уже и не вспомню как ее звали...

pfexec, ты ли это?

нед

меня не было в фидо

IRC... частенько заглядываю туда, с перерывами в год-три)

я с ней познакомился в #openbsd 

В руснете?

Или далнете?

по моему на далнете

В руснете в 2004-2006 я на тот канал заходил

сейчас на rusnet'е сижу

раньше всегда на dalnet'е

Начинал в андернете я вообще )) англоязычной сети. Потом переманили в руснет

Женя Линькова никуда не исчезала, кстати

И да, хорошо что напомнили, надо ей письмо написать как собирался

Но вообще непонятно. Заходишь в группу по фришке, а тут фидо обсуждают. А в группу про фидо перл, небось. А в группе про перл - фотошоп. А в группе про фотошоп - котиков. И все, потому что котики суть альфа и омега, начало и конец.

Потому что телеграмм какой то бестолковый чатик

Женя Линькова никуда не исчезала, кстати

Да я знаю да...

Оно еще и лог сохраняет поди?

Потому что телеграмм какой то бестолковый чатик

Ой ладно. Зато везде было толково и по пятницам в Ru.UNIX.BSD баб и машины не обсуждали ;)

а че его обсуждать, работает и работает))

Не стоит поднимать эту тему)))

вы мне лучше скажите, когда npf портируют в freebsd и портируют ли вообще?

ничего не слышали за него?

npf?

PF netbsd'ёвый

зачем он во фре? во фре все остальное другое

хех, за тем, что оно кластерное

о боже. он фрю не спасет

ipfw же есть

Юзерленд годами не менялся. Это было плохо. А сейчас хотят @систем в пакеты перенести.

ipfw ужасен, как по мне)

ужасен? ну, пожалуй

но круче нет

Сломают freebsd-update

попахивает холиваром, но таки PF люблю 

Это все плохо

У пф конфиг проще

Это его плюс

ну причем тут конфиг то

елы палы

nat...

altq

но подбешивало всегда что от версии к версии менялся синтаксис

no state/keep state/etc...

в то время когда на одном серваке был dfbsd, на другом fbsd

Во-первых, нат нынче в ipfw просто делается. Во-вторых, нат не нужен :)

Лех, ну нужен порой

Альтку без переборки ядра уже работает?

нет

один фиг ядро пересобираю всегда и везде

Опенбсд вэй

угу

Лех, ну нужен порой

Да я так. Троллю слегка, чисто для тонуса :)

Во-первых, нат нынче в ipfw просто делается. Во-вторых, нат не нужен :)

ну, ты ж не только nat, но и ipsec предложишь закопать )) знаем вас, прогрессивистов )

Во-первых, нат нынче в ipfw просто делается. Во-вторых, нат не нужен :)

Он любым способом сейчас просто делается. Причем родной немного странный и бажный в плане документации

ну, ты ж не только nat, но и ipsec предложишь закопать )) знаем вас, прогрессивистов )

ipsec я кстати так нигде и не применил. странный он по задумке

а что, где-то в этом мире есть крутая документация

ох, раз тут заговорили про сеточку и фильтры, выскажусь без холиваров

ну, ты ж не только nat, но и ipsec предложишь закопать )) знаем вас, прогрессивистов )

Ну хорошо, ipsec не буду предлагать закапывать :)

И нат(пат) не трогайте

проблема ната(да и пакетных фильтров) во фре в том, что они какие-то недоделанные что ли.

в4 кончится, оставьте людям людское

ну вот потому и в irc тяжело

че это они не доделанные?)

че это они не доделанные?)

ну, вот хочу я аналог pfsync для ipfw.

например.

а что, где-то в этом мире есть крутая документация

ну в линуксе да она ещё хуже

Если серьезно, но ipsec - как любой тунель - нормально ложится в идеологию стека. А NAT - это говно и палки, увы. И увы, что на практике правильный подход (app proxy) не сделать часто полноценно, ибо не накодили добры люди.

http://www.infoworld.com/article/3048737/open-source-tools/stali-distribution-smashes-assumptions-about-linux.html интересный проект

http://sta.li/

нат - это компромисс

Если серьезно, но ipsec - как любой тунель - нормально ложится в идеологию стека. А NAT - это говно и палки, увы. И увы, что на практике правильный подход (app proxy) не сделать часто полноценно, ибо не накодили добры люди.

а ещё протоколы бывают настолько ужасные, что хрен ты для них нормальный хелпер для ната сделаешь

да

говно конечно

хелпер натов - это почему как раз наты не любят в итоге

хотя, вот для sip делается просто

ох ох

Ну ипсец натится же. Нат-т же. Но это доп инкапсуляция

хелпер натов - это почему как раз наты не любят в итоге

да необязательно для nat. любой stateful firewall

Ну ипсец натится же. Нат-т же. Но это доп инкапсуляция

я пока не видел в живой природе ipsec без nat-t.

так вот, про пакетные фильтры.

проблема в том, что они все - вещь в себе.

надо множить количество людей на 10 хотя бы

тут уже кейсы сейчас пойдут и библии

pf хреново интегрируется с netgraph и непонятно как на нем делать что-то более сложное чем выпустить офис в инет

@pragus ты бы мне помог с Соляркой. а то я как-то даже в линуксячью модель быстрее въехал. Солярка вообще жива по сетевому стеку или лучше не надо?

из ipfw/ngnat фиг вытащишь state table на белый свет

из ipfw/ngnat фиг вытащишь state table на белый свет

дадада

ну или фиг ты в эту state table добавишь запись извне :)

ну или это нафик не нужно в архитектуре

принципиально

а ещё протоколы бывают настолько ужасные, что хрен ты для них нормальный хелпер для ната сделаешь

Конечно. Потому что NAT - это говно и палки. Промежуточная система не имеет в общем случае способа восстановить состояние конечных систем, что требуется для ната. В простых случаях может статистически угадать. Я об этом и писал.

ну и отдельный привет - это завязка на abi между ядром и юзерлендом в плане общения

state table это вещь скорее для траблешутинга

У солярки же вроде был отдельный проект по виртуализации сети. Для связки с пулами и зонами?

state table это вещь скорее для траблешутинга

нет. ты не прав. возможность получать-модифицировать записи в state table - это прямой путь к хелперам протоколов в юзерленде

ну и можно сделать синхронизацию между нодами как в pfsync