Obdoba linuxoveho ipp2p (layer7 filter)
Zdravim, existuje ve fbsd obdoba linuxoveho ipp2p (layer7 filter na p2p site)? Koukal jsem, ze existuje patch ma markovani paketu pro ipfw a jejich nasledne zpracovavani, ale nic podobneho ipp2p (www.*ipp2p*.org) jsem neobjevil. Mate nejaky tip jak rozbehnout obdobnou funkcionalitu pod fbsd? Dik za tip. -- Mira -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Notebook s 1000Mb sitovou kartou a podporou .1q vlan + jumbo frame
Zdravim, hledam notebook, ktery by obsahoval 1000Mb sitovou kartu, ktera pod fbsd podporuje jumbo frame a .1q vlan. Dle manualove stranky vlan (man vlan) neni moc sitovek, ktere tuto funkcionalitu maji a jeste mene je notebooku, ktere tyto sitovky obsahuji. Muzete nekdo doporucit z praxe, ktery notebook takovou sitovou kartu ma? Oni prodejci moc sitovou kartu nespecifikuji a vetsinou uvadeji pouze "10/100/1000 sitova karta" a kdyz uz se rozepisi, tak uvedou "Broadcom 10/100/1000". A zrovna Broadcom u vsech chipu tuto funkcionalitu nema. Idealni by byl notebook s Intel Pro 1000, ale zadny takovy nemohu najit. Diky za odpovedi. -- Mira -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Polling
Bc. Radek Krejca wrote: > Dobry den, > > mam problemy s nastavenim pollingu, resp. nejede, jak jsem si > sliboval, spise je to vyrazne horsi. > > Mam HP Proliant DL360-G4 jako router a u cca 130 Mbit je Xeon > vytocen diky preruseni na 100%. Kdyz odbocim, je nejaka jina > moznost, nez vyuziti pollingu, jak vyzdimat z toho serveru vice, nez > onech 130 Mbit? > > A nyni k pollingu, nastavil jsem tedy HZ=1000, a vysledek je, ze k > nejakemu snizeni vytizeni procesoru dojde, ale je tu zvyseni odezvy > u pingu o cca 20 ms (coz bych mozna i zkousl), ale ze site nedostanu > vice jak necelych 90 Mbit. Rikal jsem si, ze default hodnoty jsou > nastaveny na 100 Mbit (podle man), tak jsem si chvili hral, ale > uspech zadny. V tuto chvili mam nastaveno tedy toto: > > v jadre: HZ=1000 > sysctl: > > kern.polling.burst: 21 > kern.polling.burst_max: 1000 > kern.polling.each_burst: 5 > kern.polling.idle_poll: 0 > kern.polling.user_frac: 50 > kern.polling.reg_frac: 20 > kern.polling.short_ticks: 2359 > kern.polling.lost_polls: 354738 > kern.polling.pending_polls: 0 > kern.polling.residual_burst: 0 > kern.polling.handlers: 0 > kern.polling.enable: 0 > kern.polling.phase: 0 > kern.polling.suspect: 752 > kern.polling.stalled: 0 > kern.polling.idlepoll_sleeping: 1 > > Mam FreeBSD 6.1. > > Diky za radu > Radek > > Tak jsem taky na vytizenejsim routeru vyzkousel polling. A vysledek nic moc. Testovany stroj wrap 1E, sitovky sis, polling na sitovkach nastaven. Stroj krome routingu dela i nat. Vysledek takovy, ze se cca o 2ms zvedla odezva pres dany stroj (coz je v pohode). Horsi je, ze vzrostlo zatizeni daneho routeru a to diky preruresni, viz: CPU states: 1.2% user, 0.0% nice, 10.4% system, 32.4% interrupt, 56.0% idle S vypnutym pollingem je vytizeni cca nasledujici: CPU states: 2.7% user, 0.0% nice, 10.4% system, 12.4% interrupt, 74.5% idle Hodnoty sysctl pri zapnutem pollingu: kern.polling.burst: 60 kern.polling.each_burst: 5 kern.polling.burst_max: 150 kern.polling.idle_poll: 0 kern.polling.poll_in_trap: 0 kern.polling.user_frac: 50 kern.polling.reg_frac: 20 kern.polling.short_ticks: 2416 kern.polling.lost_polls: 9119 kern.polling.pending_polls: 0 kern.polling.residual_burst: 0 kern.polling.handlers: 2 kern.polling.enable: 1 kern.polling.phase: 0 kern.polling.suspect: 5796 kern.polling.stalled: 0 kern.polling.idlepoll_sleeping: 1 Lze to necim vysvetlit? -- Mira -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Polling
Divacky Roman wrote: > On Mon, Feb 12, 2007 at 02:54:02PM +0100, Miroslav Chlastak wrote: > >> Bc. Radek Krejca wrote: >> >>> Dobry den, >>> >>> mam problemy s nastavenim pollingu, resp. nejede, jak jsem si >>> sliboval, spise je to vyrazne horsi. >>> >>> Mam HP Proliant DL360-G4 jako router a u cca 130 Mbit je Xeon >>> vytocen diky preruseni na 100%. Kdyz odbocim, je nejaka jina >>> moznost, nez vyuziti pollingu, jak vyzdimat z toho serveru vice, nez >>> onech 130 Mbit? >>> >>> A nyni k pollingu, nastavil jsem tedy HZ=1000, a vysledek je, ze k >>> nejakemu snizeni vytizeni procesoru dojde, ale je tu zvyseni odezvy >>> u pingu o cca 20 ms (coz bych mozna i zkousl), ale ze site nedostanu >>> vice jak necelych 90 Mbit. Rikal jsem si, ze default hodnoty jsou >>> nastaveny na 100 Mbit (podle man), tak jsem si chvili hral, ale >>> uspech zadny. V tuto chvili mam nastaveno tedy toto: >>> >>> v jadre: HZ=1000 >>> sysctl: >>> >>> kern.polling.burst: 21 >>> kern.polling.burst_max: 1000 >>> kern.polling.each_burst: 5 >>> kern.polling.idle_poll: 0 >>> kern.polling.user_frac: 50 >>> kern.polling.reg_frac: 20 >>> kern.polling.short_ticks: 2359 >>> kern.polling.lost_polls: 354738 >>> kern.polling.pending_polls: 0 >>> kern.polling.residual_burst: 0 >>> kern.polling.handlers: 0 >>> kern.polling.enable: 0 >>> kern.polling.phase: 0 >>> kern.polling.suspect: 752 >>> kern.polling.stalled: 0 >>> kern.polling.idlepoll_sleeping: 1 >>> >>> Mam FreeBSD 6.1. >>> >>> Diky za radu >>> Radek >>> >>> >>> >> Tak jsem taky na vytizenejsim routeru vyzkousel polling. A vysledek nic moc. >> Testovany stroj wrap 1E, sitovky sis, polling na sitovkach nastaven. >> Stroj krome routingu dela i nat. >> >> Vysledek takovy, ze se cca o 2ms zvedla odezva pres dany stroj (coz je v >> pohode). >> Horsi je, ze vzrostlo zatizeni daneho routeru a to diky preruresni, viz: >> >> CPU states: 1.2% user, 0.0% nice, 10.4% system, 32.4% interrupt, 56.0% >> idle >> >> S vypnutym pollingem je vytizeni cca nasledujici: >> >> CPU states: 2.7% user, 0.0% nice, 10.4% system, 12.4% interrupt, 74.5% >> idle >> > > to je fakt divne... napada mne jedna obecna rada. fbsd ma nejake performance > monitorovaci toolsy. nevim jak je na tom 6.x ale 7.x ma dtrace a popr. hwpmc > > a verim ze by se pomoci toho $nejak dalo zjistit co se deje. > > predpokladam ze budeme radi (my = mailing list) kdyz nam sdelis cos vykoumal > :) > Jenze tohle bude problem. Je to upraveny freebsd (mini distribuce) a tyto nastroje v ni nejsou dostupne. Jeste dodam, ze pres system je datovy tok cca 2Mb a firewall obsahuje nemalo pravidel (vcetne dummynetu). A asi nejzasadnejsi vec: freebsd 5.4-RELEASE-p22 -- Mira -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: shaping provozu
Dan Lukes wrote: > Zbyněk Burget napsal/wrote, On 02/07/07 09:25: > >> Ten snort nevypada na prvni pohled uplne spatne. obavam se ale, ze >> system analyzy logu a podle nej prepisovani ipfw ruli nejakym skriptem >> nebude realny u site s tokem ve spicce kolem 10 mbit. >> Kdyby to bylo 50 pocitacu, jeste by se to asi dalo osefovat, ale u >> neceho vetsiho asi uz ne. >> Jo, kdyby snort mohl vratit packet do IPFW s nejakym flagem, na zaklade >> ktereho bych rozhodl, co s nim dal, to by bylpresne to, co potrebuju. >> Ale tohle bohuzel asi neumi - tedy ja nic takoveho aspon v dokumentaci >> snortu nenasel a ani o takovem mechanismu v IPFW nevim. >> > > > Mechanismus v IPFW2 je. TAGovani paketu jako takove mozne je po dobu > jejich zpracovani v kernelu. IPFW umi paket oznacit a (ne)existence > oznaceni lze pouzit v matchovaci podmince nejakeho pravidla, nicmene, > TAGy jsou v ramci kernelu opravdu dostupne opravdu obecne, takze tento > mechanismus mohou pouzivat i jine komponenty, ktere se k paketum v jadre > dostanou. > > Ale obavam se, ze tento mechanismus je SNORTu nedostupny. Ja ho sice > neznam, ale podle toho, co padlo tady, tak on sedi na nejakem read-only > rozhrani (bpf?), analyzuje pakety, a kdyz chce vyvolat nejakou akci, tak > musi pouzit nekoho jineho - zmenit pravidla ipfw nebo tak. Sam pakety > podle vseho menit neumi. > Taky me tato kombinace napadla. A pak me napadlo jeste neco jineho. Hledal jsem nastroj na omezovani P2P siti (obdobu linuxoveho ipp2p). Kdyz ted ipfw umi tagovat pakety, nedalo by se toto tagovani nejak rozsirit, aby paketu zustal tag, kdyz bude pres divert poslan do user space aplikace a posleze navracen zpet do kernelu(resp. firewallu)? Pak uz by teoreticky nemelo byt tak slozite naprogramovat user land aplikaci, ktera by poslouchala (obdobne jako natd) a tagovala pakety podle obdobnych pravidel jako snort rozpoznava provoz. Pakety by byly nasledne vraceny zpet do firewallu a dle tagu by se zpracovaly. Lze to takto nejak uskutecnit? -- Mira > Jinak je ale na siti s tokem ~10Mbps davat pozor i na tohle - na te uz > je videt kazde pravidlo, kterym paket v ipfw musi projit, takze je > jejich pocet dulezite drzet na co nejmensim cisle. > > Na takovehle siti, podle pripojeni soudim, ze to je velka sit, uz mam > ale za jiste, ze technicka opatreni jsou sice mozna, ale vhodnejsi > metodou reseni jsou opatreni organizacni. > > Dan > > > > -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
ipfw a "all" protokoly
Zdravim, lze nejak jednoduse (klicovym slovem) rici v ipfw pravidlu, ze vsechny protokoly maji byt povoleny? Konkretne se mi jedna o to, ze pri default politice "deny all" pravidlo [snip] ipfw add 1 pass all from any to any [snip] nepovoli napr. gre. Exituje vubec takove klicove slovo v ipfw, ktere by povolilo opravdu vse, nebo se musi vyjmenovavat protokoly, ktere chci povolit? Diky za info. -- Miroslav Chlastak -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: ITX stroj --> Re: nepristupnost stroje
Radim Kolar napsal(a): >> Kdyz uz se tu teda rozpoutala tahle diskuze o ITX HW, dokazal by mi >> nekdo z vas rict, jestli tyhle "mini pocitace" maji dostatecny vykon na >> to, aby se (v pripade pouziti 2 sitovek) daly pouzit jako "router", >> respektive traffic shaper (patrne PF + ALTQ) na gigabitove siti, kde by >> pres to opravdu melo protykat to, co takova gigabitova sit normalne >> unese? (zadne velke pocty "klientu", v podstate do 20 stroju, cca 40 IP >> adres, ale z nekterych stroju datove toky ve stovkach Mbps, vetsina >> stroju jednotky, max desitky Mbps) >> Nemam s timhle zadne zkusenosti, tak nevim, jak moc je to narocne na CPU >> / cim je narocnost dana. > full 1gbit s pf/altq je na x86 FreeBSD bez sance i na normalnim hw. Kdyz uz teda padlo i toto, tak muzete se nekdo podelit se zkusenostma s praktickeho provozu? Myslim tim jaky hw co dokaze routovat/natovat/ridit provoz? Kde jsou napr. limiti u x86 FreeBSD apod. -- Mira -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Omezeni vyuziti prikazu "su -"
Zdravim, zkousim nastavit /etc/pam.d/su tak, aby mohl prikaz "su -" vyuzit pouze uzivatel, ktery je clenem skupiny wheel nebo trusted. Bohuzel se mi ale nedari najit takovou kombinaci pravidel, aby vse fungovalo jak ma. Dokazu to, aby clenove skupiny wheel nebo trusted mohi vyuzit "su -", ale nechce to po nich heso uzivatele root :( Nemate s timto nekdo zkusenost? Lze vubec nastavit pravidla tak, aby uzivatel mohl byt clenem skupiny wheel nebo trusted? Diky za namety. -- Mira -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Omezeni vyuziti prikazu "su -"
Jindra Fucik napsal(a): > - Original Message - >> zkousim nastavit /etc/pam.d/su tak, aby >> mohl prikaz "su -" vyuzit pouze uzivatel, ktery je clenem skupiny wheel >> nebo >> trusted. > > asi ti nepomuzu s teorii, ale muzu ti pomoci s praxi. > taky jsem neco podobneho chvili resil, az jsem nainstalloval sudo a nechal > to bejt > Tzn. ze to nejde vyresit pomoci pam? Chci proste vybranym skupina povolit prevzeti prav roota (komplexne), ale az po zadani hesla. A a to se mi nezda sudo moc vhodne. -- Mira -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Omezeni vyuziti prikazu "su -"
Jan Pechanec napsal(a): > On Tue, 19 Feb 2008, Miroslav Chlastak wrote: > >> Jindra Fucik napsal(a): >>> - Original Message - >>>> zkousim nastavit /etc/pam.d/su tak, aby >>>> mohl prikaz "su -" vyuzit pouze uzivatel, ktery je clenem skupiny wheel >>>> nebo >>>> trusted. >>> asi ti nepomuzu s teorii, ale muzu ti pomoci s praxi. >>> taky jsem neco podobneho chvili resil, az jsem nainstalloval sudo a nechal >>> to bejt >>> >> Tzn. ze to nejde vyresit pomoci pam? Chci proste vybranym skupina povolit >> prevzeti prav roota (komplexne), ale az po zadani hesla. A a to se mi nezda >> sudo >> moc vhodne. > > ja si myslim, ze to spis nejde pomoci modulu, co jsou v systemu. > Respektive z dokumentace to jde, ale ta je podle me spatne a to co by podle > ni fungovat melo opravdu nefunguje. > > muzes to udelat naopak, dat ostatni uzivatele i do skupiny untrusted > a na tu pouzit required pam_group s deny. > > nebo dopsat par radku kodu do pam_group, aby povolila treba syntaxi > group=wheel,trusted. > Presne tak jsem to nakonec udelal. Upravil jsem zdrojovy kod pam_group tak, aby modul akceptoval v parametru group vice skupin ;) -- Mira -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Mount md0 v jailu (RELENG_7_0)
Zdravim, pokousim se na FreeBSD 7.0 mountovat md disk v jailu. Host je FreeBsd 7.0, stejne tak jail. Na hostu mam povoleno mountovani v jailu pomoci sysctl: security.jail.mount_allowed: 1 Stejne tak jsem upravil devfs.rules, aby bylo mozne vyuzivat mdconfig: [devfsrules_jail=4] add include $devfsrules_hide_all add include $devfsrules_unhide_basic add include $devfsrules_unhide_login add path 'md*' unhide mode 0660 V jailu muzu pracovat s mdconfig. Nefunguje ale "mdconfig -l". Pokud se ale pokusim o mount md0, dostanu chybu: mount: /dev/md0 : Operation not permitted Dochazeji mi napady. Nemate s tim nekdo zkusenosti? -- Mira -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Net-snmp a seznam sitovych rozhrani
Zdravim, narazil jsem na nasledujici vec.Mam router kde je vytvoreno nekolik (cca kolem 40) vlan rozhrani. Cas od casu nekterou vlanku smaznu a vytvorim jinou. Jenze ted jsem prisel na problem s vycitanim dat z net-snmpd, ktere na tom routeru bezi. Po nabootovani routeru je vse v poradku - snmpwalk i snmpbulkget (ptam se pres cast OID 1.3.6.1.2.1.2.2.1.2) vraci cely seznam sitovych rozhrani (at uz jejich nazvu, indexu, paketu, dat, ...). Kdyz ale nejaky iface smazu, tak indexy jiz nejsou v posloupnosti. Napr. pred smazanim maji rozhrani indexy 1,2,3,4,5,6,7,8,9,10. Po smazani napr. 1,2,3,4,7,8,9,10. A s tim se snmpwalk a snmpbulkget nedokaze poprat. Zobrazi pak info pouze o rozhranich s indexem 1,2,3,4. Pokud se ale zeptam pres snmpget na index 7,8,9,10, tak pozadovana data dostanu. Nepomuze ani restart net-snmpd, protoze ten si indexy (pravdepodobne) prevezme ze systemu (v systemu se index rozhrani necha zjistit pres netstat -i /sloupec Network/). U snmpwalk jsem zkousel prepinac -Cc, ale take to nezabralo. Jedine co "zabere" je restart systemu. Pak se indexy seradi a neobsahuji "diry". Existuje nejaky zpusob, jak toto uchodit? Nebo delam jen neco spatne a ono to funguje pri urcite konfiguraci? Stejny problem pri pouziti snmpgetbulk napr. v perlu. Napada me upravit kod net-snmpd, aby si indexy iface vytvarel sam a neprebral je ze systemu. Pak by stacilo po odstraneni rozhrani restartovat net-snmpd. Nebo si tim na neco nabehnu? -- Mira -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Net-snmp a seznam sitovych rozhrani
Miroslav Chlastak napsal(a): Zdravim, narazil jsem na nasledujici vec.Mam router kde je vytvoreno nekolik (cca kolem 40) vlan rozhrani. Cas od casu nekterou vlanku smaznu a vytvorim jinou. Jenze ted jsem prisel na problem s vycitanim dat z net-snmpd, ktere na tom routeru bezi. Po nabootovani routeru je vse v poradku - snmpwalk i snmpbulkget (ptam se pres cast OID 1.3.6.1.2.1.2.2.1.2) vraci cely seznam sitovych rozhrani (at uz jejich nazvu, indexu, paketu, dat, ...). Kdyz ale nejaky iface smazu, tak indexy jiz nejsou v posloupnosti. Napr. pred smazanim maji rozhrani indexy 1,2,3,4,5,6,7,8,9,10. Po smazani napr. 1,2,3,4,7,8,9,10. A s tim se snmpwalk a snmpbulkget nedokaze poprat. Zobrazi pak info pouze o rozhranich s indexem 1,2,3,4. Pokud se ale zeptam pres snmpget na index 7,8,9,10, tak pozadovana data dostanu. Nepomuze ani restart net-snmpd, protoze ten si indexy (pravdepodobne) prevezme ze systemu (v systemu se index rozhrani necha zjistit pres netstat -i /sloupec Network/). U snmpwalk jsem zkousel prepinac -Cc, ale take to nezabralo. Jedine co "zabere" je restart systemu. Pak se indexy seradi a neobsahuji "diry". Existuje nejaky zpusob, jak toto uchodit? Nebo delam jen neco spatne a ono to funguje pri urcite konfiguraci? Stejny problem pri pouziti snmpgetbulk napr. v perlu. Napada me upravit kod net-snmpd, aby si indexy iface vytvarel sam a neprebral je ze systemu. Pak by stacilo po odstraneni rozhrani restartovat net-snmpd. Nebo si tim na neco nabehnu? -- Mira Tak jsem vyzkousel bsnmpd a to se chova tak jak je ocekavano. Tzn. po odstraneni sitoveho rozhrani dany index vynecha a pokracuje normalne vypisem dalsiho sitoveho rozhrani. Nemusi se ani demon bsnmpd restartovat (a uz vubec se nemusi restartovat cely system :) ). Takze jsem presel z net-snmpd na bsnmpd :) -- Mira -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Net-snmp a seznam sitovych rozhrani
Petr Macek napsal(a): Tak jsem vyzkousel bsnmpd a to se chova tak jak je ocekavano. Tzn. po odstraneni sitoveho rozhrani dany index vynecha a pokracuje normalne vypisem dalsiho sitoveho rozhrani. Nemusi se ani demon bsnmpd restartovat (a uz vubec se nemusi restartovat cely system :) ). Takze jsem presel z net-snmpd na bsnmpd :) ja to pred asi dvema lety udelal stejne. Proto jsem tento postup doporucil. bsnmp je male a je primo v systemu. Osvedcilo se mi lepe nez net-snmpd. Jeste Vas muze zajimat port /usr/ports/net-mgmt/bsnmp-ucd PM Jasny, to bylo prvni co jsem doinstaloval :) -- Mira Chlastak -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
