Re: ipfw forward, 7.1 und options IPFIREWALL_FORWARD

From: Alvar Freude <alvar(at)a-blast.org>
Date: Mon, 16 Mar 2009 21:23:24 +0100

Hi,

-- Oliver Fromme <olli(at)lurza.secnetix.de> wrote:

> Sobald Du an der Kernel-config, make.conf oder sonstwo
> herumfummelst, bringst Du natürlich potentielle Fehler-
> quellen ins Spiel. Das darf man dann aber nicht mit
> freebsd-update vergleichen, wo man die Möglichkeit gar
> nicht hat, von den Defaults abzuweichen.

klar; aber wenn man diese nicht braucht, dann kann man sich natürlich
auch die einfachere und möglicherweise weniger fehleranfällige Lösung
nutzen.

Daher dachte ich mir, dass ich es ja mal ausprobieren könnte -- der
andere Weg geht ja immer noch ... ;-)

> Das ist für mich übrigens einer der beiden Hauptgründe,
> warum ich freebsd-update nicht verwende, nämlich dass man
> von den Defaults nicht abweichen kann. Ich habe z.B.
> gerne spezielle Sachen in /etc/make.conf.

ja, ich auch -- aber bei den meisten ja hier gelernt, dass das Quatsch
ist (CFLAGS zum Beispiel).

> In der Praxis gibt es meistens nur zwei (gute) Gründe, um
> einen eigenen Kernel zu compilieren: Erstens, um die
> Compilierung zu optimieren (CPUTYPE=xxx in make.conf),
> und zweitens, um bestimmte Optionen zu ändern, die (leider)
> nicht per sysctl, loader-Tunable oder sonstwie geändert
> werden können. Typisches Beispiel ist IPFIREWALL_FORWARD.

ja, beides habe ich auch; auf die CPU-Optimierungen hätte ich ja sogar
verzichtet, viel bringt das bei amd64 (wenn überhaupt) eh nicht (vor
allem im Kernel nicht, würde ich mal behaupten).

IPFIREWALL_FORWARD habe ich auch noch an, dann HZ hochgesetzt (wegen
Dummynet Traffic Shaper, was ich aber noch nicht wirklich nutze) und
Shared Memory wegen PostgreSQL hochgesetzt -- was sich aber auch via
sysctl lösen lässt.

> > > Das kann man per /etc/mergemaster.rc weitgehend konfigu-
> > > rieren.
> >
> > hmmm, ich habe da mal ein wenig herumgespielt, mal schauen was es
> bringt. >
> > Im Idealfall sollte das einfach alle neuen Dateien, die vom User
> nicht > geändert wurden, installieren. Ich ändere nichts an
> > /etc/rc.d/defaults/* -- und dann soll das natürlich auch nicht bei
> jedem > Mist fragen.
>
> Das lässt sich durchaus konfigurieren. Es ist nur nicht
> der Default (aus POLA-Gründen).

habe in den Optionen jetzt nichts entsprechendes entdeckt, aber mag sein
dass ich nicht alles gefunden habe.

> Ich persönlich möchte auch durchaus sehen, wenn sich an den
> Dateien etwas ändert. Zum einen aus Neugierde, zum ande-
> ren, damit ich evtl. neue, nützliche Features mitbekomme
> bzw. frühzeitig davon erfahre, wenn bestehende Features
> »obsoleted« werden und ich evtl. meine rc.conf anpassen
> muss. Da ich nicht allzu oft update (ca. alle paar Monate
> mal, oder bei akutem Bedarf), nehme ich mir dann die paar
> Minuten Zeit, mir die nennenswerten Änderungen anzusehen.

klar, bei 6.0 bis 7.1 hat sich aber so viel getan ... ;-)

Änderungen interessieren mich zwar auch, aber wenn man zig ISDN- und
Bluetooth-Sachen vorgesetzt kriegt, dann lässt irgendwann die
Konzentration beim Abnicken nach ;)

> Ja, damit sich die Benutzer nicht in den Fuß schießen und
> dann die Mailinglisten mit Beschwerden füllen, die bei
> anderer Vorgehensweise vermeidbar gewesen wären. :-)
>
> Wir zwei sind ja recht erfahren und können uns im Notfall
> selbst wieder am Schopf aus dem Sumpf ziehen. Aber das
> gilt nicht unbeding für jeden.

so wirklich tief stecke ich da auch nicht drin, aber ich würde zumidest
ansatzweise wissen, wo ich nachschauen muss ;)

Und eigentlich habe ich mir auch noch nie ein System total zerschossen;
dass jetzt am Wochenende das Update Probleme machte war schon mit das
"schlimmste" was ich hatte.

Nunja, jetzt läuft 7.1 und alles scheint in Ordnung zu sein.

> bei ZFS ist es besser gelöst: Da muss man die Metadaten
> explizit updaten (»zpool upgrade«).

wobei ich bei ZFS in Erinnerung habe, dass es da unter Last Kernel Panics
geben soll -- oder ist das noch ein veralteter Stand?

Ciao
  Alvar

-- 
** Alvar C.H. Freude, http://alvar.a-blast.org/
** http://www.assoziations-blaster.de/
** http://www.wen-waehlen.de/
** http://www.perl-blog.de/

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 16 Mar 2009 - 21:23:32 CET

search this site