URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 95606
[ Назад ]
Исходное сообщение
"Открыт код Douane, динамического межсетевого экрана для Linux"
Отправлено opennews , 28-Апр-14 09:24 
Объявлено об открытии исходных текстов всех наработок продукта Douane (http://www.douaneapp.com/), в рамках которого подготовлена реализация персонального интерактивного межсетевого экрана для Linux, поддерживающая интеграцию с GNOME. Douane предоставляет наглядный интерфейс для отслеживания сетевой активности пользовательских приложений и блокирования нежелательного сетевого трафика. При выявлении попытки сетевого соединения от приложения, не подпадающего под правила белого списка, программа выводит пользователю диалог с предложением принять решение о продолжении инициированной сетевой операции. Код открыт под лицензией GPLv2 и доступен (https://github.com/Douane/) на GitHub.


<center><a href="https://camo.githubusercontent.com/e02c9e400ccac983f632ff142... src="http://www.opennet.ru/opennews/pics_base/0_1398661342.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>


Douane состоит (https://github.com/Douane/Douane/wiki/Architecture) из четырёх базовых частей: модуля для ядра Linux, фонового процесса для мониторинга соединений, графического интерфейса для вывода уведомлений и конфигуратора.


-  Модуль ядра douane-dkms (https://github.com/Douane/douane-dkms) написан на языке Си с использованием фреймворка  Netfilter и предназначен для перехвата исходящего трафика, а также определения его связи с отдельными приложениями.
-  Фоновый процесс douane-daemon (https://github.com/Douane/douane-daemon) отвечает за контроль за соблюдением ранее принятых решений о допустимости того или иного трафика от приложений и инициирования запроса пользователю в случае появления ранее не наблюдаемой сетевой активности. Демон написан на языке С++ и использует D-Bus для обмена данными.
-  Интерфейс для вывода уведомлений (douane-dialog (https://github.com/Douane/douane-dialog)) отвечает за подтверждение или блокирование пользователем выявленной активности. Компонент написан на языке С++ и использует обвязку GTKmm (http://www.gtkmm.org/en/) для использования библиотеки GTK+ 3 в проектах на языке С++.
-  Конфигуратор douane-configurator (https://github.com/Douane/douane-configurator) отвечает за управление работой межсетевого экрана и корректировку ранее добавленных правил. Интерфейс настройки написан на языке Python 3 с использованием библиотеки GTK+ 3 через биндинг PyGObject (https://wiki.gnome.org/action/show/Projects/PyGObject?action...).

<center><a href="https://camo.githubusercontent.com/3e3e5c4e3ccb8f84319712c5a... src="http://www.opennet.ru/opennews/pics_base/0_1398661369.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>

URL: http://www.reddit.com/r/linux/comments/245i33/douane_persona.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=39654

Содержание
Сообщения в этом обсуждении
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено gjkmpjdfntkm , 28-Апр-14 09:24 
А как-же KDE?
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 09:58 
PyKDE4 is not ported yet to Python3, увы.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 10:01 
Зато PyQt4 fully supports all versions of Python v3.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 10:22 
>  PyKDE4 is not ported yet to Python3, увы.

Опять бидонисты своей несовместимостью гадят.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 19:20 
>PyKDE4 is not ported yet to Python3, увы.

Да с фига ли?
[ebuild   R    ] kde-base/pykde4-4.11.5:4/4.11 [4.11.5:4/4] USE="examples semantic-desktop (-aqua) -debug -doc {-test}" PYTHON_TARGETS="python2_7 python3_3 -python2_6 -python3_2" 0 kB

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 09:39 
вот бы випнет фаервол и керио ещё на линукс портировали
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 09:42 
Керио вроде есть давно.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено AlexYeCu_not_logged , 28-Апр-14 10:23 
Зачем?
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено YetAnotherOnanym , 28-Апр-14 10:42 
Випнет, скорее всего, для бумажки, без которой не дадут работать, нащот керио ничо не могу сказать, не пользовался.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено upf , 28-Апр-14 10:57 
> Випнет, скорее всего, для бумажки, без которой не дадут работать, нащот керио
> ничо не могу сказать, не пользовался.

Кирюшу под вендами пользовал еще на 98 - тормозной убогий монстр, хотя работает. На XP сравнивал нагрузку на проц между керио и wipfw при активном трафике - ~40-50% и 3-4% соответственно. После чего забыл про эту гадость навсегда :) Накой ляд он в линуксах - непонятно ...

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 11:04 
випнета фактически нету со времён rhel 4
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено YetAnotherOnanym , 28-Апр-14 15:57 
> випнета фактически нету со времён rhel 4

Хы, прикольно:
На компьютере должна быть установлена ОС Linux одного из следующих дистрибутивов:
    Linux XP 2008 Desktop Secure Edition;
    RedHat Enterprise Linux 4.0 AS;
    Open SuSe Linux 11.1;
    SuSe Linux 10.0;
    SuSE Linux Enterprise Server 10.0;
    SuSe Linux Enterprise Server 10.0 SP1, SP2;
    Slackware Linux 10.2 (только ядро 2.4.31);
    Slackware Linux 12.0 (только ядро 2.6.16.52 с ftp://kernel.org);
    Ubuntu 8.04 LTS Desktop;
    Debian Etch 4.0 r1.
(https://www.infotecs.ru/products/catalog.php?SECTION_ID=&ELE...)
Позорники :D

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено linux must _RIP__ , 28-Апр-14 16:10 
> випнета фактически нету со времён rhel 4

как человек писавший его код - могу сказать что портировать VipNet на любое ядро - дело месяца.
К слову под Win32/Solaris/Linux жил один и тот же код..

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Forth , 28-Апр-14 19:37 
Как человек, учившийся на курсах по випнету и потом по долгу работы использовавший это поделие, код у вас отвратный был. Эта хренотень роняла ядро в кернел-паник под нагрузкой. А техподдержке было глубоко наплевать. Продукт продан.
Адовый интерфейс управления всей этой байдой я вообще вспоминаю с ужасом.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено linux must _RIP__ , 28-Апр-14 20:18 
это вопросы к москве :-) Нас к исправлению ошибок не допускали. Да и в то время когда его писал - 100мбит нагрузки он держал легко.

А как восстанавливали код управления ключевой инфой - это была отдельная песня..

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 20:42 
> это вопросы к москве :-) Нас к исправлению ошибок не допускали. Да
> и в то время когда его писал - 100мбит нагрузки он
> держал легко.
> А как восстанавливали код управления ключевой инфой - это была отдельная песня..

шутка была не о пригодности вашего поделия к использованию, а о засирании линукса тоннами мутного дерьма лишь бы впарить лохам

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 20:43 

> А как восстанавливали код управления ключевой инфой - это была отдельная песня..

тут ещё писали про песню о коде на крестах в ядре


"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Forth , 28-Апр-14 20:59 
> это вопросы к москве :-) Нас к исправлению ошибок не допускали. Да
> и в то время когда его писал - 100мбит нагрузки он
> держал легко.
> А как восстанавливали код управления ключевой инфой - это была отдельная песня..

О. А я задавался простым вопросом какого хрена оно такое. Кучка дос-говна на винде.
Ларчик просто открывался. :) спасибо.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Forth , 28-Апр-14 21:02 
З.Ы. Лет 10 уже прошло. Время летит, блин.


"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 29-Апр-14 03:03 
> Ларчик просто открывался. :) спасибо.

А ты ожидал что линукс-хрип будет работать в нормальной конторе и к тому же будет делать работу качественно. Ты посмотри на эту рожу и сообщения оного и подумай, хочешь ли ты доверить свою тушку ТАКОМУ индивиду.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 13:10 
> Випнет, скорее всего, для бумажки, без которой не дадут работать,

Без бумажки ты букашка, а с бумажкой - человек? Впрочем, да, у нас в старне все условия для ведения бизнеса. Вон пример Дурова подтверждает лишний раз.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено клоун , 28-Апр-14 14:20 
Дуров продавал акции до тех пор, пока не потерял контрольный пакет и соотв. контроль над компанией. Новое руководство посчитало его кандидатуру неудобной на посту ген.дира. По прогнозам, доходы компании при новом руководстве вырастут в 3-5 раз. Так ли уж новый акционер не прав?
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено YetAnotherOnanym , 28-Апр-14 15:37 
> По прогнозам, доходы компании при новом руководстве вырастут в 3-5 раз.

Ну, то по прогнозам...

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 16:06 
> Дуров продавал акции до тех пор, пока не потерял контрольный пакет и
> соотв. контроль над компанией.

Если тебе зажать мягкие части тела в тиски и начать выживать - ты тоже будешь продавать акции, когда тебя задолбает.

> По прогнозам, доходы компании при новом руководстве вырастут

Э не, чувак! В таких вещах все эти бла-бла не котируются. Вот когда и если вырастут - вот тогда и приходите. Ну и вообще, учить ведению бизнеса создателя стартапа который из грязи в князи контору поднял - очень интересная идея. Вон в оригинале цукерберг живет себе. Потому что в странах с вменяемым правителством понимают что не надо лезть в дела бизнеса. А у нас как обычно - слон в посудной лавке. А потом и удивляются - как же так, денег в бюджете нет?!

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено клоун , 28-Апр-14 16:20 
Есть разница между стартапом и ведением построенного бизнеса. Период стартапа у ВК прошёл. Возможно, Дуров хороший стартапер (один раз не показателен), но как руководитель стабильной компании он слабый.

Акции - страшная штука. Вот вы начали дело и у вас 100%, никто вам не указ. Вы продали немножко, у вас 80%. Акции дорожают в цене, соблазн заработать растёт. И вот у вас уже 60%, 40%, 20%... Чужие и неудобные вам люди выкупают 40% акций с рынка и ещё 10%+1 акцию у вашего лучшего друга по ОЧЕНЬ привлекательной для него цене. И в этот момент компания становится уже не ваша, а их. Что??? Как??? Когда??? Предатель!!! Это не честно!!! Меня обманули!!! Ну-ну... И вот уже эти люди диктуют вам что вы должны (именно должны) делать. Из лидера проекта и руководителя вы превратились в обычного наёмного сотрудника. Не все могут и готовы продолжать работать в изменившихся условиях. Вы допродаёте последние оставшиеся у вас акции, увольняетесь, уезжаете из страны... Прощай, Дуров.

И политики в этом никакой нет. Тупо бизнес, тупо деньги, тупо купил-продал.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено axe2 , 28-Апр-14 17:27 
да, как обычно вам бы только воду мутить.
Дуров сам сказал, что причина ухода - давление на него со стороны акционеров и ФСБ, в частности, требования закрыть группу Навального.
Будем считать что он наврал, найдем подтверждения.
1.Давление акционеров - пруфов даже искать не нужно, их полно.
2.Закрытие группы Навального -  вот пруф. Группа не закрыта. http://vk.com/rospil?z=photo129244038_326295605%2Fwall-...

А по поводу продажи доли. Наступает момент, когда нужно докупить еще 1000 серверов, нанять еще сисадминов и докупить место на площадке, а денег на балансе у стартапа (уже/еще) нет. Вот тогда остается только продавать.
Кроме того, если присмотреться к крупному бизнесу в нашей стране, то можно сделать вывод, что при достижении серьезного размера, уже нужна крыша, т.е. мажоритарный акционер, который будет решать дела с органами и прочими неприятностями и возможно откроет кампании новые возможности, и без такого акционера можно неожиданно спикировать вниз.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено клоун , 28-Апр-14 17:59 
> уже нужна крыша, т.е. мажоритарный акционер, который будет решать дела с органами и прочими неприятностями и возможно откроет кампании новые возможности

Можно вывезти негра из гетто, но гетто из негра - никогда.

Как наёмный рабочий, вы даже представить не можете как можно не иметь руководителя.

Отсюда и ваше "когда нужно докупить". Есть цели, есть средства их достижения. Не все цели нужно достигать. Цена достижения некоторых целей может быть крайне завышена. Напр. купить авиабилет за 5 минут до вылета СИЛЬНО дороже, чем за 5 месяцев до вылета. Насколько это "нужно" решает руководитель. Если руководитель считает нужным потерять контроль над компанией ради достижения иных целей - это его выбор.

Про давление я уже написал: не все могут и готовы продолжать работать в качестве наёмного работника. Также как вы не понимаете как можно не иметь руководителя, другие не понимают как можно подчиняться руководителю.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено axe2 , 28-Апр-14 18:46 
я 8 лет был не наемным рабочим, а работодателем.
Ваши диванно-теоретические фантазии с целями, самолетами и прочим трэшем с переходом на личности лучше оставить при себе.
Я знаю, что значит "нужно докупить", в отличие от вас, и что этот момент, в случае стартапа,  не всегда прогнозируем. И могу свидетельствовать, что присутствие некого лица, в качестве свадебного генерала, который ничего не делает кроме как числится в списке соучередителей ООО, уже дает +100 к любой деятельности по всей локации. Это наша российская действительность.
У Дурова, скорее всего не было выбора, даже будь у него деньги на развитие - глупо считать, что деньгами в нашей стране можно решить все проблемы.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено клоун , 28-Апр-14 19:08 
Важно быть, а не занимать. Вы, судя по вашей болтовне, занимали. Поэтому и в прошедшем времени. Не ваше это. Ваше - подчиняться. И ещё жену найти требовательную. Жизни в которой над вами не висит скалки жены или дрюкалова руководства вы себе не представляете. И вы правы, "выбора у вас нет".

То, что вы называете "свадебным генералом", официально называется "аппелированием к руководству". Это один из способов решения проблем у наёмного персонала, когда никчемная сущность ссылается на высший закон или решение руководителя или на сам факт наличия руководителя, который эту самую низшую сущность может размазать.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено axe2 , 28-Апр-14 20:46 
...
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 22:36 
Очередной торгаш возомнил из себя бога. Пипец
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 29-Апр-14 03:27 
> Очередной торгаш возомнил из себя бога. Пипец

Прикольно смотреть как он свое лузерство пытается оправдывать.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 29-Апр-14 03:26 
> Есть разница между стартапом и ведением построенного бизнеса.

Да, наши усвоили уже - построенный бизнес можно попытаться у *лоха* *ОТЖАТЬ*, по понятиям, если денег и/или властишки много. Главное чтобы кусок был жирный, а лох не мог дать эффективный отпор. И вот государство вместо того чтобы ЗАЩИЩАТЬ бизнес от посягательств и рейдеров ... занимается вещами, которые в других странах называют рэкетом, рейдерством, вымогательством, злоупотреблением служебным положением и просто коррупцией. Кстати, попробуй на досуге представить себе американского президента, роняющего акции гугла на миллиард путем заявлений о том что гугл, дескать, неправильно работает. Ну там невовремя партнерит с русскими и прочими китайцами, например.

> Период стартапа у ВК прошёл. Возможно, Дуров хороший стартапер
> (один раз не показателен), но как руководитель стабильной компании он слабый.

Загвоздка только в том что с управленцами в РФ вообще все плохо. А Дурова ушли вовсе не за то какой он там руководитель. А за то что не пожелал превращать свое детище в очередной "первый канал", отказываясь удалять "неудобную" информацию и прочее. Т.к. видимо догадывался, что после этого бизнесу наступит крындец, ибо аудитория желает отнюдь не "первый канал, но в интернете", с репортажами с полей и рассказами про рост ввп. С таким управлением бизнес скорее всего постепенно загнется. На эффективность госкорпораций можно посмотреть - она никакая. Живут они только если есть сотни нефти которые добываются почти бесплатно а продаются по высокой цене, или если им вливают из бюджета, чтобы не окочурились окончательно.

> Акции - страшная штука.

В данном случае явно имел место нажим на акционеров со стороны государства, ну а акционеры показали что они - ссыкливые лузеры, так что стали давить на Дурова.

> вы превратились в обычного наёмного сотрудника.

Обрати внимание, Дуров продал свой пакет акций только недавно, когда его задолбало. При этом он и на компанию забил, и из страны сваливает. Резонно считая что в стране где государство ОТЖИМАЕТ бизнес, как только он становится успешным - вести бизнес нецелесообразно.

> И политики в этом никакой нет.

Оно и видно. Правда у Цукерберга почему-то бизнес никто не отжимает.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено клоун , 29-Апр-14 11:27 
В своё время Джобса выперли из Apple при похожих обстоятельствах. И основателей Starbucks из созданной ими компании тоже.

Президенты США акции не роняли, а глава ФРС (местный Центробанк) уже не раз и не два. Думаете компаниям есть разница из-за чьего базара их акции упали?

> РФ вообще все плохо

Так почему, почему вы всё ещё в РФ, если вам так плохо??? Или, может быть, вам нравится, когда вас унижают? Вы испытываете сексуальное удовольствие видя как грабят других людей на ваших глазах? Ничем иным, кроме вашего извращённого способа получения удовлетворения, ваши фантазии я объяснить не могу.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 29-Апр-14 17:51 
> В своё время Джобса выперли из Apple при похожих обстоятельствах.

Похожих - это каких?! Джоббс отказался делать пакости своим пользователям под нажимом ЦРУ? А пруф? И где Джоббс вопил что в США невозможно вести бизнес? А старбаксы чего не так сделали? Отказались подсыпать крысиный яд наиболее неугодным гражданам в еду? И, конечно, их заявления о невозможности вести бизнес ты тоже как пруф найдешь? А то Дуров это заявил просто прямым текстом. Ты, конечно, извини, но его словам доверия как-то сильно больше чем всяким подстилкам и холуям. Все-таки он компанию создал и срубил на этом много денег. И стало быть знает толк в ведении бизнеса. В отличие от подстилок, которые на форум спамят за гроши.

> Президенты США акции не роняли, а глава ФРС (местный Центробанк) уже не раз и не два.

Что-то не припоминаю в штатах в последние десятилетия грубых дефолтов наподобие того на котором я 2/3 бабла потерял за отсутствием денег в банке.

> Так почему, почему вы всё ещё в РФ, если вам так плохо???

Хороший вопрос. Я над ним подумаю. Ибо текущие закручивания гаек все больше нагибают возможности сколь-нибудь комфортно и результативно работать. ИМХО дальше станет только хуже.

> Или, может быть, вам нравится, когда вас унижают?

Нет, мне не нравится. Поэтому меня уже посещают подобные мысли. Ибо за последние пару лет уважаемое правительство сделало абсолютно все, чтобы сделать мою жизнь сложнее и менее комфортной.

> удовольствие видя как грабят других людей на ваших глазах?

Нет, мне это не нравится, однако у меня нет какого либо действенного метода остановить это. Тех кто пытается что-то вякать - беспринципно гасят с использованием админресурса и бешеного принтера. В результате такой "деятельности" если ты не газпром - в самом лучшем случае тебя просто игнорируют. В хучшем - делают какие-нибудь гадости по законодательной линии или вообще отжимают бизнес, если он того стоит.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено linux must _RIP__ , 28-Апр-14 16:08 
VipNet (если мы говорим о продукции Infotecs) - портирован на Linux еще в 2001-2003 году.
включая поддержку iplir sockets для IDS, и криптуху Домен-К.

Если они это похерили - можно порыться по старым винчестерам найти исходники. Но кто их сертифицироваться будет?

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено anonus , 28-Апр-14 18:15 
Живее всех живых. Для ГИС ГМП юзается тока так. Сто штук одна железка стоит для консьюмера.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено axe2 , 28-Апр-14 18:54 
> VipNet (если мы говорим о продукции Infotecs) - портирован на Linux еще
> в 2001-2003 году.
> включая поддержку iplir sockets для IDS, и криптуху Домен-К.
> Если они это похерили - можно порыться по старым винчестерам найти исходники.
> Но кто их сертифицироваться будет?

VipNet поставляется в т.ч. и на линуксе. Координатор, например. А випнет терминал - коробочный ПАК на линуксе.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено linux must _RIP__ , 28-Апр-14 20:20 
>> VipNet (если мы говорим о продукции Infotecs) - портирован на Linux еще
>> в 2001-2003 году.
>> включая поддержку iplir sockets для IDS, и криптуху Домен-К.
>> Если они это похерили - можно порыться по старым винчестерам найти исходники.
>> Но кто их сертифицироваться будет?
> VipNet поставляется в т.ч. и на линуксе. Координатор, например. А випнет терминал
> - коробочный ПАК на линуксе.

ну и лана :) а iplir sockets они запустили таки или нет?

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 21:01 
> VipNet (если мы говорим о продукции Infotecs) - портирован на Linux еще
> в 2001-2003 году.

нy-ка сканпелируй его на чём-то вышедшем после 2010-го года. Или пакеты предъяви. Вышел и сгинул. Слава Торвальцу и его нестабильному апи.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено anono , 30-Апр-14 05:58 
На сколько знаю, Керио с восьмой версии ТОЛЬКО под линукс делается и распространяется в виде Virtual Appliance. Речь о сервисе, а не о клиентах.
На хабре было упоминание недавно http://habrahabr.ru/company/kerio/blog/220859/
Там в комментариях это обсуждается.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 10:03 
Теперь у нового поколения администраторов будет основание для того, чтобы держать графику на сервере. Вин кору выкладывает, а линукс наоборот в графику лезет....
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Пингвино , 28-Апр-14 10:31 
А еще за серверами будут сидеть специально обученные мартышки, которые будут динамически менять правила фаервола
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Evil_Scientist , 28-Апр-14 10:42 
fail2ban например?

динамически менять правила фаервола???
ой-ёй-ёй!!!

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Пингвино , 28-Апр-14 12:36 
Нет, надо ручками и через графический интерфейс
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено zero , 28-Апр-14 12:24 
ага, админы с автоматом за спиной каждого сотрудника :))) - система то не серверная!
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 12:52 
>>Теперь у нового поколения администраторов

Нет. Теперь обычные юзеры получат инструмент контроля за своей системой. Раньше либо все запрещай либо все разрешай, а о безопасности и приватности позаботились те, кто напихал в твой дистр "все эти программы".

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 13:48 
Ну и что сделает обычный стиральный^W пользователь глядя на первую картинку в новости? Разрешить или запретить надо?
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено karapuz2 , 28-Апр-14 15:11 
Зависит от контекста.

Если картинка выскочила просто так, во время серфинга, набора документа или копирования порно с Васиной флешки - то должен нажать "Запретить". Если юзер качал, собирал и запустил spotify - то должен нажать "Разрешить". Так что мозг никто не отменял: только лишь удобней стали ручки управления системой.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 15:40 
Обычные пользователи уже качают-запускают-компилируют софт? Это что-то оригинальное. Текст картинки наверху, пользователь баба-маня которая может сказать что компьютер что-то хочет а что я не понимаю и яничегонетрогала. Что эта баба-маня может сделать осмысленное в данной ситуации?
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено karapuz2 , 28-Апр-14 16:06 
Задолбали бабы-няни. Они всеравно не используют линукс, сидят на windowsXP "потому что так привычней", sims 2 запускаются, и там вордик правильно открывает кучу каких-то документов типа "сводка за работы по плану 2001.xls" или "vtb24_tariffs.xls", а либра открывает неправильно. И вирусы-локеры и всякое ад-спай-мал-варя там кочуют через флешки, эти самые вордики-макросы и дырявый аутлук; и все уже с этим смирились, все просто фигачат на непонятные кнопки, никто не заморачивается на deny и allow, в угаре делают дефрагментацию и ставят по два антивируса. Зачем в эту атмосферу вносить линукс с фаерволом, кто-то объыяснит?

А там, где поставят линукс, захотят файервол - то удобный интерфейс управления маст хев

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 16:14 
Отлично. Теперь у нас дистр с нормальными репами, и не бабкой, а каким-то не совсем обычным пользователем(средненьким таким). Где собирают-проверяют ментейнеры софт и ничего лишнего в систему не тащится. Зачем в этом случае такой красивый фаервол? либо пользователь туп и он не знает что жать, либо он сам тащит всякую бяку^W ppa к себе в систему и понимает что делает.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено karapuz2 , 28-Апр-14 16:23 
Ну это как с apparmor и selinux, я думаю. Предустановленные правила, плюс возможность настройки. Дополнительный способ защиты (или геморроя, как поглядеть). В репах всеравно не положишь все, ибо религия и лицензии.
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 16:41 
если человек способен нормально собирать себе софт, то ему тем более сабж нафиг не упёрся: он в курсе, как для новой софтины сделать песочницу, откуда она никуда не вылезет.
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Etch , 29-Апр-14 04:07 
Я умею делать песочницы для софта, но всё-равно предпочёл бы на десктопе такой вот удобный графический интерактивный интерфейс.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 19:59 
А вот полез ты в интернет через фирефокса и он тебе подряд несколько таких окошек с разными ипшниками выдал. Что делать будем? Разрешать все? Открывать хтмлку и все скрипты с страницы и проверять надо ему туда или нет?
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 22:41 
> Обычные пользователи уже качают-запускают-компилируют софт? Это что-то оригинальное.

Чувствуется тяжелая судьба эникейщика... Но да, обычные пользователя умеют качаь и запускать софт, знают что такое файл папка и сайт. Те, с кем тебе приходится мучаться - не пользователи. Это как обычный водитель и тот, кто умеет только завести машину, но че делать дальше не знает.


"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 10:52 
Пускай будет.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Okay , 28-Апр-14 11:01 
Джва года, да какие два -- гораздо больше, ждал такого в линуксе.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Led , 29-Апр-14 01:24 
> Джва года, да какие два -- гораздо больше, ждал такого в линуксе.

С третьего класса?

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 11:08 
и зачем эта фигня нужна? O_O
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 28-Апр-14 11:17 
> и зачем эта фигня нужна? O_O

Можно вспомнить молодость, агнитум виндозный :)

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 11:31 
я года три, мало четыре (а может и больше) назад решил повспоминать. сделал PoC на основе LD_PRELOAD, простые гуя на Qt, отладил и выкинул. оно таки работало, и работало неплохо, но было совершенно бесполезно.

впрочем, для юзеров всяких бубунт, где что ни попадя куда попало данные сливает, может, и будет полезно. хотя лучше бы они шли назад в любимую винду.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 28-Апр-14 13:18 
> сделал PoC на основе LD_PRELOAD,

Так не пойдет, это довольно просто обойти. У нормальных фаеров энфорсмент в ядре, чтобы халявных методов дурилова не было. И, кстати, как там с оверхедом? А то когда какой-нить торрент на хренадцати мегабитах вольет несколько тысяч PPSов, вопрос станет достаточно интересным.

> выкинул. оно таки работало, и работало неплохо, но было совершенно бесполезно.

Ну вот это пожалуй главная проблема.

> сливает, может, и будет полезно. хотя лучше бы они шли назад
> в любимую винду.

Не, спасибо, кэп, но хоть я и использую хубунту, что-то не хочется мне в винду. Сам туда иди, имхо (да, MS может собой гордиться - "туда посылают").

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 14:20 
> Так не пойдет

ну да, вот всё бросил и сразу начал ядерный драйвер писать. ;-) говорю же, что PoC. мне, собственно, более интересно было тогда с LD_PRELOAD поиграться, а не фаер наваять.

> хоть я и использую хубунту

но прилюдно-то зачем в этом признаваться?!

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 28-Апр-14 16:28 
> LD_PRELOAD поиграться, а не фаер наваять.

А, понял :). Я тоже так поигрался, написав нечто типа логгера/обрубалки файловых операций, только гуй мне в таких вещах совсем ни к чему, чисто тулза посмотреть "а что эта прога в ФС хотела сделать".

Еще ради прикола научился чертыхаться в библиотеке при ее запуске как исполняемого файла, как это glibc делает (да, glibc можно запустить как исполняемый файл и получить некий вполне осмысленный отлуп). На самом деле мне было интересно проверить один древний трюк, который в винде приводил в определенных условиях к созданию процесса-невидимки, так что можно было озадачить даже опытного админа, выкидывая что-нибудь типа мсгбоксов из процесса которого категорически нет в таскманагере. Заметьте, никаких руткитов, никакого хака. Сугубо закидоны в работе системы, нечто между багом и фичой, приводит к созданию процесса который нигде явно не числится, но - выполняется. Что очень удобно в некоторых случая :). Пингвин не винды, на дешевые уловки не покупается.

> но прилюдно-то зачем в этом признаваться?!

Затем что слов из песни не выкинешь :). Да и в конечном результате один фиг с дебианом, только меньше костылить надо.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 16:37 
> да, glibc можно запустить как исполняемый
> файл и получить некий вполне осмысленный отлуп

угу, я знаю. забавно иногда народ удивлять.

> Пингвин не винды, на дешевые уловки не покупается.

ну да, если что-то есть в системе, то оно есть в /proc (руткитованость не считаем, конечно).

на винде иногда чертовски не хватает такого. это ж надо: чтобы посмотреть, кем открыто файло, надо аж целую софтину ваять, которая дёргает недокументированое апи. не говоря уж о том, что апдейт библиотеки без закрытия софтины — шишки с две.

то есть, можно, конечно: заюзаную dll переименовать, положить новую, при следующем запуске софтины проверить, если ли переименованная, удалить. и это у них НОРМАЛЬНО, йопт.

а ещё они там аж целый атрибут «удалить файло по закрытию» придумали (который тоже работает через задницу, кстати). вместо обычного unlink() — и дальше система сама.

временные файлы, кстати, полезно сразу unlink()ать. чтобы даже если софтина рухнет, за ней в /tmp срача не оставалось. на винде затрахаешься это нормально сделать.

и fork() там нет тоже.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 29-Апр-14 04:02 
> угу, я знаю. забавно иногда народ удивлять.

Ну вот мне стало интересно как такое делать, чтобы "dll" еще и как нормальный исполняемый файл засчитывалась :).

> ну да, если что-то есть в системе, то оно есть в /proc
> (руткитованость не считаем, конечно).

Ну да. Простыми дешевыи трюками обмануть не получилось.

> на винде иногда чeртовски не хватает такого. это ж надо: чтобы посмотреть,
> кем открыто файло, надо аж целую софтину ваять, которая дёргает недокументированое
> апи. не говоря уж о том, что апдейт библиотеки без закрытия
> софтины — шишки с две.

Ну да. А я себе мониторинг частот GPU вообще примитивным циклом на шеллскрипте накoлхозил - опенсорсный драйвер вывешивает частоты и вольтажи как просто файлик. Так что можно из г-на и палок сделать мониторинг GPU за ...цать секунд и без спецутилит. Это я баг с реклоком относительно старых GPU от AMD изучал. Правда, как оказалось, надо было кернел посвежее взять - там баг уже починили, быстрее чем я его зарепортил. Лол.

> то есть, можно, конечно: заюзаную dll переименовать, положить новую, при следующем
> запуске софтины проверить, если ли переименованная, удалить. и это у них НОРМАЛЬНО, йoпт.

Ага, гeмор. В пингвине достаточно снести файл и записать поверх свой. ФС сама отпустит стертую копию когда та перестанет использоваться. Кстати, упоминавшийся тут sysdig просекает такое - я в его трассировке чесал репу, что за deleted файл? Оказывается, я версию проги проапдейтил, но одна старая копия работала и в памяти болталась. Sysdig достаточно умный чтобы это распознать и честно написать - стертый файл.

> а ещё они там аж целый атрибут «удалить файло по закрытию» придумали
> (который тоже работает через зaдницy, кстати). вместо обычного unlink() — и
> дальше система сама.

Да я в курсе что там это через ж. Вообще удивительно как можно на ровном месте столько проблем сделать.

> временные файлы, кстати, полезно сразу unlink()ать. чтобы даже если софтина рухнет,

А новые модные O_TMPFILE сносятся сами без такого "хинтинга"? А то фича интересная, но не проверял как оно в таких случаях работает.

> за ней в /tmp сpaча не оставалось. на винде затpaхaешься это нормально сделать.

Там вообще все что связано с установкой софта - совершенно нездоровый тpах на ровном месте. MSI installer например - вроде бы почти как пакетный манагер. Но попросить у него "а я вот хочу zlib, версии не менее чем N" - фигвам. Ну и толку с такого "пакетного манагера"? Зато програмится так люто что есть отдельный класс разработчиков - "сетаперы". Они, кстати, MS обычно не любят. "Ну вы же понимаете что это - Microsoft" :)).

> и fork() там нет тоже.

А это вообще прикол. Хочешь усложнить портировнаие программы на винду - форкайся :). Я как-то не очень представляю себе как его полный аналог сделать из того что есть. А цыгвин его реализует, кстати?

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 02-Май-14 17:55 
>> и fork() там нет тоже.
> А это вообще прикол. Хочешь усложнить портировнаие программы на винду - форкайся
> :). Я как-то не очень представляю себе как его полный аналог
> сделать из того что есть. А цыгвин его реализует, кстати?

Если правильно помню, то форкнуться в винде можно, но это за пределами Win32 API, надо системные вызовы напрямую дёргать.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 02-Май-14 22:11 
> Если правильно помню, то форкнуться в винде можно, но это за пределами
> Win32 API, надо системные вызовы напрямую дёргать.

толком всё равно не получится. Небет в своё время в книге показывал косой и кривой неполный эмулятор форка на native API, но оно имело ограничений и было напрямую зависимо даже от сервиспака, а не просто от версии винды, потому что недокументированые системные структуры правило.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 02-Май-14 22:14 
> Ну вот мне стало интересно как такое делать, чтобы "dll" еще и
> как нормальный исполняемый файл засчитывалась :).

chmod +x libmylib.so ;-)
на второй и сложный не отвечаю! (ц)

> А новые модные O_TMPFILE сносятся сами без такого "хинтинга"? А то фича
> интересная, но не проверял как оно в таких случаях работает.

я не в курсе, относительно новые фичи не использую, жду, пока везде расползётся. а то ifdef'ы не радуют.

>> и fork() там нет тоже.
> А цыгвин его реализует, кстати?

только в виде «fork() и сразу exec()», насколько помню, другое API звать не стоит.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено pavel_simple , 28-Апр-14 14:32 
>> сделал PoC на основе LD_PRELOAD,
> Так не пойдет, это довольно просто обойти. У нормальных фаеров энфорсмент в
> ядре, чтобы халявных методов дурилова не было.

это не про сей модуль, например он игнорирует фильтры всего акромя tcp/udp

И, кстати, как там
> с оверхедом? А то когда какой-нить торрент на хренадцати мегабитах вольет
> несколько тысяч PPSов, вопрос станет достаточно интересным.

ядерный модуль даёт профит в данном случае _только_ для трафика проходящего мимо машины -- потому-что обработка (в случае torrent-клиента) пакета будет происходить всё-равно в userspace и контекст всё равно будет меняться -- поэтому можно сделать вывод что при прочих равных обработка трафика на уровне ядра и через LD_PRELOAD будет занимать одинаковые ресурсы.

>> выкинул. оно таки работало, и работало неплохо, но было совершенно бесполезно.
> Ну вот это пожалуй главная проблема.
>> сливает, может, и будет полезно. хотя лучше бы они шли назад
>> в любимую винду.
> Не, спасибо, кэп, но хоть я и использую хубунту, что-то не хочется
> мне в винду. Сам туда иди, имхо (да, MS может собой
> гордиться - "туда посылают").

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 14:38 
потенциально мой вариант был даже быстрее, потому что общался по нормальному unix socket, а не через идиотский дбас.
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 28-Апр-14 16:38 
> это не про сей модуль, например он игнорирует фильтры всего акромя tcp/udp

А остальное можно вообще зарезать КЕМ на фаере без особых потерь. MS вон в приступах паранои RAW сокеты вообще в винде пристрелил совсем. Правда избавление от головной боли методом гильотины понравилось не всем и теперь продвинутый сетевой софт появляется больше под пингвинов и т.п, где raw сокеты можно.

> машины -- потому-что обработка (в случае torrent-клиента) пакета будет происходить
> всё-равно в userspace

Не понял. Где обработка в юзерспейсе будет? У обычного айпитаблеса+нетфильтра вроде все в ядре, юзермод пакет покинет когда прога его отправить захочет. После чего его возьмет в оборот ядро и там уже нетфильтр может что-то с ним сделать. Или не сделать.

> и контекст всё равно будет меняться --

В каком месте? Я не допираю.

> и через LD_PRELOAD будет занимать одинаковые ресурсы.

Что-то у меня нет такой уверенности. Наиболее логичным и прямым видится иметь дело с пакетами в нетфильтре или где-то рядом.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 16:39 
он говорил про сабж, а не про нормальные механизмы. ;-)
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено pavel_simple , 28-Апр-14 18:24 
> Что-то у меня нет такой уверенности. Наиболее логичным и прямым видится иметь
> дело с пакетами в нетфильтре или где-то рядом.

294, вот смотри

есть два случая обработки прафика - два флоу

1. L2 + L3 + netfilter + этот модуль фильтрации -> (передача в юзерспэйс проге) c library socket syscall
2. L2 + L3 + netfilter + (передача в юзерспэйс проге) c library socket syscall + LD_PRELOAD

т.е длина обработки одинакова по шагам, контекст переклюается и в 1-ом и втором случае один раз.

при прочих равных -- имеется ввиду что код для обработки фильтрации один и тот-же , хотя на самом деле обработка на уровне userspace значительно проще -- плюс нет странных вызовов с целью получиnь fd->socket->pid->path

причём нет проблем обрабатывать socket любого рода, вплоть до того-же netlink, плюс сам netlink насколько я знаю до сих пор не гарантирует гарантированную доставку (хотя не встречался с потерями при работе с ним)

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 28-Апр-14 21:59 
Автор pohmelfs в своё время что-то такое вертел. Можно в его проектах посмотреть.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Нанобот , 28-Апр-14 11:34 
не прошло и двадцати лет, как осилили прикрутить к iptables функцию обучения
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено zero , 28-Апр-14 12:27 
> не прошло и двадцати лет, как осилили прикрутить к iptables функцию обучения

Почему к iptables? к сотруднику ее прикрутили, для его обучения паранойи :)))

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 21:04 
> не прошло и двадцати лет, как осилили прикрутить к iptables функцию обучения

пшёл вон обратно на вантуз

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено rob pike , 28-Апр-14 11:42 
А шейпера такого нету случайно?
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 12:10 
ТАКОГО, нет и не надо. Пусть на ncurses ваяют.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено rob pike , 28-Апр-14 13:04 
Насчет не надо - есть разные мнения.
А на ncurses неудобно будет.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 13:19 
> А шейпера такого нету случайно?

Домохозяйкам не требуется шейпер. А тем кому требуется - обычно могут его и как правила в виде текста накидать.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено rob pike , 28-Апр-14 14:15 
> Домохозяйкам не требуется шейпер

Еще как требуется.
Только удобный, динамический и наглядный, а не man tc.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено виндотролль , 28-Апр-14 15:01 
> Только удобный, динамический и наглядный, а не man tc.

у тебя здесь противоречивые требования

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 15:46 
>> Домохозяйкам не требуется шейпер
> Еще как требуется.
> Только удобный, динамический и наглядный, а не man tc.

Хм. Стесняюсь спросить а где посмотреть этот клёвый шейпер в виде готового к употреблению? В цисках как-то развели вагон очередей, маркировок, hqf, cbwfq, llq, fifo и прочие wrr. И простенького-наглядного как-то не получается.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 17:47 
Виндовый немецкий cfosspeed
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено rob pike , 28-Апр-14 19:00 
Это всё что есть?

Хочется более удобно управляемого, но не это даже главное.
Главное - сам шейпер должен [в первую очередь] находиться в роутере, а в систем трее одной (или нескольких) из клиентских машин сети - только им рулилка (а-ля transmission). Хотя и на клиентских машинах шейпер не помешает тоже - но это не так принципиально.

Я уж обрадовался увидев там "список стран, провайдеров и роутеров-модемов", а это просто тупо перечисление "наши клиенты успешно пользуются нашим софтом даже в горно-алтайске".

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 22:00 
>Главное - сам шейпер должен [в первую очередь] находиться в роутере, а в систем трее одной (или нескольких) из клиентских машин сети - только им рулилка (а-ля transmission)

Ставь машину с виндой и делай сеть, проблемы-то какие? Документации тоже хватает, когда есть желание тонкой настройки http://www.cfos.de/en/cfosspeed/reference/filter.htm
Есть режим кооператива, когда cfos стоит на конечных клиентах одной сети и в зависимости от нагрузки на сеть шейпит их всех (p2p, да)
>Хотя и на клиентских машинах шейпер не помешает тоже - но это не так принципиально.

Моя позиция в случаи домашнего применения - шейпинг на клиентах это 60% юзкейсов. Хотите гибче - покупайте нормальный роутер с развитой вебмордой и настраивайте шейпинг. Мало? Делайте из дохложелеза роутер и пердольте его как вам угодно. Чудес-то не бывает. Но cfos со своей задачей (vpn/pppoe на машине юзера) справляется на отлично. Как пример, во времена моего adsl (128/128kbit) играя не сервера моего прова в q3 имел задержку ~25 мс. Включал закачки в модных тогда dc-клиентах, забивая полностью канал, и без лагов играл, правда задержка возрастала до 90 мс. После такого примера у меня отпали вопросы о нужности шейпера. И да, из настроек для перестраховки перетянул ползунок слайдер правее напротив автоматически созданного правила для кваки, дабы повысить приоритет до максимума. Больше настроек не делал. А вот теперь представьте себе в какой геморрой выльется обычному пользователю настроить шейпер в linux в случаи такого применения

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено rob pike , 28-Апр-14 22:35 
>Ставь машину с виндой и делай сеть, проблемы-то какие?

А простой и удобной рулилки нет даже в этом гипотетическом случае.

>Документации тоже хватает, когда есть желание тонкой настройки

Это смех один. тот man tc, только чуть в профиль и для гиков, только чуть менее умных.
Приоритетами разных приложений как мне порулить, если они через те же порты по тому же http ходят?

>Моя позиция в случаи домашнего применения - шейпинг на клиентах это 60% юзкейсов

И торрентокачалка тут же убивает всех.

>Хотите гибче - покупайте нормальный роутер с развитой вебмордой и настраивайте шейпинг

А нету. В лучшем случае там в вебморде будет ручка к tc, только урезанная.

>Мало? Делайте из дохложелеза роутер и пердольте его как вам угодно

Нам угодно слайдер подвинуть в трее - "вот этому приложению" сейчас дать чуть побольше.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 23:14 
>А простой и удобной рулилки нет даже в этом гипотетическом случае.
>И торрентокачалка тут же убивает всех.

Сообщения читаем выборочно по словам?
>Приоритетами разных приложений как мне порулить, если они через те же порты по тому же http ходят?

Как обычно в винде. Фаерволы, фильтрующие по приложениям тебя не смущают? Ну и тут также. Двигай ползунки напротив нужной апликухи, выставляй приоритет. Не хочешь по приложениям, ну фильтруй layer-7, cfosspeed их умеет много и разные протоколы
>А нету. В лучшем случае там в вебморде будет ручка к tc, только урезанная.

Серебренную пулю никто не придумал, что поделать. Но вот немцы, на мой взгляд, к ней вполне приблизились

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 29-Апр-14 17:55 
> Ставь машину с виндой и делай сеть, проблемы-то какие?

Что он вам такого сделал что вы ему винду для сетевых вещей советуете?

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено rob pike , 28-Апр-14 19:04 
А просто и наглядно сделать как раз непросто.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 16:41 
> Только удобный, динамический и наглядный, а не man tc.

Я как-то не совсем хорошо понимаю как должен работать динамический наглядный шейпер. Шейперы даже на уровне базовой логики могут являть кластерфак, а если еще и динамический - и подавно.

Простой вопрос: допустим суммарная емкость канала 10 Мбит. Пусть я разрешил одной проге при запросе жрать 7 мегабит. А второй - 8. А что если я их вместе запущу - что шейпер должен при этом сделать? Каков ожидаемый результат? В статических схемах распихивания траффика по классам я еще могу понять что должно быть. А вот так - чего ожидается и как это должно работать?

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено rob pike , 02-Май-14 22:13 
>Пусть я разрешил одной проге при запросе жрать 7 мегабит

Не надо так. Приоритеты выставляются относительные, этого будет достаточно пользователю.
В вашем примере - доступная полоса поделится между вашими двумя приложениями (если они оба запущены и оба упираются в трафик, разумеется) приложениями в соотношении семь к восьми.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Кирилл , 28-Апр-14 12:51 
А нафига это?
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 12:56 
> А нафига это?

так мало ли, какое говно из всяких «ppa» накачаешь. получается как в винде — натасканая из интернетов помойка. вот и делают для идиотов иллюзию защиты.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 28-Апр-14 13:21 
Ну вон openssl - вроде не откуда попало скачан, а таки свинью может подложить огого какую. Слив память процесса в сеть. Что у клиента, что у сервера.
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Кирилл , 28-Апр-14 13:26 
К чему этот пример? Он к теме никакого отношения не имеет.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено pavlinux , 28-Апр-14 13:16 
Мож чего просмотрел, но
тут
https://github.com/Douane/douane-dkms/blob/master/douane.c#L849
и тут
https://github.com/Douane/douane-dkms/blob/master/douane.c#L867

утечка памяти, размером sizeof(struct network_activity)
---

И если присылать коннекты с битыми хередарами  


switch(ip_header->protocol)
    if (udp_header == NULL)
       ...
    if (tcp_header == NULL)
        ...

А структура-то жирная ... более  16 кило на один коннект  


struct network_activity {
  int   kind;  // 4
  char  process_path[PATH_MAX * 4]; // 4 раза по 4096 (нахера?!!!)  
  int   allowed; // 4
  char  devise_name[16]; // 16 
  int   protocol; // 4
  char  ip_source[16]; // 16
  int   port_source; // 4 
  char  ip_destination[16]; //16
  int   port_destination; // 4
  int   size; //4 
};


То заДоСить можно быстро ...

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 14:23 
ну так вантузоиды же, руки из жопы.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 16:49 
> (нахeра?!!!)

И правда. Не проще было хранить PID и ресольвить оный в путь только если юзеру надо  показать и/или 1 раз при применении логики можно/нельзя, если уж им хочется ее по "путь к процессу" считать?

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено pavel_simple , 28-Апр-14 18:35 
>[оверквотинг удален]
>   char  devise_name[16]; // 16
>   int   protocol; // 4
>   char  ip_source[16]; // 16
>   int   port_source; // 4
>   char  ip_destination[16]; //16
>   int   port_destination; // 4
>   int   size; //4
> };
>
> То заДоСить можно быстро ...

да через жопу написано, во первых ipv4 , во вторых только tcp и udp -- т.е. остальные пропускает.

изпользуется не netfilter, как фреймворк -- а прямой хук.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 13:24 
а как же firewalld?
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 13:24 
Наконец то что то подобное появилось. Десктоп становится все юзабельнее.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Кирилл , 28-Апр-14 13:27 
> Наконец то что то подобное появилось. Десктоп становится все юзабельнее.

"Десктоп" давно уже никому не нужен. А кому нужен -- есть Мак.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 13:30 
Как обычно диванные аналитики говорят за всех.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 13:33 
> есть Мак.

И кому он нужен кроме гламурных кpeтинов с сомнительными сексуальными предпочтениями? Для разработчиков и продвинутых пользователей там нет ничего интересного, в отличие от пингвинов, где и либы/хидеры просто вкатить, и куча открытого софта и исходников всегда под рукой, и с автоматизацией и возможностями кастомизации все на высоте, так что можно подогнать рабочее окружение для эффективной работы. А у эппла ничего этого нет. Есть только корпорастивное жлобство и желание всем рулить. Ничем принципиально от MS с виндой не отличается.


"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 14:25 
>> есть Мак.
> Для разработчиков и продвинутых пользователей там нет ничего интересного

надеюсь, ты никогда не узнаешь, сколько весьма нехилых разработчиков используют маки. это просто разрушит весь твой мир.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 28-Апр-14 14:51 
> надеюсь, ты никогда не узнаешь, сколько весьма нехилых разработчиков используют маки.
> это просто разрушит весь твой мир.

И сколько? Ты посчитал? :)

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 15:17 
> И сколько? Ты посчитал? :)

нет, не посчитал. но частота, с которой я натыкаюсь на фразы типа «на моём макбуке» от людей, которые занимаются некислыми вещами (в том числе разработкой компиляторов и всякими другими «не особо прикладными блокнотами с медиаплеером»), вгоняет меня в беспросветное уныние.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено chinarulezzz , 28-Апр-14 15:25 
>> И сколько? Ты посчитал? :)
> нет, не посчитал. но частота, с которой я натыкаюсь на фразы типа
> «на моём макбуке» от людей, которые занимаются некислыми вещами (в том
> числе разработкой компиляторов и всякими другими «не особо прикладными блокнотами
> с медиаплеером»), вгоняет меня в беспросветное уныние.

верим на слово.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 16:42 
> верим на слово.

у тебя есть точно такие же интернеты, как и у меня, ничего секретного.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено chinarulezzz , 28-Апр-14 16:50 
>> верим на слово.
> у тебя есть точно такие же интернеты, как и у меня, ничего
> секретного.

эти интернеты рассказывают что факты расходятся с твоими заявлениями, от того и верим :)

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 17:07 
> эти интернеты рассказывают что факты расходятся с твоими заявлениями

ах, если бы… а то ведь в последние несколько лет читаешь-читаешь умного человека, а тут он «на моём макбуке»… и всё, дальше читать невозможно, противно.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено chinarulezzz , 28-Апр-14 17:17 
>> эти интернеты рассказывают что факты расходятся с твоими заявлениями
> ах, если бы… а то ведь в последние несколько лет читаешь-читаешь умного
> человека, а тут он «на моём макбуке»… и всё, дальше читать
> невозможно, противно.

прекрати пытать и выложи этого мерзафца сюда)))

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 17:19 
> прекрати пытать и выложи этого мерзафца сюда)))

как будто я сохраняю линки на макофилов.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 28-Апр-14 16:52 
> «на моём макбуке» от людей, которые занимаются некислыми вещами

Вон у торвальдса тоже "на моем макбуке". Правда там федора.

> (в том числе разработкой компиляторов и всякими другими «не особо
> прикладными блокнотами с медиаплеером»), вгоняет меня в беспросветное уныние.

Это наверное какие-то высокопарные академики в основном, из которых хорошие теоретики но хреновые практики. Такие запросто могут быть спецом в своей сфере и полным ламо во всех остальных смежных областях. Видал таких. Печальная картина - один "крутой про" почтарем MS аутглюк использовал. Не, не офисный, экспресс из винды. Ломающий цитирование в перепеписке. И я уж не знаю какой они компилер пишут, но это явно не gcc, ибо там objective C эппловский вообще где-то задвинут и развивается по остаточному принципу.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 17:08 
> Это наверное какие-то высокопарные академики в основном, из которых хорошие теоретики но
> хреновые практики.

вообще-то с точностью до наоборот, гыг.

> И я уж не знаю какой они компилер пишут

D. ну, и LDC, само собой.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 29-Апр-14 04:11 
> вообще-то с точностью до наоборот, гыг.

Ну я видел таких индивидов - они хороши в теории в какой-то узкой области. И полные лузеры во всех остальных областях, так что зачастую для них самые простые вещи, известные даже виндовому эникею - внезапность и рокетсайнс. Типа упомянутого случай, когда гражданин не мог цитирование нормально настроить в своем аутлук экспрессе и гадил в список рассылки дико кривыми сообщениями, чем всех задолбал. Т.е. вполне можно быть вроде как ценным кадром, но при этом - вполне себе инвалидом интернета, хуже чем виндовый эникей (неглупый эникей знает где аутлук эксспресс подкручивать).

> D. ну, и LDC, само собой.

А, ну мне он как-то пока индифферентен. Тогда понятно почему он так хило развивается - на маке оно никому не надо, у них там свой objective C, а кто не согласен с мнением фюрера - расстрел. А иметь дело с макофагами со стороны линуха и прочее - удовольствие сильно ниже среднего, имхо. Т.к. большинство макинтошников довольно долбанутые товарищи, имхо. Они или просто дуралеи как наш кирилл, или упомянутые "инвалиды интернета" и прочие, которые за пределами своей узкой области шагу ступить не могут, что делает общение с ними крайне мучительным и неприятным процессом.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено rob pike , 02-Май-14 22:16 
>гражданин не мог цитирование нормально настроить в своем аутлук экспрессе

А что, его там таки можно было по-человечески настроить?
Fidolook появился просто так, от нечего делать?

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Кирилл , 28-Апр-14 17:37 

> знаю какой они компилер пишут, но это явно не gcc, ибо
> там objective C эппловский вообще где-то задвинут и развивается по остаточному
> принципу.

Эпл был основным спонсором gcc )))

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 29-Апр-14 04:12 
> Эпл был основным спонсором gcc )))

А, вот почему gcc 4.7...4.9 так в развитии втопили - от спонсора избавились.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 28-Апр-14 16:52 
Да что там фразы, на Опеннете примеров уйма - новость о каком-нибудь открытом ПО, а скриншот из Мака.
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 29-Апр-14 04:13 
> открытом ПО, а скриншот из Мака.

Скриншоты тут самые разные бывают. И из винды,  и из мака, и из линя. А мак - не открытое ПО сам по себе. Их система вполне себе проприерасия не хуже винды.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Кирилл , 28-Апр-14 15:25 
> И сколько? Ты посчитал? :)

Все.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 28-Апр-14 16:53 
> Все.

Вас в детстве не учили что врать нехорошо? Хотя чего желать от всяких маковых пи....

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Кирилл , 28-Апр-14 15:20 
Как бы помягче -- ВСЕ. Буквально. Это основная платформа раб. места нормально оплачиваемого разраба.
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 15:25 
> Как бы помягче -- ВСЕ. Буквально. Это основная платформа раб. места нормально
> оплачиваемого разраба.

ну да, проприетарщик любит проприетарщину.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Кирилл , 28-Апр-14 15:35 
> ну да, проприетарщик любит проприетарщину.

Я люблю то, что мне удобней. А так, разрабатываем мы на Питоне, Яве, Оракле и Си. Мак как готовая платформа то, что мне надо. Как серверная платформа, конечно же, для наших задач лучше всего Линукс, но тут уж заказчик диктует свои условия, которые чаще всего не отличаются здравостью.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 16:43 
> Мак как готовая платформа то, что мне надо.

вообще, удивляюсь людям, у которых такие унифицированные потребности.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 28-Апр-14 17:04 
> вообще, удивляюсь людям, у которых такие унифицированные потребности.

Мечта корпораса: потребитель который кушает ровно то что производится и взаимозаменимый человеко-винтик на рабочем месте.

Есть только одна проблема: это удобно для корпораса, но очень плохо для, собственно, винтика. Потому что приходится ходить строем и трястись как осиновый лист что вышибут с работы.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Кирилл , 28-Апр-14 17:31 
А что вам такого уникального нужно от компа? Просто интересно. Мак, как железка, удобен в моём случае. И Мак ОС меня полностью устраивает. Венда в своё время -- нет. А Мак то, что надо: надёжно, никогда не сбоит, всё работает идеально, стоит дёшево.
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 17:54 
> А что вам такого уникального нужно от компа?

нормальная рабочая среда. собственно, мак не подходит уже по самому первому признаку: наличию удобного оконного менеджера. это я ещё даже не добрался до кучки софта и скриптов, некоторые из которых написаны на моих скриптовых языках, каковые (интерпретаторы скриптовых языков и софт) на маке не собираются вообще. и пихать туда маковые ifdef'ы я не хочу.

> А Мак то, что надо:
> надёжно, никогда не сбоит, всё работает идеально, стоит дёшево.

чтобы у меня сбоил пингвинус… дай припомню… да, с годик назад один раз иксы рухнули из-за кривых нвидиевых дравйверов, да лет так десять назад ядро запаниковало из-за того, что я учился писать ядерные модули и посчитал, что мой модуль можно уже совать не в виртуалку, а в рабочую систему.

вот я и удивляюсь, насколько у людей унифицированные предпочтения, что их устраивает почти «стоковая» система. меня — не устраивает. я отчего-то уверен, что это техника должна подстраиваться под мои привычки, пусть даже самые дурацкие, а не я должен подстраиваться под то, что авторы ОС посчитали удобным.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено rob pike , 28-Апр-14 20:00 
Хотя бы нормальную клавиатуру.
Хотел продолжить "с трекпойнтом", но мак отпадает уже на предыдущей строчке..
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 29-Апр-14 09:18 
> А что вам такого уникального нужно от компа? Просто интересно.

Мне вот пингвин сильно упрощает
1) Все что связано с установкой и обновлением софта. Мощный пакетный менеджер - это хорошо. Мои затраты времени на поддержание софта в актуальном состоянии, без дыр и прочее сократились в разы.
2) В пингвине можно вкатить опенсорсные либы и хидеры считанными командами пакетному манагеру. Это очень удобно.
3) И сорцы "вот этой программы" можно посмотреть в момент. Очень удобно: если я вижу нужную мне фичу в другой программе, я могу немедленно глянуть "как оно сделано".
4) Система не враждебна к подгонке под себя и модификациям. Если надо что-то изменить - это по крайней мере можно. А не как у эппла и мс, где пересобрать системные компоненты из сорцов вообще не вариант в общем случае.
5) Разрабатывать под пингвин логично и удобно из пингвина.
6) Только Linux версия libusb умеет детачить ядерные драйвера от устройства. А виндовая и маковые версии данной чудной либы делаются вообще по остаточному принципу. Откуда вытекает простой момент: разрабатывать всякий кастом работающий с USB в пингвине проще всего.

> Мак, как железка, удобен в моём случае. И Мак ОС меня полностью устраивает.
> Венда в своё время -- нет. А Мак то, что надо:

Не вижу принципиальных отличий - подход к делу у обоих контор довольно одинаковый.

> надёжно, никогда не сбоит, всё работает идеально, стоит дёшево.

А вот это что такое, не знаешь? https://trac.transmissionbt.com/ticket/5668#comment:1
Свежак на тему "ничего не сбоит". И вот такой дребедени "ваша программа роняет систему" (во тyпые фаготы!) в багтрекеры приезжает регулярно.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 28-Апр-14 17:02 
> Мак как готовая платформа то, что мне надо.

Обуеть какое обоснованное мнение - какой-то один Кирилл единомоментно за всех решил как им должно быть удобнее. Я что-то не помню чтобы вы меня спрашивали. А поскольку я работаю не бесплатно, но мака у меня нет, я имею все основания заявить что вы, сударь, ЛЖЕЦ.

> Как серверная платформа, конечно же, для наших задач лучше всего Линукс,

А вот вы знаете, мне например удобнее хорошо знать 1 систему чем средне-паршиво 2 напрочь разных. И вообще, у ваших яблок гнилая сердцевина. Постоянно в багтрекеры программ яблочники гадят "ваша программа роняет систему!!!1111".

> но тут уж заказчик диктует свои условия, которые чаще всего
> не отличаются здравостью.

Как раз использование линукса - здравомыслящему человеку вполне может прийтись по вкусу, ибо там нет единого рабовладельца который всем будет диктовать единственно верную точку зрения, систему можно изогнуть под совершенно разные задачи, так что ее освоение очень здорово воздается, целым букетом новых возможностей. Которые ни на каких маках и виндах в жизни не реализуешь. Ну я вот например запускаю вполне полноценный линух на платах размерами с кредитную карту. Где ваши маки и маздаи будут на таком оборудовании? Правильно, гусары, молчать!

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 28-Апр-14 16:55 
> Это основная платформа раб. места нормально оплачиваемого разраба.

А вон та толпа оплачиваемых разработчиков линукса, например, это что, мой глюк? Я, кстати, тоже не бесплатно работаю и получаю скорее всего здорово поболее вашего. Но ваш сocyчий мак мне нафиг не упал. Потому что огороженная система, с очередным рабовладельцем, решения которого just in case хрен оспоришь. Да еще опенсорс называют презрительным homebrew, выродки.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Кирилл , 28-Апр-14 17:33 
> А вон та толпа оплачиваемых разработчиков линукса, например, это что, мой глюк?

Но они тоже предпочитают Маки. Я уже пару лет не видел ни одного разраба без Макбука.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено rob pike , 28-Апр-14 20:57 
Это многое говорит о вашем круге общения. А больше мало о чем.
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 29-Апр-14 02:59 
> Но они тоже предпочитают Маки.

Это наглый пиндеж, ибо разрабатывать под линух не из линуха - дикий изврат и куча мучений на ровном месте. Как максимум разработчики линя могут использовать железку от эппла, но крутиться там будет пингвин, по упомянутым причинам. Эталонный пример - Торвальдс.

А вон автор фороникса юзал мак, но DE у него была убунта в виртуалочке, т.к. DE мака ему не нравилось. А теперь перец перешел на асусовый ноут и убунту с юнити без всяких виртуалочек как основную машину. Что, макофаг, поистекай батхертом по этому поводу?

> Я уже пару лет не видел ни одного разраба без Макбука.

Зато я видел навалом. И?

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Кирилл , 28-Апр-14 15:26 
>> есть Мак.
> И кому он нужен кроме гламурных кpeтинов с сомнительными сексуальными предпочтениями? Для
> разработчиков и продвинутых пользователей там нет ничего интересного, в отличие от
> пингвинов, где и либы/хидеры просто вкатить, и куча открытого софта и
> исходников всегда под рукой, и с автоматизацией и возможностями кастомизации все
> на высоте, так что можно подогнать рабочее окружение для эффективной работы.
> А у эппла ничего этого нет. Есть только корпорастивное жлобство и
> желание всем рулить. Ничем принципиально от MS с виндой не отличается.

БСД ничем не отличается от Венды?

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 17:06 
> БСД ничем не отличается от Венды?

А мак - не бсд. Они надергали кода из оной, но не более того. В целом же макось - некий довольно самобытный гибрид ужа с ежом. И тоже клозетт-сорс, как и винда. Так что по большому счету отличие в основном в замене рабовладельца. И человек с мозгом и самоуважением никогда не согласится на рабовладельца над собой, который за него будет решать что и как должно быть в его системе, без права оверрайда и с всяким западлом типичным для проприетарщиков.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Гость , 28-Апр-14 15:04 
сделали бы оповещения через dbus и можно было бы клепать гуи на любом тулките.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Кирилл , 28-Апр-14 15:22 
> сделали бы оповещения через dbus и можно было бы клепать гуи на
> любом тулките.

Да сделают наверняка. Но, опять же, это нужно сферическому пользователю в вакууме.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 16:29 
> сделали бы оповещения через dbus и можно было бы клепать гуи на любом тулките.

«Реализация достаточно проста и сводится к инициированию диалога по D-Bus и отправке обратно сделанного пользователям выбора»

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Antonim , 28-Апр-14 15:36 
А мне понравилась архитектура самого проекта. Модульность и разумный подход для средств реализации. Критичные к скорости и отзывчивости вещи на С, чуть менее критичные на плюсах и некритичные на питоне. Не очень, правда, понятна привязка плюсов к Gnom'у...

Но возникает вопросы  - а с помощью AppArmor это нельзя решить?Ну или SELinux?
А помещение запроса от программы в NF_QUEUE не может никак стек тормознуть?
Интересно ещё - от кого запускается диалог запроса правил и конфигуратор.
Т.е. темы интерфейса рута нужно будет синхронизировать с основной?

Для распространения линукса вещь полезная.Плюсик им.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 16:47 
нормальные люди это решают так, например: для довереного софта — обычный пользователь. для недоверенного, если захотелось — или вообще песочница, или пользователь, которому выход в интернеты обрезан iptables'ом, пусть сидит в локалхосте.

а сабжевая перделка бесполезна чуть менее, чем полностью: чайник всё равно не поймёт, что она от него хочет, а продвинутый пользователь на машине бардака не разводит.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 28-Апр-14 17:08 
> нормальные люди это решают так, например: для довереного софта — обычный пользователь.
> для недоверенного, если захотелось — или вообще песочница,

Вообще отдельная VM :). Если даже все сгорит синим пламенем - чертыхнусь и откачу на снапшот. Заодно может наздоровье все данные с VM тырить. С таким же успехом можно стырить данные с нулевой инсталляции системы и без вламывания ко мне :)

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Xaionaro , 28-Апр-14 22:22 
> Вообще отдельная VM :). Если даже все сгорит синим пламенем - чертыхнусь и откачу на снапшот. Заодно может наздоровье все данные с VM тырить. С таким же успехом можно стырить данные с нулевой инсталляции системы и без вламывания ко мне :)

Читали про L3 cache side-channel attack-и? :)

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено rob pike , 29-Апр-14 20:31 
Давно уж. С тех пор что же, противоядия так и не нашли?
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 19:15 
Можно. Был где-то платный gui к selinux делающий примерно тоже самое.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 16:28 
Теперь можно запретить игропрогам из вайна посещять интернет (включая 80) ?
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 16:49 
> Теперь можно запретить игропрогам из вайна посещять интернет (включая 80) ?

а что, до этого никак? хинтую: заводишь юзера wine. запускаешь вайн только под ним. в стартовые системные скрипты вписываешь:


iptables -A OUTPUT --match owner --uid-owner wine --destination 127.0.0.1/8 --jump ACCEPT
iptables -A OUTPUT --match owner --uid-owner wine --protocol tcp --jump DROP
iptables -A OUTPUT --match owner --uid-owner wine --protocol udp --jump DROP
iptables -A OUTPUT --match owner --uid-owner wine --jump DROP

наслаждаешься тем, что юзер wine имеет доступ только к няшному локалхосту.

делов-то, тьфу…

p.s. тьфу, йопт. не надо брать пасту из своих конфигов и чистить с устатку.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено rshadow , 28-Апр-14 19:10 
Бесспорно в линуксе в консоли можно сделать все, и намного лучше гуев. Но свобода выбора между убогим и простым гуем и всевластным, но требующим знаний скриптом, меня радует. Каждому свое. Прибивать гвоздями хотелки фанатиков это не наш метод.
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 28-Апр-14 19:47 
кагбэ сабж — вообще из другой оперы.
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 28-Апр-14 22:25 
протокол матчить не нужно, достаточно последней строчки
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 29-Апр-14 09:59 
Еще проще - Wine не нужно.
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 29-Апр-14 13:36 
> протокол матчить не нужно, достаточно последней строчки

я ж говорю — на скорую руку выдернул. у меня в скрипте правила сильно сложнее, матч протокола остался от того, что некоторые порты открыты.

но перемудрил конечно, да.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 22:27 
"предоставляет интерфейс" ?
да таких проектов/пактов в линукс - вагон ?
чем FireStarter не угодил, к примеру ?
или слаковские или мандировские/rosa/magei-овские фронтэнды, популярные ? :)

p.s.
чем-то оно лучше zorp ? fwsnort ?
в плане митигации и адаптабельности(а не в стиле касперски файрвол и ко - замянять свою работу - ручной работой(мышкой !! :) пользователя).
не думаю.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 22:34 
почем вы после каждой строчки ставите знак вопроса, вы семит с лишней хромосомой?
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 29-Апр-14 09:59 
> почем вы после каждой строчки ставите знак вопроса, вы семит с лишней
> хромосомой?

Вы сами с собой разговариваете?

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 29-Апр-14 10:00 
>> почем вы после каждой строчки ставите знак вопроса, вы семит с лишней
>> хромосомой?
> Вы сами с собой разговариваете?

Да.

"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 29-Апр-14 12:44 
очевидно-неочевидные/спорные моменты для автора :)
хромосомы семитов - оставьте в покое, несемитская морда !
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 28-Апр-14 22:41 
Тем что речь это не динамические фаерволы, а лишь конфигураторы для iptables, программы-посредники или просмотрщики логов ? Ни один из них не приостанавливает запрос до согласия пользователя.
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 29-Апр-14 12:45 
так о том и речь.
этих DE-фронтэндов - МОРЕ.
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 29-Апр-14 13:39 
«динамический фаервол» — это ублюдочное порождение винды. в винде всегда помойка, запускают что попало, бедная программа не может сама решить, что кому можно — и задалбывает пользователя. в пингвинусе это бесполезно. разве что для «тупых свитчеров», которые любую систему мгновенно в винду превращают.
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 29-Апр-14 14:00 
Под Linux разной гадости, требующей контроля, всё больше и больше. Проприетарные мессанджеры, софт из PPA и левых репозиториев, наводнение играми, которые молча пытаются что-то отправлять по сети, плагины которые пытаются сами тянуть обновления.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 29-Апр-14 14:11 
но зачем ставить всё это говно? я и говорю: любую систему в винду превращают.
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 29-Апр-14 18:00 
> Проприетарные мессанджеры,

Ну разрешил ты скайпу все вообще. Ибо отдельные рулесы устанешь прописывать. А он потом возьмет и сопрет /etc/passwd в пользу АНБ "for teh greater good". И чем тебе фаер с такими правилами поможет? Ни ты, ни фаер не знаете как выглядит левый пакет с стыреным файлом, ибо протокол недокументированный.

"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 30-Апр-14 15:31 
да нету там никаких "динамических файрволов" в винде-то )
в ХР - пародия на файрвол была а до него - ВООБЩЕ не было.
а с Висты начиная и дальше - скорее клон netfilter чем что-нить актуальное.
вот в ISA и Endpoint и десктопных версиях - там да и адаптивно и все свистелки, включая DPI, есть.
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено arisu , 30-Апр-14 15:38 
так я ж не про то, что там из коробки идёт.
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено Аноним , 01-Май-14 16:03 
аааа. так такой проприетарь - и под Линукс есть. увы. и даже пара GPL2 софтин, есть.
"Открыт код Douane, динамического межсетевого экрана для..."
Отправлено rob pike , 02-Май-14 22:21 
А можно ссылочек?
"Открыт код Douane, динамического межсетевого экрана для Linu..."
Отправлено Аноним , 30-Апр-14 15:29 
так в том и беда с новостью.
в заголовке "динамический межсетевой экран" а в теле - описание релиза фронт-энда(одного из сотни) к NetFilter, ни разу не динамического, кстати :) динамика кликанья, пользователем в UI этого монстра - не в счет :-)