организация роутера

[tes+or]

да смысла особо нет, зачем? не факт что флешка надежнее винтов, тем более рэйда. а на подмену мы обязательно скоро еще один роутер соберем с тем же конфигом.

кроме того тут все слишком наворочано, лучше использовать полноценный дистр. много всяких утилит, логи к тому же писать надо, а на флэшку это нежелательно делать.

а для дома тоже, там помимо роутера самба, торренты и куча всего другого.

в принципе по такой логике под любую задачу можно все урезать, однако же это довольно трудоемко.

[phaoost]

fyi, некоторые траблы iproute2 и xtables были устарнены недавно вышедшим патчем

[tes+or]

хм.. спасибо, но в том то и дело что траблов нет, все работает, к тому же, патчить ядро мне бы не хотелось без особой надобности, оно в генте и так патченое, мало ли к чему это может привести.

[phaoost]

это патч для tc

[tes+or]

тогда ебилд нужен, в генте так просто патч не накладывается. хотя на крайняк его можно и самому написать, но пока нужды нет.

[tes+or]

возникла идея автоматизировать процесс генерации конфигов для iptables, а точнее генерации типичных правил, которые отличаются только айпишником юзера. таких правил много и хотелось бы для каждого типа таких правил написать по циклу. преимущества очевидны - можно глобально менять свойство того или иного типичного правила для всех юзеров, кроме того это на несколько порядков снизит вероятность опечатки и повысит итоговую скорость работы с конфигом. готовые решения применять меня не тянет, потому как задача пустяковая и разобраться охота к тому же.

идея следующая - у нас есть двухмерный массив вида айпишник:комментарий, или прямо в скрипте генерации конфига или в отдельном файле. за ним следует цикл, который берет все айпишники и создает для каждого из них однотипные правила.

я знаю как это реализовать на перле и в прицнипе можно было бы из общего скрипта запускать перловый парсер и генератор, но сначала хотелось бы оценить насколько это сложно/просто реализовать средствами шелл. не прошу рецепта, просто скажите где читать, какуюнибудь фудаментальную доку посоветуйте я сам разберусь. поидее шелл для этого вполне предназначен.

и попутно вопрос - есть ли разница в использовании sh и bash в качестве интерпетатора? а может быть лучше даже будет использовать каконибудь иной шелл для этого?

читал просто какую-то доку по шеллу произвольную из инета - там вообще про массивы не слова, делал man bash - там сказано только про одномерные массивы, а было бы лучше двухмерные чтобы комментарий туда еще добавить и возможно даже еще пару тройку параметров, в перспективе.

[leave]

всей разницы у sh и bash - отсутствие select в первом ну, там есть еще тонкости - но эта самая заметная.

[tes+or]

давно подумываю о создании собственной биллинговой системы для локальных сетей и даже уже имею минимальные наработки по этой части, в виде заготовки самой базы и интерфейса к ней. но стоит вопрос автоматизированного учета траффика и не менее автоматизированного управления аккаунтами юзеров, причем хотелось бы подойти к вопросу цивилизованно, и если для включения-выключения юзеров еще более-менее можно поставить на роутеры скрипт который обращается к базе и правит локальный конфиг айпитаблиц, то для снятия статистики по траффику парсить вывод iptables -L -vn как я понял считается моветоном.

возможно это следует реализовывать посредством snmp, потому как существуют анализаторы траффика опрашивающие устройства именно по этому протоколу и выводящие статистику в графическом виде, поэтому было бы логично предположить, что через snmp можно получить исчерпывающую информацию о траффике и, более того, это наиболее стандартное и цивилизованное решение такой задачи.

доки по snmp я курить пробывал, но честно говоря в общий концепт я тогда на особо врубился, потому как задача была мелкая и того не стоила, кроме того те доки что я нашел показались мне исключительно мутными. если кто-то имеет на примете какую-то доку облегчившую понимание вопроса - прошу поделится. но это все актуально только в том случае, если snmp действительно подходит для решения моей задачи. возможно существуют иные способы получения информации о траффике и либы их реализующие.

если что, то для написания системы планирую применять в основном perl и С, если не будет разумных доводов использовать что-то другое или что-то еще.

и еще щекотливый вопрос: насколько опасно будет выкладывать результат моей работы в открытый доступ? в прицнипе я бы хотел поделится наработанным, начиная с того момента когда оно станет хоть сколько нибудь нетривиальным, но у меня есть серьезные опасения, что попав в руки к человеку задумавшему недоброе эти исходники могут облегчить ему атаку на систему, что может обернутся очень серьезными проблемами лично для меня. т.е. у меня есть устойчивое ощущение, что это немного не тот тип приложений, который вообще имеет смысл выкладывыать в открытый доступ. прав ли я?

[phaoost]

imho открытые исходники не должны облегчать взлом и проведение атаки (равно как публикация криптоалгоритма не должна понижать криптостойкость )

[tes+or]

это сферическое в вакууме, по факту мы имеем типичный кровавый энтерпрайз. может случится так, что выложу - и сам подставлюсь и людей подставлю.

[billi]

Это-таки, действительно "сферическое в вакууме". Если публикация исходников (как и с криптоалгоритмом) приводит к полной утрате надежности - тогда не стоит с этим связываться. Это не "кровавый энтерпрайз", а детский сад, штаны на лямках.

[phaoost]

tes+or, ну да. Линус тоже столько людей подставил

[tes+or]

кровавый энтерпрайз это и есть то, что вы называете детским садом. кто видел энтерпрайз тот в цирке не смеется. децкий сад говорите. возьмите любой энтерпрайзный биллинг, он скорее всего кишит багами, потому что индус который его писал уволился как только с ним рассчитались и больше его никто не видел.

вобщем по существу: возможно ли сделать это дело настолько секурным, чтобы можно было смело выкладывать сырцы, или это изощренная форма суицида?

а вообще для подобных вопросов существует отдельный форум, а здесь я все-таки предлагаю сконцентрироватся на вопросе сбора информации о траффике с интерфейсов.

[tes+or]

phaoost, ну во-первых не без этого, баги были - факт, а во вторых акцентирую внимание на том, что указанные примеры относятся к категорически разным классам. криптоалгоритм не сыплется багами как ядро, ядро не сыплется багами как форумный движок. но при этом все удовлетворяет допустимым уровням риска, а в случае с биллингом риск будет непропорционально высок относительно требуемой степени надежности и размера ответственности за сбой. за взломаный форум будут ныть юзеры, а взломаный билинг это страшно.

т.е. я склоняюсь к мнению что реализовать достаточный уровень надежности используя традиционные для этой задачи стили программирования и технологии невозможно. если кто-то не согласен - обоснуйте, потому как рассказывать о преимуществах сободного ПО не мешки ворочать и когда дело доходит до дела, то почему-то биллинга нет.

я в принципе не против всех вышеприведенных контраргументов, но сюда они не подходят и вобщем-то для меня самого это практически очевидно, только вот зря я наверное холивароопасную тему поднял, сам не пойму зачем. скучно мне, чтоли.

[phaoost]

tes+or, баги есть и в проприетарных биллингах, в т.ч. широко известные. и даже такие к которым заплаток нет, только реинсталл после долгих пласок с бубном над базой