The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость, позволяющая обойти блокировку пакетным фильтром pf во FreeBSD

09.09.2023 07:22

Во FreeBSD выявлена уязвимость (CVE-2023-4809) в коде пакетного фильтра pf, позволяющая обойти заданные для IPv6 правила блокировки через манипуляцию с фрагментированными пакетами IPv6. Проблема проявляется при использовании pf для фильтрации трафика IPv6 при включённом режиме пересборки фрагментированных пакетов ("scrub fragment reassemble"). Атакующий может обойти правила pf, отправляя специально оформленные некорректные IPv6-пакеты, вопреки требованиям спецификации содержащие несколько расширенных заголовков с данными фрагментации.

Уязвимость вызвана ошибкой в обработчике атомарных фрагментов - расширенного типа фрагментации, при котором фрагментированную передачу образует только первый и единственный фрагмент (пакет фрагментируется с использованием только одного фрагмента). IPv6-пакеты в режиме атомарной фрагментации, в которых указывалось более одного расширенного заголовка фрагмента (Fragment Extension Header), не отбрасывались как некорректные, а обрабатывались как отдельные фрагменты. Соответственно, правила, рассчитанные на применение к итоговому пакету, пересобранному из фрагментов, не срабатывали.

Уязвимость устранена (патч) в обновлениях FreeBSD 13.2-RELEASE-p3 и 12.4-RELEASE-p5. Оригинальная реализация pf из состава OpenBSD уязвимости не подвержена, так как в 2013 году во время реализации атомарных фрагментов в код разбора заголовка в pf была добавлена проверка, блокирующая IPv6-пакеты с несколькими специфичными для фрагмента заголовками. Функция pf_walk_header6, содержащая необходимую проверку, не была перенесена во FreeBSD.

Дополнительно можно отметить исправление в беспроводном стеке FreeBSD уязвимости (CVE-2022-47522), выявленной в марте и известной под кодовым именем MacStealer. Уязвимость затрагивает механизм формирования очередей для буферизации кадров перед отправкой получателям, а также недоработки в управлении контекстом защиты для помещённых в очередь кадров. Уязвимость может применяться для перехвата трафика других пользователей в обход изоляции клиентов на уровне MAC, даже если клиентам запрещено взаимодействовать друг с другом (например для атаки на пользователей корпоративных сетей, в которых пользователи отделены друг от друга или в которых используются протоколы WPA2 и WPA3 в режиме изоляции клиентов).

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Атака MacStealer, позволяющая перехватывать трафик в Wi-Fi
  3. OpenNews: Удалённые уязвимости в IPv6-стеках OpenBSD и FreeBSD
  4. OpenNews: Уязвимости в IPv6-стеке FreeBSD
  5. OpenNews: Во FreeBSD 13 чуть не оказалась халтурная реализация WireGuard с нарушением лицензии и уязвимостями
  6. OpenNews: Удалённо эксплуатируемая root-уязвимость в утилите ping, поставляемой во FreeBSD
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59731-pf
Ключевые слова: pf, fragment, freebsd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (197) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Анонит (?), 08:22, 09/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ip6 почти не используется как мне думается. В любом случае его отключение никак не сказывается у меня.
     
     
  • 2.3, Аноним (3), 08:32, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Это фряха почти не используется.
     
     
  • 3.7, timur.davletshin (ok), 08:59, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Надо называть, кто сетевой стек BSD заюзал или сам знаешь? Выходит, что он самый популярный в мире )))
     
     
  • 4.12, пох. (?), 09:10, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И у них есть v6, к сожалению, и им тоже пришлось.

     
  • 4.16, Аноним (3), 09:41, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ох уж эти сказки фанатиков. Весь этот заимствованный код уже давно тыщу раз переписан и в мейнлайн фряхи вернули ровно ничего. Вот фряха и загнулась.
     
     
  • 5.23, timur.davletshin (ok), 10:12, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не преувеличивайте, а лучше расскажите, что было референсной реализацией IPv6 и IPsec )))
     
     
  • 6.60, Аноним (3), 12:34, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Лучше расскажите какой смысл топить за фряху в 2023 году. Ничего кроме мутных историй от неё не осталось.
     
     
  • 7.70, timur.davletshin (ok), 14:05, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А кто топил?
     
  • 7.144, IdeaFix (ok), 00:37, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, вся эта возня как минимум позволяет поддерживать хоть какую-то видимость того, что стартап жив.
     
  • 6.65, Аноним (65), 13:36, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Реализацией Ipv6 в BSD был (и остаётся) Kame. Так вот он кусок Г, и, кроме того, сделан совершенно отдельно от стека v4, и дублирует кучу всего.

     
  • 4.93, Аноним (93), 17:49, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Надо называть, кто сетевой стек BSD заюзал или сам знаешь?

    Назови, не стесняйся. Жутко любопытно, кто же так прокололся-то?

     
     
  • 5.100, timur.davletshin (ok), 18:00, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Надо называть, кто сетевой стек BSD заюзал или сам знаешь?
    > Назови, не стесняйся. Жутко любопытно, кто же так прокололся-то?

    Скачай сорцы Дарвина погрепай их на предмет "KAME Project" и "Berkley". То же самое можешь сделать с утекшими сорцами XP. На ПыСухах даже больше, чем просто сетевой стек.

     
     
  • 6.124, Аноним (124), 21:16, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Эх, Тимур-Тимур Уж от кого не ожидал такую чушь услышать, так это от тебя Пони... большой текст свёрнут, показать
     
     
  • 7.126, timur.davletshin (ok), 21:24, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я надеюсь ты в курсе, что, как и в ядре линукса, сетевые протоколы отдельно от сокетов в другой папке лежат? Или действительно решил ВСЕ сорцы грепать? Беркли так-то далеко не только этими вещами отличилась, но к теме разговора сорцы тех же утилит отношения не имеют.
     
     
  • 8.146, Аноним (93), 05:40, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    По совершенно не относящемуся к началу разговора сумбуру делаю вывод, что тебе с... текст свёрнут, показать
     
     
  • 9.150, timur.davletshin (ok), 07:30, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    На котиках тренируйся, если сорцы Дарвина найти не можешь ... текст свёрнут, показать
     
  • 9.173, Аноним (173), 01:11, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а как вы с Тимуром познакомилися - ... текст свёрнут, показать
     
     
  • 10.206, Аноним (206), 18:27, 12/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Есть сайты всякие, по freebsdm ... текст свёрнут, показать
     
  • 8.170, Sem (??), 22:47, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Забей с анонимами спорить ... текст свёрнут, показать
     
  • 6.177, EULA (?), 05:49, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В сырцах Дарвина, внезапно, и часть фряхи, и часть openBSD, и часть NetBSD, и часть March. Сетевой стек там от NetBSD. Поэтому уязвимости Дарвина не работают на Фряхе, и наоборот - уязвимости Фряхи не работают в Дарвине.
     
     
  • 7.184, timur.davletshin (ok), 11:42, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.netbsd.org/docs/network/ipsec/ - IPv6 и IPsec от KAME.
     
     
  • 8.202, EULA (?), 07:07, 12/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Реализация NetBSD отличается от реализации FreeBSD, хоть проект и один ... текст свёрнут, показать
     
     
  • 9.216, timur.davletshin (ok), 08:28, 13/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну конечно же ... текст свёрнут, показать
     
  • 3.145, Имя1 (?), 02:46, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В PlayStation Sony использует модифицированную фряху
     
  • 2.4, Аноним (4), 08:47, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    как мне думается ipv6 популярнее, чем FreeBSD
    а сколько уязвимостей еще предстоит выявить? А между прочим Linux проходит школу молодого бойца. И унего не плохо получается. Вон, на коммоде уже запустили. Универсальный солдат!
     
     
  • 3.38, Аноним (38), 11:11, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не запустили. Только на эмуляторе, к которому дополнительную память пришлось прикрутить.
     
  • 3.76, Tron is Whistling (?), 14:59, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У нас местами IPv6 вообще стал обязательным.
    Но количество реальных пользователей такового начало снижаться, почему-то (в самом деле, почему, бобик сдох ещё на взлёте...).
     
     
  • 4.77, Tron is Whistling (?), 15:00, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вчера звонил клиент, просил IPv6 выключить... проблемы. Сам на роутере не может.
     
     
  • 5.82, timur.davletshin (ok), 15:22, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Вчера звонил клиент, просил IPv6 выключить... проблемы. Сам на роутере не может.

    У клиента может RA сообщения не ловить (или не обрабатывать корректно) и, например, при использовании динамического префикса, он может оказаться со старыми адресами из-за банальной перезагрузки роутера. Но вообще, если клиент докопался до того, что знает причину проблемы, то он должен мочь её сам и исправить, а не это ваше "я не знаю, как это сделать в роутере".

     
     
  • 6.106, Tron is Whistling (?), 19:46, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Там клиент такой, что дайте вот мне, сам на роутеры лазить не хочет.
     
  • 6.113, Tron is Whistling (?), 19:57, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Динамического префикса? С IPv6?
    А вы знаете толк в...
     
     
  • 7.119, timur.davletshin (ok), 21:06, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Увы, но так делает подавляющее большинство провайдеров не только у нас.
     
  • 5.105, Tron is Whistling (?), 19:45, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не, он у него после вендорского автообновления роутера включился, и видимо где-то так поплохело, что клиент заныл. Ребята зашли в управлялку, выключили для его роутеров (по умолчанию оставлено на усмотрение клиента), отчитались, забыли.
     
  • 2.6, timur.davletshin (ok), 08:57, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Выходи из анабиоза, IPv6 даже государственный Ростелеком подключил уже.
     
     
  • 3.26, swarus (ok), 10:41, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ростелеком нет поддержки IPv6
    ресурсы доступные только по IPv6 через tor смотрю
     
     
  • 4.30, Аноним (30), 10:53, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У меня отлично работает, только поднимается с пинками после ppoe подключения
     
  • 4.39, timur.davletshin (ok), 11:12, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Давно уже работает в большинстве регионов, выдают /56 префикс.
     
     
  • 5.179, FSA (??), 09:28, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Только провайдерские терминалы унылое оно. Такое оно, что Ростелеком просто блокирует все входящие в сторону клиента, чтобы клиента не взломали и не хочет отключать, типа мы поддерживаем только IPv4. Ну и раздать /56 через CPE нет никакой возможности, так что без своего маршрутизатора это всё равно, что у тебя /64.
     
     
  • 6.183, timur.davletshin (ok), 11:40, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Только провайдерские терминалы унылое оно. Такое оно, что Ростелеком просто блокирует все
    > входящие в сторону клиента, чтобы клиента не взломали и не хочет
    > отключать, типа мы поддерживаем только IPv4. Ну и раздать /56 через
    > CPE нет никакой возможности, так что без своего маршрутизатора это всё
    > равно, что у тебя /64.

    Не используй арендуемое провадерское оборудование. Они тебя не заставляют этого делать.

     
  • 4.43, timur.davletshin (ok), 11:18, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    На Ростелекоме, вопреки утверждениям Википедии, даже Encrypted Client Hello (бывший ESNI) работает, что несказанно меня удивило. Но блокировки они накатывают первыми и это минус.
     
  • 2.20, Аноним (20), 09:50, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://en.wikipedia.org/wiki/IPv6_deployment
     
     
  • 3.24, timur.davletshin (ok), 10:15, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    39-43 по данным гугла. У меня около 70 процентов трафика (если считать в байтах) в IPv6.
     
     
  • 4.27, Анонит (?), 10:42, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Совсем видосики не смотрите что ли,на шортсах и Тиктоке можно залипнуть на полночи и не заметить...
     
     
  • 5.41, timur.davletshin (ok), 11:13, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, не смотрю. А что там, IPv6 нету? Или огромный пласт культуры мимо меня пронёсся?
     
     
  • 6.74, Анонит (?), 14:26, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Думаю,что у меня бы возникли проблемы с ipv6,а я на популярных платформах частый гость. Соответственно при 70% трафика на v6 вы там не появляетесь. Культура же там изменчива день ото дня, я за ней не поспеваю сам.
     
     
  • 7.75, Аноним (20), 14:51, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    IPV6 не заменяет IPV4.
     
     
  • 8.83, timur.davletshin (ok), 15:34, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Повторяй это снова и снова, но уже давно есть провайдеры только IPv6, а те, кто ... текст свёрнут, показать
     
     
  • 9.107, Tron is Whistling (?), 19:47, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, я бы этих провайдеров стороной обходил ... текст свёрнут, показать
     
     
  • 10.120, timur.davletshin (ok), 21:11, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В Штатах это сделать не так просто Телефоны с контрактом, весь район с момента ... текст свёрнут, показать
     
  • 7.81, timur.davletshin (ok), 15:17, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Думаю,что у меня бы возникли проблемы с ipv6,а я на популярных платформах
    > частый гость. Соответственно при 70% трафика на v6 вы там не
    > появляетесь. Культура же там изменчива день ото дня, я за ней
    > не поспеваю сам.

    Это что за платформы популярные, которые до сих пор не поддерживают (и не используют по дефолту в дуалстеке) IPv6? Зашёл в браузере в about:networking#sockets - большая часть IPv6.

     
     
  • 8.84, Анонит (?), 16:02, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чет не подумал об поддержке обоих протоколов ... текст свёрнут, показать
     
     
  • 9.92, timur.davletshin (ok), 17:40, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Большинство но не всё современного софта умеет оба протокола Проблема только ... большой текст свёрнут, показать
     
     
  • 10.122, Tron is Whistling (?), 21:13, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    - в общем случае IPv6 в 9 из 10 случаев будет выбран Вот поэтому клиент и позвон... текст свёрнут, показать
     
     
  • 11.127, timur.davletshin (ok), 21:31, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Там немного может пойти не так при переключении на IPv6 Если только софт не реш... текст свёрнут, показать
     
     
  • 12.128, Tron is Whistling (?), 22:08, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Делай иногда traceroute И желательно не до соседней общаги С маршрутами в IPv6... текст свёрнут, показать
     
     
  • 13.131, timur.davletshin (ok), 22:26, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Какая общага И какое отношение маршруты имеют к клиенту ... текст свёрнут, показать
     
  • 12.129, Tron is Whistling (?), 22:09, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я хз почему у народа часть пиров IPv4-only, причём это даже у крупняка встречает... текст свёрнут, показать
     
     
  • 13.130, Tron is Whistling (?), 22:11, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Точнее я не совсем хз, мы тоже на одну упоротую фигню с этим щщастьем недавно на... текст свёрнут, показать
     
     
  • 14.132, Tron is Whistling (?), 22:27, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Из того что могу раскрыть - по мере роста числа сетей IPv6 начнутся проблемы пох... текст свёрнут, показать
     
  • 13.133, timur.davletshin (ok), 22:32, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Трансмишн с IPv6 косепорил до недавнего времени И в дуалстеке фактически получа... текст свёрнут, показать
     
     
  • 14.136, Tron is Whistling (?), 22:42, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, это уже проблемы рук Проблема когда эта проблема не в трансмишне, а в серьё... текст свёрнут, показать
     
     
  • 15.137, Tron is Whistling (?), 22:45, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А вообще у нас рабочее соотношение IPv4 IPv6 трафика примерно 95 5, можно было и... текст свёрнут, показать
     
  • 15.138, Tron is Whistling (?), 22:49, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Причины там к сожалению банальные 32 32 32 32768, а вот 128 128 128 - уже 20971... текст свёрнут, показать
     
     
  • 16.140, Tron is Whistling (?), 22:51, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    нет это не объём, но тоже важный показатель, который ныне читерится, потомушто ... текст свёрнут, показать
     
     
  • 17.141, Tron is Whistling (?), 22:52, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Читерится по-разному У новья ценой конских усилий Wденег меньше ... текст свёрнут, показать
     
  • 16.143, Tron is Whistling (?), 23:00, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Академики в своих пейперах уже докатились до того, что для приемлемого лукапа вп... текст свёрнут, показать
     
  • 2.88, Аноним (-), 17:07, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ip6 почти не используется как мне думается. В любом случае его отключение
    > никак не сказывается у меня.

    На наобум взятых торентах процентов 25-30 это ipv6 пиры. При том довольно шустрые как правило. Вот и думай.

     
     
  • 3.91, Анонит (?), 17:27, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошая причина.
     
  • 3.108, Tron is Whistling (?), 19:47, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Китайскую порнушку качаешь?
     
     
  • 4.117, Анонит (?), 20:48, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пока не приходилось, но вдруг понадобится.
     
  • 4.121, timur.davletshin (ok), 21:12, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Больше пиров хороших и разных!
     
  • 4.134, Аноним (-), 22:35, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Китайскую порнушку качаешь?

    Да хоть убунту качай, какая нафиг разница, IPv6 дофига уже везде, куда ни ткни. Даже россияне с IPv6 уже прорезаются. Как впрочем и остальные. А что делать если айпишников в v4 на всех не хватает? Сказки про белого бычка как все ЗБС? А оно не ЗБС, а очень даже уродливые костыли.

     
  • 2.156, zog (??), 13:57, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну может быть в России IPv6 и не используется, а мне провайдер бесплатно выделил /56 подсеть. Наше местное министерство связи обязало всех провайдеров предоставлять IPv6 бесплатно.
     

     ....большая нить свёрнута, показать (72)

  • 1.2, Аноним (3), 08:32, 09/09/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –1 +/
     

     ....ответы скрыты (2)

  • 1.10, crypt (ok), 09:06, 09/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    я отказался от pf во FreeBSD сразу после тестов, когда выяснилось, что в

    1. pf во FreeBSD отстает от актуальной кодовой базы в OpenBSD и по нему просто не найти актуальной документации.

    2. ошибка pf with bridge приводит к глухому зависанию системы. лично репортил этот баг после выхода F13.

     
     
  • 2.14, пох. (?), 09:18, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    как будто у тебя есть варианты? Не простыню же ipfw использовать.

     
     
  • 3.15, crypt (ok), 09:36, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > как будто у тебя есть варианты? Не простыню же ipfw использовать.

    когда объем конфига стал основным критерием качества?

    у ipfw больше возможностей. он может работать на линк-левел. кодовая база стабильнее.

    другое дело, что все файрволы во FreeBSD - говно по сравнению с линуксовыми чисто by design. все пакеты валятся в одно ведро и нет разделения на input/forward/output. отлаживать любой файрвол на фрибзд - это какой-то ад, потому что пакеты чекаются одним и тем же правилом на всех направлениях, а часть правил их еще и инжектирует повторно.:(

     
     
  • 4.17, Аноним (3), 09:43, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А смысл это всё править если фряха никем давно уже не используется?
     
     
  • 5.19, crypt (ok), 09:45, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А смысл это всё править если фряха никем давно уже не используется?

    я тоже не вижу причин, почему они тащат 3 файрвола. логично оставить какой-то один. видимо, чтобы явно не ломать системы тащать помаленьку, как могут. но имхо соляровский тащить, когда сам солярис от него избавил, вообще бредово.

     
     
  • 6.22, Аноним (20), 10:07, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тут как раз тот случай, когда лучше волевым усилием всё сломать. Иначе скоро и ломать будет нечего.
     
     
  • 7.25, crypt (ok), 10:34, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Тут как раз тот случай, когда лучше волевым усилием всё сломать. Иначе
    > скоро и ломать будет нечего.

    ой, ну все. аноним предрек скорую смерть проекту! ну линукс так и делает. с systemd, например...

     
     
  • 8.28, Аноним (28), 10:49, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Стоит заметить что с системд очень даже хорошо получилось Один рейх, один фю ... текст свёрнут, показать
     
     
  • 9.31, crypt (ok), 10:53, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    видишь ли, это только паковщикам и дало облегчение потому что делал его програм... текст свёрнут, показать
     
     
  • 10.33, пох. (?), 10:57, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    причем - лишнее Неспособность поправить две строчки в skeleton rc - вон из проф... текст свёрнут, показать
     
     
  • 11.52, Аноним (28), 11:41, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Внезапно, спешу тебя удивить, но делая работу нужно закрывать таски, а не ононир... текст свёрнут, показать
     
  • 10.42, Аноним (38), 11:16, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Работа пользователем линукса Сколько платят и где вакансии посмотреть можно ... текст свёрнут, показать
     
     
  • 11.46, crypt (ok), 11:21, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    не, ты зря раскатал губу, мой юный друг за использование у тебя дома тебе никто... текст свёрнут, показать
     
     
  • 12.49, Аноним (28), 11:35, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вне зависимости от твоего желания, как и у меня дома, так и у меня в проде испол... текст свёрнут, показать
     
  • 12.54, Аноним (38), 11:45, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так дома я ее и не использую, я себе не враг В кровавом энтерпрайзе тоже тол... текст свёрнут, показать
     
  • 10.208, Аноним (208), 18:41, 12/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    1 Паковщик тоже человек 2 Это положительно повлияло на безопасность систем 3... большой текст свёрнут, показать
     
  • 9.94, timur.davletshin (ok), 17:49, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы это было так, то на него бы не жаловались Да, затея скорее благая, я ту... текст свёрнут, показать
     
     
  • 10.148, Аноним (20), 06:00, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так вот сколько тех жалобщиков Процент, два ... текст свёрнут, показать
     
     
  • 11.209, Аноним (208), 18:42, 12/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так у тех у кого все работает и кого все устраивает - нет стимула строчить в ... текст свёрнут, показать
     
  • 8.34, Аноним (20), 10:59, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сколько ненавистников системды среди линуксоидов Процент Два ... текст свёрнут, показать
     
     
  • 9.36, crypt (ok), 11:05, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    все старшее поколение админов, которое привыкло работать на старых системах sys... текст свёрнут, показать
     
     
  • 10.47, Аноним (28), 11:32, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так вали вон из отрасли Отдай её лучше ньюфагам Тем самым паковщикам, на котор... текст свёрнут, показать
     
  • 10.48, Аноним (20), 11:33, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А, ну старперы, которые ничему учиться не хотят, это да ... текст свёрнут, показать
     
     
  • 11.58, crypt (ok), 12:09, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    дело не в этом просто у нас больше опыта, чем у человека, который это разрабаты... текст свёрнут, показать
     
     
  • 12.62, Аноним (20), 13:03, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Узнаю бородатых сисодминов Самомнения выше крыши, лучше всех знают, как надо, о... текст свёрнут, показать
     
     
  • 13.123, timur.davletshin (ok), 21:15, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сисадмины вовсе не обязаны перетекать в программисты Даже наоборот, не должны ... текст свёрнут, показать
     
     
  • 14.135, Аноним (20), 22:37, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Воооот Зачем чему-то учиться, когда лучше командовать 171 Кто умеет делать ... текст свёрнут, показать
     
  • 12.64, Аноним (64), 13:13, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чувак, ну вот у меня опыта 26 лет Я считаю systemd лучшим, что случалось с упра... текст свёрнут, показать
     
     
  • 13.166, пох. (?), 21:20, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    говорят с возрастом приходит опыт К сожалению, в твоем случае возраст пришел од... текст свёрнут, показать
     
  • 10.63, Аноним (64), 13:11, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Люблю когда ваньки говорят за всех Я админю с 1997 года, принял systemd с радост... текст свёрнут, показать
     
     
  • 11.68, Аноним (20), 13:58, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну человек же пишет 8212 ПРИВЫКЛИ Это как с 171 XP 8212 лучшая винда ev... текст свёрнут, показать
     
     
  • 12.73, Аноним (64), 14:23, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну он видимо у тех у кого уже алкогольная деменция Я быстро сменил привычки, поч... текст свёрнут, показать
     
     
  • 13.167, пох. (?), 21:21, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    значит точно п-дишь Потому что никакого удобства для _админа_ которому лазить ... текст свёрнут, показать
     
  • 11.102, timur.davletshin (ok), 18:05, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я тоже так считаю, ибо оно на пользовательские системы ориентировалось и, слава ... текст свёрнут, показать
     
     
  • 12.169, пох. (?), 21:28, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Как работали в основном под виндой, так и работали, ога Нахрена ж нам еще одна ... текст свёрнут, показать
     
     
  • 13.185, timur.davletshin (ok), 11:44, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Под макосью нынче одмины работают, под макосью А на тех, кто на венде, смотрят ... текст свёрнут, показать
     
     
  • 14.191, пох. (?), 16:02, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Блин, где ты берешь макосесовместимые ком-порты Или модные сетевые админы нонче... текст свёрнут, показать
     
     
  • 15.192, timur.davletshin (ok), 16:19, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Один лузер-вендоадмин нашёлся уже ... текст свёрнут, показать
     
  • 10.147, Аноним (93), 05:46, 10/09/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 11.168, пох. (?), 21:26, 10/09/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 10.210, Аноним (208), 18:47, 12/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если дедули учиться не могут - значит, их уйдут на пенсию Они отработанный мате... большой текст свёрнут, показать
     
  • 9.95, timur.davletshin (ok), 17:51, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, большая часть просто не в курсе, что есть что-то кроме их Федоры или Убун... текст свёрнут, показать
     
     
  • 10.97, Аноним (20), 17:54, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И обратите внимание 8212 это совершенно не мешает им жить ... текст свёрнут, показать
     
     
  • 11.101, timur.davletshin (ok), 18:02, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Незнание вообще никому жить не мешает Екклезиаста читай ... текст свёрнут, показать
     
     
  • 12.103, Аноним (20), 18:50, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Читайте Конан Дойла Шерлоку Холмсу незнание того, что Земля обращается вокруг С... текст свёрнут, показать
     
     
  • 13.104, timur.davletshin (ok), 19:22, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно с феями у него публикации интересные вышли в газетах Тот ещё интеллект... текст свёрнут, показать
     
  • 4.32, пох. (?), 10:55, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Его невозможно отлаживать если конфигурация побольше чем умещается в окошке 80x2... большой текст свёрнут, показать
     
     
  • 5.35, crypt (ok), 11:00, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > именно. Зато есть совершенно неочевидные переходы по простыне

    шаришь. но так pf же эти проблемы не решает. это вопросов хуков захвата пакетов в сетевом стеке.

    > pf все же несколько проще и писать и отлаживать.

    по итогу, когда упираешься в ограничения или натыкаешься на баг, оно себя не оправдывает.

    файрвол - это да, то, что мне меньше всего нравится на фрибзд

     
  • 4.85, Аноним (85), 16:09, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >потому что пакеты чекаются одним и тем же правилом на всех направлениях, а часть правил их еще и инжектирует повторно.:(

    есть правила in, out, via. С добрым утром.

     
     
  • 5.154, Ананиммм (?), 10:38, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Еще xmit с recv, но у айпичейнщиков ничиво нету :(( Как страшно жить.
     
  • 5.164, пох. (?), 21:12, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >>потому что пакеты чекаются одним и тем же правилом на всех направлениях, а часть правил их еще и инжектирует повторно.:(
    > есть правила in, out, via. С добрым утром.

    это не правила, это фильтр в правилах. Именно такой подход делает большие сложные наборы правил совершенно нечитаемыми. Но владельцам подвальных локалхостов этого явно не понять.

    А других тут не бывает.

     
  • 4.171, Sem (??), 22:54, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот гораздо лучше, чем iptables/ip6tables. И с тем и с тем поддерживал простыни правил. В iptables-extensions есть интересные и удобные штуки, но все они в ущерб производительности.

    Правила разбиваются на input/output/forward и вообще на блоки при помощи skipto. Т.е. как ты организуешь правила - сугубо твоя воля.

     
     
  • 5.178, User (??), 09:19, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Почему goto у кодеров "харам" вы, конечно, не задумывались?
    Не то, чтобы "коробочка с фрибызды" вида "офисный СЕРВЕР с NAT'ом, squid'Ом ftp и БИЛЛИНГОМ" сейчас имела ну хоть какой-нибудь смысл, но во времена оны поддерживать ЭТО на skipto $input\$output было... гм, ув-ле-ка-тель-но.
     
     
  • 6.193, Ананий (?), 16:32, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    хз где и у кого оно там харам, выйти из кучи вложенных циклов одним махом, вместь кучи условий или бриков, вполне себе халял.
    Асло эти твои кодеры когда-нибудь видели во что конпелируется их синтаксический сахар? там смесь "коротких" условных переходов в конбинации с "длинными" goto.
     
     
  • 7.199, User (??), 18:29, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > хз где и у кого оно там харам, выйти из кучи вложенных
    > циклов одним махом, вместь кучи условий или бриков, вполне себе халял.
    > Асло эти твои кодеры когда-нибудь видели во что конпелируется их синтаксический сахар?
    > там смесь "коротких" условных переходов в конбинации с "длинными" goto.

    Да-да найдем ОЧЕНЬ редкое исключение и назовем его "правилом" - classic! Попробуйте сдать тимлиду страничек пять кода, написанного ТОЛЬКО на goto + макросах и послушайте, что он вам скажет. А лучше - попробуйте поотлаживать что-то вроде вышеописанной мной конфигурации. Если что я - пробовал, больше не хочу, спасибо.

     
  • 2.174, Ivan_83 (ok), 02:50, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    1. Вы не правы.
    Они разделились и развиваются дальше по отдельности.
    Во время PF стал многопоточным насколько я помню в 10 версии, в опенбсд позже это может и допилили.

    2. Ну зарепортил и что дальше?
    Деньги занёс? Патч занёс?
    Так чего же ты хочешь!?


    У меня и патчи то годами висят, а репорты и подавно :)
    Единственный шанс что то быстро порешать - найти где ошибка, кто туда коммитил и добавить его и ревьюверов в СС.
    Но найти где ошибка - это 80% работы по исправлению ошибки )

     
     
  • 3.196, crypt (ok), 16:49, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > 1. Вы не правы.
    > Они разделились и развиваются дальше по отдельности.

    И в чем я не прав? В том, что файрвол с минимальной юзербазой, отсутствующей документацией и который намертво вешает систему, нафиг никому не нужен? "Развивается" - это немного не то слово.

    Я забыл, ты на лоре был зарегистрирован или нет?

    > 2. Ну зарепортил и что дальше?

    А что, должно быть что-то дальше? Я логику не понял. Я говорю, что о проблеме знаю не по наслышке, а ты мне отвечаешь, что я должен содержать разработчиков системы. Ты о фоме, я о яреме. Ты думаешь, я систему, чтобы в ней баги находить и исправлять, ставлю? Ты ошибаешься. Некоторые ее ставят как раз за тем, чтобы этого не делать.

     
     
  • 4.200, Ivan_83 (ok), 19:56, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    1. Документации полным-полно, как в man/handbook так и просто статей в инете, и было дофига ещё в 2009 году когда я только начал осваивать PF. С тех пор там не так много поменялось.

    2. Вы наверное и холодильник покупаете чтобы там продукты сами по себе заводились, да?)

     
     
  • 5.201, crypt (ok), 20:11, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Поменялось то, что синтаксис openbsd pf поменялся А документация вся для OpenBS... большой текст свёрнут, показать
     

     ....большая нить свёрнута, показать (58)

  • 1.11, Аноним (11), 09:06, 09/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Выглядит академично.
     
  • 1.13, пох. (?), 09:16, 09/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кстати, кто-то может подтвердить или опровергнуть наличие очередного глюка?
    https://www.truenas.com/community/threads/unmap-failed.85345/
    https://forums.freebsd.org/threads/zfs-unmap-and-vmware-esxi-troubles.77648/
    https://forum.netgate.com/topic/167882/scsi-error-on-vm

    приборы и материалы - esxi/сфера выше 6.0 с vmfs6 по умолчанию и freebsd выше 11.1 c zfs.
    Возможно, понадобится сделать снапшот.

    Ожидаемый результат - полный лог воплей про сперва failed unmap, а потом про failed scsi command (и мертвое взвисание файловой системы через некоторое время работы в таком режиме, но можно не дожидаться).

    А то баг, похоже, так никем и не оформлен. Всем рассказывателям сказочек про незаброшенность-незаброшенность на их локалхостах конечно же пoxpeн, но может тут найдется кто-то неленивый и имеющий подходящую инфраструктуру?

     
     
  • 2.18, crypt (ok), 09:44, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > найдется кто-то неленивый и имеющий подходящую инфраструктуру?

    если сфера не сертифицирована на фряху, то кому это надо

     
     
  • 3.96, timur.davletshin (ok), 17:52, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> найдется кто-то неленивый и имеющий подходящую инфраструктуру?
    > если сфера не сертифицирована на фряху, то кому это надо

    Сертифицированные юниксы? Это ты про Макось? Ни Линукс, ни одна из версий БСДи таковых сертификатов вроде не получали.

     
     
  • 4.149, Аноним (64), 07:22, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Опять ты в лужу пук
    Дистрибутив Linux от Huawei получал такой сертификат, так что одна из пересборок CentOSа была сертифицированным Unix(сейчас уже нет, срок сертификата истек)
    *BSD не получали и никогда не получат, конечно, у всех трех пользователей этого добра нет денег на сертификацию
     
     
  • 5.151, timur.davletshin (ok), 07:38, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ссылку на сертификат было бы проще добавить.
     
     
  • 6.181, Аноним (64), 11:22, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opengroup.org/openbrand/register/brand3622.htm
    Да держи
     
     
  • 7.182, timur.davletshin (ok), 11:37, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Признаю, был неправ.
     
     
  • 8.186, Аноним (64), 12:46, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Мое уважение Обычно здешняя публика даже после посылки в сертификат отказывается... текст свёрнут, показать
     
     
  • 9.187, timur.davletshin (ok), 13:28, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да я действительно не знал, т к просто пропустил это событие в новостях Что ту... текст свёрнут, показать
     
  • 2.21, n80 (?), 09:56, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А ответ по последней ссылке не помогает?

    > For me this issue was caused by thin provisioning on the virtual hard drive.
    > I followed VMware's instructions to "inflate" the disk to thick provisioning and I stopped getting these errors.

    Ну или на стороне фряхи trim отключить.

     
     
  • 3.29, пох. (?), 10:49, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    не знаю - у меня нет шестой. А там где есть - я клиент а не админ.

    Вопрос был в другом - у кого есть техническая возможность подтвердить наличие проблемы в современных версиях - т.е. развернута инфра с vmfs6 и есть пол-часа свободного времени, скачать образ и запустить.

     
     
  • 4.57, Аноним (28), 11:53, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    По моему хотению, по щучьему велению...
     
     
  • 5.69, пох. (?), 13:58, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну вот поэтому ваш опенсорс такое унылое г-но.
    Я могу переправить баг тем кто возможно возьмется его исправлять, но у меня нет лишних ресурсов чтобы правильно его сдать.

    Впрочем, у посетителей опеннета их тоже нет, а еще и умения.

    У них либо подвальные локалхосты, либо они девляпсы высокого полета, а систему им мэйлрушечка в удобной упаковочке предоставляет.

     
     
  • 6.125, timur.davletshin (ok), 21:18, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну у венды-то ты вообще за пять минут баг напрямую разработчикам отправишь репорт. Конски ржу. Эти черти целую службу отфутболивания держат, лишь бы усеры не мешали им "творить будущее".
     
     
  • 7.139, пох. (?), 22:50, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я хрен знает как это получается, но у винды - нет такой проблемы. Нечего репортить.

    А у фри - есть, но среди экспертов опеннета не нашлось ни одного человека, способного потратить пятнадцать минут.

     
  • 6.157, Аноним (93), 18:52, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > у меня нет лишних ресурсов чтобы правильно его сдать

    Ну раз нет, значит и не нужно тебе это. Было бы нужно, нашёл бы. Да хоть на AWS вмварный кластер накликать мышкой себе на пятнадцать минут проверить что и как. Чай не обеднеешь, ты ж вроде видный спец, зарплата у тебя о-го-го должна быть.

     
  • 2.44, Аноним (38), 11:19, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Больше половины опеннета сидят на таком и плачут то когда 32 бита дропнут, то ещё что
     
  • 2.55, Аноним (28), 11:50, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем вообще нужна система, падающая из-за thin provisioning образа диска. Бери линукс, там таких проблем нет. Или твой любимый вантуз, даже там таких проблем нет.
     
     
  • 3.67, пох. (?), 13:51, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    она падает не из-за thin provisioning, а из-за того что вмварь неправильно эмулирует mpt (вероятнее всего - я не знаю что произойдет с паравиртуальным драйвером). Команды которые на настоящем контроллере просто работают, тут внезапно возвращают странные ошибки.

     
     
  • 4.109, Tron is Whistling (?), 19:49, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот поэтому я всегда пихаю всем (иногда глубоко и жёстко) паравиртуальные драйверы. Даже клиентам.
     
     
  • 5.115, пох. (?), 20:03, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я не уверен что с паравиртуальным этот баг тоже не проявится. Но у меня - mpt.

     
  • 2.175, Ivan_83 (ok), 02:59, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У нас фряха с ZFS поверх железа и зоопарка гипервизоров.
    В старых версиях 10 и наверное 11, может даже 12 (кажется нет) был косяк с ZFS когда систему переставляли поверх без зануления дисков то могли случатся всякие непонятные глюки с ZFS, как будто он подхватывал какие то старые кластеры с данными как актуальные или что то такое.

    У нас тогда был костыль который перед инсталяцией занулял сколько то там гигабайт и вроде работало.
    Вроде с 12 версии такого не было и костыль был убран, в 13+ точно всё нормально с этим.

    Конкретно вашу ошибку с unmap я вроде не видел, по крайней мере это не так проблема которая у нас актуальна.
    Возможно дело в наших тюнингах системы, они примерно как мои домашние: http://netlab.dhis.org/download/software/os_cfg/FBSD/13/

     
  • 2.180, 1 (??), 10:25, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Когда ругань должна появиться ?

    vSphere 7
    VMFS 6

    Нарезал машинку, установил распоследний TrueNAS (TrueNAS-13.0-U5.3), создал пул - mirror, погонял туда сюда.
    Сделал снапшот, опять данные погонял погонял. Никакого unmap не обнаружил.

    М.б. дело в "dedicated storage controller in passthru mode" ?

     
     
  • 3.188, пох. (?), 13:50, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У меня - прямо при загрузке. Собственно, оно делает ровно одну попытку, обнаруживает что что-то пошло не так и сваливается в вокараунд который у меня тоже не работает (и вероятнее всего работает в последних версиях - но вот это и надо бы проверять)

    > М.б. дело в "dedicated storage controller in passthru mode" ?

    нет, нет - обычный диск на обычном datastore, в виртуалку отдан, обратить внимание - как mpt, а не как pv.
    Что выдает dmesg|grep da0 ?

     
     
  • 4.194, 1 (??), 16:48, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь объясняй как этого добиться Потому как он в pv Тупо делал next next me... большой текст свёрнут, показать
     
     
  • 5.197, пох. (?), 17:41, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Теперь объясняй как этого добиться ?

    э... тут нужен спецконсультант из италии...

    Щас гляну что у меня, но учти что у меня неправильные пчолы.

    так... next-next-next- other freebsd 12 64 - next - попадаешь на customize hardware - new scsi controller (уже выбран) - LSI Logic SAS - ok, finish.

    Вроде, так.

     
     
  • 6.203, 1 (??), 09:24, 12/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Спросонья поменял в настройках SCSI на LSI Logic Parallel root truenas dmes... большой текст свёрнут, показать
     
     
  • 7.205, пох. (?), 16:07, 12/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, будем считать что проблема в свежей версии отсутствует.

    Хотя и непонятно, почему, при таких quirks.

    > P.S. А скорость то всё меньше и меньше ;-)

    у Scsi оно из мегагерцев рассчитывается, а у sas видимо просто "маркетологические мегабайты, по 1000 килобайт".

     
  • 5.198, пох. (?), 17:43, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, забавно что quirks те же что у меня (и это не полный набор, должно быть больше, если я правильно понял объяснения)

     
  • 3.189, пох. (?), 13:56, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А, ну и да - снапшот, естественно, надо делать в вмвари а не в zfs.
    (но у меня без всяких снапшотов вылезает... впрочем, это я так думаю, прямого управления vm  у меня нет)

     
     
  • 4.195, 1 (??), 16:49, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это понятно
     

  • 1.45, Аноним (45), 11:20, 09/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему создатели IPv6 не додумались просто взять IPv4 и расширить поле адреса?
     
     
  • 2.50, пох. (?), 11:36, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    потому что тогда пилить гранты десятки лет было бы невозможно.
    Впрочем, там много чего не так помимо поля адреса. Которое как раз не особо требовало расширения, можно было вообще оставить все как есть (нехватка v4 адресов создана совершенно искусственно. Можешь назвать свой новый протокол v4.0.0.1 и ничего вообще не менять кроме кода протокола. Вся проблема рассосется сама собой, поскольку не будет громадных А и пачек B выданных какой-нибудь давно мертвой novell, nortel, или вечноживой ibm, использовавшей их совершенно не для того для чего выдавались.)

     
     
  • 3.59, Аноним (59), 12:29, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скорее Беркли и другим универам. Был же прикол в начале нулевых, что реальных ип в Беркли больше чем во всём Китае. Они даже от чего-то отказывались, но всё равно у них и других универов адресов до сих пор много. Даже у нас, когда в науч. институте работал на лабу было выделено около 100 реальных ип, хотя сотрудников за всю историю столько никогда не было. Я их переберал, когда банили за ослов и мулов.
     
     
  • 4.61, Аноним (3), 12:37, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    История как товарищ в 1998 захотел купить два айпи, а купил две сети класса C.
     
  • 4.66, пох. (?), 13:50, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    эти - реальные. А те что выделены давно мертвому нортелю - просто объект спекуляции и ничего больше.
    Т.е. у нашего 4.0.0.1 были бы все шансы взлететь.

     
  • 2.78, Tron is Whistling (?), 15:02, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дывотда.
    Потомушто хотели решить все воображаемые проблемы разом, и надо было докторскую защитить.
    На деле вышло как с каждой второй докторской - языком почесали, а во внедрении полная она.
    Достаточно было ASN к IP присобачить - софта и железа надо было бы менять всё столько же, но зато не было бы столько проблем с адаптацией.
     
     
  • 3.79, Tron is Whistling (?), 15:04, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    [и с роутингом проблем бы было гораздо меньше - можно бы было целиком ASN анонсить в очень большом ряде случаев]
     
  • 3.80, Tron is Whistling (?), 15:05, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    [и с IPv4->IPvX для старого железа тоже - ASN источника присобачить на выходе и снять на входе при трансляции портов не велика беда]

    Но нет, мы не ищем простых путей.

     
  • 3.211, Аноним (-), 18:52, 12/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Достаточно было ASN к IP присобачить - софта и железа надо было
    > бы менять всё столько же, но зато не было бы столько
    > проблем с адаптацией.

    "Если бы я спросил клиентов что они хотят, они бы сказали - более быстрых лошадей" (c) Форд.

    Благодаря более вменяемым людям у нас есть протоколы, работающие так как задумано изначальным дизайном, без костылей типа нат, и айпишников теперь надолго хватит. А проблемы необучашек решаются путем вывода на пенсию и увольнений так то. Зачем кому-то необучаемый хрыч клинящий все и вся?

     
     
  • 4.212, Tron is Whistling (?), 20:17, 12/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только одна проблема: трафика от вашего протокола - в районе 5%.
    За исключением хухла и прочих CDN.
     
     
  • 5.213, Tron is Whistling (?), 20:17, 12/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    (а протоколу уже 20 с хвостом лет, и надо сказать, раздаём мы его свободно - по первому запросу, почти никому банально не надо)
     
  • 2.98, Аноним (93), 17:58, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Потому, что когда стандарт разрабатывали опеннета ещё не было, негде было экспертов спросить.
     
     
  • 3.112, Tron is Whistling (?), 19:52, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ды блин, там всё в рамках совсем уж банальной логики, даже опеннета не требовалось.
    Но нет, вместо спойлера заменили двери и двигло... на те, что от трактора.
     
     
  • 4.158, Аноним (93), 18:58, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > вместо спойлера заменили двери и двигло... на те, что от трактора.

    Это особенно комично выглядит, если учесть, что IPv4 — это сбежавшая из лаборатории C:\laba1, а IPv6 — результат кропотливой работы опытных инженеров, основанный на опыте годов эксплуатации глобальных сетей. Но вот поди ж ты, кексперты опеннета недовольны. Слишком сложно, думать надо.

     
     
  • 5.160, пох. (?), 19:09, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> вместо спойлера заменили двери и двигло... на те, что от трактора.
    > Это особенно комично выглядит, если учесть, что IPv4 — это сбежавшая из

    это выглядит ровно как и должно быть.

    > лаборатории C:\laba1, а IPv6 — результат кропотливой работы опытных инженеров, основанный

    предыдущий результат работы таких же вот опытных инж... извините, они не инженеры а профессора - стек протоколов OSI.
    К счастью, тогда они не имели возможности навязывать индустрии свои правила, и их поделку выбросили на помойку истории.

    > на опыте годов эксплуатации глобальных сетей. Но вот поди ж ты,

    да-да, мы помним годы эксплуатантов x.400 да и x.25 тоже
    И как оно у них все пошло по п-де, заменившись первое - на протокол начинающийся со слова simple, а сети - на "сбежавшее из лаборатории". Потому что никому нахрен было не нужно такое оверинжинеренное уродство.

     
     
  • 6.161, Tron is Whistling (?), 20:48, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё H.323 сюда можно добавить - такая же матёрая поделка матёрых академиков, которая, тьфу-тьфу, наконец-то на свалке.
     
     
  • 7.163, пох. (?), 21:01, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну ее ты зря обижаешь - по сравнению с sip эта поделка проста как палка (потому что sip тоже профессора писали). Именно по этой причине ее напихали в кучу копеечных в наши дни железок (в ненаши они были дорогостоящими просто потому что пипл хавал а не потому что там не пожадничали на процессор от кофеварки)

    То что она застревает в файрволах и натах намертво - это не ее вина. Это у нас наты такие и авторы кода для кофеварочных процессоров туда же.

     
     
  • 8.165, Tron is Whistling (?), 21:12, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ды не, сип - это полуакадемики-полукомерсы, для своего мстояка деланый Потом ег... текст свёрнут, показать
     
  • 7.190, IPsec (?), 15:56, 11/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда уж надо было вспомнить IPsec.
     
     
  • 8.204, пох. (?), 16:03, 12/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    C ipsec все хорошо Все нехорошо с xauth в ike, но это необязательное дополнение... текст свёрнут, показать
     
  • 8.214, Tron is Whistling (?), 08:22, 13/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С самим IPSec всё терпимо, он простой как доска IKE вот да - гениальный плод ма... текст свёрнут, показать
     
  • 5.162, Tron is Whistling (?), 20:49, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > что IPv4 — это сбежавшая из лаборатории C:\laba1

    Точнее, из /classified1

    Военные немножко практичнее академиков оказались - до сих пор живо и радует.


     
     
  • 6.172, Tron is Whistling (?), 22:55, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    [это не значит, что академики не нужны - это значит, что без предварительной термической обработки исходные продукты лучше не в рот не класть]
     

  • 1.51, Alex (??), 11:39, 09/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что там, в жуниперах как дела?
     
     
  • 2.56, Аноним (28), 11:52, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Там фрибжда только как запускалка проприетарных блобов. В бздешных фаерволах там нужды нет вообще.
     
  • 2.72, name (??), 14:22, 09/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Жуниперы давно на линуксах, с разморозкой.
     
     
  • 3.152, timur.davletshin (ok), 07:40, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, в той же степени, что и циска.
     
     
  • 4.215, Tron is Whistling (?), 08:24, 13/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ASR9K последние очень серьёзно на линухах.
    Там оно не только для управления, оно по сути занимается всем, кроме форвардинга.
     

  • 1.87, YetAnotherOnanym (ok), 16:47, 09/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > пакет фрагментируется с использованием только одного фрагмента

    Кто-нибудь может подкинуть юзкейс, где это может быть нужно?

     
  • 1.176, Ivan_83 (ok), 03:29, 11/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > scrub fragment reassemble

    Этим мало кто пользуется, ИМХО.
    Раньше было ещё drop-ovl - отбрасывать пакеты с накладывающимися фрагментами, но в 2015 году это упихали в reassemble. Так же как и crop.

    # reassemble: Fragments are buffered until they form a complete packet #low perf, def
    # crop: PF track the frag and cache small range descriptor. Duplicate frag are
    # dropped and overlaps are cropped, no NAT support yet (2010)
    # drop-ovl: Like crop, overlapping or duplicate fragments will be dropped

    20150827:
    pf no longer supports 'scrub fragment crop' or 'scrub fragment drop-ovl'
    These configurations are now automatically interpreted as
    'scrub fragment reassemble'.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру