dyr: (Default)
[personal profile] dyr
Накипело.

Linux:
1. Неумение iptables работать с таблицами таким же образом, как в FreeBSD ipfw или pf. Например, невозможно написать аналогичную такой вот в PF:
nat on $ext_if from <allow-nat> to any -> $dst_nat static-port sticky-address round-robin
или вот такой в ipfw:
pipe tablearg ip from any to 'table(4)' xmit vlan3050 // Incoming traffic shaping

pipe tablearg ip from 'table(5)' to any xmit em0 // Outgoing traffic shaping
Причём второй пример аж по нескольким причинам:
- iptables не умеет создавать подписи к правилам
- iptables не умеет работать с таблицами, беря из них аргументы в качестве, как здесь, номера правила pipe для данных ip
- iptables не умеет шейпировать. Да, я знаю про tc...как прекрасно знаю и про то, что он не умеет шейпировать "маской", т.е. per-ip

У ipset аж три ветки (в Ubuntu до сих пор 2.5, в "продакшене" существуют 4 и 6 ветки, причём все отличия выглядят просто косметическими)

2. Отсутствие встроенных сетевых счётчиков пакетов в секунду (pps). Наличие лишь "абсолютных" счётчиков полнейший идиотизм
3. Невозможно обнулить сетевую статистику TCP/IP по "netstat -s". Ну это же кромешный пиздец!


FreeBSD:
1. Настройка bridge с vlan'ами настолько увлекательно непредсказуема сочетанием параметров в rc.conf (то vlan не сохраняется, то bridge не создаётся), что проще и легче оказалось создавать интерфейсы и бридж с помощью "ручного" rc.local.
2. Бага с обрезанием имён интерфейсов в команде "netstat -rn" ведёт свою историю уже лет десять, не меньше. Всё это время интерфейсы в выводе этой команды представлены в таком виде:
Routing tables



Internet:

Destination Gateway Flags Refs Use Netif Expire

default 217.119.16.33 UGS 1 167787316047 em0

10.1.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.2.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.12.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.21.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.48.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.49.0.0/16 10.78.77.9 UG1 0 0 vlan30
,
где под именем "vlan30" на самом деле скрывается "vlan3050". Мелочь? Мелочь. Но она уже задолбала! Что стоит изменить одну цифру в соответствующем printf?!

3. PF. Идёт с великолепным ALTQ....который несмотря на многочисленные просьбы, так до сих пор и не умеет шейпировать по маске. Работа интерфейсов CARP, взятых как и PF, из OpenBSD, подчиняется вообще каким-то своим правилам - половина man'a просто не работает, частоту рассылки pfstated настроить тоже нельзя...Короче, всё криво. И ещё эта PF'ная принципиальная одноядерность!


В-общем, что-то меня всё стало раздражать.
From:
Anonymous( )Anonymous This account has disabled anonymous posting.
OpenID( )OpenID You can comment on this post while signed in with an account from many other sites, once you have confirmed your email address. Sign in using OpenID.
User
Account name:
Password:
If you don't have an account you can create one now.
Subject:
HTML doesn't work in the subject.

Message:

 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.

Profile

dyr: (Default)
dyr

May 2016

S M T W T F S
1234567
891011121314
15161718192021
2223242526 2728
293031    

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 28th, 2017 04:49 am
Powered by Dreamwidth Studios