abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

    dnes 16:55 | Nová verze

    Byla vydána verze 5.0 webového aplikačního frameworku napsaného v Pythonu Django (Wikipedie). Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    dnes 16:44 | Nová verze

    TuxClocker je Qt GUI nástroj pro monitorování a nastavování (přetaktovávání) hardwaru na Linuxu. Aktuální verze je 1.4.0. Z novinek lze vypíchnout monitorování využití AMD a NVIDIA VRAM nebo sledování spotřeby energie procesorů AMD a Intel.

    Ladislav Hagara | Komentářů: 0
    včera 09:44 | Komunita

    O víkendu (15:00 až 23:00) probíhá EmacsConf 2023, tj. online konference vývojářů a uživatelů editoru GNU Emacs. Sledovat ji lze na stránkách konference. Záznamy jsou k dispozici přímo z programu.

    Ladislav Hagara | Komentářů: 7
    2.12. 17:44 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE? Pravidelný přehled novinek i s náhledy aplikací v Týden v GNOME a Týden v KDE.

    Ladislav Hagara | Komentářů: 3
    1.12. 21:55 | Nová verze

    Organizace Apache Software Foundation (ASF) vydala verzi 20 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.

    Ladislav Hagara | Komentářů: 0
    1.12. 17:22 | Nová verze

    Desktopové prostředí Cinnamon, vyvíjené primárně pro distribuci Linux Mint, dospělo do verze 6.0. Seznam změn obsahuje především menší opravy a v říjnovém přehledu novinek v Mintu avizovanou experimentální podporu Waylandu.

    Fluttershy, yay! | Komentářů: 10
    1.12. 13:44 | Nová verze

    OpenZFS (Wikipedie), tj. implementace souborového systému ZFS pro Linux a FreeBSD, byl vydán ve verzích 2.2.2 a 2.1.14. Přináší důležitou opravu chyby vedoucí k možnému poškození dat.

    Ladislav Hagara | Komentářů: 0
    1.12. 12:00 | Bezpečnostní upozornění

    V ownCloudu byly nalezeny tři kritické zranitelnosti: CVE-2023-49103, CVE-2023-49104 a CVE-2023-49105 s CVSS 10.0, 8.7 a 9.8. Zranitelnost CVE-2023-49103 je právě využívána útočníky. Nextcloudu se zranitelnosti netýkají.

    Ladislav Hagara | Komentářů: 0
    1.12. 08:00 | IT novinky

    I letos vychází řada ajťáckých adventních kalendářů. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2023. Pro programátory v Perlu je určen Perl Advent Calendar 2023. Zájemci o UX mohou sledovat Lean UXmas 2023. Pro zájemce o kybernetickou bezpečnost je určen Advent of Cyber 2023

    Ladislav Hagara | Komentářů: 0
    1.12. 07:00 | Nová verze

    Byla vydána verze 2.12 svobodného video editoru Flowblade (GitHub, Wikipedie). Přehled novinek v poznámkách k vydání. Videoukázky funkcí Flowblade na Vimeu. Instalovat lze také z Flathubu.

    Ladislav Hagara | Komentářů: 0
     (45%)
     (12%)
     (43%)
    Celkem 49 hlasů
     Komentářů: 0
    Rozcestník

    Dotaz: teoreticka hranice propustnosti IPTABLES

    4.3.2010 14:00 deVries
    teoreticka hranice propustnosti IPTABLES
    Přečteno: 566×
    existuje? nekde jsem cetl, ze lze jeste upravit sdilenou pamet pro jadro, aby si iptables mohly vytvaret vetsi tabulky, atd, ale jestli je nejake omezeni datove propustnosti v iptables, to jsem na internetu nikde nenasel.

    Odpovědi

    4.3.2010 15:12 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Teoreticka hranice je vysoka, ale prakticka je otresna. Nehlede na ten chaos kteremu se u iptables rika konfigurace. U zakaznika byl slaby vykon site, velke odezvy atp. Iptables mel pres 4.000 pravidel. Nastesti meli dost rozumu na to, aby pochopili, ze to je hrozne i pro laptop/desktop ne tak jeste na to co chteji oni. Nasadil se pf a z vice nez 4.000 pravidel zbylo necelych 400 v pf. Vykon, udrzba, stabilita pochopitelne nekde uplne jinde.
    4.3.2010 17:11 kraken
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    +1

    podobne na intrakoch.. iptables boli problematicke, nahodil sa PF a pokoj.. ani sa nevie ze nejaky firewall je :)
    polo23 avatar 4.3.2010 19:53 polo23 | skóre: 28 | blog: polo23
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Muzu se zeptat jak je mozne ze pf ma jinou propustnost nez iptables? Jsou to preci jen prostrednici. Oba prece slouzi ke konfiguraci netfilteru - u toho by se mela merit ta propustnost.
    4.3.2010 22:03 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Netfilter/iptables je jedno a to same (z pohledu zjednoduseni a praktickeho nasazeni) http://www.netfilter.org/ . PF je packet filter z OpenBSD http://www.openbsd.org/faq/pf/index.html cili uplne neco jineho.

    Speaking of antiquated, the IPTables code was originally supposed to have been replaced by Nf-hipac back in 2005. IPTables is completely ineffective for large rule sets, due to the linear increase in resources required for each rule. Features like hashing of address lists, source-based rate-limiting, stateful failover, and synproxy are either missing or too immature for production use.

    Smutne je, ze iptables je v tolika routerech a jinych zakaznickych zarizenich. S jeho kvalitou to nema nic spolecneho.
    5.3.2010 08:05 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Já bych řekl že to bude tím že jsou v iptables špatně volená pravidla - prostě proč jich je tam 4000? A v PF je jich potom 400? Samozřejmě rozdíl být může ale takový?
    5.3.2010 09:56 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES

    Protoze v iptables nejdou psat efektivne pravidla. To lze ale porovnavat az pri pouziti a porovnani obou filtrovacich systemu. Napriklad takovy antispoof. V iptables se to dela podobne otresne jako v IPfilter. Musi se zadat rozsahy, ktere se chteji filtrovat a tech pochopitelne muze byt obrovske mnozstvi. Doporucuji vyzkouset napr. firestarter na nejake mainstream Linux distribuci, blokovat vse dovnitr, ven povolit jen co navazu a zapnout antispoof a pak v konzoli udelat 'iptables --list'. Clovek si muze v klidu zajit na kafe, protoze zacne vypisovat antispoof pro vsechny mozne rozsahy a to trva pekelne dlouho. Pri provozu pak iptables tim vsim musi prochazet pri kontrole paketu a to na rychlosti moc neprida. Nevim kdy presne ten vypis konci. Ja to po 4 minutach vzdal to cekani. V PF toho sameho dosahnu timhle :

    lan_if = "fxp0"
    antispoof quick for { $lan_if }
    block in all
    pass out

    Princip detailne : Example: antispoof for fxp0 inet When a ruleset is loaded, any occurrences of the antispoof keyword are expanded into two filter rules. Assuming that interface fxp0 has IP address 10.0.0.1 and a subnet mask of 255.255.255.0 (i.e., a /24), the above antispoof rule would expand to: block in on ! fxp0 inet from 10.0.0.0/24 to any block in inet from 10.0.0.1 to any These rules accomplish two things: * Blocks all traffic coming from the 10.0.0.0/24 network that does not pass in through fxp0. Since the 10.0.0.0/24 network is on the fxp0 interface, packets with a source address in that network block should never be seen coming in on any other interface. * Blocks all incoming traffic from 10.0.0.1, the IP address on fxp0. The host machine should never send packets to itself through an external interface, so any incoming packets with a source address belonging to the machine can be considered malicious.

    Jednoduche a ucinne. Neni treba placat vsechny rozsahy a zbytecne tak zatezovat firewall a zpomalovat provoz. Ted si nekdo rekne a jak asi zablokujes ostatni adresy, ktere jsou podle RFC jen pro interni provoz chytraku. No jednoduse : http://www.openbsd.org/faq/pf/tables.html#config tabulky jsou efektivni, mohou mit obrovsky pocet zaznamu a hlavne maji vysokou rychlost zpracovani a nizkou zatez.

    5.3.2010 10:12 qwa
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    echo "1" > /proc/sys/net/ipv4/conf/eth0/rp_filter
    5.3.2010 20:41 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Tak zni teorie, ktera v praxi zpusobuje problemy napr.

    The rp_filter subsystem related to IP spoofing protection must be turned off on both gateways for IPSEC to work properly. This is accomplished by checking if the value 0 (off) is set in the /proc/sys/net/ipv4/conf/ipsec0/rp_filter and /proc/sys/net/ipv4/conf/eth0/rp_filter files respectively:
    Heron avatar 5.3.2010 10:16 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    ad Princip detailne: Zcela téhož lze dosáhnout i pomocí iptables. To že to firestarter dělá špatně, nemá s iptables nic společného.
    5.3.2010 10:23 tomk
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES

    No dobre, ale to, ze jdou v PF psat efektvne pravidla, zase nevysvetluje ten vetsi vykon oproti iptables. Kdyz budu mit rikneme:

    pass in on { fxp0, ep0 } proto tcp to 192.168.1.9 port { 80, 443, 8282 } keep state
    

    tak se to stejne v pf expanduje na neco jako:

    pass in on fxp0 inet proto tcp from any to 192.168.1.9 port = http flags S/SA keep state
    pass in on fxp0 inet proto tcp from any to 192.168.1.9 port = https flags S/SA keep state
    pass in on fxp0 inet proto tcp from any to 192.168.1.9 port = 8282 flags S/SA keep state
    pass in on ep0 inet proto tcp from any to 192.168.1.9 port = http flags S/SA keep state
    pass in on ep0 inet proto tcp from any to 192.168.1.9 port = https flags S/SA keep state
    pass in on ep0 inet proto tcp from any to 192.168.1.9 port = 8282 flags S/SA keep state
    

    To mi sice usetri psani, zprehledni konfiguraci, ale narocne na zpracovani pri pruchodu packetu by to melo byt stejne, jako sest pravidel otrocky napsanych v iptables, ne?

    Tomas
    5.3.2010 20:55 x
    Rozbalit Rozbalit vše Re: teoreticka hranice propustnosti IPTABLES
    Tak zni teorie a v idealnim svete by to byla pravda kdyz by se odhledlo od rozdilu v tom jak snadne nebo naopak nesnadne je to nakonfigurovat. Co se tyce vykonu, tak tam uz jde o celkovy navrh toho systemu a jeho promyslenost, kvalitu kodu, implementaci v jadre a mnozstvi chyb. Proc Linux neintegroval nf-HiPAC to opravdu netusim http://www.hipac.org/performance_tests/results.html , zase tak moc to nesleduji, ale spousta firem a instituci pouziva PF, jen se o tom nikde moc nemluvi. I infrastruktura Telenoru pro Opera Mini bezi na OpenBSD a to dela 30% Internetoveho provozu ven z Norska. A pomale to rozhodne neni :-)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.