* [devel] kernel-feat-net-iptables_pom?
@ 2003-11-17 17:06 Andy Gorev
2003-11-17 17:24 ` Sergey Vlasov
2003-11-17 18:31 ` Peter V. Saveliev
0 siblings, 2 replies; 10+ messages in thread
From: Andy Gorev @ 2003-11-17 17:06 UTC (permalink / raw)
To: ALT Devel discussion list
Есть-ли какие-либо идеи у уважаемой "Kernel Maintainer Team" по поводу
Iptables Rusty's Patch-o-matic? Или его включение в какое-либо ядро
противоречит политике Alt? Давешние времена нестабильности с этим feat
уже IMHO прошли. Всякие там nth & random matches были-бы весьма полезны
для load balancing.
--
С Уважением,
Андрей Горев
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] kernel-feat-net-iptables_pom?
2003-11-17 17:06 [devel] kernel-feat-net-iptables_pom? Andy Gorev
@ 2003-11-17 17:24 ` Sergey Vlasov
2003-11-17 18:31 ` Peter V. Saveliev
1 sibling, 0 replies; 10+ messages in thread
From: Sergey Vlasov @ 2003-11-17 17:24 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 894 bytes --]
On Mon, Nov 17, 2003 at 07:06:54PM +0200, Andy Gorev wrote:
> Есть-ли какие-либо идеи у уважаемой "Kernel Maintainer Team" по поводу
> Iptables Rusty's Patch-o-matic? Или его включение в какое-либо ядро
> противоречит политике Alt? Давешние времена нестабильности с этим feat
> уже IMHO прошли. Всякие там nth & random matches были-бы весьма полезны
> для load balancing.
iptables имеет одну пакостную особенность - там то и дело ломается
бинарная совместимость, в результате чего собранный iptables перестаёт
работать с другими ядрами. В patch-o-matic есть отдельные патчи,
модифицирующие существующие модули и при этом вносящие такую
несовместимость; такие патчи не могут быть использованы.
Добавить какую-то новую функциональность в принципе можно - только нужно
учитывать, что у нас теперь несколько вариантов ядра, а пакеты (в том
числе и iptables) собираются с kernel-headers-std.
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] kernel-feat-net-iptables_pom?
2003-11-17 17:06 [devel] kernel-feat-net-iptables_pom? Andy Gorev
2003-11-17 17:24 ` Sergey Vlasov
@ 2003-11-17 18:31 ` Peter V. Saveliev
2003-11-17 18:54 ` Andy Gorev
1 sibling, 1 reply; 10+ messages in thread
From: Peter V. Saveliev @ 2003-11-17 18:31 UTC (permalink / raw)
To: ALT Devel discussion list
On Mon, 17 Nov 2003 19:06:54 +0200
Andy Gorev <horror@altlinux.ru> wrote:
> Есть-ли какие-либо идеи у уважаемой "Kernel Maintainer Team" по поводу
> Iptables Rusty's Patch-o-matic? Или его включение в какое-либо ядро
> противоречит политике Alt? Давешние времена нестабильности с этим feat
> уже IMHO прошли. Всякие там nth & random matches были-бы весьма полезны
> для load balancing.
Боясь показаться занудным, смею всё же обратить внимание на iproute2. И
в ядро ничего лишнего вставлять не надо, опять же - всё есть.
--
Sincerely, Peter V. Saveliev
E-mail: peet@altlinux.ru
Jabber: peet@jabber.ru
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] kernel-feat-net-iptables_pom?
2003-11-17 18:31 ` Peter V. Saveliev
@ 2003-11-17 18:54 ` Andy Gorev
2003-11-17 19:01 ` Peter V. Saveliev
2003-11-17 19:12 ` Peter V. Saveliev
0 siblings, 2 replies; 10+ messages in thread
From: Andy Gorev @ 2003-11-17 18:54 UTC (permalink / raw)
To: ALT Devel discussion list
Peter V. Saveliev wrote:
> On Mon, 17 Nov 2003 19:06:54 +0200
> Andy Gorev <horror@altlinux.ru> wrote:
>
>
>>Есть-ли какие-либо идеи у уважаемой "Kernel Maintainer Team" по поводу
>>Iptables Rusty's Patch-o-matic? Или его включение в какое-либо ядро
>>противоречит политике Alt? Давешние времена нестабильности с этим feat
>>уже IMHO прошли. Всякие там nth & random matches были-бы весьма полезны
>>для load balancing.
>
>
> Боясь показаться занудным, смею всё же обратить внимание на iproute2. И
> в ядро ничего лишнего вставлять не надо, опять же - всё есть.
>
Извините, чье внимание, мое? :D
Примеры, пожалуйста, в студию. А потом мы посмотрим, как вы заНАТите
каждый 1-й, 12-й и 25-й пакет из идущих на 80-й порт на один из четырех
интерфейсов, которые у меня есть ;-)
--
С Уважением,
Андрей Горев
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] kernel-feat-net-iptables_pom?
2003-11-17 18:54 ` Andy Gorev
@ 2003-11-17 19:01 ` Peter V. Saveliev
2003-11-17 19:10 ` Andy Gorev
2003-11-17 19:12 ` Peter V. Saveliev
1 sibling, 1 reply; 10+ messages in thread
From: Peter V. Saveliev @ 2003-11-17 19:01 UTC (permalink / raw)
To: ALT Devel discussion list
On Mon, 17 Nov 2003 20:54:55 +0200
Andy Gorev <horror@altlinux.ru> wrote:
> Peter V. Saveliev wrote:
> > On Mon, 17 Nov 2003 19:06:54 +0200
> > Andy Gorev <horror@altlinux.ru> wrote:
> >
> >
> >>Есть-ли какие-либо идеи у уважаемой "Kernel Maintainer Team" по поводу
> >>Iptables Rusty's Patch-o-matic? Или его включение в какое-либо ядро
> >>противоречит политике Alt? Давешние времена нестабильности с этим feat
> >>уже IMHO прошли. Всякие там nth & random matches были-бы весьма полезны
> >>для load balancing.
> >
> >
> > Боясь показаться занудным, смею всё же обратить внимание на iproute2. И
> > в ядро ничего лишнего вставлять не надо, опять же - всё есть.
> >
>
> Извините, чье внимание, мое? :D
>
> Примеры, пожалуйста, в студию. А потом мы посмотрим, как вы заНАТите
> каждый 1-й, 12-й и 25-й пакет из идущих на 80-й порт на один из четырех
> интерфейсов, которые у меня есть ;-)
Классификатор u32. Конкретные строчки пришлю к утру, когда время
написать будет. С nat'ом, может, и попарюсь, но уж выцепить пакет по
паттерну в заголовке - не проблема вовсе.
--
Sincerely, Peter V. Saveliev
E-mail: peet@altlinux.ru
Jabber: peet@jabber.ru
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] kernel-feat-net-iptables_pom?
2003-11-17 19:01 ` Peter V. Saveliev
@ 2003-11-17 19:10 ` Andy Gorev
2003-11-17 19:23 ` Peter V. Saveliev
0 siblings, 1 reply; 10+ messages in thread
From: Andy Gorev @ 2003-11-17 19:10 UTC (permalink / raw)
To: ALT Devel discussion list
Peter V. Saveliev wrote:
> On Mon, 17 Nov 2003 20:54:55 +0200
> Andy Gorev <horror@altlinux.ru> wrote:
>
>
>>Peter V. Saveliev wrote:
>>
>>>On Mon, 17 Nov 2003 19:06:54 +0200
>>>Andy Gorev <horror@altlinux.ru> wrote:
>>>
>>>
>>>
>>>>Есть-ли какие-либо идеи у уважаемой "Kernel Maintainer Team" по поводу
>>>>Iptables Rusty's Patch-o-matic? Или его включение в какое-либо ядро
>>>>противоречит политике Alt? Давешние времена нестабильности с этим feat
>>>>уже IMHO прошли. Всякие там nth & random matches были-бы весьма полезны
>>>>для load balancing.
>>>
>>>
>>>Боясь показаться занудным, смею всё же обратить внимание на iproute2. И
>>>в ядро ничего лишнего вставлять не надо, опять же - всё есть.
>>>
>>
>>Извините, чье внимание, мое? :D
>>
>>Примеры, пожалуйста, в студию. А потом мы посмотрим, как вы заНАТите
>>каждый 1-й, 12-й и 25-й пакет из идущих на 80-й порт на один из четырех
>>интерфейсов, которые у меня есть ;-)
>
>
> Классификатор u32. Конкретные строчки пришлю к утру, когда время
> написать будет. С nat'ом, может, и попарюсь, но уж выцепить пакет по
> паттерну в заголовке - не проблема вовсе.
>
Вы не поняли проблему. Упростим задачу. Нет никаких паттернов, нет даже
src адресов, потому что они все разные, src порты тоже разные, dst
адреса тоже разные, одинаков только порт dst. Так вот из этого трафика
_безотносительно_ от нагрузки канала надо отделить поток в 35% и
что-нибудь с ним сделать. Не важно НАТ или нет. Можете быть покойны -
ip&tc не решат эту задачу. Есть сторонние приблуды типа multipath
routing и вообще множество рецептов. Только с помощью iptables это можно
сделать проще.
--
С Уважением,
Андрей Горев
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] kernel-feat-net-iptables_pom?
2003-11-17 18:54 ` Andy Gorev
2003-11-17 19:01 ` Peter V. Saveliev
@ 2003-11-17 19:12 ` Peter V. Saveliev
2003-11-17 19:22 ` Andy Gorev
1 sibling, 1 reply; 10+ messages in thread
From: Peter V. Saveliev @ 2003-11-17 19:12 UTC (permalink / raw)
To: ALT Devel discussion list
On Mon, 17 Nov 2003 20:54:55 +0200
Andy Gorev <horror@altlinux.ru> wrote:
<skip />
> Примеры, пожалуйста, в студию. А потом мы посмотрим, как вы заНАТите
> каждый 1-й, 12-й и 25-й пакет из идущих на 80-й порт на один из четырех
> интерфейсов, которые у меня есть ;-)
Или ещё смешнее... Вам, кажется, load balancing нужен? Если на входящем
потоке, то - ingress policier, если на исходящем - то цельный набор от
HTB до CBQ.
Например, исходя из приведённого ТЗ я могу просто дропнуть пакеты 2..11,
13..24, 26..<макс. значение счётчика заголовке пакета>, если они идут на
80 порт.
--
Sincerely, Peter V. Saveliev
E-mail: peet@altlinux.ru
Jabber: peet@jabber.ru
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] kernel-feat-net-iptables_pom?
2003-11-17 19:12 ` Peter V. Saveliev
@ 2003-11-17 19:22 ` Andy Gorev
0 siblings, 0 replies; 10+ messages in thread
From: Andy Gorev @ 2003-11-17 19:22 UTC (permalink / raw)
To: ALT Devel discussion list
Peter V. Saveliev wrote:
> On Mon, 17 Nov 2003 20:54:55 +0200
> Andy Gorev <horror@altlinux.ru> wrote:
>
> <skip />
>
>>Примеры, пожалуйста, в студию. А потом мы посмотрим, как вы заНАТите
>>каждый 1-й, 12-й и 25-й пакет из идущих на 80-й порт на один из четырех
>>интерфейсов, которые у меня есть ;-)
>
>
> Или ещё смешнее... Вам, кажется, load balancing нужен? Если на входящем
> потоке, то - ingress policier, если на исходящем - то цельный набор от
> HTB до CBQ.
>
> Например, исходя из приведённого ТЗ я могу просто дропнуть пакеты 2..11,
> 13..24, 26..<макс. значение счётчика заголовке пакета>, если они идут на
> 80 порт.
А мне не надо их дропать. Мне даже не надо их перероутить, мне надо их
просто заНАТить другим адресом. И потом, о каком счетчике речь, если у
меня на сервер залетает ежесекундно более 2000 пакетов от разных адресов
и секвенсов?
ЗЫ Вы будете смеятся, но
http://www.opennet.ru/base/net/adv_route_qos.txt.html - это я написал. :)
--
С Уважением,
Андрей Горев
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] kernel-feat-net-iptables_pom?
2003-11-17 19:10 ` Andy Gorev
@ 2003-11-17 19:23 ` Peter V. Saveliev
2003-11-17 19:28 ` Andy Gorev
0 siblings, 1 reply; 10+ messages in thread
From: Peter V. Saveliev @ 2003-11-17 19:23 UTC (permalink / raw)
To: ALT Devel discussion list
On Mon, 17 Nov 2003 21:10:04 +0200
Andy Gorev <horror@altlinux.ru> wrote:
<skip />
> Вы не поняли проблему. Упростим задачу. Нет никаких паттернов, нет даже
> src адресов, потому что они все разные, src порты тоже разные, dst
> адреса тоже разные, одинаков только порт dst. Так вот из этого трафика
> _безотносительно_ от нагрузки канала надо отделить поток в 35% и
> что-нибудь с ним сделать. Не важно НАТ или нет. Можете быть покойны -
> ip&tc не решат эту задачу. Есть сторонние приблуды типа multipath
> routing и вообще множество рецептов. Только с помощью iptables это можно
> сделать проще.
<skip />
Ок, проблему понял, возможно, я не прав. Хотя попробую порыть, всё же -
просто для успокоения :)
Просто есть внутреннее глубокое предубеждение против pom, ещё с тех
времён, как однажды накололся с REJECT. С тех пор, одно лишь упоминание
об этой фиче повергает в смешанные чувства.
Фишки фишками, но надо иногда обеспечить некоторую тривиальную
функциональность, и REJECT для меня был тем же, что и /proc, к примеру.
Т.е., неотъемлимой частью рабочей среды ;)
--
Sincerely, Peter V. Saveliev
E-mail: peet@altlinux.ru
Jabber: peet@jabber.ru
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [devel] kernel-feat-net-iptables_pom?
2003-11-17 19:23 ` Peter V. Saveliev
@ 2003-11-17 19:28 ` Andy Gorev
0 siblings, 0 replies; 10+ messages in thread
From: Andy Gorev @ 2003-11-17 19:28 UTC (permalink / raw)
To: ALT Devel discussion list
Peter V. Saveliev wrote:
> On Mon, 17 Nov 2003 21:10:04 +0200
> Andy Gorev <horror@altlinux.ru> wrote:
>
> <skip />
>
>>Вы не поняли проблему. Упростим задачу. Нет никаких паттернов, нет даже
>>src адресов, потому что они все разные, src порты тоже разные, dst
>>адреса тоже разные, одинаков только порт dst. Так вот из этого трафика
>>_безотносительно_ от нагрузки канала надо отделить поток в 35% и
>>что-нибудь с ним сделать. Не важно НАТ или нет. Можете быть покойны -
>>ip&tc не решат эту задачу. Есть сторонние приблуды типа multipath
>>routing и вообще множество рецептов. Только с помощью iptables это можно
>>сделать проще.
>
> <skip />
>
> Ок, проблему понял, возможно, я не прав. Хотя попробую порыть, всё же -
> просто для успокоения :)
Я буду очень признателен за любое решение, отличающееся от pom или
http://www.ssi.bg/~ja/nano.txt
> Просто есть внутреннее глубокое предубеждение против pom, ещё с тех
> времён, как однажды накололся с REJECT. С тех пор, одно лишь упоминание
> об этой фиче повергает в смешанные чувства.
Именно поэтому я и спросил многоуважаемую "Kernel Maintainer Team", как
с этим обстоят дела сейчас.
> Фишки фишками, но надо иногда обеспечить некоторую тривиальную
> функциональность, и REJECT для меня был тем же, что и /proc, к примеру.
> Т.е., неотъемлимой частью рабочей среды ;)
Да, понимаю.
--
С Уважением,
Андрей Горев
^ permalink raw reply [flat|nested] 10+ messages in thread
end of thread, other threads:[~2003-11-17 19:28 UTC | newest]
Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-11-17 17:06 [devel] kernel-feat-net-iptables_pom? Andy Gorev
2003-11-17 17:24 ` Sergey Vlasov
2003-11-17 18:31 ` Peter V. Saveliev
2003-11-17 18:54 ` Andy Gorev
2003-11-17 19:01 ` Peter V. Saveliev
2003-11-17 19:10 ` Andy Gorev
2003-11-17 19:23 ` Peter V. Saveliev
2003-11-17 19:28 ` Andy Gorev
2003-11-17 19:12 ` Peter V. Saveliev
2003-11-17 19:22 ` Andy Gorev
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git