового катка - еще и кому-то сперва придется разбираться
AK> с твоим скриптом. Нет, это правда лучше файрвола в ядре, которому нет нужды
AK> во внешних обертках?

Если мы говорим о реально сложных системах, то я не верю
в "нет нужды в обертках".

Eugene
--- slrn/1.0.1 (FreeBSD)

Vova Uralsky написал(а) к Eugene Grosbein в Apr 15 22:52:16 по местному времени:

Нello Eugene!

21 Apr 15 23:51, Eugene Grosbein wrote to Alex Korchmar:

EG> Я погляжу, как ты wireshark-ом будешь хотя бы открывать суточный
EG> "лог".

Кроме рекомендации переключать логи хотябы немножко почаще, например раз в час, могу посоветоватть tcpdump -r src.pcap -w dst.pcap filter expression.

Regards,
Vova

--- Msged/BSD 6.2.0

Vova Uralsky написал(а) к Alex Korchmar в Apr 15 23:20:08 по местному времени:

Нello Alex!

21 Apr 15 22:54, Alex Korchmar wrote to Vova Uralsky:

AK>>> зря - там по крайней мере некоторые решения должны быть интересными.
AK>>> как раз не те что интересны для shared.
VU>> У тебя, как я погляжу, очень узконаправленные представления о том,
VU>> что этим самым shared является, а что нет.
AK> есть два пользователя - разных физических и юридических лица,
AK> отделенных
AK> в системе только userid - это shared.
AK> Все остальное - это vps.

Честно говоря, мне надоело читать твои рассказы про то какие вы крутые, а остальные идиоты. После рассказа про то, чего стоит потеря одной коробки, на которой 400 клиентов живут, я почти заплакал и замахнулся написать оду gpfs ;-), но передумал. Вы всё равно всё делаете лучше. Разбирать твою скачку идей, где ты про что написал, честно говоря, мне тоже надоело. Да и ты, похоже, уже сам запутался, сам не знаешь, чего писал пару писем назад. Я, пожалуй, тебя просто почитаю. Это пподнимаеит настроение.

Я не помню, спрашивал ли я тебя уже или только хотел... Не имел ли ты отношения к Инпро и не знаешь ли ты Майка Телиса? Речь о годах эдак 1994-1996...

Regards,
Vova

--- Msged/BSD 6.2.0

Alex Korchmar написал(а) к Eugene Grosbein в Apr 15 11:40:08 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

EG> Если мы говорим о реально сложных системах, то я не верю
EG> в "нет нужды в обертках".
я не знаю что ты считаешь "реально сложными". Вот того уровня, который отнял
у нас в свое время часы, на то чтобы разобраться что и где чинить -
в линуксе реально сложным не является. В том месте которое надо было менять,
было бы три правила на всю таблицу - в частности и потому, что nat полностью
отделен от фильтров.
Ну и человекочитаемые названия правил, возможность комментариев прямо в ядре
и сама древовидная структура сильно упрощают жизнь.
Мне никогда ничего большего штатной редхатовской обвязки init.d/iptables
не требовалось.


> Alex

--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Sergey Anohin в Apr 15 23:10:46 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Sergey Anohin <Sergey.Anohin@p1.f10.n5034.z2.fidonet.org> wrote:

SA>>> ZFS вpоде как она пpиватизиpована под лицензию бсд тепеpь?
AK>> зачем на шаpедхостинге - zfs ?
SA> Ну допустим не пpо шаpедхостинг:
SA> масштабиpуемость, отказоустойчивость, надежность?
рекомендую почитать последний тредик во freebsd@uafug.org.ua (и там такое
далеко не в первый раз). Ну и до кучи поизучать фак от freenas'а.
краткое резюме - именно по отказоуйстойчивости и надежности - говно полное,
было, есть и будет есть. Ключевое слово - полная непредсказуемость, с возможным
полным и невосстановимым развалом fs от легкого безобидного движения.
Дополняемая еще и тем, что многие фичи ейного дебага сгинули в недрах оракла,
и недоступны нигде, кроме совсем-не-опен-соляриса.

То есть пользоваться можно только если a) данных не жалко совсем b) времени и
железа завались (на эксперименты, попытки поднять по пол-суток, а потом
перезалив то ли с бэкапа, то ли с нуля, если оно вообще было write-only.
Бывают такие, бывают, но не в хостингах.)

Так что и последнее преимущество фри - под большим-большим вопросом.

Только не надо мне писать "у меня все работает" - оно мне неинтересно, совсем.


> Alex

--- ifmail v.2.15dev5.4