Oct. 25th, 2011

dyr: (Default)
Накипело.

Linux:
1. Неумение iptables работать с таблицами таким же образом, как в FreeBSD ipfw или pf. Например, невозможно написать аналогичную такой вот в PF:
nat on $ext_if from <allow-nat> to any -> $dst_nat static-port sticky-address round-robin
или вот такой в ipfw:
pipe tablearg ip from any to 'table(4)' xmit vlan3050 // Incoming traffic shaping

pipe tablearg ip from 'table(5)' to any xmit em0 // Outgoing traffic shaping
Причём второй пример аж по нескольким причинам:
- iptables не умеет создавать подписи к правилам
- iptables не умеет работать с таблицами, беря из них аргументы в качестве, как здесь, номера правила pipe для данных ip
- iptables не умеет шейпировать. Да, я знаю про tc...как прекрасно знаю и про то, что он не умеет шейпировать "маской", т.е. per-ip

У ipset аж три ветки (в Ubuntu до сих пор 2.5, в "продакшене" существуют 4 и 6 ветки, причём все отличия выглядят просто косметическими)

2. Отсутствие встроенных сетевых счётчиков пакетов в секунду (pps). Наличие лишь "абсолютных" счётчиков полнейший идиотизм
3. Невозможно обнулить сетевую статистику TCP/IP по "netstat -s". Ну это же кромешный пиздец!


FreeBSD:
1. Настройка bridge с vlan'ами настолько увлекательно непредсказуема сочетанием параметров в rc.conf (то vlan не сохраняется, то bridge не создаётся), что проще и легче оказалось создавать интерфейсы и бридж с помощью "ручного" rc.local.
2. Бага с обрезанием имён интерфейсов в команде "netstat -rn" ведёт свою историю уже лет десять, не меньше. Всё это время интерфейсы в выводе этой команды представлены в таком виде:
Routing tables



Internet:

Destination Gateway Flags Refs Use Netif Expire

default 217.119.16.33 UGS 1 167787316047 em0

10.1.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.2.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.12.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.21.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.48.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.49.0.0/16 10.78.77.9 UG1 0 0 vlan30
,
где под именем "vlan30" на самом деле скрывается "vlan3050". Мелочь? Мелочь. Но она уже задолбала! Что стоит изменить одну цифру в соответствующем printf?!

3. PF. Идёт с великолепным ALTQ....который несмотря на многочисленные просьбы, так до сих пор и не умеет шейпировать по маске. Работа интерфейсов CARP, взятых как и PF, из OpenBSD, подчиняется вообще каким-то своим правилам - половина man'a просто не работает, частоту рассылки pfstated настроить тоже нельзя...Короче, всё криво. И ещё эта PF'ная принципиальная одноядерность!


В-общем, что-то меня всё стало раздражать.

Profile

dyr: (Default)
dyr

May 2016

S M T W T F S
1234567
891011121314
15161718192021
2223242526 2728
293031    

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 28th, 2017 04:48 am
Powered by Dreamwidth Studios