abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 23:22 | Komunita

Na dnes, poslední středu v březnu, připadá Document Freedom Day (DFD, Wikipedie), jenž má upozornit na výhody otevřených standardů a formátů dokumentů. Organizátoři se rozhodli, že letos proběhne Document Freedom Day dvakrát. Druhý letošní Document Freedom Day proběhne 26. dubna.

Ladislav Hagara | Komentářů: 0
včera 12:33 | Nová verze

Byla vydána nová stabilní verze 1.8 (1.8.770.50) webového prohlížeče Vivaldi (Wikipedie). Z novinek vývojáři zdůrazňují vylepšenou historii prohlížení. Ukázka na YouTube. Chromium bylo aktualizováno na verzi 57.0.2987.111.

Ladislav Hagara | Komentářů: 0
včera 05:55 | Zajímavý projekt

Google na svém blogu věnovaném open source představil portál Google Open Source informující mimo jiné o více než 2000 open source projektech vyvíjených nebo používaných v Googlu.

Ladislav Hagara | Komentářů: 2
včera 03:33 | IT novinky

Pro společnost Red Hat skončil 28. února fiskální rok 2017. Dle finančních výsledků bylo čtvrté čtvrtletí, stejně jako celý fiskální rok 2017, opět úspěšné. Tržby jsou zvyšovány již 60 čtvrtletí v řadě. Za čtvrté čtvrtletí 2017 to bylo 629 milionů dolarů, tj. meziroční nárůst 16 %. Tržby za celý fiskální rok činily 2,4 miliardy dolarů, tj. meziroční nárůst 18 %.

Ladislav Hagara | Komentářů: 2
28.3. 18:22 | Bezpečnostní upozornění

V balíčku eject, příkaz pro vysunutí CD/DVD z mechaniky, v linuxových distribucích Ubuntu (USN-3246-1) a Debian (#858872) byla nalezena bezpečnostní chyba CVE-2017-6964 zneužitelná k lokální eskalaci práv. Linuxové distribuce používající eject z balíčku util-linux nejsou zranitelné.

Ladislav Hagara | Komentářů: 15
28.3. 05:55 | Komunita

Dries Buytaert, autor a vedoucí projektu Drupal a prezident Drupal Association, požádal soukromě před několika týdny Larryho Garfielda, jednoho z klíčových vývojářů Drupalu, aby projekt Drupal opustil. Larry Garfield minulý týden na svých stránkách napsal, že důvodem jsou jeho BDSM praktiky a rozpoutal tím bouřlivou diskusi. Na druhý den reagoval Dries Buytaert i Drupal Association. Pokračuje Larry Garfield [reddit].

Ladislav Hagara | Komentářů: 55
28.3. 04:44 | Humor

Společnost SAS zveřejnila na svých stránkách studii s názvem Open Source vs Proprietary: What organisations need to know (pdf). Organizace by měly například vědět, že ideální je mix 40 % open source softwaru a 60 % proprietárního softwaru [Slashdot].

Ladislav Hagara | Komentářů: 13
27.3. 23:33 | Zajímavý software

Byl vydán ShellCheck ve verzi 0.4.6. Jedná se o nástroj pro statickou analýzu shellových skriptů. Shellové skripty lze analyzovat na webové stránce ShellChecku, v terminálu nebo přímo z textových editorů. Příklady kódů, na které analýza upozorňuje a doporučuje je přepsat. ShellCheck je naprogramován v programovacím jazyce Haskell. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GPLv3.

Ladislav Hagara | Komentářů: 0
27.3. 23:33 | Pozvánky

Czech JBoss User Group zve na setkání JBUG v Brně, které se koná ve středu 5. dubna 2017 v prostorách Fakulty informatiky Masarykovy univerzity v místnosti A318 od 18:00. Přednáší Pavol Loffay na téma Distributed Tracing and OpenTracing in Microservice Architecture.

… více »
mjedlick | Komentářů: 0
27.3. 11:33 | Zajímavý článek

Národní centrum kybernetické bezpečnosti (NCKB) vypracovalo (pdf) 26 podrobných bezpečnostních doporučení pro síťové správce. Tato doporučení jsou nastavena tak, aby je bylo možné aplikovat v každé instituci. Jsou rozdělena na tři základní části: bezpečnost infrastruktury, bezpečnost stanic a serverů a bezpečnost uživatelů.

Ladislav Hagara | Komentářů: 18
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (14%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 972 hlasů
 Komentářů: 72, poslední 1.3. 11:16
    Rozcestník

    Dotaz: teoreticka hranice propustnosti IPTABLES

    4.3.2010 14:00 deVries
    teoreticka hranice propustnosti IPTABLES
    Přečteno: 553×
    existuje? nekde jsem cetl, ze lze jeste upravit sdilenou pamet pro jadro, aby si iptables mohly vytvaret vetsi tabulky, atd, ale jestli je nejake omezeni datove propustnosti v iptables, to jsem na internetu nikde nenasel.

    Odpovědi

    4.3.2010 15:12 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Teoreticka hranice je vysoka, ale prakticka je otresna. Nehlede na ten chaos kteremu se u iptables rika konfigurace. U zakaznika byl slaby vykon site, velke odezvy atp. Iptables mel pres 4.000 pravidel. Nastesti meli dost rozumu na to, aby pochopili, ze to je hrozne i pro laptop/desktop ne tak jeste na to co chteji oni. Nasadil se pf a z vice nez 4.000 pravidel zbylo necelych 400 v pf. Vykon, udrzba, stabilita pochopitelne nekde uplne jinde.
    4.3.2010 17:11 kraken
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    +1

    podobne na intrakoch.. iptables boli problematicke, nahodil sa PF a pokoj.. ani sa nevie ze nejaky firewall je :)
    polo23 avatar 4.3.2010 19:53 polo23 | skóre: 26 | blog: polo23
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Muzu se zeptat jak je mozne ze pf ma jinou propustnost nez iptables? Jsou to preci jen prostrednici. Oba prece slouzi ke konfiguraci netfilteru - u toho by se mela merit ta propustnost.
    http://www.it-kurz.cz
    4.3.2010 22:03 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Netfilter/iptables je jedno a to same (z pohledu zjednoduseni a praktickeho nasazeni) http://www.netfilter.org/ . PF je packet filter z OpenBSD http://www.openbsd.org/faq/pf/index.html cili uplne neco jineho.

    Speaking of antiquated, the IPTables code was originally supposed to have been replaced by Nf-hipac back in 2005. IPTables is completely ineffective for large rule sets, due to the linear increase in resources required for each rule. Features like hashing of address lists, source-based rate-limiting, stateful failover, and synproxy are either missing or too immature for production use.

    Smutne je, ze iptables je v tolika routerech a jinych zakaznickych zarizenich. S jeho kvalitou to nema nic spolecneho.
    5.3.2010 08:05 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Já bych řekl že to bude tím že jsou v iptables špatně volená pravidla - prostě proč jich je tam 4000? A v PF je jich potom 400? Samozřejmě rozdíl být může ale takový?
    5.3.2010 09:56 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES

    Protoze v iptables nejdou psat efektivne pravidla. To lze ale porovnavat az pri pouziti a porovnani obou filtrovacich systemu. Napriklad takovy antispoof. V iptables se to dela podobne otresne jako v IPfilter. Musi se zadat rozsahy, ktere se chteji filtrovat a tech pochopitelne muze byt obrovske mnozstvi. Doporucuji vyzkouset napr. firestarter na nejake mainstream Linux distribuci, blokovat vse dovnitr, ven povolit jen co navazu a zapnout antispoof a pak v konzoli udelat 'iptables --list'. Clovek si muze v klidu zajit na kafe, protoze zacne vypisovat antispoof pro vsechny mozne rozsahy a to trva pekelne dlouho. Pri provozu pak iptables tim vsim musi prochazet pri kontrole paketu a to na rychlosti moc neprida. Nevim kdy presne ten vypis konci. Ja to po 4 minutach vzdal to cekani. V PF toho sameho dosahnu timhle :

    lan_if = "fxp0"
    antispoof quick for { $lan_if }
    block in all
    pass out

    Princip detailne : Example: antispoof for fxp0 inet When a ruleset is loaded, any occurrences of the antispoof keyword are expanded into two filter rules. Assuming that interface fxp0 has IP address 10.0.0.1 and a subnet mask of 255.255.255.0 (i.e., a /24), the above antispoof rule would expand to: block in on ! fxp0 inet from 10.0.0.0/24 to any block in inet from 10.0.0.1 to any These rules accomplish two things: * Blocks all traffic coming from the 10.0.0.0/24 network that does not pass in through fxp0. Since the 10.0.0.0/24 network is on the fxp0 interface, packets with a source address in that network block should never be seen coming in on any other interface. * Blocks all incoming traffic from 10.0.0.1, the IP address on fxp0. The host machine should never send packets to itself through an external interface, so any incoming packets with a source address belonging to the machine can be considered malicious.

    Jednoduche a ucinne. Neni treba placat vsechny rozsahy a zbytecne tak zatezovat firewall a zpomalovat provoz. Ted si nekdo rekne a jak asi zablokujes ostatni adresy, ktere jsou podle RFC jen pro interni provoz chytraku. No jednoduse : http://www.openbsd.org/faq/pf/tables.html#config tabulky jsou efektivni, mohou mit obrovsky pocet zaznamu a hlavne maji vysokou rychlost zpracovani a nizkou zatez.

    5.3.2010 10:12 qwa
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    echo "1" > /proc/sys/net/ipv4/conf/eth0/rp_filter
    5.3.2010 20:41 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Tak zni teorie, ktera v praxi zpusobuje problemy napr.

    The rp_filter subsystem related to IP spoofing protection must be turned off on both gateways for IPSEC to work properly. This is accomplished by checking if the value 0 (off) is set in the /proc/sys/net/ipv4/conf/ipsec0/rp_filter and /proc/sys/net/ipv4/conf/eth0/rp_filter files respectively:
    Heron avatar 5.3.2010 10:16 Heron | skóre: 50 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    ad Princip detailne: Zcela téhož lze dosáhnout i pomocí iptables. To že to firestarter dělá špatně, nemá s iptables nic společného.
    5.3.2010 10:23 tomk
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES

    No dobre, ale to, ze jdou v PF psat efektvne pravidla, zase nevysvetluje ten vetsi vykon oproti iptables. Kdyz budu mit rikneme:

    pass in on { fxp0, ep0 } proto tcp to 192.168.1.9 port { 80, 443, 8282 } keep state
    

    tak se to stejne v pf expanduje na neco jako:

    pass in on fxp0 inet proto tcp from any to 192.168.1.9 port = http flags S/SA keep state
    pass in on fxp0 inet proto tcp from any to 192.168.1.9 port = https flags S/SA keep state
    pass in on fxp0 inet proto tcp from any to 192.168.1.9 port = 8282 flags S/SA keep state
    pass in on ep0 inet proto tcp from any to 192.168.1.9 port = http flags S/SA keep state
    pass in on ep0 inet proto tcp from any to 192.168.1.9 port = https flags S/SA keep state
    pass in on ep0 inet proto tcp from any to 192.168.1.9 port = 8282 flags S/SA keep state
    

    To mi sice usetri psani, zprehledni konfiguraci, ale narocne na zpracovani pri pruchodu packetu by to melo byt stejne, jako sest pravidel otrocky napsanych v iptables, ne?

    Tomas
    5.3.2010 20:55 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Tak zni teorie a v idealnim svete by to byla pravda kdyz by se odhledlo od rozdilu v tom jak snadne nebo naopak nesnadne je to nakonfigurovat. Co se tyce vykonu, tak tam uz jde o celkovy navrh toho systemu a jeho promyslenost, kvalitu kodu, implementaci v jadre a mnozstvi chyb. Proc Linux neintegroval nf-HiPAC to opravdu netusim http://www.hipac.org/performance_tests/results.html , zase tak moc to nesleduji, ale spousta firem a instituci pouziva PF, jen se o tom nikde moc nemluvi. I infrastruktura Telenoru pro Opera Mini bezi na OpenBSD a to dela 30% Internetoveho provozu ven z Norska. A pomale to rozhodne neni :-)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.