почитал мельком man hier ... Куда предлагается писать логи, которые создаются софтом? От того же nginx-а, например? Судя по портам, nginx свои логи пишет в /var/log/nginx . Хотя вроде /var/log - это место для системных логов и хорошо бы не иметь возможности забить всё место на разделе с ситемными логами...

сейчас пишу в /opt/log/<program> и ротирую логротейтом

но может есть более правильный способ?

zfs снэпшлот до и после одновления системы - это прикольно.

Ну оно пока именно что прикольно, использование по назначению пока очено ограничено, вот если либу и интеграцию подтянут то может и поинтереснее станет

но там ещё проблема в таких схемах, с атомарностью и подобным, особенно если хотим не только систему но и например пакеты, там вообще швах начинается

Ну оно пока именно что прикольно, использование по назначению пока очено ограничено, вот если либу и интеграцию подтянут то может и поинтереснее станет

примерно 10 лет назад я читал такие-то слова про zfs. что вот-вот, ещё чуток и всё будет круто. ? А вы говорите, технологическая сингулярность. ?

сингулярность сингулярностью, а бабки вынь и полож :)

AI на ZFS нету. ? AI сразу бы всё починил. Автоматически!

но там ещё проблема в таких схемах, с атомарностью и подобным, особенно если хотим не только систему но и например пакеты, там вообще швах начинается

а в чем проблема-то? =) в pcbsd было сделано вместе

просто /usr/local тоже принадлежит корневой fs, емнип

да там проблем вагон и тележка :) ты поди просто не юзал и не заморачивался с думами как оно надо ;)

для регулярных обновлений десктопа работало прекрасно

Отдельный /boot нужен, или прямо с zfs всё грузится?

без /boot делается маленький партишон в который dd gptzfsboot

ты откуда вылез? выключи криокамеру, уже давно всё работает из коробки ;)

но проблем кривости и не интегрированости это не обменяет

а чем это gptzfsboot не из коробки?

ой как удобно, обновился перезагрузись, прям винда

ой как удобно, в новое окружение новые дрова для видяхи из новых сорцев сувай через жопу

ой как удобно ....

гагага, а шо придумали шо-то другое, чем ребутнуться в новое ядро? =)

ну перемонтировать FS на ходу, не дурно бы

а уж что делать с ядром, пусть думают дале

там же проблема обычно, что ребут тебе нужен вот ядро новое подцепить и чтоб всё что после обновки, как корова языком не слизала, так как в новый снепшет то оно уже не попало

а про пакетные менеджеры, можно у тех же линуксойдов посмотреть, они вон в rpm более менее транзакции почти сварганили, но не взлетело почти

так как тоже то ещё поле грабель

но может есть более правильный способ?

Писать в /var/log и не выдумывать каких-то "системных" логов

парни https://jdebp.eu/Softwares/nosh/ оно живое ?

парни https://jdebp.eu/Softwares/nosh/ оно живое ?

а были времена когда оно было живое? помню совсем немного кто то пофорсил и всё вроде

его в ансибл добавили зачем то

только что или они поди ровесники

только что

страсти какие, надо на фрешпорте глянуть, порт то развивается?

о, фряхочятик, привет

подскажите, есть NAT, который в исходящих пакетах айпишник меняет, а в ответном пакете - нет, он теряется на шлюзе

какой инфы добавить? схема в целом простая, фряха - шлюз, смотрит в инет и в локалку

делаю примерно так: nat 1 config ip 89.188.110.234 log reset add 2000 nat 1 ip from 192.168.0.240/28 to any via re0 add 2001 check-state

11.1-RELEASE

check-state нужно выше ната наверно поставить и в правило нат добавить check state видимо...

по документации check-state это же ACTION для правил ipfw

есть налогичная опция для nat? я такой не видел

кстати, проблема выглядит так: машина в локалке пингует, допустим, 8.8.8.8. в tcpdump видно, что пакеты улетают с внешним айпишником шлюза и даже приходит ответ. но вот на внутреннем интерфейсе никакого ответа нет вообще

и с точки зрения машины в локалке 8.8.8.8 не пингуется

sysctl net.inet.ip.forwarding

1

ведь пакеты уходят наружу

add 2001 nat 1 ip from any to 89.188.110.234 in via re0

Может такого рода правила не хватать

логи можно включить и посмотреть что блокируется

добавь add 2002 allow ip from any to any via re0

и внутренний интерфейс тоже все разреши для проверки

ipfw -a -t list ещё бывает полезен чтобы следить за наполнением счётчиков (задействовано ли вообще новое правило или нет)

добавь add 2002 allow ip from any to any via re0

Есть уже

а для внутреннего интерфейса такое же?

Да

Как, кстати, лог ipfw/nat смотреть?

Я вот добавил опцию log,а куда смотреть - неясно

посмотри /var/log/security

Я вас расстрою. log в контексте ната это немного другой лог

nat 1: icmp=16, udp=29873, tcp=221909, sctp=0, pptp=0, proto=1, frag_id=1 frag_ptr=0 / tot=251800 nat 2: icmp=7, udp=20003, tcp=198739, sctp=0, pptp=0, proto=1, frag_id=3 frag_ptr=0 / tot=218753

Вот что это за "лог"

Чтобы отрисовывать например текущее количество трансляций

Я бы смотрел заполнение счётчиков совместно с tcpdump

еще firewall_logging=yes в rc.conf

и еще net.inet.ip.fw.verbose_limit=5

nat 1: icmp=1, udp=0, tcp=11, sctp=0, pptp=0, proto=0, frag_id=0 frag_ptr=0 / tot=12

вон тот icmp судя по всему занатился как надо

в смысле, в список попал, но не работает

а deny в логе не видать?

это где смотреть?

Новые европейские нормы обработки персональных данных поменяют правила регистрации доменных имен ➡️ https://roskomsvoboda.org/36120 В мае 2018 года в Европейском Союзе вступит в силу «Общий регламент по защите данных» (General Data Protection Regulation, GDPR). Он направлен на защиту частной жизни граждан стран-членов ЕС, персональные данные которых хранятся и обрабатываются крупными транснациональными корпорациями. Однако его имплементация несет в себе некоторые сторонние эффекты, влияние которых может распространиться далеко за пределы ЕС, а их последствия по иронии судьбы и вовсе могут подорвать безопасность пользователей интернета. Речь идет о судьбе WHOIS – протокола для поиска имен и контактной информации лиц, зарегистрировавших доменное имя.

это где смотреть?

там же /var/log/security

пусто

Jan 9 12:39:33 FreeBSDSPB newsyslog[645]: logfile first created

add 2001 nat 1 ip from any to 89.188.110.234 in via re0

this

итого, правильный вариант: add 2000 nat 1 ip from 192.168.0.240/28 to any via re0 add 2001 nat 1 ip from any to 89.188.110.234 via re0

спасибо за помощь

не верно

почему?

via - работает в обе стороны

итого - 4 правила NAT получается

без второго не работает

нужно указывать in/out/xmit и т.п.

например

как правильно?

to any out via em0

to any in via em0

add 2000 nat 1 ip from 192.168.0.240/28 to any out via re0

add 2001 nat 1 ip from any to 89.188.110.234 in via re0

как-то так

иначе, вместо двух раз, оно 4 раза натить будет

recv | xmit | via {ifX | if* | table(name[,value]) | ipno | any} Matches packets received, transmitted or going through, respectively, the interface specified by exact name (ifX), by device name (if*), by IP address, or through some interface.

The via keyword causes the interface to always be checked. If recv or xmit is used instead of via, then only the receive or transmit interface (respectively) is checked. By specifying both, it is possible to match packets based on both receive and transmit interface, e.g.: ipfw add deny ip from any to any out recv ed0 xmit ed1