[О блоге]
[наверх]
[пред]
[2018-06-11 21:36:26+03:00]
[45f307e3197ddf1a5f90e3d8634a56b4bfd78308]
Темы: [systemd]
Зоопарк firewall-ов в Linux
https://www.opennet.ru/opennews/art.shtml?num=38901
https://www.opennet.ru/opennews/art.shtml?num=48690
Я так давно пользовался iptables, что напрочь забыл (ну и задач не
попадалось) что оказывается они только IPv4 пакетов. А ещё есть
ip6tabkes, arptables, ebtables. Потом придумали nftables. А теперь вот
ещё и bpfilter. У меня даже мысли не возникало после многолетнего
использования ipfw (ipf слишком прост и не удовлетворяет даже мои
запросы, а PF... появился сильно позже ipfw) что в Linux такой зоопарк.
Впрочем так было в нём всегда. Аж страшно вспоминать что я с этим
мирился. ifconfig есть. Но для TUN/TAP: tunctl. Для bridge: bridgectl.
Для VLAN-ов: какая-то отдельная штука. Для bonding: ifenslave. Linux
(именно Linux) это помойка самого разностороннего кода. В *BSD системах
всё целостно. *Всё* что касается сетевых интерфейсов делается одной
командой ifconfig: VLAN, TUN/TAP, туннели, bridge, bond, IPv4/IPv6
адресация, итд.
ipfw firewall: IPv4, IPv6, TCP/UDP/SCTP, ICMP*, Ethernet, traffic
shaper/scheduler, NAT, NPTv6, NAT64, IPsec. Stateless и stateful режимы
работы. Всё в одном. Честно, PF не трогал -- может там ещё всё гораздо
лучше. Но оно в *удобном* одном интерфейсе, а не iptables от которого в
дрожь бросает в плане useability.
А в *BSD всё что касается статистик и мониторинга в удобных командах
знающих всё обо всём: fstat, gstat, ifmcstat, iostat, ipfstat, kldstat,
lockstat, netstat, nfsstat, plockstat, pmcstat, procstat, pstat,
sockstat, vmstat. Почти все они имеют возможность вывода как в
человекочитаемом, так и машиночитаемом виде. У почти всех есть
возможность повтора вывода, чтобы делать что-то типа мониторинга. В
Linux это были бы сплошь разрозненные утилиты с совершенно непохожим
интерфейсом, документацией и возможностями.
Аналогично касается конфигурирования: acpiconf, atmconfig, bsdconfig,
ifconfig, kldconfig, mdconfig, pciconf, usbconfig. sysctl в *BSD
системах делает *очень* многое. В Linux: есть и sysctl и /sys.
[оставить комментарий]