Обзор OpenBSD 3.4 SPARC64 Edition

2anonymous (*) (03.05.2004 13:52:24)
Да, радиус есть. Не заметил.
TAC+ в 3.4 так и не нашел. Если как то его можно прикрутить, было бы интересно.

> TAC+ в 3.4 так и не нашел. Если как то его можно прикрутить,
> было бы интересно.

tacacs есть в портах (правда в 3.5, у меня портов от 3.4 уже не осталось). /usr/ports/net/tacacs.

Тоже вроде в порядке, хотя утверждать не буду.

> /usr/ports/net/tacacs
/usr/ports/net/tacacs+/

Не дописал :-|

> Сколько при 256 мозга у лялексового ядра ip_conntrack_max ?

Наверное, минимум между сколько скажешь и сколько суммешь по памяти? :-)

> То есть на скольки одновременнычх tcp сессиях при
> врубленном stateful на netfilter'е оно скажет table is full ?

Наверное, при стольки, сколько скажешь в sysctl? :-)

# sysctl net.ipv4.netfilter.ip_conntrack_max
net.ipv4.netfilter.ip_conntrack_max = 130072
# sysctl -w net.ipv4.netfilter.ip_conntrack_max=260144
net.ipv4.netfilter.ip_conntrack_max = 260144
# sysctl net.ipv4.netfilter.ip_conntrack_max
net.ipv4.netfilter.ip_conntrack_max = 260144

> если на двухпроцовую UltraSparc доставить Adaptec SCSI за 50 и диск
> за 200, по производительности он порвет любой P4HT

Если на PIII поставить дисковую систему RAID 0 из 5 дисков
x 9Gb/15000rpm на Fibre Channel адаптере на PCI 66Mhz/64Bit (или PCI-X266/PCI-Express) c современной файловой системой, то он порвет
в IO любого. :^)

2no-dashi (*) (03.05.2004 23:38:05)
"Наверное, при стольки, сколько скажешь в sysctl? :-) "
Я тоже так когда то думал. Когда был молодой и глупый. Когда как то помойке с 64 метрами мозга (то есть 2048 в ip_conntrack_max по дефолту), взял и в вдул туда что то раз в 10 большее. А потом ради прикола наоткрывал через нее много-много коннектов:) И очень удивился что она взяла и сломалась. Ядро было 2.4.4 что ли. Не помню. Больше таких экспериментов не проводил.

"net.ipv4.netfilter.ip_conntrack_max = 260144 "
У тебя либо 8 гигов мозга, либо оно склеит ласты _гораздо_ раньше указанного тобой лимита. Повеь мне. Единственное что оправдывают всю эту пионерию, что даже 16 тысяч одновременных сессий на 256 метрах мозга - это на самом деле _очень_много_

2anonymous (*) (03.05.2004 23:26:31)
"/usr/ports/net/tacacs+/"
Про это я в курсе.
я про то что pf авторизацию с такакса брать не умеет. Вот.

> я про то что pf авторизацию с такакса брать не умеет. Вот.

Как это? Pf это пакетный фильтр. Какая аутентификация? Вернее
аутентификация чего? IP пакетов? IPv4 не проектировался в
расчете на аутентификацию. Для этого существует IPsec с AH
и ESP или IPv6.

2anonymous (*) (04.05.2004 11:38:46)
"Какая аутентификация? Вернее
аутентификация чего? IP пакетов? "
Юзерской сессии.
Прочитай тред сначала ВНИМАТЕЛЬНО.

> "Какая аутентификация? Вернее
> аутентификация чего? IP пакетов? "
> Юзерской сессии.
> Прочитай тред сначала ВНИМАТЕЛЬНО.

А! Я понял. Вы про authpf?!

Дык этож SSH. Там при логине просто правила добавляются по-хитрому
(через authpf-anchors если интересны детали).

Дык а что Вы там к SSH прикрутите это пофиг. Что хотите. LDAP, SKey,
RSA или банальный login/password.

2anonymous (*) (04.05.2004 11:52:42)
"дык а что Вы там к SSH прикрутите это пофиг. Что хотите. LDAP, SKey,"
Я же сказал. Я хочу через tac+ всех авторизовать. Так как в плане авторизации такакс лучше радиуса будет. А оно (authpf) этого не умеет. Ни так ни эдак.

> Я хочу через tac+ всех авторизовать.

Но я не говорил, что не умеет. Я сказал, что есть порт tacacs+.

Что умеет этот tacacs+ я не знаю. А насчет того, что он лучше
Radius, бытует обратное мнение.

2anonymous (*) (04.05.2004 14:27:58)
"Но я не говорил, что не умеет. Я сказал, что есть порт tacacs+.
В портах есть такаксовый СЕРВЕР. То есть кто ОТДАЕТ авторизацию. А тут мы говорим о КЛИЕНТЕ. Кторый обращается на сервер и проверяет там авторизацию долбящихся юзеров.

Что умеет этот tacacs+ я не знаю. А насчет того, что он лучше
Radius, бытует обратное мнение."
Это смотря для чего. Если юзерам не надо отдавать хренову тучу атрибутов как например диалапникам, а просто тупо проверить логин/пароль, то TAC ИМХО лучьше. У него, кук минимум вся сессия криптуется.

Во-вторых, я так и не вкурил, authpf можно авторизовать например проходящие через pf ftp сесии? Чтобы логин/пароль юзера имел вид fwlogin@ftplogin fwpass@ftppass ?

> Во-вторых, я так и не вкурил, authpf можно авторизовать например
> проходящие через pf ftp сесии? Чтобы логин/пароль юзера имел вид
> fwlogin@ftplogin fwpass@ftppass ?

Вы прочитали http://www.openbsd.org/faq/pf/authpf.html ?

Помоему нет.

PS. А Вы в принципе знаете какого-нибудь opensource клиента TACACS?

2anonymous (*) (04.05.2004 14:59:21)
"ы прочитали http://www.openbsd.org/faq/pf/authpf.html ?"
Прочитал. Все что я увидел, это локальный логин по ssh, где юзеру в качестве шелла подсовывается authpf, который создает правила фильтрации.
И усе...

"PS. А Вы в принципе знаете какого-нибудь opensource клиента TACACS?"
Да. плагин для pppd видел сам. Кроме того попадались ссылки еще на вскую мелочь вплоть до PAM модуля для лялекса...

Истина гласит, гласит, что на таком объеме памяти теретически (т.е. "в идеале") невозможно отследить более 12 миллионов соединений. Сами циски заявляют 500 тысяч. Реально вытянет тысяч 30 (и то сомнения берут, зная качество цискиного программного кода)

Причина для такого скепсиса есть - года два-три назад пикс под практически нулевой нагрузкой (я для теста повесил на него трех юзеров, которые просто ходили на веб и за почтой) дох с регулярностью раз в три дня, а весь такой "кривой лялекс" ту же нагрузку не замечал, не падал и не вис.

Я не говорю, что пикс плох (наверное, с тех пор много багов в нем вылечили :-))

И еще один вопрос - когда нужно пропускать через _одну_ точку 500 тысяч соединений со statefull-контролем? :-)

А "склеит ласты" оно когда ресурсы закончатся.

2no-dashi (*) (04.05.2004 16:55:59)
"Причина для такого скепсиса есть - года два-три назад пикс под практически нулевой нагрузкой "
Быват. Согласен. Сами проходили. У нас он с ошибкой памяти вылетал, и раз в день два его бутить надо было. Вылечилось сменой прошивки. Смею предположить, дело было в железяке. Ибо рядом стоял такой же пих, на которм все было путем. Впрочем, пиха вообще дело темное, и будущее его ИМХО вызывает большие сомнения. Сдается мне цицки перетянут все фичи в иос на обычные маршрутизеры и прикроют эту фигню.

"И еще один вопрос - когда нужно пропускать через _одну_ точку 500 тысяч соединений со statefull-контролем? :-)"
Да легко:) Запусти себе в сетку сламмера:) Если у тебя правила в netfilter'e не в mangle table написаны будут %), он их как пить дать в коннекшн трекинг забахает, даже если на PREROUTING'е все будет дропать до последнего пакета:)

> У нас он с ошибкой памяти вылетал, и раз в день два его бутить надо было. Вылечилось сменой прошивки

А я с ним после этих граблей связываться не стал (сменил одну прошивку - не помогло - забил): почту кинули другим путем, а под пользователей внешнего веба выделили изолированную сетку. Так пикс и остался в подвешенном состоянии в стойке (по крайней мере, когда я увольнялся, он так и стоял :-))

> Сдается мне цицки перетянут все фичи в иос на обычные маршрутизеры

Так там перетягивать-то, блин... Один хук, и три коллбэка. Только памяти добавлять понадобится. Рано или поздно до них дойдет необходимость этого поступка - только, увы, скорее поздно чем рано :-/

> Запусти себе в сетку сламмера:)

Спасибо, мы уж попробуем обойтись :-)

> он их как пить дать в коннекшн трекинг забахает

Сдается мне, что iptables - это вам не тупенький пикс, и conntrack включается только по соответствующему указанию [-j SNAT, -j MASQUERADE], а отнюдь не для всего, что влетает в nat-таблицу :-)

2no-dashi (*) (04.05.2004 19:40:01)
"Так там перетягивать-то, блин... Один хук, и три коллбэка. Только памяти добавлять понадобится. Рано или поздно до них дойдет необходимость этого поступка - только, увы, скорее поздно чем рано :-/ "
Ну, лучше поздно, чем никогда:)

"Сдается мне, что iptables - это вам не тупенький пикс, и conntrack включается только по соответствующему указанию [-j SNAT, -j MASQUERADE], а отнюдь не для всего, что влетает в nat-таблицу :-)"
А вот тут позволю не согласится.
conntrack работает даже так
iptables -t NAT -a PREROUTING -p tcp -s 0/0 -d 0/0 --dport 25 -j ACCEPT
(за синтаксис не ручаюсь, давно уже его не пользовал)
заголовки обратных пакетов оно вообще в нат тейбл не отслеживает, только первых, а у остальных sequence number.
Во-вторых, если мне память не изменяет, когда любой SYN пакет попадает в nat table,
(даже если там полиси на всех цепочках ACCEPT, и ни одного правила) ядро начинает отслеживать это соединение. То есть избежать этого можно, выкинув коннекшн трекинг из ядра и написав все правила в filter table.

Н-да, судя по беглому просмотру исходников, ты оказался прав :-(

Неприятно, блин - придется слегка голова думать :-)

2no-dashi (*) (04.05.2004 23:56:50)
"Неприятно, блин - придется слегка голова думать :-)"
DoS'a боишься? :)

OpenBSD 3.5 is out!

А чего DoS'а бояться? У нас сламмеры и лавсаны не ходют :-)

> Все что я увидел, это локальный логин по ssh, где юзеру в качестве
> шелла подсовывается authpf, который создает правила фильтрации.
> И усе...

Вот собственно и "усе", как Вы выразились. По ssh зашли (авторизовались
как-нибудь) и вперед.

Сами посудите, ведь Pf в ядре. Никуда он сам не смотрит. А вот
обвязку в стиле login для TACACS сделать можно. В OpenBSD PAM не
используется. Вместо этого используют login (как враппер для всего
того, что я Вам показывал в /usr/libexec/auth) и /etc/login.conf,
как настрорйщик "куда кому лезть за аутентификацией".

> Да. плагин для pppd видел сам. 

Киньте ссылочку, если не влом. Я может на досуге посмотрю. Может
login_tacacs сделаю. Кто знает.

> В пецуке за $300 pci сдохнет через себя столько пропускать.
Сколько?

> Сколько при 256 мозга у лялексового ядра ip_conntrack_max ?

По дефолту 15864 у меня на последних ядрах показывается.

> То есть на скольки одновременнычх tcp сессиях при врубленном stateful на netfilter'е оно скажет table is full ?

Хм. Ты чего-то недопонял или недоучился ;) table is full сработает
ровно на той отметке, которую ты выставишь в ip_conntrack_max...
Расчёт по использованию памяти: 32k коннектов ~11 MB памяти.
А ещё ты явно не в курсе, что можно здорово сэкономить на размере
таблицы, если уменьшить ip_ct_tcp_timeout_established, который по
дефолту составляет 5 дней...

2anonymous (*) (05.05.2004 17:54:32)
"Вот собственно и "усе", как Вы выразились. По ssh зашли (авторизовались
как-нибудь) и вперед."
А как насчет такой ситуации. У меня больше 500 пользователей из которых 50 я хочу открыть Ftp наружу nat'om. Воответственно пускать по логину/паролю. Не писать же 50 правил по розданным с DHCP ip. Так получается у каждого локально должен быть ssh клиент? А так бац, и вся авторизация прям через Ftp клиента...


"иньте ссылочку, если не влом. Я может на досуге посмотрю. Может
login_tacacs сделаю. Кто знает."
ftp://ftp.vsu.ru/pub/hardware/cisco/tacacs/

2anonymous (*) (06.05.2004 0:09:41
"Сколько?"
Три гигабита. Ты хочешь сказать что 32 PCI на дешевой маме это вытянет? :)

"Расчёт по использованию памяти: 32k коннектов ~11 MB памяти. "
Может доучившийся гуру тогда мне расскажет откуда он такую цифирь взял?

" ip_ct_tcp_timeout_established"
Че? Это то тут тут причем?

> А как насчет такой ситуации.

В этой ситуации лучше использовать Kerberos.

> Так получается у каждого локально должен быть ssh клиент?

Да, но гипотетически, можно скажем SSH сессию открывать на одном
сервере рабочей группы (это я сейчас сказал? ;-) и добавлять правила
для подсети этой группы.

У Вас есть идея получше?

> ftp://ftp.vsu.ru/pub/hardware/cisco/tacacs/

ok.

2anonymous (*) (06.05.2004 11:36:32)
"У Вас есть идея получше?"
У меня свежих идей нет:) Так как уже давно есть реализация FW с авторзацией пользователей на уровне протокола того приложения, по которому он идет. Например по тому же ftp. Со стороны юзера это выглядит так:

krause@hl:~> ftp ftp.freebsd.org
Connected to freebsd.isc.org.
220-FTP authentication :
220
Name (ftp.freebsd.org:krause): krause@ftp
331-Password:
331
Password: <fwpass@ftppass>
230-220-ftp.FreeBSD.org NcFTPd Server (licensed copy) ready.

Если я не ввожку файрвольный логин, меня посылают лесом:

krause@hl:~> ftp ftp.freebsd.org
Connected to freebsd.isc.org.
220-FTP authentication :
220
Name (ftp.freebsd.org:krause): ftp
331-Password:
331
Password:
530
ftp: Login failed.
ftp>

Все работает без всяких ssh клиентов и прочего постороннего софта, которго у юзеров просто не должно быть.

> Три гигабита. Ты хочешь сказать что 32 PCI на дешевой маме это вытянет? :) 

Я ничего не говорил про дешёвую маму. В pc-роутере за $300 маму можно
выбрать самую нормальную. Потолок для них - 4гигабит, если не ошибаюсь.

> "Расчёт по использованию памяти: 32k коннектов ~11 MB памяти. "
Может доучившийся гуру тогда мне расскажет откуда он такую цифирь взял? 

Сам ты недоучка, раз спрашиваешь такую элементарщину. Впрочем, оно и 
понятно. Твой скепсис растёт от незнания простейших вещей. 

Цитирую:

The size of kernel memory used by netfilter connection tracking is:
size_of_mem_used_by_conntrack (in bytes) =
        CONNTRACK_MAX * sizeof(struct ip_conntrack) +
        HASHSIZE * sizeof(struct list_head)
where:

- sizeof(struct ip_conntrack) is around 300 bytes on i386 (depending 
on your compile-time configuration, see the printout at ip_conntrack 
initialization time).

- sizeof(struct list_head) = 2 * size_of_a_pointer
  On i386, size_of_a_pointer is 4 bytes.

So, on i386, size_of_mem_used_by_conntrack is around
CONNTRACK_MAX * 300 + HASHSIZE * 8 (bytes).

> " ip_ct_tcp_timeout_established"
> Че? Это то тут тут причем?

Опять RTFM. Потом приходи, поговорим.

2anonymous (*) (06.05.2004 15:22:42)
"В pc-роутере за $300 маму можно
выбрать самую нормальную"
Пришли мне сылку на комп с мамой с pci-x, тремя гиговыми картами за 300 (триста) долларов США в сборе. Или хотябы за комп с мамой. Еще делательно рэк моунт в 1 юнит. Ну или в два на худой конец. Но это так. Бонус пак...

"Твой скепсис растёт от незнания простейших вещей."
Мой скепсис растет исходя из опыта эксплуатации этой ботвы и сравнении с ботвой от других производителей. Не более того...

Про цифирки.
Я не услышал ответа на свой вопрос. Будьте любезны ответить, а не приводить уравнения. Я вполне готов допустить что это так, если получу ответ на русском или английсом языке, а не на non human readable сишном диалекте.

"Опять RTFM. Потом приходи, поговорим."
Йо?
И какое значение мне надо туда вставлять, если средняя тср сессия живет в состоянии ESTABLISHED несколько минут, а некоторый коннекты должны висеть сутками?

> так как уже давно есть реализация FW с авторзацией пользователей на
> уровне протокола

Хм. А какие это конкретные реализации? Есть ли opensoure решения.
Мне кажется что, это всего-лишь userland навеса над фильтром пакетов,
не более того. Если нужно, можно это легко написать и для Netfilter
и для Pf.

Так что это не приемущество и не недостаток какого-либо фильтра
пакетов, это приемущество поставки файервольного ПО.

> Пришли мне сылку на комп с мамой с pci-x,

Не выдумывай (про pci-x). Обычная китайская мать за $80-100.

> Еще делательно рэк моунт в 1 юнит.
Ага, и ключи от квартиры...

> Мой скепсис растет исходя из опыта эксплуатации этой ботв

Так эксплуатация была бездумной и не обеспеченной знаниями ;)

> Я не услышал ответа на свой вопрос. Будьте любезны ответить, а не приводить уравнения.

??? И это говорит якобы профессионал, или я чего-то не понял?
Тогда ой... Подстановку значений я за тебя делать не буду.

> а не на non human readable сишном диалекте.

Ах! Ну тогда до свидания, г-н human.

> а некоторый коннекты должны висеть сутками?

А если бы жили месяцами? ;)

2anonymous (*) (06.05.2004 18:07:40)
"Не выдумывай (про pci-x). Обычная китайская мать за $80-100"
Агы, и с реалтековской картой за 10 баксов.

"Тогда ой... Подстановку значений я за тебя делать не буду. "
Канешно... Вы мне кусок какой-то пурги привели, без ссыклки на первоисточник, а я еще это должен разбирать. Если хотите что-то доказать, делайте это по уму:)

"Ага, и ключи от квартиры.."
"А если бы жили месяцами? ;)"
Все, аргументики кончились? По существу сказать нечего?

"Ах! Ну тогда до свидания, г-н human. "
bye, г-н пионер, просветленный знаниями.

2anonymous (*) (06.05.2004 17:44:03)
"А какие это конкретные реализации?"
Конкретно это был пих. авторизацию тянет с TAC+, которая туда попадает с новела. Через зад слегка, но напрямую с NDS он работать не может.

"Есть ли opensoure решения"
Не уверен.

"Мне кажется что, это всего-лишь userland навеса над фильтром пакетов,
не более того"
По сути да. На pf или netfilter'e это вполне можно заменить ftp-proxy, если он поддерживает прозрачное проксирование с авторизацией. Но.
Есть ли смысл вешать на машину лишний сервис, если он занимается только этой авторизацией (в отличие от того же сквида). Имхо нет. Ибо сегодня надо так выпускать Ftp, а завтра еще понадобится куча серисов... под каждый сервис прокси не сделаешь. Во-вторых в данном случае это не прокси. Это скроее стейтфул на уровне протокола приложения.

"Так что это не приемущество и не недостаток какого-либо фильтра
пакетов, это приемущество поставки файервольного ПО."
Согласен. Только комплексного fw решения на основе OSS я не знаю.
Есть всякие штуки на основе лялекса типа astaro, но они за $.
Вот-с.

> Агы, и с реалтековской картой за 10 баксов.

Чего ты ёрзаешь как прости господи... Нормальную карту поставлю.

> Канешно... Вы мне кусок какой-то пурги привели, без ссыклки на первоисточник

Ну и что? Если ты не знал алгоритма рассчёта, то зачем лез спорить?
Ссылку могу привести, только зачем? Она тебе поможет? ;)

> Все, аргументики кончились? По существу сказать нечего?

Не надо гнать пургу. Ты на ходу расширяешь условия на комп.
1U ему, видите ли, подавай. У него один корпус может стоить больше $300.
А оклад из золота и драгоценных камней не надо случаем?

> bye, г-н пионер, просветленный знаниями

Кури доки, гуру обкакавшийся.

2anonymous (*) (06.05.2004 21:36:23)
"Чего ты ёрзаешь как прости господи..."
А че мне не ерзать то, если вы не знаете что 32 битный pci на китайской маме за $80 не то что гигабит, а сотку через себя пропустить нормально не может. Тут об этом сто раз уже говорили. Давайте не будем повторяться.
Не верите, соберите такой рутер и снимите по snmp мах загрузку интерфейсов.
В конце концов, че спорить, ебля с этим дерьмом - это ваши половые трудности. Вам за это деньги платят. Если платят, конечно..

"Не надо гнать пургу. Ты на ходу расширяешь условия на комп. "
Я и не гоню. Вы (или один из анонимусов)искали замену маршрутизеру или fw на железке. Они все рэковые и почти все в один юнит. Стойки тоже не резиновые. Это раз. Второе. Если Вы поставите нормальную гигабитку сколько она стоить будет? Самый позорный d-link стоит около $150. Две карты уже искомые три сотни. Кроме того, я не хочу Вас огорчать, но все эти железки, если мне память не изменяет, под 64 bit PCI. То есть с китайской мамой вы скорее всего пойдете лесом.

"Если ты не знал алгоритма рассчёта, то зачем лез спорить? "
Я спросил откуда Вы взяли цифру в 32k коннектов на 11 метров мозга.
Вместо ответа вы мне привели хз что, непонятно откуда и возможно отдельно от контекста. Мне, например, совершенно параллельно, сколько памяти адресуется при вызове функции в ядре лялекса. Меня интересует ответ на вопрос сколько параллельных сессий прогонит нетфильтер на машине с 256 метрами мозга. Озвученная Вами цифра _не_ следует явным образом из того что вы привели. Все. О чем еще говорить? Либо Вы даете ссылку на вразумительную документацию, либо объясняете Вашу точку зрения человеческим языком. Вы бы еще мне кусок сишного кода привели.

"А оклад из золота и драгоценных камней не надо случаем? "
Надо. В денежном эквиваленте и безналом в банке где-нибудь на Джерси.
А Вам?

"Кури доки, гуру обкакавшийся."
Гы:) Курю. Не знаю насколько вкуриваю, но маршрутизеры на китайских мамах мне собирать не приходится. В отличие от Вас.

> Самый позорный d-link стоит около $150.

Далеко не позорный intel 1000/pro или 3C996B для pci стоят втрое меньше.

> Я спросил откуда Вы взяли цифру в 32k коннектов на 11 метров мозга.

Я дал формулу расчёта и имена структур под который память выделяется.
Имеющий мозги да поставит значения. Нормальный способ предоставления
алгоритма. Для специалистов, конечно... Для кухарок ничего объяснять не буду ;)

> на вопрос сколько параллельных сессий прогонит нетфильтер на машине с 256 метрами мозга.

Ну, давай прикинем. На ядро и сопутствующие сервисы отдаём ~ 30Мб.
Допустим, для лучшей производительности у нас выставлен
HASHSIZE = CONNTRACK_MAX. Я почти уверен, что ты не въехал, для чего
это, но это твоя проблема ;) Я показываю лишь расчёт. Итого, имеем:

(256 - 30) * 1024^2 / 308 = 769410 сессий.

2anonymous (*) (07.05.2004 0:30:27)
3C996B для pci стоят втрое меньше.
$120
~$100 оптом.
http://www.price.ru/bin/price/prodlist?curr=2&plan=7&cid=0508&bas...
Где ты ее нашел за полтинник :0 ?
Ссылку кинь?
Для тех кто в танке. Это pci-x 64битная карта.
То что ты ее засовываешь в 32 разрядный 33Мгц слот, еще не значит что ты получил гигабит:)

"(256 - 30) * 1024^2 / 308 = 769410 сессий."
Угу. Вопрос снят.
Мог бы отправить меня сюда
http://lists.netfilter.org/pipermail/netfilter/2001-November/028531.html
если сам объяснить по-человечески не можешь.