Re: спасибо
On Thu, Oct 19, 2006 at 04:26:45PM +0400, Alexander Gerasiov wrote: > Тьфу на тя. Я на рабготе открыл, а там голая жопа, пнимаешь первым кадром =) :) а что Вы там хотели увидеть? -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
спасибо
On Wed, Oct 18, 2006 at 12:02:00PM +0400, Artem Chuprina wrote: > Да, пожалуй, задачу защиты слабенькой машинки на толстом канале pf > решает получше, чем iptables... слабенькой машинки или не слабенькой особо неважно. и толщина канала тоже неважна 10 мбит хватит чтобы уложить сервис. спасибо что вы согласились/остальные молча ~ доказательства приняты. use OpenBSD PF. iptables must die. линукс комьюнити пора игнорировать проект нетфильтра за бездействие, деградацию и множество собственных DOS: http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=iptables. -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
man PF :)
> Непонятно, на чем synproxy съест процессор. В память я б еще > поверил... И то вроде бы ровно те же расходы. Может быть, у прокси > даже меньше - ему только случайное начальное число генерировать, а > синкукам еще и куку. > > Единственное - опять перестал понимать, каким образом он при этом > защищает другую машину. За SYN+ACK же при этом надо к ней сходить? > Ограничить скорость и бэклог у себя держать? А есть уверенность, что > бэклог у него лучше, чем у той другой машины? man PF :) SYN PROXY By default, pf(4) passes packets that are part of a tcp(4) handshake be- tween the endpoints. The synproxy state option can be used to cause pf(4) itself to complete the handshake with the active endpoint, perform a handshake with the passive endpoint, and then forward packets between the endpoints. No packets are sent to the passive endpoint before the active endpoint has completed the handshake, hence so-called SYN floods with spoofed source addresses will not reach the passive endpoint, as the sender can't complete the handshake. The proxy is transparent to both endpoints, they each see a single con- nection from/to the other endpoint. pf(4) chooses random initial se- quence numbers for both handshakes. Once the handshakes are completed, the sequence number modulators (see previous section) are used to trans- late further packets of the connection. Hence, synproxy state includes modulate state and keep state. буга га IP таблицам вместе с синкуками пора на заслуженную помойку. Use PF! -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
OpenBSD PF better than iptables. Iptables must die.
On Tue, Oct 17, 2006 at 09:00:15PM +0400, Ed wrote: > Artem Chuprina wrote: > > >MG> tcp syn proxy проверка валидности (досягаемости начального узла / > >MG> инструмент при проверке на спуф). > > > >Не понял... Насколько я представляю себе устройство современных NAT'ов, > >если к тебе прилетел TCP SYN, единственное, как ты можешь проверить > >досягаемость узла - это (вообще говоря, неоднократно) отправить обратно > >SYN+ACK и подождать, что пришлют в ответ - продолжение сессии, ICMP > >чего-нибудь-unreacheable, TCP RST или вообще проигнорируют. Причем > >отправить SYN+ACK может только тот сервис, который там висит - у > >файрвола этот номер не пройдет. > > > > > > я специально посмотрел - единственное правильное, что сказал однофамилец > джона. в openbsd pf действиттельно может принимать соединения и отдавать > их дальше только после установки соединения. Да вы начинаете сечь фишку :) > > в принципе интересно, хотя проц должно грузить - но всё равно > производительнее будет, чем аналогичное userspace решение. с другой > стороны непонятно чем syncookies не нравится - при хорошем флуде > syn-пакетами сервер будет работать в общем-то нормально, а synproxy > съест процессор и устроит dos. P.S. проц не грузит. скорее вы просядете по прерываниям к сетевой карте но! :) в режиме поллинга да еще и с pfsync + carp есть маза разрулить гигантские объемы агрессивного трафа кластером PF. (Кстати вот еще о чем можно поговорить - пример такой реализации синхронизации стейтов между 10ю фаерволами аля pfsync в линуксе в студию :) ) при хорошей атаке синкуки вам не помогут достаточно вспомнить принцип их работы и сколько лажи уже с ними отрыли. когда очередь syn забита предлагается хешировать новые сины и отправлять синаки пройдет немало времени пока валидизированному таким механизмом запросу удастся прорвется через забитую очередь к приложению а то и при потере ака со стороны клиента запрос вообще перейдет в 5тое измерение. кроме того откройте ман tcp - синкуки нарушение протокола и **не** рекомендуются. tcp_syncookies Enable TCP syncookies. The kernel must be compiled with CONFIG_SYN_COOKIES. Send out syncookies when the syn backlog queue of a socket overflows. The syncookies feature attempts to protect a socket from a SYN flood attack. This should be used as a last resort, if at all. This is a violation of the TCP protocol, and conflicts with other areas of TCP such as TCP extensions. It can cause problems for clients and relays. It is not recommended as a tuning mechanism for heavily loaded servers to help with overloaded or misconfigured conditions. For recommended alternatives see tcp_max_syn_backlog, tcp_synack_retries, tcp_abort_on_overflow. **проверьте на практике**. sysctl -a |grep tcp net.ipv4.tcp_max_syn_backlog покажет вам ничтожный размер вашей очереди которую бесполезно увеличивать. Use PF! OpenBSD PF is your familly's **only** line of deffence. :) -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: flood protect
> MG> ууу как все запущено. > MG> вот как раз PF (synproxy) позволяет не тревожа сервис провести хендшейк > и после этого > MG> (случае успеха) установить сессию к сервису и сбросить ее в стейт. > > А. Это да, это кое от чего лечит. Логично, мог бы и сообразить, что > TCP-то один хрен на уровне ядра реализуется, процесс из accept() > получает уже готовое соединение. P.S. не обязательно процесс на той же машине что и PF. основной смысл прикрывать всякие лакомые линуксовые сервисы за nat надеюсь со временем и на уровне бриджа будет работать. > От проблемы, показанной в рассылке, впрочем, один хрен не лечит. Это к > нижепоскипанному про мотоциклы... данный тред развился из проблемы сравнения а и б ответ на начальную проблему (как мне кажется) прозвучал в самом начале (iplimit) :) в любом случае разговор получился занятный. use PF. -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: flood protect
> Я правильно помню, что PF работает в userspace?
нет.
PF(4) OpenBSD Programmer's ManualPF(4)
NAME
pf - packet filter
SYNOPSIS
pseudo-device pf
DESCRIPTION
Packet filtering takes place in the kernel. A pseudo-device, /dev/pf,
allows userland processes to control the behavior of the packet filter
through an ioctl(2) interface. There are commands to enable and disable
the filter, load rulesets, add and remove individual rules or state table
entries, and retrieve statistics. The most commonly used functions are
covered by pfctl(8)...
--
Matvey Gladkikh
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: flood protect
On Tue, Oct 17, 2006 at 01:25:28PM +0400, DamirX wrote: > Да мало-ли что мы можем ответить несознательным носорогам! (Особенно в > пределах своего езернета :-) > > -- > > DamirX красноглазики. -- Matvey Gladkikh
Re: flood protect
On Tue, Oct 17, 2006 at 02:40:25PM +0400, Artem Chuprina wrote: > Matvey Gladkikh -> Artem Chuprina @ Mon, 16 Oct 2006 23:25:07 +0400: > > >> По-моему, функциональность пп. 2 и 3 имеется в patch-o-matic, который в > >> ряд дистрибутивов вкручивают мейнтейнеры. У меня этих задач слишком > > MG> Господин Артем Барщевский, мы играем в рамках правил :) > MG> патчи не принимаются. особенно в критический момент и с > MG> "works for me". > > А на табличке голосом Куковлева написано: "ТЫ НЕВНИМАТЕЛЕН". Если > "вкручивают мейнтейнеры", то в дистрибутиве оно уже есть, и пересобирать > ничего не надо. дебиан / fedora / rhel как я вижу не вкручивают iplimit. низачот. # uname -a Linux rhel 2.4.21-15.EL #1 Thu Apr 22 00:27:41 EDT 2004 i686 i686 i386 GNU/Linux cat /etc/redhat-release Red Hat Enterprise Linux AS release 3 (Taroon Update 2) # modprobe iplimit modprobe: Can't locate module iplimit Linux debian 2.6.17-2-vserver-686 #1 SMP Wed Sep 13 18:41:34 UTC 2006 i686 GNU/Linux ~# cat /etc/debian_version testing/unstable ~# modprobe iplimit FATAL: Module iplimit not found. и т.д. > > >> задачи не стоит, поэтому читать я читал, но не более того. По п. 1 для > >> начала нехило бы рассказать, что это за проверка, аналогичную которой > >> надо делать, почему не надо копать в сторону кук, а главное - что, > >> собственно, за задача решается - вполне возможно, тут она решается > >> другим способом. > > MG> tcp syn proxy проверка валидности (досягаемости начального узла / > MG> инструмент при проверке на спуф). > > Не понял... Насколько я представляю себе устройство современных NAT'ов, > если к тебе прилетел TCP SYN, единственное, как ты можешь проверить > досягаемость узла - это (вообще говоря, неоднократно) отправить обратно > SYN+ACK и подождать, что пришлют в ответ - продолжение сессии, ICMP > чего-нибудь-unreacheable, TCP RST или вообще проигнорируют. Причем > отправить SYN+ACK может только тот сервис, который там висит - у > файрвола этот номер не пройдет. ууу как все запущено. вот как раз PF (synproxy) позволяет не тревожа сервис провести хендшейк и после этого (случае успеха) установить сессию к сервису и сбросить ее в стейт. > > Регулярки - это кто? Регулярные выражения? угу. ладно не будем тут глаза таращить. Я вот из за чего все это начал - я как то 2 года назад изучал этот вопрос ip безопасности в линуксе "гуглением" и напарывался на вот такие вот рассылки в которых всякие уипаны давали бесполезные (как выяснилось) советы. Так вот я считаю - если человек не знает досконально как это работает - пусть молчит и не засе...ет авторитетную рассылку нерабочими рецептами аля "у меня получилось - попробуйте и вы". так вот если вы мегаавторитет по мотоциклам не надо пытаться давать советы по велосипедам даже если знаете что у обоих два колеса и цепная передача. у меня все. -- Matvey Gladkikh
Re: flood protect
On Tue, Oct 17, 2006 at 10:41:33AM +0400, Nikolay Nikolaev wrote: > >в каком то из сегментов сети то ли свитч то ли кто еще валит очень много > >броадкастами, как определить какой это свитч, т.к. винс на это тоже очень > >плохо раегирует, > > в догонку в аттаче небольшой лог tcpdump > tcpdump ether broadcast > иногда валится WINS (Samba) > думаю что это кол-во броадкастов как то влияет убейте 137 138 udp или попробуйте лимитировать пер айпи. это какая то форточная шняга. надо копать глубже или забить если не ваша сеть. -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: flood protect
On Tue, Oct 17, 2006 at 10:41:33AM +0400, Nikolay Nikolaev wrote: > >в каком то из сегментов сети то ли свитч то ли кто еще валит очень много > >броадкастами, как определить какой это свитч, т.к. винс на это тоже очень > >плохо раегирует, > > в догонку в аттаче небольшой лог tcpdump > tcpdump ether broadcast > иногда валится WINS (Samba) > думаю что это кол-во броадкастов как то влияет -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: flood protect
On Tue, Oct 17, 2006 at 10:46:41AM +0400, Покотиленко Костик wrote: > Относительно Вашего изначального вопроса: > > Проблема: ping-flood > Решение: > > 1. не обрабатывать ping'и не по существу: > > iptables -A INPUT -m state --state INVALID -j DROP > iptables -A FORWARD -m state --state INVALID -j DROP bullshit не принимайте за совет. наломаете дров. > 2. ограничить ping'и "echo-request" (те, что не могут быть не по > существу) до разумного предела. > > iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit > 1/s -j ACCEPT > iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s > -j ACCEPT bullshit не принимайте за совет. наломаете дров. > У меня ещё вопрос: если человек спрашивает о возможных решениях проблемы > на Debian, зачем ему советовать OpenBSD при наличии таких решений? я советую то что *работает*. -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: flood protect
> я вот встречал свитчи с надписью broadcast storm protect > а как данная технология применяется ли в линуксе в виде чего нить а за > остальное спасибо... ну это значит что switch имеет возможность ограничивать количество проходящих через него broadcast пакетов наверное что то вроде этого? http://support.3com.com/infodeli/tools/netmgt/tncsunix/product/091500/c9bstorm.htm -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: sarge disks
> Тут точно есть кто из Москвы... > У меня один ученик поступил в ВУЗ в Москве после школы только что, и живёт > счас там в общаге. Ему надо Debian на комп установить, а дистрибутив с > собой не взял. Естественно, ему дороговато заплатить 300 руб. за 2 DVD > диска или за CD какую-то сумму... Парень из Ижевска молодой в чужом > городе... Пожалуйста, если кому не жалко, дайте мне адресок, кто может дать > ему Sarge или что повыше временно, чтобы я сообщил ему, где взять временно > диски для установки... > Заранее спасибо... Я могу 1ый cd закатать который со всем необходимым с sargem или etch. Без проблем я на Ленинском проспекте могу пересечся у метро с удовольствием отдам. Мой тел 89037389100. -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: flood protect
On Mon, Oct 16, 2006 at 09:49:16PM +0400, Artem Chuprina wrote: > По-моему, функциональность пп. 2 и 3 имеется в patch-o-matic, который в > ряд дистрибутивов вкручивают мейнтейнеры. У меня этих задач слишком Господин Артем Барщевский, мы играем в рамках правил :) патчи не принимаются. особенно в критический момент и с "works for me". > задачи не стоит, поэтому читать я читал, но не более того. По п. 1 для > начала нехило бы рассказать, что это за проверка, аналогичную которой > надо делать, почему не надо копать в сторону кук, а главное - что, > собственно, за задача решается - вполне возможно, тут она решается > другим способом. tcp syn proxy проверка валидности (досягаемости начального узла / инструмент при проверке на спуф). павтаряю синкуки не предлагать. йоу в дело включаются знатоки :) осталось 50/50 и звонок другу. P.S. еше масса фич которые можно спросить начиная от фингерпринтов и заканчивая регулярками в отношении к правилам. какие то мышки вроде Артема Борщевского знают какие кактусы без иголок. остальные плачют, колятся но продолжают есть кактусы с иголками. -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: flood protect
On Mon, Oct 16, 2006 at 09:42:29PM +0400, Artem Chuprina wrote: > Matvey Gladkikh -> Покотиленко Костик @ Mon, 16 Oct 2006 21:08:43 +0400: > > >> Ограничте до другого, более разумного для Вас предела, это раз. > MG> Утверждение пальцем в небо. Не слушайте таких советов уважаемые читатели. > > >> Сделайте также вот это: > >> > >> iptables -A INPUT -m state --state INVALID -j DROP > >> iptables -A FORWARD -m state --state INVALID -j DROP > > MG> С каких пор icmp стал stateful протоколом? > MG> Вашими советами вы путаете читателей рассылки. > > Я тебя сильно огорчу, если скажу, что до некоторых пределов вполне себе > stateful? Что в ICMP ответе положено цитировать начало вопроса, и на > этом основании вполне можно делать некоторые выводы? И если ESTABLISHED > для него, может, смысла и не имеет, то уж RELATED (кстати сказать, не > только по отношению к ICMP, ICMP host unreacheable к совершенно любому > IP-пакету может быть related) и INVALID для него вполне себе имеют > смысл. Абсолютно не огорчите. По схожей логике и udp можно до "некоторых пределов" :) считать stateful. Мне интересно зачем эти правила со стейтами в данной ситуации советуют. ицмп это протокол начал/кончил? Как он соотносится с блокировкой нежелательного 200 в секунду начал? читаем вопрос поставленный в начале обсуждения... -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: flood protect
On Mon, Oct 16, 2006 at 07:13:16PM +0400, Alexander Vlasov wrote: > Вообще когда советуют инструмент отличный от предполагаемого, стоит > сказать чем именно он лучше в данном случае. Типа "a не может сделать b, > а с может сделать b" Матвей Двинятин и Читатель Друзь, против вас играет Александр Власов из ... :) А теперь внимание простые до безобразия *вопросы*: 1. как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе на базе линукс сделать проверку аналогичную synproxy в openbsd PF? (не надо копать в сторону всяких там кук) 2. как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе на базе линукс что то делать с каждым например 2ым udp пакетом? 3. как штатными средствами без пересборки ядра с патчами в многоуважаемом фаерволе на базе линукс ограничивать количество соединений с *одного* ip. (может уже и появилось спустя два года а я могу и не знать :) ) линукс фаервол с ip таблицами пригоден разве что для того чтобы форцевать трафиком соседу по подъезду. он **абсолютно** непригоден для защиты публичных и маломальски важных сервисов в агрессивной IP среде. -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: flood protect
On Mon, Oct 16, 2006 at 07:44:22PM +0400, Покотиленко Костик wrote: > Ограничте до другого, более разумного для Вас предела, это раз. Утверждение пальцем в небо. Не слушайте таких советов уважаемые читатели. > Сделайте также вот это: > > iptables -A INPUT -m state --state INVALID -j DROP > iptables -A FORWARD -m state --state INVALID -j DROP С каких пор icmp стал stateful протоколом? Вашими советами вы путаете читателей рассылки. > , это два. Кроме административных способов с этим бороться больше никак > нельзя. > можно. легко и просто. openbsd PF или хотя бы IPFW но я советую первое. -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: flood protect
> на предмет чего и какие??? я же говорил если сетевая безопасность - то PF. http://www2.papamike.ca:8082/tutorials/pub/obsd_pf.html http://www.openbsd.org/cgi-bin/man.cgi?query=pf&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: flood protect
> Про костыли можно подробнее? > > Наверно лучше это: > > iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit > 1/s -j ACCEPT > > или это: > > iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s > -j ACCEPT все это приведет к тому что вы урежете горлышко icmp канала до одного обращения в секунду для *всех* не думаю что это хорошо. модуль limit разрабатывали для ограничения записей в логи использовать его в ip очереди неуместно. курите доки или я что то не то говорю? хмм возможно... :) -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: flood protect
On Mon, Oct 16, 2006 at 04:05:54PM +0400, Nikolay Nikolaev wrote: > Днь добрый. > вероятно это так называется.. (сабж) > > короче если человек с винды запускает скрипт с одновременным пингованием > сервака (Дебиан сардж) в 200 раз, т.е. 200 одновременно, то сервак > себя очень плохо чувсвтвует , не отвечает я бы сказал на запросы.. с можно что то типа такого: iptables -I INPUT -p icmp -m iplimit --iplimit-above 10 -j DROP iplimit вроде тока в патчоматике. ваще если вам о чего то там сетевого защищатся мой вам совет - openbsd + PF я сам любитель дебиана но сетевая безопасность в любом линуксе через костыли или отсутствует. -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: локальная VCS
On Mon, Oct 09, 2006 at 06:15:51PM +0400, Roman Cheplyaka wrote: > Разыскивается система контроля версий для локального использования. > Никаких экзотических требований нет, но вот тот же svn для таких целей > неудобен. Для того, чтобы добавить под контроль, скажем, > /var/spool/cron/crontabs/, надо из 4 лишних директорий делать working > copy. > Что посоветуете? А чем не устраивает rcs ? -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Радио сетев ая карта
On Thu, Oct 05, 2006 at 07:26:02AM +0400, 3DRaven wrote: > Вопрос собственно в том, какую карту лучше взять, чтобы пошла под debian ? > Есть точка доступа в локалку района...ура ! там есть цивилизованая > выделенка, а не мой gprs. > Хочу купить радиосетевуху + антену. Так как медный провод снимут пока > его будешь вешать :) > Нужна карта, чтобы нормально ловила и при этом завелась под дистром. Бери однозначно карты с открытыми дровами и firware. Такими вроде бы недавно руками комьюнити стали atheros (madwifi) карты. А так же всякие азиатские типа ADMtek, Atmel, Ralink и тд Intel и прочие чипсеты не бери - неизвестно что они тебе в firmware подсунут. Вон историю достаточно почитать как карточки интелевые эксплойтились под виндой (по слухам и *nix ами). Извините за возможные неточности :) -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: sources.list
On Fri, Sep 08, 2006 at 09:02:41AM +0400, Fedotov Michael wrote: > Добрый день! > установил testing. Как его теперь обновлять! В /etc/apt/sources.list > только ссылки на диски и на > deb http://security.debian.org/ etch/updates main contrib non-free. > Где взять другие репозитарии? > Спасибо. Например как то так: sudo apt-get install -y apt-spy sudo apt-spy update sudo apt-spy -d testing -a Europe -e 200 (это если вам по европе побенчмаркит зеркала надо 200 штук сравнит и запишет в сорсес лист самые шустрые) -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: троллинг?
On Fri, Sep 01, 2006 at 01:13:06PM +0400, Sergey Chumakov wrote: > Хочу заметить, что я так вопрос не ставил :) Возможно. :) -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: троллинг?
On Fri, Sep 01, 2006 at 05:24:15PM +0400, Pavel Ammosov wrote: > Абаснуй! Что? Курите доки и делайте свои умозаключения сами. -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: троллинг?
On Fri, Sep 01, 2006 at 02:28:57PM +0400, Alexander Vlasov wrote: > Тогда пожалуйста разверните мысль. > Как по функционалу exim можно подумать, что он разрабатывался > спаммерами? Встроенная поддержка perl, регулярок, расширенный фильтр, макроязык и тд вещи далеко уходящие от простого MTA. Инструментал нужный либо большому почтовому проекту, либо спамеру (не только классическому smtp). На этом тему предлагаю закрыть. Каждый может субъективно решить для себя этот вопрос. -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
троллинг?
On Thu, Aug 31, 2006 at 05:22:57PM +0400, Alexander Vlasov wrote: > Прошу прощения, это троллинг или я не уловил мысль, которую Вы хотели > донести до подписчиков рассылки? Не троллинг. Если смотреть на функционал предлагаемый Exim можно предположить что он разрабатывался спамерами. Мое сообщение простое и понятное. Поставленный в рассылке вопрос "что лучше" вот это скорее троллинг. -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Заменить send mail на?
On Thu, Aug 31, 2006 at 12:11:38PM +0400, Nick 'TARANTUL' Novikov wrote: > В корне не согласен. У exim4 очень стройная система конфигурации. Можно > сделать все что угодно. > Про postfix я такого сказать не могу. Эксим по видимому спамерами написан. Так что если вы любитель тушенки вам однозначно лучше Exim. -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Заменить send mail на?
Sun пропатчили операционку, но sendmail, в общем-то, тоже ее > часть. Они удачно закрыли дыры, но sendmail снова стал 5, а не 8. Но в одном > они были правы - sendmail.cf действительно никто не тронул. А какая разница, > для восьмой версии он или для пятой? > > Ну, короче говоря. Пятый (по крайней мере, в варианте Sun'а) - нормально > отрабатывал sendmail.cf от восьмого. Рулсеты-то не изменились. > Но вот опции настройки, такие неприлично длинные - он считал чуть ли не > комментариями. Клал на них. А откомпилирован он был без настроек по > умолчанию. > И, как честный человек, не найдя чего-то в sendmail.cf, он устанавливал > это в 0. > > Одна из успешно установленных в ноль настроек - таймаут для соединения с > удаленным SMTP - сервером. Поигравшись с этим сервером, я понял, что <ноль> > по его мнению - это около трех миллисекунд. > > Так. Ага... > Сетка наша уже в то время была на коммутаторах, и задержек практически не > имела. > Задержки снаружи - это, в общем. Было понятно. > > Ага. Скорость распространения электромагнитной волны. > > ОООПС > Умножаем время на скорость света, и получаем... и получаем... > 558.84719 > > Пятьсот пятьдесят восемь миль. [EMAIL PROTECTED]:~$ ping ya.ru PING ya.ru (213.180.204.8) 56(84) bytes of data. 64 bytes from ya.ru (213.180.204.8): icmp_seq=1 ttl=59 time=4.63 ms 64 bytes from ya.ru (213.180.204.8): icmp_seq=2 ttl=59 time=11.2 ms 64 bytes from ya.ru (213.180.204.8): icmp_seq=3 ttl=59 time=4.45 ms 64 bytes from ya.ru (213.180.204.8): icmp_seq=4 ttl=59 time=6.92 ms 64 bytes from ya.ru (213.180.204.8): icmp_seq=5 ttl=59 time=3.18 ms --- ya.ru ping statistics --- 5 packets transmitted, 5 received, 0% packet loss, time 4020ms rtt min/avg/max/mdev = 3.186/6.101/11.298/2.866 ms ~900 км до яндекса а я его из окна вижу -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: 2 DHCP одна лок алка
On Sat, Aug 26, 2006 at 09:31:47AM +0400, Nikolay Nikolaev wrote: > День добрый. > в локалке хочется завезти второй ДХЦП сервер, в одном сегменте т.е. в > одной подсети, ( на Дебиане :-)) есесено) > так вот вопрос возник, нигде не могу найти ответ, а как клиент узнает с > какого сервера ему IP получать? > ведь он разсылает просто широковещательный запрос а кто на него > ответит??? первый или второй? > непонятно. > Спасибо. если оба дхцп в вашем владении вы можете фильтровать по макам запросы которые к ним могут прийти тем самым используя два сервера в одном сегменте непересекаясь. иначе неизвестно какой ответит быстрее. -- Matvey Gladkikh -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
