Как стать автором
Обновить

Компания Интернет Контроль Сервер временно не ведёт блог на Хабре

Сначала показывать

Погружение в работу SWAP ОС FreeBSD

Время на прочтение 9 мин
Количество просмотров 4.4K

Оригинал: https://klarasystems.com/articles/exploring-swap-on-freebsd/ 

Свободная память = память, потраченная впустую? Как использовать swap наилучшим образом.

Для современных Unix-систем, таких как FreeBSD, термин “swapping” (подкачка памяти) означает операции по выгрузке данных из памяти на диск (устройство подкачки) и обратно, осуществляемые по требованию. 

Процесс вывода происходит в ответ на отсутствие свободной памяти в системе: ядро пытается вычислить страницы памяти, к которым возможно не будет производиться доступ в ближайшем будущем, и копирует их данные на диск, чтобы сохранить до востребования. 

Процесс выгрузки данных запускается при нехватке свободной памяти в системе: ядро системы вычисляет страницы памяти, которые скорее всего не будут нужны в ближайшем будущем, и  копирует их содержимое на диск, на котором данные хранятся до востребования.

Если приложение пытается получить доступ к данным, выгруженным на устройство подкачки, этот процесс блокируется до тех пор, пока ядро системы не извлечет необходимые данные с диска. После этого, работа приложения возобновляется в обычном режиме.

Описанная технология выглядит весьма рациональной. Объем памяти дисков обычно больше объема RAM, так почему бы не использовать их для кэширования редко используемых страниц памяти? Однако, для многих опытных администраторов процесс подкачки памяти до сих пор воспринимается как некорректное поведение системы. И этому есть объяснение: до недавнего времени диски, используемые для подкачки памяти, имели задержки доступа в миллионы раз выше, чем у RAM.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Комментарии 3

Файрвол IPFW в ОС FreeBSD

Время на прочтение 4 мин
Количество просмотров 17K

Привет всем, кому интересна ОС FreeBSD! После летне-отпускного отсутствия начинаю новый цикл статей. Надеюсь, будет занимательно и полезно.

Для тех, кто тут впервые, поясню, что являюсь разработчиком российского Интернет-шлюза Интернет Контроль Сервер, реализованного на базе FreeBSD. А потому, изнанка этой операционки, ее фишки и тонкости администрирования - то, с чем я сталкиваюсь ежедневно и делюсь с вами.

В предыдущей серии статей мы рассмотрели файрвол PF. Оценили возможности и настроили его для разных ролей. В новом цикле сделаем то же для файрвола IPFW. Как и с PF, начнем с краткого обзора и создания простой конфигурации для защиты веб сервера. В следующий статьях будем погружаться и усложнять конфигурацию постепенно, вводя новые типы правил и добавляя "мяса".

Читать далее
Всего голосов 5: ↑3 и ↓2 +1
Комментарии 15

Работа с пакетами в изолированной среде. Использование zfs datasets и jail’ов

Время на прочтение 4 мин
Количество просмотров 2K
В предыдущей статье мы рассказали, как работает система дистрибуции плагинов в новой версии ИКС. Сегодня речь пойдет о том, как разворачивать отдельно взятый плагин в системе.
Предпочтительнее всего, чтобы каждый плагин запускался в изолированной среде, подготовленной специально с учетом требований конкретного плагина. Причем, в среде, которая позволит взаимодействовать системе с плагином и плагинами между собой. Далее, для понимания, что это применимо к стандартной работе с пакетами, мы будем использовать термин “пакет”.
Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 2

FreeBSD. Путь сетевого пакета внутри ядра

Время на прочтение 3 мин
Количество просмотров 7.8K
  1. Файрвол PF в ОС FreeBSD
  2. FreeBSD. Фильтрация трафика PF
  3. FreeBSD. трансляции, тэги и якоря в PF
  4. FreeBSD. Условная маршрутизация средствами PF
  5. FreeBSD. Путь сетевого пакета внутри ядра. <- Вы здесь

В прошлых статьях мы разобрали PF, его основные возможности, и попробовали применить этот файрвол в различных ситуациях. Однако, простого знания, какие правила и в какой последовательности надо поставить в конфигурации, для достижения цели не всегда достаточно. Многое становится понятно только если взглянуть чуть глубже: на уровень ядра ОС, и того, как файрволы с ним взаимодействуют.



Мы не будем разбирать уровни драйвера сетевой карты (2 уровень модели OSI), а сразу поднимемся на 3 уровень, где работает tcp/ip стек ядра.

Читать дальше →
Всего голосов 11: ↑11 и ↓0 +11
Комментарии 3

FreeBSD. Условная маршрутизация средствами PF

Время на прочтение 13 мин
Количество просмотров 7.2K
  1. Файрвол PF в ОС FreeBSD
  2. FreeBSD. Фильтрация трафика PF
  3. FreeBSD. трансляции, тэги и якоря в PF
  4. FreeBSD. Условная маршрутизация средствами PF <- Вы здесь
  5. FreeBSD. Путь сетевого пакета внутри ядра


Введение


В предыдущих статьях мы разобрали базовые элементы конфигурации PF. Создали конфигурации, способные защитить сервер в Интернет и простейший офис.


В этой статье разберем возможности PF и FreeBSD в части продвинутой маршрутизации. Policy Based Routing (PBR), Source Based Routing (SBR), условная маршрутизация, маршрутизация на основе политик, все эти понятия, по сути, равнозначны и описывают одну возможность. Выбирать маршруты, либо таблицы маршрутизации для трафика на основе правил фаервола.


Можно, к примеру, отправить разные локальные сети через разных провайдеров, либо устроить распределение трафика между ВПН каналами. Рассмотрим оба эти варианта.


Для уменьшения файлов конфигурации и большей наглядности, в этой статье правила фильтрации будут максимально упрощены.

Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 3

FreeBSD. Трансляции, тэги и якоря в PF

Время на прочтение 15 мин
Количество просмотров 5.5K
  1. Файрвол PF в ОС FreeBSD
  2. FreeBSD. Фильтрация трафика PF
  3. FreeBSD. Трансляции, тэги и якоря в PF <- Вы здесь
  4. FreeBSD. Условная маршрутизация средствами PF
  5. FreeBSD. Путь сетевого пакета внутри ядра

Введение


В прошлых статьях мы разобрали, что такое PF вообще, общие принципы построения правил. Узнали о таблицах и способах фильтрации трафика PF. И создали конфигурационные файлы, которые способны защитить сервер в Интернет. В этой статье попробуем разобраться с NAT трансляциями и тэгами (tags). Еще пройдемся по якорям (anchors), их иногда называют еще закладками.



Думаю, объяснять, что такое NAT трансляции в общем случае не стоит. PF поддерживает три вида трансляций.


Anchors — это отдельные наборы правил PF, которыми, подобно таблицам, можно управлять динамически.


Tag — это способ пометить пакет, чтобы потом обработать в другом правиле. Удобно, например, метить пакеты, проходящие через проброс, чтобы потом их разрешить скопом в одном правиле.

Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 7

Freebsd. Фильтрация трафика PF

Время на прочтение 7 мин
Количество просмотров 8.8K

Введение


  1. Файрвол PF в ОС FreeBSD
  2. Фильтрация трафика PF <- Вы здесь
  3. FreeBSD. Трансляции, тэги и якоря в PF
  4. FreeBSD. Условная маршрутизация средствами PF
  5. FreeBSD. Путь сетевого пакета внутри ядра

В прошлой статье мы разобрали, что такое вообще PF, его основные возможности и создали простенький конфиг, использующий правила фильтрации и макросы. Сегодня разберемся с метками и научимся более продвинуто фильтровать трафик по различным условиям. Спасибо пользователям, комментировавшим предыдущую статью, за проявленный интерес.


В этот раз попробуем различные варианты более продвинутой фильтрации:


  • Макросы в различных местах конфигурационного файла.
  • Списки — набор параметров. PF раскроет его в отдельные правила.
  • Правила, ограничивающие количество подключений с одного IP, их частоту.
  • Таблицы. Это список IP адресов с которыми может сравнивать правило. Возможные варианты динамического заполнения. И проверку состояния наших таблиц.

Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 4

Файрвол PF в ОС FreeBSD

Время на прочтение 5 мин
Количество просмотров 19K

Введение



  1. Файрвол PF в ОС FreeBSD < — Вы здесь
  2. Фильтрация трафика PF
  3. FreeBSD. Трансляции, тэги и якоря в PF
  4. FreeBSD. Условная маршрутизация средствами PF
  5. FreeBSD. Путь сетевого пакета внутри ядра


В Рунете есть множество статей о настройке FreeBSD и PF, но все они разрозненны и несистематичны. А за любыми более-менее интересными вещами, такими, как маршрутизация средствами файрвола (Policy Based Routing), приходится читать оригинальную документацию, например, OpenBSD PF FAQ. Однако, есть отличия в синтаксисе команд для FreeBSD и OpenBSD. В этом цикле статей мы пробуем систематизировать и разобрать возможности PF от простого к сложному. Наверняка, эта вводная статья будет похожа на все остальные статьи о Packet Filter. Поэтому тем, кто уже знаком с базовыми возможностями, будет не интересно. Однако, без вступления не обойтись, а мясо будет в следующих статьях.

Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Комментарии 15

Облачное хранилище компонентов: новый этап в развитии Интернет-шлюза ИКС

Время на прочтение 5 мин
Количество просмотров 1.6K

Начало


Популярность современных UTM-решений, связана в первую очередь с их многофункциональностью. Возможность быстро решить все ИТ-задачи компании, да еще и из одного веб-интерфейса привлекает многих сисадминов.

Наше решение, Интернет Контроль Сервер, также относится к классу UTM-продуктов, объединяя в себе функции защиты сети, управления Интернет-подключениями, контентной фильтрации и многие другие.

Не смотря на очевидные преимущества, у использования подобных решений есть и обратная сторона — они зачастую монолитны, что не позволяет реагировать на изменения рынка более гибким образом.

С этой точки зрения более интересным продуктом является шлюз UTM, который может быть построен самим пользователем, исходя из реальных задач компании.
Читать дальше →
Рейтинг 0
Комментарии 0

От локального ПО до всероссийских инсталляций: как изменился ИКС за 17 лет

Время на прочтение 5 мин
Количество просмотров 4.4K

От идеи к проекту


Шел 2003 год: доллар — по 30, Интернет – по карточкам, за окном – июль, а по MTV крутят Numb и In the shadows. Несколько студентов и выпускников с кафедры информатики ЯрГУ им. Демидова решили совместными усилиями накодить что-то действительно классное, а главное нужное. Я работал тогда у местного интернет провайдера, и долго думать над тем, что именно накодить, не пришлось.



Клиенты этого и всех других провайдеров платили тогда за объем потребленного трафика, и в конце месяца, когда провайдер выкатывал счет клиентам, было много конфликтных ситуаций, типа: «мы этого не качали», «это, наверное, соседний офис, висящий на том же коммутаторе!». Как нам тогда казалось, перспектива у софта, который позволил бы клиентам проверять данные провайдера была велика. Этим мы и занялись.
Читать дальше →
Всего голосов 8: ↑7 и ↓1 +6
Комментарии 14