abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 00:11 | Nová verze

    Open source modální textový editor Helix, inspirovaný editory Vim, Neovim či Kakoune, byl vydán ve verzi 25.07. Přehled novinek se záznamy terminálových sezení v asciinema v oznámení na webu. Detailně v CHANGELOGu na GitHubu.

    Ladislav Hagara | Komentářů: 0
    včera 20:44 | IT novinky

    Americký výrobce čipů Nvidia získal od vlády prezidenta Donalda Trumpa souhlas s prodejem svých pokročilých počítačových čipů používaných k vývoji umělé inteligence (AI) H20 do Číny. Prodej těchto čipů speciálně upravených pro čínský trh by tak mohl být brzy obnoven, uvedla firma na svém blogu. Americká vláda zakázala prodej v dubnu, v době eskalace obchodního sporu mezi oběma zeměmi. Tehdy to zdůvodnila obavami, že by čipy mohla využívat čínská armáda.

    Ladislav Hagara | Komentářů: 7
    včera 17:22 | Nová verze

    3D software Blender byl vydán ve verzi 4.5 s prodlouženou podporou. Podrobnosti v poznámkách k vydání. Videopředstavení na YouTube.

    Ladislav Hagara | Komentářů: 0
    14.7. 22:22 | Komunita

    Open source webový aplikační framework Django slaví 20. narozeniny.

    Ladislav Hagara | Komentářů: 0
    14.7. 16:11 | Komunita

    V Brestu dnes začala konference vývojářů a uživatelů linuxové distribuce Debian DebConf25. Na programu je řada zajímavých přednášek. Sledovat je lze online.

    Ladislav Hagara | Komentářů: 0
    14.7. 11:33 | IT novinky

    Před 30 lety, tj. 14. července 1995, se začala používat přípona .mp3 pro soubory s hudbou komprimovanou pomocí MPEG-2 Audio Layer 3.

    Ladislav Hagara | Komentářů: 28
    14.7. 10:55 | IT novinky

    Výroba 8bitových domácích počítačů Commodore 64 byla ukončena v dubnu 1994. Po více než 30 letech byl představen nový oficiální Commodore 64 Ultimate (YouTube). S deskou postavenou na FPGA. Ve 3 edicích v ceně od 299 dolarů a plánovaným dodáním v říjnu a listopadu letošního roku.

    Ladislav Hagara | Komentářů: 22
    13.7. 17:55 | Zajímavý projekt

    Společnost Hugging Face ve spolupráci se společností Pollen Robotics představila open source robota Reachy Mini (YouTube). Předobjednat lze lite verzi za 299 dolarů a wireless verzi s Raspberry Pi 5 za 449 dolarů.

    Ladislav Hagara | Komentářů: 17
    11.7. 16:44 | Komunita

    Dnes v 17:30 bude oficiálně vydána open source počítačová hra DOGWALK vytvořena v 3D softwaru Blender a herním enginu Godot. Release party proběhne na YouTube od 17:00.

    Ladislav Hagara | Komentářů: 3
    11.7. 14:55 | Humor

    McDonald's se spojil se společností Paradox a pracovníky nabírá také pomocí AI řešení s virtuální asistentkou Olivii běžící na webu McHire. Ian Carroll a Sam Curry se na toto AI řešení blíže podívali a opravdu je překvapilo, že se mohli přihlásit pomocí jména 123456 a hesla 123456 a získat přístup k údajům o 64 milionech uchazečů o práci.

    Ladislav Hagara | Komentářů: 16
    Jaký je váš oblíbený skriptovací jazyk?
     (59%)
     (26%)
     (7%)
     (3%)
     (1%)
     (1%)
     (4%)
    Celkem 399 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník

    Dotaz: teoreticka hranice propustnosti IPTABLES

    4.3.2010 14:00 deVries
    teoreticka hranice propustnosti IPTABLES
    Přečteno: 581×
    existuje? nekde jsem cetl, ze lze jeste upravit sdilenou pamet pro jadro, aby si iptables mohly vytvaret vetsi tabulky, atd, ale jestli je nejake omezeni datove propustnosti v iptables, to jsem na internetu nikde nenasel.

    Odpovědi

    4.3.2010 15:12 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Teoreticka hranice je vysoka, ale prakticka je otresna. Nehlede na ten chaos kteremu se u iptables rika konfigurace. U zakaznika byl slaby vykon site, velke odezvy atp. Iptables mel pres 4.000 pravidel. Nastesti meli dost rozumu na to, aby pochopili, ze to je hrozne i pro laptop/desktop ne tak jeste na to co chteji oni. Nasadil se pf a z vice nez 4.000 pravidel zbylo necelych 400 v pf. Vykon, udrzba, stabilita pochopitelne nekde uplne jinde.
    4.3.2010 17:11 kraken
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    +1

    podobne na intrakoch.. iptables boli problematicke, nahodil sa PF a pokoj.. ani sa nevie ze nejaky firewall je :)
    polo23 avatar 4.3.2010 19:53 polo23 | skóre: 28 | blog: polo23
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Muzu se zeptat jak je mozne ze pf ma jinou propustnost nez iptables? Jsou to preci jen prostrednici. Oba prece slouzi ke konfiguraci netfilteru - u toho by se mela merit ta propustnost.
    4.3.2010 22:03 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Netfilter/iptables je jedno a to same (z pohledu zjednoduseni a praktickeho nasazeni) http://www.netfilter.org/ . PF je packet filter z OpenBSD http://www.openbsd.org/faq/pf/index.html cili uplne neco jineho.

    Speaking of antiquated, the IPTables code was originally supposed to have been replaced by Nf-hipac back in 2005. IPTables is completely ineffective for large rule sets, due to the linear increase in resources required for each rule. Features like hashing of address lists, source-based rate-limiting, stateful failover, and synproxy are either missing or too immature for production use.

    Smutne je, ze iptables je v tolika routerech a jinych zakaznickych zarizenich. S jeho kvalitou to nema nic spolecneho.
    5.3.2010 08:05 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Já bych řekl že to bude tím že jsou v iptables špatně volená pravidla - prostě proč jich je tam 4000? A v PF je jich potom 400? Samozřejmě rozdíl být může ale takový?
    5.3.2010 09:56 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES

    Protoze v iptables nejdou psat efektivne pravidla. To lze ale porovnavat az pri pouziti a porovnani obou filtrovacich systemu. Napriklad takovy antispoof. V iptables se to dela podobne otresne jako v IPfilter. Musi se zadat rozsahy, ktere se chteji filtrovat a tech pochopitelne muze byt obrovske mnozstvi. Doporucuji vyzkouset napr. firestarter na nejake mainstream Linux distribuci, blokovat vse dovnitr, ven povolit jen co navazu a zapnout antispoof a pak v konzoli udelat 'iptables --list'. Clovek si muze v klidu zajit na kafe, protoze zacne vypisovat antispoof pro vsechny mozne rozsahy a to trva pekelne dlouho. Pri provozu pak iptables tim vsim musi prochazet pri kontrole paketu a to na rychlosti moc neprida. Nevim kdy presne ten vypis konci. Ja to po 4 minutach vzdal to cekani. V PF toho sameho dosahnu timhle :

    lan_if = "fxp0"
    antispoof quick for { $lan_if }
    block in all
    pass out

    Princip detailne : Example: antispoof for fxp0 inet When a ruleset is loaded, any occurrences of the antispoof keyword are expanded into two filter rules. Assuming that interface fxp0 has IP address 10.0.0.1 and a subnet mask of 255.255.255.0 (i.e., a /24), the above antispoof rule would expand to: block in on ! fxp0 inet from 10.0.0.0/24 to any block in inet from 10.0.0.1 to any These rules accomplish two things: * Blocks all traffic coming from the 10.0.0.0/24 network that does not pass in through fxp0. Since the 10.0.0.0/24 network is on the fxp0 interface, packets with a source address in that network block should never be seen coming in on any other interface. * Blocks all incoming traffic from 10.0.0.1, the IP address on fxp0. The host machine should never send packets to itself through an external interface, so any incoming packets with a source address belonging to the machine can be considered malicious.

    Jednoduche a ucinne. Neni treba placat vsechny rozsahy a zbytecne tak zatezovat firewall a zpomalovat provoz. Ted si nekdo rekne a jak asi zablokujes ostatni adresy, ktere jsou podle RFC jen pro interni provoz chytraku. No jednoduse : http://www.openbsd.org/faq/pf/tables.html#config tabulky jsou efektivni, mohou mit obrovsky pocet zaznamu a hlavne maji vysokou rychlost zpracovani a nizkou zatez.

    5.3.2010 10:12 qwa
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    echo "1" > /proc/sys/net/ipv4/conf/eth0/rp_filter
    5.3.2010 20:41 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Tak zni teorie, ktera v praxi zpusobuje problemy napr.

    The rp_filter subsystem related to IP spoofing protection must be turned off on both gateways for IPSEC to work properly. This is accomplished by checking if the value 0 (off) is set in the /proc/sys/net/ipv4/conf/ipsec0/rp_filter and /proc/sys/net/ipv4/conf/eth0/rp_filter files respectively:
    Heron avatar 5.3.2010 10:16 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    ad Princip detailne: Zcela téhož lze dosáhnout i pomocí iptables. To že to firestarter dělá špatně, nemá s iptables nic společného.
    5.3.2010 10:23 tomk
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES

    No dobre, ale to, ze jdou v PF psat efektvne pravidla, zase nevysvetluje ten vetsi vykon oproti iptables. Kdyz budu mit rikneme:

    pass in on { fxp0, ep0 } proto tcp to 192.168.1.9 port { 80, 443, 8282 } keep state
    

    tak se to stejne v pf expanduje na neco jako:

    pass in on fxp0 inet proto tcp from any to 192.168.1.9 port = http flags S/SA keep state
    pass in on fxp0 inet proto tcp from any to 192.168.1.9 port = https flags S/SA keep state
    pass in on fxp0 inet proto tcp from any to 192.168.1.9 port = 8282 flags S/SA keep state
    pass in on ep0 inet proto tcp from any to 192.168.1.9 port = http flags S/SA keep state
    pass in on ep0 inet proto tcp from any to 192.168.1.9 port = https flags S/SA keep state
    pass in on ep0 inet proto tcp from any to 192.168.1.9 port = 8282 flags S/SA keep state
    

    To mi sice usetri psani, zprehledni konfiguraci, ale narocne na zpracovani pri pruchodu packetu by to melo byt stejne, jako sest pravidel otrocky napsanych v iptables, ne?

    Tomas
    5.3.2010 20:55 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Tak zni teorie a v idealnim svete by to byla pravda kdyz by se odhledlo od rozdilu v tom jak snadne nebo naopak nesnadne je to nakonfigurovat. Co se tyce vykonu, tak tam uz jde o celkovy navrh toho systemu a jeho promyslenost, kvalitu kodu, implementaci v jadre a mnozstvi chyb. Proc Linux neintegroval nf-HiPAC to opravdu netusim http://www.hipac.org/performance_tests/results.html , zase tak moc to nesleduji, ale spousta firem a instituci pouziva PF, jen se o tom nikde moc nemluvi. I infrastruktura Telenoru pro Opera Mini bezi na OpenBSD a to dela 30% Internetoveho provozu ven z Norska. A pomale to rozhodne neni :-)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.