Про acl не знаем, про CIDR не знаем, про цепочки не знаем

прошу прощения, Хрыч, а ты задумывался, как это реализовано в твоем любимом pfSense? ты же понимаешь, что pf - это просто фаервол. и он сам в AD никак не ходит.

тонной обвязок, которые иначе надо самому ставить настраивать и тд, а не просто потыкать

внимательно. не 40к правил в линию, а 40к правил всего.

прошу прощения, Хрыч, а ты задумывался, как это реализовано в твоем любимом pfSense? ты же понимаешь, что pf - это просто фаервол. и он сам в AD никак не ходит.

я делал эту схему на fedora, но это занимает уйму времени

внимательно. не 40к правил в линию, а 40к правил всего.

Я и говорю про списки доступа не знаем

вы разговариваете с плохим дизайном iptables-правил в своей голове. при 40к правил можно организовать на ipv4 эффективный фаервол так, что максимум, при самом плохом раскладе, будет 40-45 правил на пакет.

ufw еще есть новомодный

при этом использовать все мыслимые модули iptables, которые можно только придумать.

Я и говорю про списки доступа не знаем

всегда рад изучить что-то новое. о каких списках доступа речь, если не секрет?

при этом использовать все мыслимые модули iptables, которые можно только придумать.

на linux можно много что сделать, но время стоит денег

и чаще проще поставить готовое решение

чем пилить своё

Ну например так: http://serverfault.com/questions/474073/how-to-load-a-list-of-addresses-into-iptables-dynamically

Хотя мало чего то в интернетах про листы iptables, лучше микротик поставить

на linux можно много что сделать, но время стоит денег

усложним задачу. уже есть несколько сотен машин с линуксом. на каждой из них 20г-ethernet. они общаются тоннами трафика друг с другом и с миром одновременно. внешний канал ну, пусть 400 гбит и 600 гбит интерконнекта. покажите мне решение в разумном бюджете на выделенном фаерволе. и расскажите о дизайне.

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Address_list

Ну например так: http://serverfault.com/questions/474073/how-to-load-a-list-of-addresses-into-iptables-dynamically

ipset? ну да. и что? :)

усложним задачу. уже есть несколько сотен машин с линуксом. на каждой из них 20г-ethernet. они общаются тоннами трафика друг с другом и с миром одновременно. внешний канал ну, пусть 400 гбит и 600 гбит интерконнекта. покажите мне решение в разумном бюджете на выделенном фаерволе. и расскажите о дизайне.

?с такой задачей обращусь к CCIE из канады

я сетями мало интересуюсь

Одно правило iptables, в листе может быть тысяча IP

я хочу заниматься виртуализацией

Внутри листа какая нибудь оптимизация B-tree, а 1000 правил бдут идти перебором

Невозможно даже придумать 40 тысяч правил, чтобы каждое из них было уникально

Одно правило iptables, в листе может быть тысяча IP

Роман, я прекрасно понимаю, как работает ipset и зачем он нужен. Более того, ipset не убирает внезапно 40к правил, он убирает только ту часть over-40к правил, которая занимается матчингом пакетов по их заголовкам. К сожалению, в фаерволе нередко необходимо использовать не только эту информацию, поэтому от правил на iptables деваться все равно некуда. Я не вижу тезис. Вы что доказать пытаетесь? Что любое решение, в котором в iptables 40k правил - говно по определению?

>Старый Хрыч, [11.10.16 20:20] >я сетями мало интересуюсь >Старый Хрыч, [11.10.16 20:20] >я хочу заниматься виртуализацией тут нонсенс.

>Что любое решение, в котором в iptables 40k правил Нет, это не говно. Это говно в квадрате.

категорично. основания?

>Старый Хрыч, [11.10.16 20:20] >я сетями мало интересуюсь >Старый Хрыч, [11.10.16 20:20] >я хочу заниматься виртуализацией тут нонсенс.

почему? у меня знакомый занимается kvm,ovirt,openstack, gluster и тп, но сетёвку у них в команде сетевик делает

на любом проекте работает 8 человек

сразу

категорично. основания?

Основание - неправильный дизайн сети

Основание - неправильный дизайн сети

чем именно он неправильный? забавно, что вы при этом ничего не знаете об этой сети.

Ну я очень рад этому, в мире итак слишком много говна

конструктивно получилось.

Да, это секретная сеть. Не рекомендую ее никому показывать

чем именно он неправильный? забавно, что вы при этом ничего не знаете об этой сети.

☹️ короче судя по вашим словам, мне надо брать билет до ирака, вступать в игил и рассказывать про то, где военные базы рашки и где у нас взять оружие по простому, полсе чего помогать медузой военные объекты проходить и объяснять за 4 вида сзи

больше мне делать нечего

Только не надо говорить про выгрузку реестра РКН

40+ правил в iptables — не вижу ничего плохого.

40+ правил в iptables — не вижу ничего плохого.

40000+ правил на 1 шлюзе

Да хоть миллиард

миллиард уже не ок

там лимит афаик около 16М

Я образно

Вот теперь я точно знаю, что ерзента на работу не позову

Хотя и так знал. Просто теперь совсем нет

а я вот буквально... недавно узнал, что в бридж больше 1024 устройств не влазит. много думал.

Вот теперь я точно знаю, что ерзента на работу не позову

я не парнокопытное?

Ты не нужен

я не парнокопытное?

Ты не нужен.

мы все не нужны если так подумать

Если приглашают на работу, то нужны.

тогда и я нужен

сам себе противоречишь

любого из нас можно заменить

а следственно мы не нужны

_

700 сообщений за вечер, сегодня пятница?

@integram

МБ кому надо с гита в телеграмму гадить

> Александр Чистяков Использование ansible для управления встраиваемыми устройствами

Запись доклада будет?

на 40к правил айпитеблсе будут чувствоваться лаги

если у вас 40к правил в iptables - вас надо уволить.

Роман, я прекрасно понимаю, как работает ipset и зачем он нужен. Более того, ipset не убирает внезапно 40к правил, он убирает только ту часть over-40к правил, которая занимается матчингом пакетов по их заголовкам. К сожалению, в фаерволе нередко необходимо использовать не только эту информацию, поэтому от правил на iptables деваться все равно некуда. Я не вижу тезис. Вы что доказать пытаетесь? Что любое решение, в котором в iptables 40k правил - говно по определению?

вообще, если упороться то можно очень забавную и быструю конструкцию сделать. вопрос только желания.

если у вас 40к правил в iptables - вас надо уволить.

о чем и речь)

не всегда, к сожалению. например, если у вас есть 5к сетей, и они имеют разные доступы к 200 сервисам на машине, то вам все равно придётся делать много селекторов. их можно консолидировать в правилах, но не обязательно это будет эффективнее, чем иметь мелкие селекторы. ещё раз, 40к правил не последовательно, а всего. при этом один пакет проходит максимум несколько десятков правил, потому что быструю и забавную конструкцию уже изобрели. при этом я отнюдь не уверен, что последовательный спуск по подсетям вниз будет работать медленнее, чем содержание нескольких сотен ipset'ов. более того, ipset сам по себе делать ничего не может, поэтому он уменьшает количество правил не меньше чем до числа ipset'ов.

ERROR: S client not available

не всегда, к сожалению. например, если у вас есть 5к сетей, и они имеют разные доступы к 200 сервисам на машине, то вам все равно придётся делать много селекторов. их можно консолидировать в правилах, но не обязательно это будет эффективнее, чем иметь мелкие селекторы. ещё раз, 40к правил не последовательно, а всего. при этом один пакет проходит максимум несколько десятков правил, потому что быструю и забавную конструкцию уже изобрели. при этом я отнюдь не уверен, что последовательный спуск по подсетям вниз будет работать медленнее, чем содержание нескольких сотен ipset'ов. более того, ipset сам по себе делать ничего не может, поэтому он уменьшает количество правил не меньше чем до числа ipset'ов.

Эмм.. вариант с ipset будет быстрее и удобнее. Надо только аккуратно построить множества

Эмм.. вариант с ipset будет быстрее и удобнее. Надо только аккуратно построить множества

спор странный. ваше утверждение примерно такое же, как "любую программу можно написать не более, чем в 100к процессорных инструкций". это очевидно неверное утверждение. если есть желание, я могу рассказать о проблеме детальнее, но не в условиях столь людного чата. мой тезис лишь в том, что 40к правил в фаерволе может нормально решать задачу и при этом быстро работать в одной коробке за счёт аккуратной организации этих правил.

спор странный. ваше утверждение примерно такое же, как "любую программу можно написать не более, чем в 100к процессорных инструкций". это очевидно неверное утверждение. если есть желание, я могу рассказать о проблеме детальнее, но не в условиях столь людного чата. мой тезис лишь в том, что 40к правил в фаерволе может нормально решать задачу и при этом быстро работать в одной коробке за счёт аккуратной организации этих правил.

Единственный вариант чтобы такая конструкция работала быстро - это большое количество ветвлений.

Сама задача интересна

Единственный вариант чтобы такая конструкция работала быстро - это большое количество ветвлений.

все так. максимум за 32 перехода можно отматчить любого размера подсеть в ipv4, как известно.

Господа, а можно елк настроить так, чтобы он писал все в одно хранилище в течении дня

А ночью допустим дампил вдругое

?

Господа, а можно елк настроить так, чтобы он писал все в одно хранилище в течении дня

вон тут спецы по айпитейблсам, скажут как настроить -A PREROUTING -d 8.8.8.8/32 -p tcp -m tcp --dport 12345 -j DNAT --to-destination 8.8.4.4:1234

Запись доклада будет?

Это где такое можно посмотреть?

Это где такое можно посмотреть?

В Питере будет

Встреча 14.10, 19:00, Большой Сампсониевский 60, офис ДатаАрт. Обязательна запись! Вход по списку имя+фамилия. Записаться можно на сайте embedded.group. Просто отправьте сообщение с сайта с именем, фамилией. Доклады: Сергей Келер По граблям в шубе на Burning Man 2016 Александр Чистяков Использование ansible для управления встраиваемыми устройствами

спб?

верно

Да

надо идти :D

Друзья, гоу все в @docker_ru поболтаем про http://resinos.io :)

Друзья, гоу все в @docker_ru поболтаем про http://resinos.io :)

внезапно узнал, что меня там кто-то кикнул

?

дважды

не теб одного )

вроде утром я еще был там

Да вы шутите?)

Видимо там у кого-то синдром вахтёра разыгрался

Знать бы у кого

У нас вроде все модераторы адекватные умные ребята

Всем привет, кто из Питера?))

да тут целая банда из питера

мне порой кажется что из этих 1235 чевлоек около 700 из питера

и человека 2 из еката

?

Так.