The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Выпуск пакетного фильтра nftables 0.9.1, opennews (??), 26-Июн-19, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


4. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от Аноним (4), 26-Июн-19, 00:45 
Серьёзный вопрос: кто-то это вообще использует? Потому что у меня сложилось впечатление, что разработчики netfilter живут в каком-то своём особом мире, где кроме них никого нет.

Т.е. иметь firewall типа pf из OpenBSD было бы очень круто, но тут это, как и всегда в Linux, сделано наполовину и через жопу.

Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск пакетного фильтра nftables 0.9.1"  +2 +/
Сообщение от Fyjybv755 (?), 26-Июн-19, 00:51 
"Не скопипастить то, к чему я привык" == "сделать через жoпу", ок.
Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от Аноним (61), 26-Июн-19, 13:09 
>"Не скопипастить то, к чему я привык" == "сделать через жoпу", ок.

Копипаста тут не причём. Я к тому, что NFTables не доделан и зачастую работает не так как надо.

Ответить | Правка | Наверх | Cообщить модератору

74. "Выпуск пакетного фильтра nftables 0.9.1"  –1 +/
Сообщение от пох. (?), 26-Июн-19, 17:45 
как будто iptables доделан и работает как надо...

просто за 20 лет хотя бы все привыкли мимоходом уворачиваться от граблей.

Ответить | Правка | Наверх | Cообщить модератору

77. "Выпуск пакетного фильтра nftables 0.9.1"  +2 +/
Сообщение от Аноним (77), 26-Июн-19, 19:26 
Вы таки неправы! Когда я пишу

add set     inet fw input_lan_tcp_services { type inet_service ; }
add element inet fw input_lan_tcp_services { ... }
add rule  inet fw input_tcp \
        ip saddr @lan_list_4 \
        tcp dport @input_lan_tcp_services \
                accept

я ожидаю вполне понятного поведения. Только оно, ссссамка собаки, нихера не работает. Причём бяда в том, что оно иногда сколько-то работает, а потом устаёт, зараза.

Но если написать


define input_lan_tcp_services = { ... }
add rule  inet fw input_tcp \
        ip saddr $lan_list_4 \
        tcp dport $input_lan_tcp_services \
                accept

оно стабильно работает. В iptables/ipset косяков подобного рода я не помню.

Ответить | Правка | Наверх | Cообщить модератору

79. "Выпуск пакетного фильтра nftables 0.9.1"  –1 +/
Сообщение от пох. (?), 27-Июн-19, 10:09 
ну, конкретно такого не было (впрочем, учитывая простоту манипуляции и эффективность обычных правил, ipset для таких задач и не был особо там нужен, актуально становилось когда список без конца надо менять, а содержимого там не на один экран), а "устать" оно тоже вполне умело - всю 2.4 серию у меня периодически кончались какие-то внутренние статические структуры (надо отдать должное - оно хотя бы об этом говорило в логи, но результат один - reboot, они не освобождались никогда)

там в другом месте недоделанно - половина того, что можно якобы матчить - не работает, вторая половина - работает неправильно. И, разумеется, в документации об этом ничего нет или просто наврано (ее вообще писали другие люди, отдельные от разработчиков, под неодобрительное фырканье тех, что "вы ничего в этом не понимаете и вообще все не так" и без малейших попыток объяснить).
Посмотрите исходники nf_nat_proto_gre - поплачете за компанию. 20 гре6анных лет!

Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от Аноним (10), 26-Июн-19, 01:03 
В большинстве дистрибутивов уже стоит nftables, от iptables только "переходники" в nftables.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

89. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от . (?), 27-Июн-19, 14:46 
в большинстве васян-роллингов, больных рачем - уже. Поправил, не благодари.
А, к примеру, в тоже не чуждой бегу впереди паровоза бубунте LTS - еще не совсем.

обмазываться свежайшим да еще в принудительном порядке любят не одни только лишь все.

Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск пакетного фильтра nftables 0.9.1"  +2 +/
Сообщение от Sw00p aka Jerom (?), 26-Июн-19, 01:06 
как по мне лучше уж старый добрый синтаксис  iptables, ip6table, arptables.
у pf не плохой, но хотелось бы немного строгой иерархичности.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

38. "Выпуск пакетного фильтра nftables 0.9.1"  +1 +/
Сообщение от kvaps (ok), 26-Июн-19, 09:18 
Evolution is better than stagnation!

Синтаксис nft гораздо проще и лаконичнее, а главное един для всего семейства протоколов, в отличии от iptables/ip6tables/arptables/ebtables/'что-то ещё tables'

Не бойтесь переучиваться, просто возьмите и попробуйте.

Для упрощения понимания и миграции существующих правил есть xtables-compat.

Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск пакетного фильтра nftables 0.9.1"  +3 +/
Сообщение от пох. (?), 26-Июн-19, 10:10 
угу-угу, revolution прямо. Главное ведь не доделывать брошенное еще в 2002м. (да, обещанного rules tester  так и не осилили - "as soon as possible" надо читать как примерно-никогда)

> Синтаксис nft гораздо проще и лаконичнее

угу, размазать на десять строк то что помещалось в одной - проще и лаконичней, особенно когда добавить туда скобочек, которые для шелла имеют специальное значение и требуют экранирования. А sed/awk вы пользоваться все равно никогда не умели, как и разработчики этого ненужно.

> Не бойтесь переучиваться, просто возьмите и попробуйте.

попробовал - г-но. Предназначено для тех, за кого все делает доскер, systemd-firewalld и интуитивно-приятный cockpit к нему. И что дальше?

> Для упрощения понимания и миграции существующих правил есть xtables-compat.

жалко только, что неработающий.

и так у этих мартышек - все.

Ответить | Правка | Наверх | Cообщить модератору

76. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от Ordu (ok), 26-Июн-19, 18:02 
> добавить туда скобочек, которые для шелла имеют специальное значение и требуют экранирования.

А там есть скобочки? Здесь в примерах только {}, то есть фигурные, их разве надо экранировать? Я никогда их не экранировал, и у меня проблем с этим не было. Нужно начать экранировать?

Ответить | Правка | Наверх | Cообщить модератору

80. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от пох. (?), 27-Июн-19, 10:18 
Note that the following characters are also treated specially by the shell and must be quoted if they are to represent themselves: \, ", ', #, $, ', ~, {, }, *, ? and [.
это ksh, но есть и другие шеллы отличные от единственного вам известного.

(в bash совершенно античеловеческая логика угадава, в каком случае { спецсимвол, а в каком точно не, поэтому горе-авторы nft так и не узнали, что и в нем он тоже может иметь специальное значение - башем-то они тоже вряд ли умеют пользоваться по настоящему, mc в нем запускают в лучшем случае)

> Нужно начать экранировать?

если скрипты писать - да, нужно. Иначе от перестановки мест слагаемых внезапно могут произойти забавные спецэффекты. То же самое для '!' - где-то он просто текст, а где-то нет ;-)
Если mc запускать - то, конечно, нет.

nft вы точно не будете управлять через вручную набираемые команды, они совершенно нечитаемые.

Ответить | Правка | Наверх | Cообщить модератору

83. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от Ordu (ok), 27-Июн-19, 12:08 
> это ksh, но есть и другие шеллы отличные от единственного вам известного.

Кому нужен этот ksh? Если ты идёшь перпендикулярно мейнстриму, да ещё и в системном администрировании, то ты должен быть готов к проблемам.

> nft вы точно не будете управлять через вручную набираемые команды, они совершенно нечитаемые.

А мне нравится. Видимая без специального обучения структура команды -- это круто и шаг вперёд. А проблемы шеллов -- это проблемы шеллов. Гоняться за обратной совместимостью да ещё и до уровня лишь бы лишний символ не экранировать -- это отличный способ остаться навечно в unix-философии. Бррр.

Ответить | Правка | Наверх | Cообщить модератору

84. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от пох. (?), 27-Июн-19, 12:13 
> Кому нужен этот ksh?

системным администраторам, кому же еще.
Модные разработчики ведь не читали Пайка и вообще "у них мак".

> Если ты идёшь перпендикулярно мейнстриму

мейнстрим у нас нынче - это то что альтернативно-одаренные грантопилы выкатят на лопате? Системные средства разрабатываются не для админа, а для еще более лучшего запихивания в них нескучных api? А, ну да. А потом вы удивляетесь что те, кому по должности положено обслуживать ваши поделки, их почему-то не любят.

> А мне нравится. Видимая без специального обучения структура команды -- это круто и шаг вперёд.

жаль что она совершенно нечитаемая и понять те примитивные примеры что в новости требует пристального вглядывания, ага.

А юникс не нужен, да, жрите вашновыйстандарт.

Ответить | Правка | Наверх | Cообщить модератору

87. "Выпуск пакетного фильтра nftables 0.9.1"  –1 +/
Сообщение от Ordu (ok), 27-Июн-19, 13:30 
>> Если ты идёшь перпендикулярно мейнстриму
> мейнстрим у нас нынче - это то что альтернативно-одаренные грантопилы выкатят на
> лопате?

Мейнстрим, это то что понятно любому квалифицированному админу без дополнительного обучения. Дополнительное обучение -- это время, а время -- деньги.

> А потом вы удивляетесь что те, кому по должности положено обслуживать ваши поделки,
> их почему-то не любят.

Задача админа не любить поделки, а обслуживать их. Ему деньги за любовь не платят.

>> А мне нравится. Видимая без специального обучения структура команды -- это круто и шаг вперёд.
> жаль что она совершенно нечитаемая и понять те примитивные примеры что в
> новости требует пристального вглядывания, ага.

Ага. Я очень тебе сочувствую. Честно-честно.

Ответить | Правка | Наверх | Cообщить модератору

90. "Выпуск пакетного фильтра nftables 0.9.1"  +1 +/
Сообщение от . (?), 27-Июн-19, 15:00 
> Мейнстрим, это то что понятно любому квалифицированному админу без дополнительного обучения.

вы опять перепутали квалифицированного админа с девляпсом.

у квалифицированных админов во-первых нет проблем с пониманием скриптов на ksh (даже если они им отродясь не пользовались, впрочем, это таки вызывает некоторые опасения за их квалификацию), во-вторых они знают про спецсимволы.
Кстати, проблем с пониманием правил iptables у них тоже быть не может, даже если они вчера его man прочитали.

> Задача админа не любить поделки, а обслуживать их. Ему деньги за любовь не платят.

будешь есть свой бигмак - учти, в него плюнул сперва повар, потом работник на кассе. Им деньги не за любовь к своей работе платят, и они ее - как правило, ненавидят, как и потребителей бигмаков.

К счастью, системы управления действительно сложными и опасными инфраструктурами проектировали и обслуживают в основном совсем другие категории людей. Но чем дальше, тем больше шансы, что и там понаберут тех, кому "деньги не за любовь платят", и чья единственная задача - закрыть таск и уйти домой ровно  в 18:00.1 - именно по этой причине я очень нервничаю, слыша про очередные прожекты впихивания в них линупcoв.

> Ага. Я очень тебе сочувствую. Честно-честно.

мне-то зачем, я это г-нецо эксплуатировать не буду, нигде и никогда - а что там доскер с фиревалдой с ним творят и как оттуда [не] экспортируется json - мне глубоко похрен. Все равно эти поделки не предназначены для ручного вмешательства. Чинить, если поломаются, я их тоже не планирую, мне за это не заплатят. Сломалось - ждите ебилдов, ну или не ждите, я вам не разработчик. Могу версию на предыдущую откатить, если, конечно, это не бубунточка с единственно-верной.

Сочувствуйте тем, кто еще любит свою работу и вынужден переходить на "новый стандарт".

Ответить | Правка | Наверх | Cообщить модератору

92. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от Ordu (ok), 27-Июн-19, 15:13 
>> Мейнстрим, это то что понятно любому квалифицированному админу без дополнительного обучения.
> вы опять перепутали квалифицированного админа с девляпсом.
> у квалифицированных админов во-первых нет проблем с пониманием скриптов на ksh (даже
> если они им отродясь не пользовались, впрочем, это таки вызывает некоторые
> опасения за их квалификацию), во-вторых они знают про спецсимволы.
> Кстати, проблем с пониманием правил iptables у них тоже быть не может,
> даже если они вчера его man прочитали.

У вас есть странное понимание об админстве. Админство -- это часть бизнеса, а это значит, что аргументы вида "девляпс" не релевантны. Такого рода аргументы могут работать только на опеннете.

> К счастью, системы управления действительно сложными и опасными инфраструктурами проектировали
> и обслуживают в основном совсем другие категории людей. Но чем дальше,
> тем больше шансы, что и там понаберут тех, кому "деньги не
> за любовь платят", и чья единственная задача - закрыть таск и
> уйти домой ровно  в 18:00.1 - именно по этой причине
> я очень нервничаю, слыша про очередные прожекты впихивания в них линупcoв.

Пока ты нервничаешь, технологии движутся вперёд. И не только IT технологии, но и технологии подготовки IT специалистов. Бизнесу не нужны админы со специфическими запросами, бизнесу нужны админы, которых можно подготовить за два месяца, а через год уволить, когда те начнут просить повышения зарплаты. Всё это нытьё Раймонда о том, как компания должна относиться к хакеру и носить его на руках, несмотря на все его странности -- это его пустые мечты. Ты смотри, такими темпами ты можешь оказаться не у дел.

> будешь есть свой бигмак - учти, в него плюнул сперва повар, потом работник на кассе. Им деньги не за любовь к своей работе платят, и они ее - как правило, ненавидят, как и потребителей бигмаков.

Именно поэтому я не питаюсь бигмаками. фастфуд для нищих.

Ответить | Правка | Наверх | Cообщить модератору

93. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от пох. (?), 27-Июн-19, 16:42 
> Пока ты нервничаешь, технологии движутся вперёд.

в данном случае это атехнологичное движение вбок - вместо понимаемого и управляемого файрвола (за двадцать лет недоделанного, но все же - одного из лучших, доступных не в виде закрытой коробки за миллион денег в год) получить невменямемую хрень, управляемую за тебя интуитивно-приятными недоделками, к тому же и саму еще недоделанную даже до начально работающего состояния, зато уже назначенную новым стандартом.
Кто и зачем это спонсирует - вполне понятно, у основного потребителя какой-нибудь NG-firewall на периметре и еще один в качестве основного маршрутизирующего узла сети.

> бизнесу нужны админы, которых можно подготовить за два месяца, а через год уволить, когда те

это он так думает - до первого крэша

> Ты смотри, такими темпами ты можешь оказаться не у дел.

не, наоборот - у меня будет все больше и больше противной и неприятной работы - когда всех уже поувольняли, понадеявшись что знать ничего не надо, интуитивно приятные системы все сделают сами. Оно первые пол-годика где-то так и происходит, а потом опаньки - и двухмесячные админы с улицы все только доламывают окончательно. Потому что учиться им некогда и не оплачивает работодатель, да и ненужно - они ж отлично заучили, куда мышкой кликать.

Уровень (в одних и тех же конторах) за последние десять лет упал до нижеплинтусного, поэтому катастрофические последствия все более красивы и замечательны. Тем более что за поддержку они тоже стараются ненароком никому не заплатить.

Беда только в том, что оно уже и до реально угрожающих жизни и здоровью вещей добралось.

> Именно поэтому я не питаюсь бигмаками. фастфуд для нищих.

в понятных тебе аналогиях - шеф-повара высокой кухни тоже все это достало, и он тоже, нет-нет, да и поплевывает в кастрюли (все равно готовить приходится г-но и из г-на, так чего бы и не). В тарелки плюет официант, кстати, у него гепатит-C.
"бизнесу не нужно чтобы жратва была съедобной и тем более чтобы повару нравилась его работа - бизнесу нужно содрать как можно больше денег с едока - и лучше за один раз, а то вдруг до второго он не доживет".
Зато у работника кладбища дела идут отлично.

Ответить | Правка | Наверх | Cообщить модератору

94. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от Ordu (ok), 27-Июн-19, 17:05 
>> бизнесу нужны админы, которых можно подготовить за два месяца, а через год уволить, когда те
> это он так думает - до первого крэша

Не совсем. Бизнес занимается этим со средневековья. Весь технологический прогресс стоит именно на том, что бизнес не очень радуется, когда обучение сотрудников очень дорого и постоянно ищет способы снизить стоимость.

> Беда только в том, что оно уже и до реально угрожающих жизни
> и здоровью вещей добралось.

Это как раз хорошо. Есть наконец шансы на то, что для того, чтобы называться программистом или админом будет требоваться лицензия, так же как лицензия требуется на врача или на инженера. У нас инженеру не требуется никакой бумажки, а, скажем, в США требуется, причём лицензии одного штата не работают в другом штате. И если человек попробует назвавшись публично инженером сделать какое-нибудь громкое заявление, не имея при этом лицензии, он запросто может получить иск в суд. Свобода слова, да. А если он попытается работать инженером не имея корочки... ц-ц-ц. Он попал.

>> Именно поэтому я не питаюсь бигмаками. фастфуд для нищих.
> в понятных тебе аналогиях - шеф-повара высокой кухни тоже все это достало,
> и он тоже, нет-нет, да и поплевывает в кастрюли (все равно
> готовить приходится г-но и из г-на, так чего бы и не).

В понятных тебе аналогиях, я скажу тебе вот что. Мне как клиенту, совершенно неинтересно общаться со снобами типа тебя, которые полагают что их знания делают их в чём-то особенными. И мне как клиенту приятнее общаться с компанией, которая не изобретает велосипед по каждому поводу, а имеет устоявшиеся готовые решения -- у таких результат может быть не столь впечатляющ, зато гораздо более предсказуем, и ценники у них заявлены заранее, и не меняются в процессе выполнения работ.

И мои предпочтения разделяются и бизнесом тоже, у которого в процессе принятия решений и так неопределённостей выше крыши, неопределённости порождают риски, и снижение этой неопределённости -- это офигенная ценность. Если это снижение сопровождается снижением ценника, то это вообще замечательно.

Кустарное ремесленничество проиграло фабрикам не потому, что сапоги с фабрики были лучше чем от сапожника, оно проиграло потому, что фабрика не может забухать и проcpaть все сроки. Не только поэтому, конечно, ещё и потому, что фабрика делала больше и дешевле. Сегодняшние сапоги с фабрики лучше, чем те что делал ремесленник 200 лет назад потому, что промышленное производство позволило развивать производство сапогов, вкладываться в поиск новых материалов и технологий. И продолжалось это несколько сот лет, в то время как у ремесленника не было такой возможности и никогда не будет.

Ты можешь относиться к этому процессу как угодно, потому что его направление развития не зависит от твоего отношения.

Ответить | Правка | Наверх | Cообщить модератору

95. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от пох. (?), 27-Июн-19, 18:08 
> Это как раз хорошо. Есть наконец шансы на то, что для того, чтобы называться программистом или
> админом будет требоваться лицензия

не, ни малейших - нае-бизнес не хочет их оплачивать.

есть шанс что взлетит на воздух технологическая установка с чем-то особо-ядовитым, или просто у тебя отключится система ИВЛ во время операции.

Потому что экспертиза и знания немодно, вылавливать потенциальные проблемы до того как они стали проблемами тем более, модно херак-херак.

собственно, боинг уже йапнулся. Потому что херак-херак, а на обучении - сэкономили, оно ж адски дорогое. И не помогли ни жуткие бюрократические нагромождения бумажек и сертификаций надувателями щек, ни умная автоматика.

> Кустарное ремесленничество проиграло фабрикам не потому, что сапоги с фабрики были лучше
> чем от сапожника

а потому что херак-херак, выполняемое прикованными к станку рабами и из г-на - было дешевле. Пипл хавает.
а я как ходил в трекинговых ботинках из натуральной кожи, шитых вручную, так и хожу (единственный предмет ненависти - как раз ультрамодная-современная-производимая-единственной-компанией подошва, альтернативы редки и труднодоступны)

> Сегодняшние сапоги с фабрики лучше, чем те что делал ремесленник 200 лет назад потому

что ты не умеешь быстро поменять подметку без посторонней помощи. Всем остальным они хуже - весят впятеро больше, разваливаются быстрее, сделаны на чью-то абстрактную ногу, но не твою.
Ну, опять же - донести свою задницу от сиденья в машинке до сиденья перед столом годится и из дерьма. А вот если кому понадобится два месяца месить болота - то жопа. Ни задаром, ни за деньги ничерта подходящего уже не найдешь, скажи спасибо, если откопаешь еще советские литые резиновые (тот еще подарочек, но ничего лучшего нет уже почти столетие).

> Ты можешь относиться к этому процессу как угодно, потому что его направление развития не
> зависит от твоего отношения.

зависит. Как минимум можно не работать из дерьма самому и не выбирать уж совсем откровенно вонючие технологии.

Как минимум в одной области моих хобби вполне удалось пересидеть долгий период сумасшествия и лепки из говен - через "каких-то" пять-десять лет покупатели все же поумнели, а следом, не поверишь, и продавцы. Ну, кто выжил, потому что речь о safety equipment.
Потом, правда, снова началась дичайшая херня - но мне уже было все равно.


Ответить | Правка | К родителю #94 | Наверх | Cообщить модератору

96. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от Ordu (ok), 27-Июн-19, 18:45 
>> Это как раз хорошо. Есть наконец шансы на то, что для того, чтобы называться программистом или
>> админом будет требоваться лицензия
> не, ни малейших - нае-бизнес не хочет их оплачивать.

Зато государство хочет, чтобы бизнес их оплачивал. У нас это скорее всего тем и кончится, что инженер просто помимо образования (или вместо него) будет оплачивать ещё и бумажку, но в некоторых странах это работает.

>> Ты можешь относиться к этому процессу как угодно, потому что его направление развития не
>> зависит от твоего отношения.
> зависит. Как минимум можно не работать из дерьма самому и не выбирать
> уж совсем откровенно вонючие технологии.

Это, конечно, же повлияет, да-да. Изменить что-либо, можно лишь научив людей зарабатывать на этих изменениях денег. Но это же явно не твой подход, ты по советской традиции считаешь деньги грязными, а стремление к деньгам признаком бездуховности. Я могу порекомендовать тебе Lab Rats[1], там Dan Lyons в конце объясняет подход к деньгам альтернативный советскому. Первые главы посвящены тому, как погоня за дивидентами делает жизнь хуже, но последние показывают как ситуацию можно изменить. В смысле реально изменить, а не рассуждать в комментах о том "как нам обустроить Россию", или что бы там ни было ещё обустроить.

Мир, он такой, какой он есть. Отрицая его ты ничего не достигнешь. Достичь чего-либо можно лишь через его принятие таким, какой он есть.

[1] https://www.amazon.com/Lab-Rats-Silicon-Valley-Miserable/dp/...

Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

97. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от пох. (?), 27-Июн-19, 21:47 
> Зато государство хочет, чтобы бизнес их оплачивал.

в нормальном государстве эти хотелки быстро засовывают откуда они изверглись.

у нас это закончится тем, что бизнесов не повязанных с кооперативом не останется вообще - да, собственно, оно и уже, почти.
Впрочем, вменяемых работников тоже не останется, так что тут все вполне чинно-благородно. Кто в рай отъехал, кто на пмж, кто получил взятку в 50тыщ ржублей.

> Это, конечно, же повлияет, да-да.

как минимум один случай в совершенно другой области - я наблюдал своими глазами. Давно, понимаешь, живу. Ну вот отказались люди жрать г-но. Ели, ели, и вдруг... Массово. Производители, кто не обанкротился от такого поворота - резко изменили тактику и стратегию и завиляли хвостиками - потому что их резко подвинули двое, до того вообще на рынке никому неведомые (потому что делали не на этот рынок, оно там весьма условно подходило, но - оказалось лучше, чем "новый стандарт"). Там, правда, был один существенный ньюанс: никаких корпоративных клиентов.

> Но это же явно не твой подход, ты по советской традиции считаешь деньги грязными, а стремление
> к деньгам признаком бездуховности.

это не советская традиция. Уозняк, уволившийся из эпла - "The company lost its soul". Рабочие канатной дороги на Монблан. Какое отношение все это имело к совку?

"Великая американская мечта" (давно уже недостижимая для большинства) она тоже вовсе не о деньгах, а о том как не подохнуть с голоду, не работая на дядю (там люди хотели именно own business, чтобы самим принимать решения и самим огребать последствия, а не "стать вице-президентом с золотым парашутиком" вовсе).

https://bash.im/quote/63688

пойти чтоль экзамен по вмвари сдать? работать, правда,все равно, видимо, придется с hyperv.

Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

98. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от Ordu (ok), 27-Июн-19, 22:44 
>> Зато государство хочет, чтобы бизнес их оплачивал.
> в нормальном государстве эти хотелки быстро засовывают откуда они изверглись.

Европа и США значит ненормальные, так и запишем.

>> Но это же явно не твой подход, ты по советской традиции считаешь деньги грязными, а стремление
>> к деньгам признаком бездуховности.
> это не советская традиция. Уозняк, уволившийся из эпла - "The company lost
> its soul". Рабочие канатной дороги на Монблан. Какое отношение все это
> имело к совку?

Никакого. Но если ты в чём-то согласен с Возняком, это не значит, что вы одинаково с ним относитесь и к деньгам тоже. Помимо совковой есть ещё капиталистическая традиция, которая говорит, что деньги зарабатывать почётно и богоугодно. Она бывает в разных вариантах, не только в том, который озвучиваешь ты: ты озвучиваешь вариант популяризованный и введённый в мейнстрим Фридманом. Он очень распространён, но последнее время его сильно подвергают сомнению. Собственно я порекомендовал тебе выше Lab Rats, там эта демаркация между Фридманом и всем остальным проведена очень неплохо и, главное, там нарисованы яркие иллюстрации того, к чему приводят разные варианты.

Но я к тому, что Возняк -- американец по рождению, он был воспитан в американской протестантской культуре, и маловероятно, чтоб он относится к зарабатываю денег как к чему-то недостойному настоящего человека. Это Толстой мог, что кстати наводит на мысль, что всё же это не советская традиция, а русская национальная, но не Возняк. Если у него и были тёрки с подходами Apple, то это были тёрки в расстановке приоритетов между разными ценностями, но не тёрки о том, что деньги и не ценность вовсе.

Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

99. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от пох. (?), 27-Июн-19, 23:18 
> Европа и США значит ненормальные, так и запишем.

ненормальные в штатах проиграли выборы, если вы еще не в курсе. Как раз тем, кому категорически не нравится торчание государства в каждой дырке.

деньги - безусловная ценность, но я предпочитаю все же не зарабатывать миллион, давая в *опу - тем более что в результате, вероятнее всего, в *опу-то трахнут, а миллион пообещают когда-нибудь потом, может быть. Будешь налаживать файрволлы из nft - палоальту тебе не купят заведомо никогда. Зато крайним, если что, назначат.

достойно человека (о чем, собственно, те две старые истории и были) - оставить после себя что-то, чем люди будут пользоваться, не вспоминая создателя непечатными словами, или хотя бы помнить некоторое время, а не мешок денег, от них в аду мало пользы.

Если эта цель недостижима - можно, хотя бы, попытаться оставить после себя поменьше дерьма, а то может и чуть чужого прибрать.

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

101. "Выпуск пакетного фильтра nftables 0.9.1"  –1 +/
Сообщение от Ordu (ok), 28-Июн-19, 11:28 
> ненормальные в штатах проиграли выборы, если вы еще не в курсе. Как раз тем, кому категорически не нравится торчание государства в каждой дырке.

Это локальная временная мелочь. Это США, детка, там президент приходит к власти не на полвека, а максимум на два срока. Сейчас на фоне торговой войны с Китаем Трамп может и переизберётся, но лишь один ещё раз. А идущий тектонический сдвиг в мейнстриме экономики никуда не денется.

Да и "государство не должно вмешиваеться" -- это лишь внешняя позиция, особенно если мы говорим про Трампа, который популист до мозга костей. Так случилось, что он пришёл от республиканцев, при ином раскладе он бы пришёл от демократов -- он популист, ему совершенно без разницы в рамках какой парадигмы работать. А раз так, то он сам представляет гораздо большую угрозу для фридманизма, чем все социал-демократы вместе взятые. Он на практике порушит иллюзию того, что фридманизм удовлетворительно работает.

> деньги - безусловная ценность, но я предпочитаю все же не зарабатывать миллион, давая в *опу

В третий раз порекомендую почитать Lab Rats. Я верю что оно очень хорошо зайдёт, потому что там как раз описано как это плохо, когда людей заставляют, зарабатывать давая в *опу. На счёт того, удастся ли тебе увидеть русские культурные особенности отношения к деньгам -- это я не обещаю, для того, чтобы увидеть себя, надо выйти за пределы себя, а это, во-первых, не так просто как звучит, во-вторых, себя за пределы выходить нежелание стойкое в тебе вижу я.

Ответить | Правка | К родителю #99 | Наверх | Cообщить модератору

85. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от Zulu (?), 27-Июн-19, 12:31 
> Кому нужен этот ksh?

Никому. А людей, которые на нем скрипты пишут, надо отлучать от контуперов вообще.

Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

86. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от пох. (?), 27-Июн-19, 12:57 
да, запускайте ваш mc!

а файрволом управляет пусть firewalld.

Ответить | Правка | Наверх | Cообщить модератору

105. "Выпуск пакетного фильтра nftables 0.9.1"  –1 +/
Сообщение от Zulu (?), 28-Июн-19, 19:54 
Ни в одной вменяемой операционной системе ksh не есть дефолтным шеллом, ни интерактивно, ни для скриптинга. Или sh, или bash. БСД вменяемой системой не являются.
Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск пакетного фильтра nftables 0.9.1"  –3 +/
Сообщение от пох. (?), 26-Июн-19, 07:22 
> Серьёзный вопрос: кто-то это вообще использует?

кто-то использует, безусловно - "чтоб денег никому не платить!" - может это пейсбук, может гугль, хз кто, но кто-то ж кормит этих пейсателей.

зато экономят на нормальных файрволах, чо. За цену одной PA7000 их можно двух нанять!

> Т.е. иметь firewall типа pf из OpenBSD было бы очень круто

что такого крутого в необходимости вручную сортировать правила в совершенно нечитаемом глазами конфиге и вообще в файрволе не умеющем ftp и sip в XXI веке?

Круто было бы иметь iptables, как когда-то задумывали в линухе, хотя, ой, постойте...

впрочем, что у вас первое в новости? Так вот, хозяйке на заметку - SA match в iptables не работал примерно никогда (может в 2.4, но я не проверял). Главное ведь ничего не чинить, а задрав обocpaнный хвост, быстро бежать за новым бананом.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

62. "Выпуск пакетного фильтра nftables 0.9.1"  +2 +/
Сообщение от Аноним (61), 26-Июн-19, 13:11 
>не умеющем ftp

Не хочу тебя расстраивать, но в 2019 году FTP никому особо и не нужен уже. Протокол изначально был довольно убог. Чего только стоит тот факт, что у сервера нет возможности узнать, закончил ли клиент закачку файла или это просто соединение сдохло.

Ответить | Правка | Наверх | Cообщить модератору

64. "Выпуск пакетного фильтра nftables 0.9.1"  –4 +/
Сообщение от пох. (?), 26-Июн-19, 13:23 
> Не хочу тебя расстраивать, но в 2019 году FTP никому особо и

не хочу тебя расстраивать, но стильные-модные-молодежные, все подряд тянущие в http (который из изначально задуманного text transfer protocol превратился в совершенно невменяемое и неотлаживаемое убожище, с remote vulnerability в каждой реализации) - не нужны особо.
И держатся только и исключительно на хайпе.

> не нужен уже. Протокол изначально был довольно убог. Чего только стоит

да уж куда ему до высот quic3

> тот факт, что у сервера нет возможности узнать, закончил ли клиент
> закачку файла или это просто соединение сдохло.

серверу это и неинтересно совершенно.
По этой самой причине (вообще-то изначально предусмотренный) block mode всеми давно позабыт.

Ответить | Правка | Наверх | Cообщить модератору

103. "Выпуск пакетного фильтра nftables 0.9.1"  +1 +/
Сообщение от Аноним (103), 28-Июн-19, 18:09 
> Не хочу тебя расстраивать, но в 2019 году FTP никому особо и не нужен уже. Протокол изначально был довольно убог.

А какие альтернативы? Чем расшарить в локалку каталог с файлами на роутере (или, например, raspberry pi) так, чтобы любая ОС могла его открыть?

FTP достаточно прост, чтобы слабенький роутер мог раздавать файлы на скорости жёсткого диска (спасибо `man 2 sendfile`). Соперничать с ним по скорости может только NFS kernel server, но завести NFS на винде — то ещё развлечение.

Или ты из тех, кто файлы между соседними машинами на флешке переносит? ;-)

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

109. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от пох. (?), 30-Июн-19, 22:10 
> А какие альтернативы? Чем расшарить в локалку каталог с файлами на роутере (или, например,
> raspberry pi) так, чтобы любая ОС могла его открыть?

тут из зала подсказывают, что винда давно уже это умеет ;-)
Ну, ее, конечно, иногда ломали, но если вспомнить историю proftpd, то она покажется шедевром надежности (а pure почему-то совершенно непопулярен).

тема, правда, была совсем о другом - люди, ниасилившие ДАЖЕ такую ерунду без кривого user-space helper (и вообще ни в каком виде ниасилившие хелперов ни для чего другого кроме этой ерунды) таки пришли учить нас коммэрции...зачеркнуто, правильно писать фиреволлы.

Ответить | Правка | Наверх | Cообщить модератору

112. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от Аноним (103), 01-Июл-19, 02:21 
> тут из зала подсказывают, что винда давно уже это умеет ;-)

Умеет что? FTP? Более-менее умеет. Потому я и говорю, что это единственный быстрый кросс-платформенный способ расшарить кучу файлов в локалке. И даже в 2019м нет ничего лучше.

> Ну, ее, конечно, иногда ломали, но если вспомнить историю proftpd, то она
> покажется шедевром надежности (а pure почему-то совершенно непопулярен).

vsftpd же!

Ответить | Правка | Наверх | Cообщить модератору

114. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от пох. (?), 01-Июл-19, 07:04 
> Умеет что? FTP?

ну зачем же мучаться, когда есть windows share? ;-)
(и да, последний cve был давным-давно, причем, как обычно, для конфигураций, весьма далеких от реальных - в отличи от сосамбы, в которой каждый день новость)

> vsftpd же!

ну это вообще насмешка над здравым смыслом - поищите по mitre это "very secure", вместе поплачем.

сравнительно руками написаны djb ftpd (но несовместим ни с чем, включая и большинство ftp клиентов, типикал djb-style - где-то у solar diz'а, по-моему, был патч, он тривиальный) - readonly by design.
А если хочется нормальный upload и per user access - то pure единственный выбор. Из необходимого приличному клиенту прошлого века не умеет разьве что get ...tar.gz , но это не для файлопомоек, это для shared hosting было актуально.
Из этого века - "ньюансы" с ftps, но их ни один нормальный виндовый клиент тоже толком не умеет.
(правильный ftps шифрует auth, а не целиком control, поэтому не застревает в файрволах чуть поумнее pf и не грузит процессор хоста почем зря)

улучшайкам некогда - они в пятый раз несчастный линуксный файрвол разваливают до основанья, а затем - кто был ничем, тот так и остался ничем.

Ответить | Правка | Наверх | Cообщить модератору

116. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от Аноним (103), 02-Июл-19, 00:24 
> ну зачем же мучаться, когда есть windows share? ;-)

Только вот какая у "windows share" скорость по сравнению с ftp? ;)

> (и да, последний cve был давным-давно, причем, как обычно, для конфигураций, весьма далеких от реальных)

Это у windows share-то он был давно? ;) Я помню эти пачки CVE-2017-0143...0148, CVE-2017-0161, CVE-2017-0174... Помню и победоносное шествие petya/notpetya/идр. Ну просто нереальная конфигурация, вообще никто не заразился, да? А есть и поновее, например Remote Code Execution CVE-2019-0630.

>> vsftpd же!
> ну это вообще насмешка над здравым смыслом - поищите по mitre это
> "very secure", вместе поплачем.

Вообще-то у них баги были примерно одинаковые, и даже в одинаковые годы. Причём все баги мелкие, типа DoS-а. И при этом vsftpd, вероятно, самый популярный и самый анализируемый ftp-сервер.

Но плевать на секурность — мне надо всего лишь файлы с роутера в локалке расшарить, чтобы максимальная скорость и минимальная нагрузка. Чем pureftpd для этого лучше?

> Из необходимого приличному клиенту прошлого века не умеет разьве что get ...tar.gz

Это вообще что означало?

Ответить | Правка | Наверх | Cообщить модератору

117. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от пох. (?), 03-Июл-19, 15:22 
> Только вот какая у "windows share" скорость по сравнению с ftp? ;)

видите как плохо вариться в маня-мирке?
Скорость у нее упирается, обычно, в 10Ge, которым эта шара смотрит в сторону FEX, если удается обойти другие бутылочные горлышки - подставить правильный san с правильным multipath, или разместить хранилку непосредственно в файловом сервере, обеспечить ему достаточно памяти под метаданные и процессора для их перемалывания.
Сюююрпрайз, да?

Причем это щастье наступило еще в 12й (у 2008R2 были определенные сложности,но ей простительно - 10 лет назад даже 10G _raw_ диска было не так просто получить, мы пробовали, священным беспл..простите, шва6одными линуксом, вышло очень дорого и как-то совсем уж ненадежно)

В принципе, на самом деле и у сосамбы не так все плохо - народ получал ~800 мегабайт/s в специфических тестах, мне просто негде такое развернуть (поскольку, опять же, мало стырить десяточную сетевуху, надо еще чтоб оно банально в диск не уперлось), но ссыкотно, ибо CVE-2017-7494 ничем не лучше виндового совершенно аналогичного (может, они уже давно потихому в другую сторону копипастили?).

> Вообще-то у них баги были примерно одинаковые, и даже в одинаковые годы.

что как бы и говорит нам о качестве его кода.

> Но плевать на секурность — мне надо всего лишь файлы с роутера в локалке расшарить, чтобы

а если роутер поломают?

> максимальная скорость и минимальная нагрузка. Чем pureftpd для этого лучше?

минимальным размером, тривиальностью настроек и достаточно высокой надежностью при хорошей производительности - например.
При этом все, что требуется от правильного и хорошего ftpd (кроме архивов) у него есть.
К внешнему парсеру конфига (или настройке ключиками) можно и привыкнуть.


Ответить | Правка | Наверх | Cообщить модератору

118. "Выпуск пакетного фильтра nftables 0.9.1"  +/
Сообщение от Аноним (103), 04-Июл-19, 22:48 
>> Только вот какая у "windows share" скорость по сравнению с ftp? ;)
> Скорость у нее упирается, обычно, в 10Ge, которым эта шара смотрит в
> сторону FEX, если удается обойти другие бутылочные горлышки
> Сюююрпрайз, да?

А _по_сравнению_с_ ftp? На той же машине? А конкретно, на роутере. И внезапно оказывается, что ftp в два раза быстрее, и на порядок проще в настройке. Сюююрпрайз, да?

> Причем это щастье наступило еще в 12й (у 2008R2 были определенные сложности,но
> ей простительно - 10 лет назад ...

Это да, в winxp ещё в далёком 2014м всё было плохо. 2-3МБ/сек на гигабитной сети — было очень грустно.

>> Вообще-то у них баги были примерно одинаковые, и даже в одинаковые годы.
> что как бы и говорит нам о качестве его кода.

О качестве кода их обоих. При том, что к одному из них приковано куда больше внимания.

>> Но плевать на секурность — мне надо всего лишь файлы с роутера в локалке расшарить, чтобы
> а если роутер поломают?

А мне надо файлы В ЛОКАЛКЕ расшарить. Обычно всем и по анонимному доступу. Там некому и нечего ломать. Да и это ж ftp, а не виндовая шара, в нём подобных багов отродясь не было.

>> Чем pureftpd для этого лучше?
> минимальным размером, тривиальностью настроек и достаточно высокой надежностью при хорошей
> производительности - например.

Это — чем он хуже, а чем он лучше-то? ;)

Размер у них примерно одинаковый.

Настройки у pure-ftpd — часть через конфиг, часть через отдельные конфигурационные приложения, часть через настройки системных пользователей, а ещё часть через переменные окружения при сборке. При этом у vsftpd всё в одном конфиге, и идеальная ман-страница по нему.

Производительность тоже примерно одинаковая.

А что в данном случае понимается под "надёжностью"?

> При этом все, что требуется от правильного и хорошего ftpd (кроме архивов)
> у него есть.

Мне даже интересно, о каких "архивах" идёт речь?

Ответить | Правка | Наверх | Cообщить модератору

75. "Выпуск пакетного фильтра nftables 0.9.1"  –1 +/
Сообщение от Аноним (75), 26-Июн-19, 17:54 
> ftp в XXI веке

Знатно ты на ноль поделил.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру