forum.opennet.ru - "Выпуск пакетного фильтра nftables 0.9.1" (116)

"Выпуск пакетного фильтра nftables 0.9.1"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск пакетного фильтра nftables 0.9.1"	+/–
Сообщение от opennews (??), 26-Июн-19, 00:06
После года разработки представлен (https://marc.info/?l=netfilter&m=156139496810281) релиз пакетного фильтра nftables 0.9.1 (https://netfilter.org/projects/nftables/), развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя. Основные новшества: - Поддержка IPsec, позволяющая выполнять сопоставление адресов туннелей в привязке к пакету, идентификатору запроса IPsec и тегу SPI (Security Parameter Index). Например, ... ipsec in ip saddr 192.168.1.0/24 ... ipsec in spi 1-65536 Также возможна проверка прохождения маршрута через туннель IPsec. Например, для блокирования трафика не через IPSec: ... filter output rt ipsec missing drop - Поддержка протокола IGMP (Internet Group Management Protocol). Например, для отбрасывания входящих IGMP-запросов принадлежности к группе можно использовать правило nft add rule netdev foo bar igmp type membership-query counter drop - Возможность использования переменных для определения цепочек перехода (jump / goto). Например: define dest = ber add rule ip foo bar jump $dest - Поддержка масок для идентификации операционных систем (OS Fingerprint) на основе значений TTL в заголовке. Например, для пометки пакетов в зависимости от ОС отправителя можно использовать команду: ... meta mark set osf ttl skip name map { "Linux" : 0x1, "Windows" : 0x2, "MacOS" : 0x3, "unknown" : 0x0 } ... osf ttl skip version "Linux:4.20" - Возможность сопоставления ARP-адреса отправителя и IPv4-адреча целевой системы. Например, для увеличения счётчика ARP-пакетов, отправленных с адреса 192.168.2.1 можно использовать правило: table arp x { chain y { type filter hook input priority filter; policy accept; arp saddr ip 192.168.2.1 counter packets 1 bytes 46 } } - Поддержка прозрачного проброса запросов через прокси (tproxy). Например, для перенаправления обращений к 80 порту на порт прокси 8080: table ip x { chain y { type filter hook prerouting priority -150; policy accept; tcp dport 80 tproxy to :8080 } } - Поддержка пометки сокетов с возможностью для дальнейшего получения установленной метки через setsockopt() в режиме SO_MARK. Например: table inet x { chain y { type filter hook prerouting priority -150; policy accept; tcp dport 8080 mark set socket mark } } - Поддержка указания текстовых наименований приоритетов для цепочек. Например: nft add chain ip x raw { type filter hook prerouting priority raw; } nft add chain ip x filter { type filter hook prerouting priority filter; } nft add chain ip x filter_later { type filter hook prerouting priority filter + 10; } - Поддержка меток SELinux (Secmark). Например, для определения метки "sshtag" в привязке к контексту SELinux можно запустить: nft add secmark inet filter sshtag \\"system_u:object_r:ssh_server_packet_t:s0\\" А затем использовать эту метку в правилах: nft add rule inet filter input tcp dport 22 meta secmark set "sshtag" nft add map inet filter secmapping { type inet_service : secmark\\; } nft add element inet filter secmapping { 22 : "sshtag" } nft add rule inet filter input meta secmark set tcp dport map @secmapping - Возможность указания закреплённых за протоколами портов в текстовом виде, как они определены в файле /etc/services. Например: # nft add rule x y tcp dport \\"ssh\\" # nft list ruleset -l table x { chain y { ... tcp dport "ssh" } } - Возможность проверки типа сетевого интерфейса. Например: add rule inet raw prerouting meta iifkind "vrf" accept - Улучшена поддержка динамического обновления содержимого наборов (sets) через явное указание флага "dynamic". Например, для обновления набора "s" с добавлением исходного адреса и сбросом записи в случае отсутствия пакетов в течение 30 секунд: add table x add set x s { type ipv4_addr; size 128; timeout 30s; flags dynamic; } add chain x y { type filter hook input priority 0; } add rule x y update @s { ip saddr } - Возможность задания отдельный условия наступления таймаута для потоков. Например, для переопределения таймаута по умолчанию для пактов, пришедших на порт 8888 можно указать: table ip filter { ct timeout agressive-tcp { protocol tcp; l3proto ip; policy = {established: 100, close_wait: 4, close: 4} } chain output { ... tcp dport 8888 ct timeout set "agressive-tcp" } } - Поддержка NAT для семейства inet: table inet nat { ... ip6 daddr dead::2::1 dnat to dead:2::99 } - Улучшены средства вывода информации об ошибках из-за опечаток: nft add chain filtre test Error: No such file or directory; did you mean table â€˜filterâ€™ in family ip? add chain filtre test ^^^^^^ - Возможность указания имён интерфейсов в наборах (sets): set sc { type inet_service . ifname elements = { "ssh" . "eth0" } } - Обновлённый синтаксис правил flowtable: nft add table x nft add flowtable x ft { hook ingress priority 0\\; devices = { eth0, wlan0 }\\; } ... nft add rule x forward ip protocol { tcp, udp } flow add @ft - Улучшена поддержка JSON. URL: https://marc.info/?l=netfilter&m=156139496810281 Новость: https://www.opennet.ru/opennews/art.shtml?num=50952
Ответить \| Правка \| Cообщить модератору

Оглавление

Красиво , Аноним (1), 00:06 , 26-Июн-19, (1) +5

Кажется мой вопрос про почему у них мажорная версия 0 после года разработки , т, Аноним (2), 00:18 , 26-Июн-19, (2) –6

мне кажется, ты бы мог помочь проекту - покоммить им в CoC md немножко, а потом,, . (?), 11:09 , 26-Июн-19, (50)
Не понятно, почему заминусовали анона Столько очевидных вещей добавлено ПОСЛЕ то, gogo (?), 11:08 , 27-Июн-19, (82) +3

Это ответ на знаменитое кузнецовское RTNETLINK answers File exists, Fyjybv755 (?), 00:50 , 26-Июн-19, (5) +8
, KaE (ok), 03:36 , 26-Июн-19, (22) +1

Хорошо, что я не вникал в iptables до этого, теперь не придется переучиваться, а, Аноним (3), 00:37 , 26-Июн-19, (3) –7

Хорошо, что я не вникал в iptables Теперь ещё и в nftables не вникать придётся , kostyarin (ok), 08:10 , 26-Июн-19, (33) +22
Не спеши, подожди еще лет 20-30, там снова что-то поменяется и это новое станет , Аноним (37), 09:14 , 26-Июн-19, (37) +1

Последний совет по-своему не лишён смысла , macfaq (?), 09:42 , 27-Июн-19, (78)
10 достаточно systemd прочие новинки и проще уже на freebsd перейти, чем изучат, crypt (ok), 03:26 , 28-Июн-19, (100) +1

Серьёзный вопрос кто-то это вообще использует Потому что у меня сложилось впеч, Аноним (4), 00:45 , 26-Июн-19, (4)

Не скопипастить то, к чему я привык сделать через жoпу , ок , Fyjybv755 (?), 00:51 , 26-Июн-19, (6) +2

Копипаста тут не причём Я к тому, что NFTables не доделан и зачастую работает н, Аноним (61), 13:09 , 26-Июн-19, (61)

как будто iptables доделан и работает как надо просто за 20 лет хотя бы все пр, пох. (?), 17:45 , 26-Июн-19, (74) –1

Вы таки неправы Когда я пишу add set inet fw input_lan_tcp_services type , Аноним (77), 19:26 , 26-Июн-19, (77) +2

ну, конкретно такого не было впрочем, учитывая простоту манипуляции и эффективн, пох. (?), 10:09 , 27-Июн-19, (79) –1

В большинстве дистрибутивов уже стоит nftables, от iptables только переходники , Аноним (10), 01:03 , 26-Июн-19, (10)

в большинстве васян-роллингов, больных рачем - уже Поправил, не благодари А, к , . (?), 14:46 , 27-Июн-19, (89)

как по мне лучше уж старый добрый синтаксис iptables, ip6table, arptables у pf , Sw00p aka Jerom (?), 01:06 , 26-Июн-19, (11) +2

Evolution is better than stagnation Синтаксис nft гораздо проще и лаконичнее, а , kvaps (ok), 09:18 , 26-Июн-19, (38) +1

угу-угу, revolution прямо Главное ведь не доделывать брошенное еще в 2002м да, пох. (?), 10:10 , 26-Июн-19, (40) +3

А там есть скобочки Здесь в примерах только , то есть фигурные, их разве надо, Ordu (ok), 18:02 , 26-Июн-19, (76)

Note that the following characters are also treated specially by the shell and m, пох. (?), 10:18 , 27-Июн-19, (80)

Кому нужен этот ksh Если ты идёшь перпендикулярно мейнстриму, да ещё и в систем, Ordu (ok), 12:08 , 27-Июн-19, (83)

системным администраторам, кому же еще Модные разработчики ведь не читали Пайка, пох. (?), 12:13 , 27-Июн-19, (84)

Мейнстрим, это то что понятно любому квалифицированному админу без дополнительно, Ordu (ok), 13:30 , 27-Июн-19, (87) –1

вы опять перепутали квалифицированного админа с девляпсом у квалифицированных ад, . (?), 15:00 , 27-Июн-19, (90) +1

У вас есть странное понимание об админстве Админство -- это часть бизнеса, а эт, Ordu (ok), 15:13 , 27-Июн-19, (92)

в данном случае это атехнологичное движение вбок - вместо понимаемого и управляе, пох. (?), 16:42 , 27-Июн-19, (93)
Не совсем Бизнес занимается этим со средневековья Весь технологический прогрес, Ordu (ok), 17:05 , 27-Июн-19, (94)
не, ни малейших - нае-бизнес не хочет их оплачивать есть шанс что взлетит на воз, пох. (?), 18:08 , 27-Июн-19, (95)
Зато государство хочет, чтобы бизнес их оплачивал У нас это скорее всего тем и , Ordu (ok), 18:45 , 27-Июн-19, (96)
в нормальном государстве эти хотелки быстро засовывают откуда они изверглись у н, пох. (?), 21:47 , 27-Июн-19, (97)
Европа и США значит ненормальные, так и запишем Никакого Но если ты в чём-то со, Ordu (ok), 22:44 , 27-Июн-19, (98)
ненормальные в штатах проиграли выборы, если вы еще не в курсе Как раз тем, ком, пох. (?), 23:18 , 27-Июн-19, (99)
Это локальная временная мелочь Это США, детка, там президент приходит к власти , Ordu (ok), 11:28 , 28-Июн-19, (101) –1

Никому А людей, которые на нем скрипты пишут, надо отлучать от контуперов вообщ, Zulu (?), 12:31 , 27-Июн-19, (85)

да, запускайте ваш mc а файрволом управляет пусть firewalld , пох. (?), 12:57 , 27-Июн-19, (86)

Ни в одной вменяемой операционной системе ksh не есть дефолтным шеллом, ни интер, Zulu (?), 19:54 , 28-Июн-19, (105) –1

кто-то использует, безусловно - чтоб денег никому не платить - может это пейс, пох. (?), 07:22 , 26-Июн-19, (30) –3

Не хочу тебя расстраивать, но в 2019 году FTP никому особо и не нужен уже Прото, Аноним (61), 13:11 , 26-Июн-19, (62) +2

не хочу тебя расстраивать, но стильные-модные-молодежные, все подряд тянущие в h, пох. (?), 13:23 , 26-Июн-19, (64) –4
А какие альтернативы Чем расшарить в локалку каталог с файлами на роутере или,, Аноним (103), 18:09 , 28-Июн-19, (103) +1

тут из зала подсказывают, что винда давно уже это умеет - Ну, ее, конечно, ино, пох. (?), 22:10 , 30-Июн-19, (109)

Умеет что FTP Более-менее умеет Потому я и говорю, что это единственный быстр, Аноним (103), 02:21 , 01-Июл-19, (112)

ну зачем же мучаться, когда есть windows share - и да, последний cve был дав, пох. (?), 07:04 , 01-Июл-19, (114)

Только вот какая у windows share скорость по сравнению с ftp Это у windows , Аноним (103), 00:24 , 02-Июл-19, (116)

видите как плохо вариться в маня-мирке Скорость у нее упирается, обычно, в 10Ge,, пох. (?), 15:22 , 03-Июл-19, (117)

А _по_сравнению_с_ ftp На той же машине А конкретно, на роутере И внезапно ок, Аноним (103), 22:48 , 04-Июл-19, (118)

Знатно ты на ноль поделил , Аноним (75), 17:54 , 26-Июн-19, (75) –1

RHEL8 перешёл на nftables https www opennet ru opennews art shtml num 50644, Аноним (7), 00:57 , 26-Июн-19, (7) +1

он на firewalld обернутый в cocksuck или как там правильно, перешел - так что , пох. (?), 10:23 , 27-Июн-19, (81) +1

Тот редкий случай, когда закономерно прикапывают окаменелые экскременты, а не вы, Аноним (-), 01:36 , 26-Июн-19, (12) –2
Дернуло же связать жизнь с IT не успеешь выучить одно, хepяк, - учи что то но, OpenEcho (?), 01:48 , 26-Июн-19, (13) –1

https wiki nftables org, Аноним (7), 01:55 , 26-Июн-19, (14) –1

https wiki nftables org wiki-nftables index php Special AllPages, Аноним (52), 11:42 , 26-Июн-19, (52) –1

Ты 21 год учил iptables За время существования iptables успели не только родить, Ключевский (?), 02:03 , 26-Июн-19, (15)

iptables и не только мысль была не только об iptables, а вообще, как в IT любя, OpenEcho (?), 03:04 , 26-Июн-19, (19)

К одной и той-же сущности Серьезно Ты сейчас вот это вот точно серьезно Ты то, zunkree (ok), 15:23 , 26-Июн-19, (68)

Спасибо за беседу, очень познавательно для меня и всех окружающих позволю толь, OpenEcho (?), 16:13 , 26-Июн-19, (70)
серьезно - ни ip, ни net 3 в линуксе практически не изменились за эти 20 лет Это, пох. (?), 17:08 , 26-Июн-19, (73)

а настраивать сети - так и не научились доделать поломанное торопыгами при перех, пох. (?), 10:35 , 26-Июн-19, (46) +1

Да собственно то уже то IT как его знали раньше и закончилось - неудобно корпора, Аноним (16), 02:09 , 26-Июн-19, (16) +1
Ну иди работать дворником тогда В IT потому и зарплаты такие высокие , что как , Аноним (17), 02:45 , 26-Июн-19, (17)

А ха-хаОтсыпь, gsdh (?), 03:01 , 26-Июн-19, (18) –1

Изучи рынок Скорее всего ты устроился куда-то в soviet-style-компанию, где треб, Аноним (17), 03:52 , 26-Июн-19, (24)

ушел из мтс в совет-стайл изза зп, в совет-стайл почти в 2 раза больше, gsdh (?), 03:56 , 26-Июн-19, (25) +1
пруфы на ждобхантер, или пиз л, gsdh (?), 03:59 , 26-Июн-19, (26) +1

В hh в основном советские компании Ищи работу на других площадках, в LinkedIn н, Аноним (17), 04:05 , 26-Июн-19, (27)

я вот тебе поищу на террористическом сайте, запрещенно в ресурсной федерации я т, тов. майор (?), 07:24 , 26-Июн-19, (31) –1
Вот не поленился обойти блокировку, а там 2 вакансии за месяц, из которых одна т, gsdh (?), 07:30 , 26-Июн-19, (32)

мне на linkedin в месяц приходит примерно 5-6 предложений от разных компаний на , user455 (?), 10:23 , 26-Июн-19, (42)

не езди туда - наобещают релокаций ит шмит, а потом привяжут к батарее и вжеппа , . (?), 10:36 , 26-Июн-19, (47) +1
мне на почту и больше приходит если спам фильтр отключить , тщт (?), 13:14 , 26-Июн-19, (63) +1

Получаю 4к евро в Риге, ЧЯДНТ , Аноним (49), 11:05 , 26-Июн-19, (49) –1

членами деревянными на базаре торгуешь , пох. (?), 11:11 , 26-Июн-19, (51) –2

Твоей мамашей, Аноним (49), 11:47 , 26-Июн-19, (56) –2

Во, страна советов подтянулась програмист наверное богатый , OpenEcho (?), 03:16 , 26-Июн-19, (20)

В AIX всё развивается как надо Что было 20 лет, то и сегодня работает в 95 слу, Аноним (21), 03:17 , 26-Июн-19, (21) –2

И где же 171 форки на форки 187 И где примеры сломанной совместимости Опят, Ключевский (?), 03:46 , 26-Июн-19, (23) –1

Приспосабливаться к изменениям существующей реальности не быть лохом Разве э, kostyarin (ok), 08:13 , 26-Июн-19, (34)

не быть лохом - это спокойно сидеть на берегу, и смотреть как мимо проплывают тр, пох. (?), 10:25 , 26-Июн-19, (43)
Вы учите меня жизни, а Я говорил о тенденции в IT, - постоянно что то ломать и п, OpenEcho (?), 16:30 , 26-Июн-19, (72) –1

Я не заступаюсь за nftable просто условная молодежь тратит свой пердячий пар на , kostyarin (ok), 14:02 , 28-Июн-19, (102)

Ага Кролики думали что они занимаются любовью А на самом деле их тупо разводил, Аноним (104), 18:59 , 28-Июн-19, (104) +1

вы просто выбрали не то направление в IT MS овский фиревалл не меняется принципи, пох. (?), 10:16 , 26-Июн-19, (41) –4
У меня для тебя плохие новости - nftables уже скоро тоже устареет https www, SysA (?), 11:46 , 26-Июн-19, (54) +1

Как скоро , Аноним (65), 13:57 , 26-Июн-19, (65)

раньше чем его допишут - гарантирую Вот, например, iptables - так и не дописали , пох. (?), 15:10 , 26-Июн-19, (67)

не увидел ничего что не умеет iptablesочередной NIH, Аноним (28), 06:18 , 26-Июн-19, (28)

очочки-то протри, интеллихент хренов улучшена поддержка json - вот в чем сила,, пох. (?), 10:30 , 26-Июн-19, (44) +6

Сразу бы перечислили ту 1 4, которая не поддерживается , Tifereth (?), 07:05 , 26-Июн-19, (29)

разработчики nft пока еще просто не прочитали lartc дальше 2 3 - поэтому не могу, пох. (?), 10:32 , 26-Июн-19, (45) +2

Остаётся надежда, что хоть читают подряд, с начала и до конца , Tifereth (?), 11:46 , 26-Июн-19, (53)

Подскажите, в целях повышения уровня образованности ARP-адрес - это вот что , ryoken (ok), 08:14 , 26-Июн-19, (35) +1

Ну имелся в виду ethernet адрес MAC Но там вообще глупость написана Должно зв, Онанимус (?), 10:41 , 26-Июн-19, (48) +1

А почему это до сих пор не прикрыли , Аноним (36), 08:36 , 26-Июн-19, (36) –1

потомушо гладиолус , анон (?), 14:25 , 26-Июн-19, (66)

А слышно что-нибудь про bpfilter , An (??), 09:38 , 26-Июн-19, (39)

Он уже в ядре работает как процесс, но только для тупого дропа пакетов Для остал, Аноним (52), 11:47 , 26-Июн-19, (55)
bpfilter сейчас работает только как offloading drop если находит соответствия до, Аноним (52), 11:50 , 26-Июн-19, (57)

зато с КАКОЙ скоростью он их дропает - P S жаба или гадюка, кто кого сборет, , пох. (?), 11:59 , 26-Июн-19, (59)

nft export json Error this output type is not supportedexport json , Аноним (52), 11:56 , 26-Июн-19, (58) +1

configure --with-json, Аноним (65), 12:39 , 26-Июн-19, (60) –1

Пока в дистрибутивы попадёт проект может и загнуться , Аноним (69), 15:34 , 26-Июн-19, (69) –1

так уже в Ubuntu 16 04, Аноним (71), 16:21 , 26-Июн-19, (71)

Скажите, по nftables есть хорошая дока Ну, кроме man , Пряникё (?), 14:41 , 27-Июн-19, (88) +1

лолшта окстись, чувак, какие тебе еще доки - это немодно, немолодежно, несовреме, пох. (?), 15:04 , 27-Июн-19, (91) +1

Iptables кончено не шоколад, подтормаживает на большом количестве правил по сра, Лолноним (?), 07:59 , 29-Июн-19, (106) –1

вы таки ничего не понимаете, там же виртуальная машина , она же не может торм, пох. (?), 22:14 , 30-Июн-19, (110) –1

Хотели в своё время на него перевести пару машин, но оказалось, что ipt_netflow , Олег (??), 08:23 , 30-Июн-19, (107) +1

Можно все правила на nft перевести, а в iptables оставить только NETFLOW , Аноним (108), 13:40 , 30-Июн-19, (108)

Может так и сделаем, когда руки снова дойдут Но всё таки хотелось полностью на , Олег (??), 23:13 , 30-Июн-19, (111)

У автора была идея написать модуль, независимый от iptables и nftableshttps gi, Аноним (108), 03:41 , 01-Июл-19, (113)

но не было пороха, как обычно This is good in itself, and also may be useful fo, пох. (?), 07:09 , 01-Июл-19, (115) –1

Сообщения [Сортировка по времени | RSS]

1. "Выпуск пакетного фильтра nftables 0.9.1" +5 +/–

Сообщение от Аноним (1), 26-Июн-19, 00:06

> Error: No such file or directory; did you mean table â€˜filterâ€™ in family ip?
Красиво :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выпуск пакетного фильтра nftables 0.9.1" –6 +/–

Сообщение от Аноним (2), 26-Июн-19, 00:18

Кажется мой вопрос про "почему у них мажорная версия 0 после года разработки", только что отпал.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

50. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от . (?), 26-Июн-19, 11:09

мне кажется, ты бы мог помочь проекту - покоммить им в CoC.md немножко, а потом, думаю, твое предложение сделать версию 91, вместо каких-то дурацких нулей, пройдет на ура!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

82. "Выпуск пакетного фильтра nftables 0.9.1" +3 +/–

Сообщение от gogo (?), 27-Июн-19, 11:08

Не понятно, почему заминусовали анона.
Столько очевидных вещей добавлено ПОСЛЕ того, как  это г включили в энтерпрайзнейшую из осей....
Тут версию не то, что 0 нужно ставить, а еще с припиской "альфа"...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Выпуск пакетного фильтра nftables 0.9.1" +8 +/–

Сообщение от Fyjybv755 (?), 26-Июн-19, 00:50

>> Error: No such file or directory; did you mean table â€˜filterâ€™ in family ip?
> Красиво :)
Это ответ на знаменитое кузнецовское RTNETLINK answers: File exists

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

22. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от KaE (ok), 26-Июн-19, 03:36

.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Выпуск пакетного фильтра nftables 0.9.1" –7 +/–

Сообщение от Аноним (3), 26-Июн-19, 00:37

Хорошо, что я не вникал в iptables до этого, теперь не придется переучиваться, а всего-то - познать новое.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Выпуск пакетного фильтра nftables 0.9.1" +22 +/–

Сообщение от kostyarin (ok), 26-Июн-19, 08:10

Хорошо, что я не вникал в iptables. Теперь ещё и в nftables не вникать придётся.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

37. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от Аноним (37), 26-Июн-19, 09:14

> Хорошо, что я не вникал в iptables до этого, теперь не придется переучиваться, а всего-то - познать новое.
Не спеши, подожди еще лет 20-30, там снова что-то поменяется и это новое станет старым. Столько усилий и времени сэкономишь - жуть... Этот совет тебе (но только тебе!) подойдет ко всему, с чем ты столкнешься в жизни. В том числе - не спеши жить, все равно помрешь.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

78. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от macfaq (?), 27-Июн-19, 09:42

Последний совет по-своему не лишён смысла.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

100. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от crypt (ok), 28-Июн-19, 03:26

> еще лет 20-30
10 достаточно. systemd+прочие новинки и проще уже на freebsd перейти, чем изучать замену крона на федоре.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

4. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Аноним (4), 26-Июн-19, 00:45

Серьёзный вопрос: кто-то это вообще использует? Потому что у меня сложилось впечатление, что разработчики netfilter живут в каком-то своём особом мире, где кроме них никого нет.
Т.е. иметь firewall типа pf из OpenBSD было бы очень круто, но тут это, как и всегда в Linux, сделано наполовину и через жопу.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Выпуск пакетного фильтра nftables 0.9.1" +2 +/–

Сообщение от Fyjybv755 (?), 26-Июн-19, 00:51

"Не скопипастить то, к чему я привык" == "сделать через жoпу", ок.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

61. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Аноним (61), 26-Июн-19, 13:09

>"Не скопипастить то, к чему я привык" == "сделать через жoпу", ок.
Копипаста тут не причём. Я к тому, что NFTables не доделан и зачастую работает не так как надо.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

74. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от пох. (?), 26-Июн-19, 17:45

как будто iptables доделан и работает как надо...
просто за 20 лет хотя бы все привыкли мимоходом уворачиваться от граблей.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

77. "Выпуск пакетного фильтра nftables 0.9.1" +2 +/–

Сообщение от Аноним (77), 26-Июн-19, 19:26

Вы таки неправы! Когда я пишу
add set     inet fw input_lan_tcp_services { type inet_service ; }
add element inet fw input_lan_tcp_services { ... }
add rule  inet fw input_tcp \
        ip saddr @lan_list_4 \
        tcp dport @input_lan_tcp_services \
                accept
я ожидаю вполне понятного поведения. Только оно, ссссамка собаки, нихера не работает. Причём бяда в том, что оно иногда сколько-то работает, а потом устаёт, зараза.
Но если написать

define input_lan_tcp_services = { ... }
add rule  inet fw input_tcp \
        ip saddr $lan_list_4 \
        tcp dport $input_lan_tcp_services \
                accept
оно стабильно работает. В iptables/ipset косяков подобного рода я не помню.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

79. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от пох. (?), 27-Июн-19, 10:09

ну, конкретно такого не было (впрочем, учитывая простоту манипуляции и эффективность обычных правил, ipset для таких задач и не был особо там нужен, актуально становилось когда список без конца надо менять, а содержимого там не на один экран), а "устать" оно тоже вполне умело - всю 2.4 серию у меня периодически кончались какие-то внутренние статические структуры (надо отдать должное - оно хотя бы об этом говорило в логи, но результат один - reboot, они не освобождались никогда)
там в другом месте недоделанно - половина того, что можно якобы матчить - не работает, вторая половина - работает неправильно. И, разумеется, в документации об этом ничего нет или просто наврано (ее вообще писали другие люди, отдельные от разработчиков, под неодобрительное фырканье тех, что "вы ничего в этом не понимаете и вообще все не так" и без малейших попыток объяснить).
Посмотрите исходники nf_nat_proto_gre - поплачете за компанию. 20 гре6анных лет!

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

10. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Аноним (10), 26-Июн-19, 01:03

В большинстве дистрибутивов уже стоит nftables, от iptables только "переходники" в nftables.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

89. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от . (?), 27-Июн-19, 14:46

в большинстве васян-роллингов, больных рачем - уже. Поправил, не благодари.
А, к примеру, в тоже не чуждой бегу впереди паровоза бубунте LTS - еще не совсем.
обмазываться свежайшим да еще в принудительном порядке любят не одни только лишь все.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Выпуск пакетного фильтра nftables 0.9.1" +2 +/–

Сообщение от Sw00p aka Jerom (?), 26-Июн-19, 01:06

как по мне лучше уж старый добрый синтаксис  iptables, ip6table, arptables.
у pf не плохой, но хотелось бы немного строгой иерархичности.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

38. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от kvaps (ok), 26-Июн-19, 09:18

Evolution is better than stagnation!
Синтаксис nft гораздо проще и лаконичнее, а главное един для всего семейства протоколов, в отличии от iptables/ip6tables/arptables/ebtables/'что-то ещё tables'
Не бойтесь переучиваться, просто возьмите и попробуйте.
Для упрощения понимания и миграции существующих правил есть xtables-compat.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

40. "Выпуск пакетного фильтра nftables 0.9.1" +3 +/–

Сообщение от пох. (?), 26-Июн-19, 10:10

угу-угу, revolution прямо. Главное ведь не доделывать брошенное еще в 2002м. (да, обещанного rules tester  так и не осилили - "as soon as possible" надо читать как примерно-никогда)
> Синтаксис nft гораздо проще и лаконичнее
угу, размазать на десять строк то что помещалось в одной - проще и лаконичней, особенно когда добавить туда скобочек, которые для шелла имеют специальное значение и требуют экранирования. А sed/awk вы пользоваться все равно никогда не умели, как и разработчики этого ненужно.
> Не бойтесь переучиваться, просто возьмите и попробуйте.
попробовал - г-но. Предназначено для тех, за кого все делает доскер, systemd-firewalld и интуитивно-приятный cockpit к нему. И что дальше?
> Для упрощения понимания и миграции существующих правил есть xtables-compat.
жалко только, что неработающий.
и так у этих мартышек - все.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

76. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Ordu (ok), 26-Июн-19, 18:02

> добавить туда скобочек, которые для шелла имеют специальное значение и требуют экранирования.
А там есть скобочки? Здесь в примерах только {}, то есть фигурные, их разве надо экранировать? Я никогда их не экранировал, и у меня проблем с этим не было. Нужно начать экранировать?

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

80. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от пох. (?), 27-Июн-19, 10:18

Note that the following characters are also treated specially by the shell and must be quoted if they are to represent themselves: \, ", ', #, $, ', ~, {, }, *, ? and [.
это ksh, но есть и другие шеллы отличные от единственного вам известного.
(в bash совершенно античеловеческая логика угадава, в каком случае { спецсимвол, а в каком точно не, поэтому горе-авторы nft так и не узнали, что и в нем он тоже может иметь специальное значение - башем-то они тоже вряд ли умеют пользоваться по настоящему, mc в нем запускают в лучшем случае)
> Нужно начать экранировать?
если скрипты писать - да, нужно. Иначе от перестановки мест слагаемых внезапно могут произойти забавные спецэффекты. То же самое для '!' - где-то он просто текст, а где-то нет ;-)
Если mc запускать - то, конечно, нет.
nft вы точно не будете управлять через вручную набираемые команды, они совершенно нечитаемые.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

83. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Ordu (ok), 27-Июн-19, 12:08

> это ksh, но есть и другие шеллы отличные от единственного вам известного.
Кому нужен этот ksh? Если ты идёшь перпендикулярно мейнстриму, да ещё и в системном администрировании, то ты должен быть готов к проблемам.
> nft вы точно не будете управлять через вручную набираемые команды, они совершенно нечитаемые.
А мне нравится. Видимая без специального обучения структура команды -- это круто и шаг вперёд. А проблемы шеллов -- это проблемы шеллов. Гоняться за обратной совместимостью да ещё и до уровня лишь бы лишний символ не экранировать -- это отличный способ остаться навечно в unix-философии. Бррр.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

84. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от пох. (?), 27-Июн-19, 12:13

> Кому нужен этот ksh?
системным администраторам, кому же еще.
Модные разработчики ведь не читали Пайка и вообще "у них мак".
> Если ты идёшь перпендикулярно мейнстриму
мейнстрим у нас нынче - это то что альтернативно-одаренные грантопилы выкатят на лопате? Системные средства разрабатываются не для админа, а для еще более лучшего запихивания в них нескучных api? А, ну да. А потом вы удивляетесь что те, кому по должности положено обслуживать ваши поделки, их почему-то не любят.
> А мне нравится. Видимая без специального обучения структура команды -- это круто и шаг вперёд.
жаль что она совершенно нечитаемая и понять те примитивные примеры что в новости требует пристального вглядывания, ага.
А юникс не нужен, да, жрите вашновыйстандарт.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

87. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от Ordu (ok), 27-Июн-19, 13:30

>> Если ты идёшь перпендикулярно мейнстриму
> мейнстрим у нас нынче - это то что альтернативно-одаренные грантопилы выкатят на
> лопате?
Мейнстрим, это то что понятно любому квалифицированному админу без дополнительного обучения. Дополнительное обучение -- это время, а время -- деньги.
> А потом вы удивляетесь что те, кому по должности положено обслуживать ваши поделки,
> их почему-то не любят.
Задача админа не любить поделки, а обслуживать их. Ему деньги за любовь не платят.
>> А мне нравится. Видимая без специального обучения структура команды -- это круто и шаг вперёд.
> жаль что она совершенно нечитаемая и понять те примитивные примеры что в
> новости требует пристального вглядывания, ага.
Ага. Я очень тебе сочувствую. Честно-честно.

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

90. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от . (?), 27-Июн-19, 15:00

> Мейнстрим, это то что понятно любому квалифицированному админу без дополнительного обучения.
вы опять перепутали квалифицированного админа с девляпсом.
у квалифицированных админов во-первых нет проблем с пониманием скриптов на ksh (даже если они им отродясь не пользовались, впрочем, это таки вызывает некоторые опасения за их квалификацию), во-вторых они знают про спецсимволы.
Кстати, проблем с пониманием правил iptables у них тоже быть не может, даже если они вчера его man прочитали.
> Задача админа не любить поделки, а обслуживать их. Ему деньги за любовь не платят.
будешь есть свой бигмак - учти, в него плюнул сперва повар, потом работник на кассе. Им деньги не за любовь к своей работе платят, и они ее - как правило, ненавидят, как и потребителей бигмаков.
К счастью, системы управления действительно сложными и опасными инфраструктурами проектировали и обслуживают в основном совсем другие категории людей. Но чем дальше, тем больше шансы, что и там понаберут тех, кому "деньги не за любовь платят", и чья единственная задача - закрыть таск и уйти домой ровно  в 18:00.1 - именно по этой причине я очень нервничаю, слыша про очередные прожекты впихивания в них линупcoв.
> Ага. Я очень тебе сочувствую. Честно-честно.
мне-то зачем, я это г-нецо эксплуатировать не буду, нигде и никогда - а что там доскер с фиревалдой с ним творят и как оттуда [не] экспортируется json - мне глубоко похрен. Все равно эти поделки не предназначены для ручного вмешательства. Чинить, если поломаются, я их тоже не планирую, мне за это не заплатят. Сломалось - ждите ебилдов, ну или не ждите, я вам не разработчик. Могу версию на предыдущую откатить, если, конечно, это не бубунточка с единственно-верной.
Сочувствуйте тем, кто еще любит свою работу и вынужден переходить на "новый стандарт".

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

92. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Ordu (ok), 27-Июн-19, 15:13

>> Мейнстрим, это то что понятно любому квалифицированному админу без дополнительного обучения.
> вы опять перепутали квалифицированного админа с девляпсом.
> у квалифицированных админов во-первых нет проблем с пониманием скриптов на ksh (даже
> если они им отродясь не пользовались, впрочем, это таки вызывает некоторые
> опасения за их квалификацию), во-вторых они знают про спецсимволы.
> Кстати, проблем с пониманием правил iptables у них тоже быть не может,
> даже если они вчера его man прочитали.
У вас есть странное понимание об админстве. Админство -- это часть бизнеса, а это значит, что аргументы вида "девляпс" не релевантны. Такого рода аргументы могут работать только на опеннете.
> К счастью, системы управления действительно сложными и опасными инфраструктурами проектировали
> и обслуживают в основном совсем другие категории людей. Но чем дальше,
> тем больше шансы, что и там понаберут тех, кому "деньги не
> за любовь платят", и чья единственная задача - закрыть таск и
> уйти домой ровно  в 18:00.1 - именно по этой причине
> я очень нервничаю, слыша про очередные прожекты впихивания в них линупcoв.
Пока ты нервничаешь, технологии движутся вперёд. И не только IT технологии, но и технологии подготовки IT специалистов. Бизнесу не нужны админы со специфическими запросами, бизнесу нужны админы, которых можно подготовить за два месяца, а через год уволить, когда те начнут просить повышения зарплаты. Всё это нытьё Раймонда о том, как компания должна относиться к хакеру и носить его на руках, несмотря на все его странности -- это его пустые мечты. Ты смотри, такими темпами ты можешь оказаться не у дел.
> будешь есть свой бигмак - учти, в него плюнул сперва повар, потом работник на кассе. Им деньги не за любовь к своей работе платят, и они ее - как правило, ненавидят, как и потребителей бигмаков.
Именно поэтому я не питаюсь бигмаками. фастфуд для нищих.

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

93. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от пох. (?), 27-Июн-19, 16:42

> Пока ты нервничаешь, технологии движутся вперёд.
в данном случае это атехнологичное движение вбок - вместо понимаемого и управляемого файрвола (за двадцать лет недоделанного, но все же - одного из лучших, доступных не в виде закрытой коробки за миллион денег в год) получить невменямемую хрень, управляемую за тебя интуитивно-приятными недоделками, к тому же и саму еще недоделанную даже до начально работающего состояния, зато уже назначенную новым стандартом.
Кто и зачем это спонсирует - вполне понятно, у основного потребителя какой-нибудь NG-firewall на периметре и еще один в качестве основного маршрутизирующего узла сети.
> бизнесу нужны админы, которых можно подготовить за два месяца, а через год уволить, когда те
это он так думает - до первого крэша
> Ты смотри, такими темпами ты можешь оказаться не у дел.
не, наоборот - у меня будет все больше и больше противной и неприятной работы - когда всех уже поувольняли, понадеявшись что знать ничего не надо, интуитивно приятные системы все сделают сами. Оно первые пол-годика где-то так и происходит, а потом опаньки - и двухмесячные админы с улицы все только доламывают окончательно. Потому что учиться им некогда и не оплачивает работодатель, да и ненужно - они ж отлично заучили, куда мышкой кликать.
Уровень (в одних и тех же конторах) за последние десять лет упал до нижеплинтусного, поэтому катастрофические последствия все более красивы и замечательны. Тем более что за поддержку они тоже стараются ненароком никому не заплатить.
Беда только в том, что оно уже и до реально угрожающих жизни и здоровью вещей добралось.
> Именно поэтому я не питаюсь бигмаками. фастфуд для нищих.
в понятных тебе аналогиях - шеф-повара высокой кухни тоже все это достало, и он тоже, нет-нет, да и поплевывает в кастрюли (все равно готовить приходится г-но и из г-на, так чего бы и не). В тарелки плюет официант, кстати, у него гепатит-C.
"бизнесу не нужно чтобы жратва была съедобной и тем более чтобы повару нравилась его работа - бизнесу нужно содрать как можно больше денег с едока - и лучше за один раз, а то вдруг до второго он не доживет".
Зато у работника кладбища дела идут отлично.

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

94. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Ordu (ok), 27-Июн-19, 17:05

>> бизнесу нужны админы, которых можно подготовить за два месяца, а через год уволить, когда те
> это он так думает - до первого крэша
Не совсем. Бизнес занимается этим со средневековья. Весь технологический прогресс стоит именно на том, что бизнес не очень радуется, когда обучение сотрудников очень дорого и постоянно ищет способы снизить стоимость.
> Беда только в том, что оно уже и до реально угрожающих жизни
> и здоровью вещей добралось.
Это как раз хорошо. Есть наконец шансы на то, что для того, чтобы называться программистом или админом будет требоваться лицензия, так же как лицензия требуется на врача или на инженера. У нас инженеру не требуется никакой бумажки, а, скажем, в США требуется, причём лицензии одного штата не работают в другом штате. И если человек попробует назвавшись публично инженером сделать какое-нибудь громкое заявление, не имея при этом лицензии, он запросто может получить иск в суд. Свобода слова, да. А если он попытается работать инженером не имея корочки... ц-ц-ц. Он попал.
>> Именно поэтому я не питаюсь бигмаками. фастфуд для нищих.
> в понятных тебе аналогиях - шеф-повара высокой кухни тоже все это достало,
> и он тоже, нет-нет, да и поплевывает в кастрюли (все равно
> готовить приходится г-но и из г-на, так чего бы и не).
В понятных тебе аналогиях, я скажу тебе вот что. Мне как клиенту, совершенно неинтересно общаться со снобами типа тебя, которые полагают что их знания делают их в чём-то особенными. И мне как клиенту приятнее общаться с компанией, которая не изобретает велосипед по каждому поводу, а имеет устоявшиеся готовые решения -- у таких результат может быть не столь впечатляющ, зато гораздо более предсказуем, и ценники у них заявлены заранее, и не меняются в процессе выполнения работ.
И мои предпочтения разделяются и бизнесом тоже, у которого в процессе принятия решений и так неопределённостей выше крыши, неопределённости порождают риски, и снижение этой неопределённости -- это офигенная ценность. Если это снижение сопровождается снижением ценника, то это вообще замечательно.
Кустарное ремесленничество проиграло фабрикам не потому, что сапоги с фабрики были лучше чем от сапожника, оно проиграло потому, что фабрика не может забухать и проcpaть все сроки. Не только поэтому, конечно, ещё и потому, что фабрика делала больше и дешевле. Сегодняшние сапоги с фабрики лучше, чем те что делал ремесленник 200 лет назад потому, что промышленное производство позволило развивать производство сапогов, вкладываться в поиск новых материалов и технологий. И продолжалось это несколько сот лет, в то время как у ремесленника не было такой возможности и никогда не будет.
Ты можешь относиться к этому процессу как угодно, потому что его направление развития не зависит от твоего отношения.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

95. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от пох. (?), 27-Июн-19, 18:08

> Это как раз хорошо. Есть наконец шансы на то, что для того, чтобы называться программистом или
> админом будет требоваться лицензия
не, ни малейших - нае-бизнес не хочет их оплачивать.
есть шанс что взлетит на воздух технологическая установка с чем-то особо-ядовитым, или просто у тебя отключится система ИВЛ во время операции.
Потому что экспертиза и знания немодно, вылавливать потенциальные проблемы до того как они стали проблемами тем более, модно херак-херак.
собственно, боинг уже йапнулся. Потому что херак-херак, а на обучении - сэкономили, оно ж адски дорогое. И не помогли ни жуткие бюрократические нагромождения бумажек и сертификаций надувателями щек, ни умная автоматика.
> Кустарное ремесленничество проиграло фабрикам не потому, что сапоги с фабрики были лучше
> чем от сапожника
а потому что херак-херак, выполняемое прикованными к станку рабами и из г-на - было дешевле. Пипл хавает.
а я как ходил в трекинговых ботинках из натуральной кожи, шитых вручную, так и хожу (единственный предмет ненависти - как раз ультрамодная-современная-производимая-единственной-компанией подошва, альтернативы редки и труднодоступны)
> Сегодняшние сапоги с фабрики лучше, чем те что делал ремесленник 200 лет назад потому
что ты не умеешь быстро поменять подметку без посторонней помощи. Всем остальным они хуже - весят впятеро больше, разваливаются быстрее, сделаны на чью-то абстрактную ногу, но не твою.
Ну, опять же - донести свою задницу от сиденья в машинке до сиденья перед столом годится и из дерьма. А вот если кому понадобится два месяца месить болота - то жопа. Ни задаром, ни за деньги ничерта подходящего уже не найдешь, скажи спасибо, если откопаешь еще советские литые резиновые (тот еще подарочек, но ничего лучшего нет уже почти столетие).
> Ты можешь относиться к этому процессу как угодно, потому что его направление развития не
> зависит от твоего отношения.
зависит. Как минимум можно не работать из дерьма самому и не выбирать уж совсем откровенно вонючие технологии.
Как минимум в одной области моих хобби вполне удалось пересидеть долгий период сумасшествия и лепки из говен - через "каких-то" пять-десять лет покупатели все же поумнели, а следом, не поверишь, и продавцы. Ну, кто выжил, потому что речь о safety equipment.
Потом, правда, снова началась дичайшая херня - но мне уже было все равно.

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

96. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Ordu (ok), 27-Июн-19, 18:45

>> Это как раз хорошо. Есть наконец шансы на то, что для того, чтобы называться программистом или
>> админом будет требоваться лицензия
> не, ни малейших - нае-бизнес не хочет их оплачивать.
Зато государство хочет, чтобы бизнес их оплачивал. У нас это скорее всего тем и кончится, что инженер просто помимо образования (или вместо него) будет оплачивать ещё и бумажку, но в некоторых странах это работает.
>> Ты можешь относиться к этому процессу как угодно, потому что его направление развития не
>> зависит от твоего отношения.
> зависит. Как минимум можно не работать из дерьма самому и не выбирать
> уж совсем откровенно вонючие технологии.
Это, конечно, же повлияет, да-да. Изменить что-либо, можно лишь научив людей зарабатывать на этих изменениях денег. Но это же явно не твой подход, ты по советской традиции считаешь деньги грязными, а стремление к деньгам признаком бездуховности. Я могу порекомендовать тебе Lab Rats[1], там Dan Lyons в конце объясняет подход к деньгам альтернативный советскому. Первые главы посвящены тому, как погоня за дивидентами делает жизнь хуже, но последние показывают как ситуацию можно изменить. В смысле реально изменить, а не рассуждать в комментах о том "как нам обустроить Россию", или что бы там ни было ещё обустроить.
Мир, он такой, какой он есть. Отрицая его ты ничего не достигнешь. Достичь чего-либо можно лишь через его принятие таким, какой он есть.
[1] https://www.amazon.com/Lab-Rats-Silicon-Valley-Miserable/dp/...

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

97. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от пох. (?), 27-Июн-19, 21:47

> Зато государство хочет, чтобы бизнес их оплачивал.
в нормальном государстве эти хотелки быстро засовывают откуда они изверглись.
у нас это закончится тем, что бизнесов не повязанных с кооперативом не останется вообще - да, собственно, оно и уже, почти.
Впрочем, вменяемых работников тоже не останется, так что тут все вполне чинно-благородно. Кто в рай отъехал, кто на пмж, кто получил взятку в 50тыщ ржублей.
> Это, конечно, же повлияет, да-да.
как минимум один случай в совершенно другой области - я наблюдал своими глазами. Давно, понимаешь, живу. Ну вот отказались люди жрать г-но. Ели, ели, и вдруг... Массово. Производители, кто не обанкротился от такого поворота - резко изменили тактику и стратегию и завиляли хвостиками - потому что их резко подвинули двое, до того вообще на рынке никому неведомые (потому что делали не на этот рынок, оно там весьма условно подходило, но - оказалось лучше, чем "новый стандарт"). Там, правда, был один существенный ньюанс: никаких корпоративных клиентов.
> Но это же явно не твой подход, ты по советской традиции считаешь деньги грязными, а стремление
> к деньгам признаком бездуховности.
это не советская традиция. Уозняк, уволившийся из эпла - "The company lost its soul". Рабочие канатной дороги на Монблан. Какое отношение все это имело к совку?
"Великая американская мечта" (давно уже недостижимая для большинства) она тоже вовсе не о деньгах, а о том как не подохнуть с голоду, не работая на дядю (там люди хотели именно own business, чтобы самим принимать решения и самим огребать последствия, а не "стать вице-президентом с золотым парашутиком" вовсе).
https://bash.im/quote/63688
пойти чтоль экзамен по вмвари сдать? работать, правда,все равно, видимо, придется с hyperv.

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

98. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Ordu (ok), 27-Июн-19, 22:44

>> Зато государство хочет, чтобы бизнес их оплачивал.
> в нормальном государстве эти хотелки быстро засовывают откуда они изверглись.
Европа и США значит ненормальные, так и запишем.
>> Но это же явно не твой подход, ты по советской традиции считаешь деньги грязными, а стремление
>> к деньгам признаком бездуховности.
> это не советская традиция. Уозняк, уволившийся из эпла - "The company lost
> its soul". Рабочие канатной дороги на Монблан. Какое отношение все это
> имело к совку?
Никакого. Но если ты в чём-то согласен с Возняком, это не значит, что вы одинаково с ним относитесь и к деньгам тоже. Помимо совковой есть ещё капиталистическая традиция, которая говорит, что деньги зарабатывать почётно и богоугодно. Она бывает в разных вариантах, не только в том, который озвучиваешь ты: ты озвучиваешь вариант популяризованный и введённый в мейнстрим Фридманом. Он очень распространён, но последнее время его сильно подвергают сомнению. Собственно я порекомендовал тебе выше Lab Rats, там эта демаркация между Фридманом и всем остальным проведена очень неплохо и, главное, там нарисованы яркие иллюстрации того, к чему приводят разные варианты.
Но я к тому, что Возняк -- американец по рождению, он был воспитан в американской протестантской культуре, и маловероятно, чтоб он относится к зарабатываю денег как к чему-то недостойному настоящего человека. Это Толстой мог, что кстати наводит на мысль, что всё же это не советская традиция, а русская национальная, но не Возняк. Если у него и были тёрки с подходами Apple, то это были тёрки в расстановке приоритетов между разными ценностями, но не тёрки о том, что деньги и не ценность вовсе.

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

99. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от пох. (?), 27-Июн-19, 23:18

> Европа и США значит ненормальные, так и запишем.
ненормальные в штатах проиграли выборы, если вы еще не в курсе. Как раз тем, кому категорически не нравится торчание государства в каждой дырке.
деньги - безусловная ценность, но я предпочитаю все же не зарабатывать миллион, давая в *опу - тем более что в результате, вероятнее всего, в *опу-то трахнут, а миллион пообещают когда-нибудь потом, может быть. Будешь налаживать файрволлы из nft - палоальту тебе не купят заведомо никогда. Зато крайним, если что, назначат.
достойно человека (о чем, собственно, те две старые истории и были) - оставить после себя что-то, чем люди будут пользоваться, не вспоминая создателя непечатными словами, или хотя бы помнить некоторое время, а не мешок денег, от них в аду мало пользы.
Если эта цель недостижима - можно, хотя бы, попытаться оставить после себя поменьше дерьма, а то может и чуть чужого прибрать.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

101. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от Ordu (ok), 28-Июн-19, 11:28

> ненормальные в штатах проиграли выборы, если вы еще не в курсе. Как раз тем, кому категорически не нравится торчание государства в каждой дырке.
Это локальная временная мелочь. Это США, детка, там президент приходит к власти не на полвека, а максимум на два срока. Сейчас на фоне торговой войны с Китаем Трамп может и переизберётся, но лишь один ещё раз. А идущий тектонический сдвиг в мейнстриме экономики никуда не денется.
Да и "государство не должно вмешиваеться" -- это лишь внешняя позиция, особенно если мы говорим про Трампа, который популист до мозга костей. Так случилось, что он пришёл от республиканцев, при ином раскладе он бы пришёл от демократов -- он популист, ему совершенно без разницы в рамках какой парадигмы работать. А раз так, то он сам представляет гораздо большую угрозу для фридманизма, чем все социал-демократы вместе взятые. Он на практике порушит иллюзию того, что фридманизм удовлетворительно работает.
> деньги - безусловная ценность, но я предпочитаю все же не зарабатывать миллион, давая в *опу
В третий раз порекомендую почитать Lab Rats. Я верю что оно очень хорошо зайдёт, потому что там как раз описано как это плохо, когда людей заставляют, зарабатывать давая в *опу. На счёт того, удастся ли тебе увидеть русские культурные особенности отношения к деньгам -- это я не обещаю, для того, чтобы увидеть себя, надо выйти за пределы себя, а это, во-первых, не так просто как звучит, во-вторых, себя за пределы выходить нежелание стойкое в тебе вижу я.

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

85. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Zulu (?), 27-Июн-19, 12:31

> Кому нужен этот ksh?
Никому. А людей, которые на нем скрипты пишут, надо отлучать от контуперов вообще.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

86. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от пох. (?), 27-Июн-19, 12:57

да, запускайте ваш mc!
а файрволом управляет пусть firewalld.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

105. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от Zulu (?), 28-Июн-19, 19:54

Ни в одной вменяемой операционной системе ksh не есть дефолтным шеллом, ни интерактивно, ни для скриптинга. Или sh, или bash. БСД вменяемой системой не являются.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

30. "Выпуск пакетного фильтра nftables 0.9.1" –3 +/–

Сообщение от пох. (?), 26-Июн-19, 07:22

> Серьёзный вопрос: кто-то это вообще использует?
кто-то использует, безусловно - "чтоб денег никому не платить!" - может это пейсбук, может гугль, хз кто, но кто-то ж кормит этих пейсателей.
зато экономят на нормальных файрволах, чо. За цену одной PA7000 их можно двух нанять!
> Т.е. иметь firewall типа pf из OpenBSD было бы очень круто
что такого крутого в необходимости вручную сортировать правила в совершенно нечитаемом глазами конфиге и вообще в файрволе не умеющем ftp и sip в XXI веке?
Круто было бы иметь iptables, как когда-то задумывали в линухе, хотя, ой, постойте...
впрочем, что у вас первое в новости? Так вот, хозяйке на заметку - SA match в iptables не работал примерно никогда (может в 2.4, но я не проверял). Главное ведь ничего не чинить, а задрав обocpaнный хвост, быстро бежать за новым бананом.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

62. "Выпуск пакетного фильтра nftables 0.9.1" +2 +/–

Сообщение от Аноним (61), 26-Июн-19, 13:11

>не умеющем ftp
Не хочу тебя расстраивать, но в 2019 году FTP никому особо и не нужен уже. Протокол изначально был довольно убог. Чего только стоит тот факт, что у сервера нет возможности узнать, закончил ли клиент закачку файла или это просто соединение сдохло.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

64. "Выпуск пакетного фильтра nftables 0.9.1" –4 +/–

Сообщение от пох. (?), 26-Июн-19, 13:23

> Не хочу тебя расстраивать, но в 2019 году FTP никому особо и
не хочу тебя расстраивать, но стильные-модные-молодежные, все подряд тянущие в http (который из изначально задуманного text transfer protocol превратился в совершенно невменяемое и неотлаживаемое убожище, с remote vulnerability в каждой реализации) - не нужны особо.
И держатся только и исключительно на хайпе.
> не нужен уже. Протокол изначально был довольно убог. Чего только стоит
да уж куда ему до высот quic3
> тот факт, что у сервера нет возможности узнать, закончил ли клиент
> закачку файла или это просто соединение сдохло.
серверу это и неинтересно совершенно.
По этой самой причине (вообще-то изначально предусмотренный) block mode всеми давно позабыт.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

103. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от Аноним (103), 28-Июн-19, 18:09

> Не хочу тебя расстраивать, но в 2019 году FTP никому особо и не нужен уже. Протокол изначально был довольно убог.
А какие альтернативы? Чем расшарить в локалку каталог с файлами на роутере (или, например, raspberry pi) так, чтобы любая ОС могла его открыть?
FTP достаточно прост, чтобы слабенький роутер мог раздавать файлы на скорости жёсткого диска (спасибо `man 2 sendfile`). Соперничать с ним по скорости может только NFS kernel server, но завести NFS на винде — то ещё развлечение.
Или ты из тех, кто файлы между соседними машинами на флешке переносит? ;-)

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

109. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от пох. (?), 30-Июн-19, 22:10

> А какие альтернативы? Чем расшарить в локалку каталог с файлами на роутере (или, например,
> raspberry pi) так, чтобы любая ОС могла его открыть?
тут из зала подсказывают, что винда давно уже это умеет ;-)
Ну, ее, конечно, иногда ломали, но если вспомнить историю proftpd, то она покажется шедевром надежности (а pure почему-то совершенно непопулярен).
тема, правда, была совсем о другом - люди, ниасилившие ДАЖЕ такую ерунду без кривого user-space helper (и вообще ни в каком виде ниасилившие хелперов ни для чего другого кроме этой ерунды) таки пришли учить нас коммэрции...зачеркнуто, правильно писать фиреволлы.

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

112. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Аноним (103), 01-Июл-19, 02:21

> тут из зала подсказывают, что винда давно уже это умеет ;-)
Умеет что? FTP? Более-менее умеет. Потому я и говорю, что это единственный быстрый кросс-платформенный способ расшарить кучу файлов в локалке. И даже в 2019м нет ничего лучше.
> Ну, ее, конечно, иногда ломали, но если вспомнить историю proftpd, то она
> покажется шедевром надежности (а pure почему-то совершенно непопулярен).
vsftpd же!

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

114. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от пох. (?), 01-Июл-19, 07:04

> Умеет что? FTP?
ну зачем же мучаться, когда есть windows share? ;-)
(и да, последний cve был давным-давно, причем, как обычно, для конфигураций, весьма далеких от реальных - в отличи от сосамбы, в которой каждый день новость)
> vsftpd же!
ну это вообще насмешка над здравым смыслом - поищите по mitre это "very secure", вместе поплачем.
сравнительно руками написаны djb ftpd (но несовместим ни с чем, включая и большинство ftp клиентов, типикал djb-style - где-то у solar diz'а, по-моему, был патч, он тривиальный) - readonly by design.
А если хочется нормальный upload и per user access - то pure единственный выбор. Из необходимого приличному клиенту прошлого века не умеет разьве что get ...tar.gz , но это не для файлопомоек, это для shared hosting было актуально.
Из этого века - "ньюансы" с ftps, но их ни один нормальный виндовый клиент тоже толком не умеет.
(правильный ftps шифрует auth, а не целиком control, поэтому не застревает в файрволах чуть поумнее pf и не грузит процессор хоста почем зря)
улучшайкам некогда - они в пятый раз несчастный линуксный файрвол разваливают до основанья, а затем - кто был ничем, тот так и остался ничем.

Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

116. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Аноним (103), 02-Июл-19, 00:24

> ну зачем же мучаться, когда есть windows share? ;-)
Только вот какая у "windows share" скорость по сравнению с ftp? ;)
> (и да, последний cve был давным-давно, причем, как обычно, для конфигураций, весьма далеких от реальных)
Это у windows share-то он был давно? ;) Я помню эти пачки CVE-2017-0143...0148, CVE-2017-0161, CVE-2017-0174... Помню и победоносное шествие petya/notpetya/идр. Ну просто нереальная конфигурация, вообще никто не заразился, да? А есть и поновее, например Remote Code Execution CVE-2019-0630.
>> vsftpd же!
> ну это вообще насмешка над здравым смыслом - поищите по mitre это
> "very secure", вместе поплачем.
Вообще-то у них баги были примерно одинаковые, и даже в одинаковые годы. Причём все баги мелкие, типа DoS-а. И при этом vsftpd, вероятно, самый популярный и самый анализируемый ftp-сервер.
Но плевать на секурность — мне надо всего лишь файлы с роутера в локалке расшарить, чтобы максимальная скорость и минимальная нагрузка. Чем pureftpd для этого лучше?
> Из необходимого приличному клиенту прошлого века не умеет разьве что get ...tar.gz
Это вообще что означало?

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

117. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от пох. (?), 03-Июл-19, 15:22

> Только вот какая у "windows share" скорость по сравнению с ftp? ;)
видите как плохо вариться в маня-мирке?
Скорость у нее упирается, обычно, в 10Ge, которым эта шара смотрит в сторону FEX, если удается обойти другие бутылочные горлышки - подставить правильный san с правильным multipath, или разместить хранилку непосредственно в файловом сервере, обеспечить ему достаточно памяти под метаданные и процессора для их перемалывания.
Сюююрпрайз, да?
Причем это щастье наступило еще в 12й (у 2008R2 были определенные сложности,но ей простительно - 10 лет назад даже 10G _raw_ диска было не так просто получить, мы пробовали, священным беспл..простите, шва6одными линуксом, вышло очень дорого и как-то совсем уж ненадежно)
В принципе, на самом деле и у сосамбы не так все плохо - народ получал ~800 мегабайт/s в специфических тестах, мне просто негде такое развернуть (поскольку, опять же, мало стырить десяточную сетевуху, надо еще чтоб оно банально в диск не уперлось), но ссыкотно, ибо CVE-2017-7494 ничем не лучше виндового совершенно аналогичного (может, они уже давно потихому в другую сторону копипастили?).
> Вообще-то у них баги были примерно одинаковые, и даже в одинаковые годы.
что как бы и говорит нам о качестве его кода.
> Но плевать на секурность — мне надо всего лишь файлы с роутера в локалке расшарить, чтобы
а если роутер поломают?
> максимальная скорость и минимальная нагрузка. Чем pureftpd для этого лучше?
минимальным размером, тривиальностью настроек и достаточно высокой надежностью при хорошей производительности - например.
При этом все, что требуется от правильного и хорошего ftpd (кроме архивов) у него есть.
К внешнему парсеру конфига (или настройке ключиками) можно и привыкнуть.

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

118. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Аноним (103), 04-Июл-19, 22:48

>> Только вот какая у "windows share" скорость по сравнению с ftp? ;)
> Скорость у нее упирается, обычно, в 10Ge, которым эта шара смотрит в
> сторону FEX, если удается обойти другие бутылочные горлышки
> Сюююрпрайз, да?
А _по_сравнению_с_ ftp? На той же машине? А конкретно, на роутере. И внезапно оказывается, что ftp в два раза быстрее, и на порядок проще в настройке. Сюююрпрайз, да?
> Причем это щастье наступило еще в 12й (у 2008R2 были определенные сложности,но
> ей простительно - 10 лет назад ...
Это да, в winxp ещё в далёком 2014м всё было плохо. 2-3МБ/сек на гигабитной сети — было очень грустно.
>> Вообще-то у них баги были примерно одинаковые, и даже в одинаковые годы.
> что как бы и говорит нам о качестве его кода.
О качестве кода их обоих. При том, что к одному из них приковано куда больше внимания.
>> Но плевать на секурность — мне надо всего лишь файлы с роутера в локалке расшарить, чтобы
> а если роутер поломают?
А мне надо файлы В ЛОКАЛКЕ расшарить. Обычно всем и по анонимному доступу. Там некому и нечего ломать. Да и это ж ftp, а не виндовая шара, в нём подобных багов отродясь не было.
>> Чем pureftpd для этого лучше?
> минимальным размером, тривиальностью настроек и достаточно высокой надежностью при хорошей
> производительности - например.
Это — чем он хуже, а чем он лучше-то? ;)
Размер у них примерно одинаковый.
Настройки у pure-ftpd — часть через конфиг, часть через отдельные конфигурационные приложения, часть через настройки системных пользователей, а ещё часть через переменные окружения при сборке. При этом у vsftpd всё в одном конфиге, и идеальная ман-страница по нему.
Производительность тоже примерно одинаковая.
А что в данном случае понимается под "надёжностью"?
> При этом все, что требуется от правильного и хорошего ftpd (кроме архивов)
> у него есть.
Мне даже интересно, о каких "архивах" идёт речь?

Ответить | Правка | ^ к родителю #117 | Наверх | Cообщить модератору

75. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от Аноним (75), 26-Июн-19, 17:54

> ftp в XXI веке
Знатно ты на ноль поделил.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

7. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от Аноним (7), 26-Июн-19, 00:57

RHEL8 перешёл на nftables https://www.opennet.ru/opennews/art.shtml?num=50644

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

81. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от пох. (?), 27-Июн-19, 10:23

он на firewalld обернутый в cocksuck...или как там правильно, перешел - так что его замечательные пользователи ничего и не заметят.
а для пейсателей firewalеldы там все как раз и было задумано.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Выпуск пакетного фильтра nftables 0.9.1" –2 +/–

Сообщение от Аноним (-), 26-Июн-19, 01:36

> замены iptables, ip6table, arptables и ebtables
Тот редкий случай, когда закономерно прикапывают окаменелые экскременты, а не выпиливают проверенные временем годные технологии.
Один только человекочитаемый синтаксис и отсутствие б_гомерзкого ВЕРХНЕГО регистра, плодящего грабли, дорогого стоят. Успехов проекту.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от OpenEcho (?), 26-Июн-19, 01:48

Дернуло же связать жизнь с IT...
не успеешь выучить одно, хepяк, - учи что то новое...
в большинстве профессий, люди только улучшают свои знания c годами, добавляя новшенства к старым знаниям, а здесь как при союзе:
Весь мир насилья мы разрушим
До основанья, а затем
Мы наш, мы новый мир построим
Кто был ничем, тот станет всем.
а в итоге как у чебургена: "мы строили, строили и ничего не построили"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от Аноним (7), 26-Июн-19, 01:55

https://wiki.nftables.org

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

52. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от Аноним (52), 26-Июн-19, 11:42

https://wiki.nftables.org/wiki-nftables/index.php/Special:Al...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Ключевский (?), 26-Июн-19, 02:03

Ты 21 год учил iptables? За время существования iptables успели не только родиться, но вырасти и пойти работать, а на работе вырасти от попингуев до младших админов новое поколение админов. Мой сын родился в год когда появился iptables, а сейчас сыну 21 год уже.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

19. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от OpenEcho (?), 26-Июн-19, 03:04

> Ты 21 год учил iptables?
iptables и не только...
мысль была не только об iptables, а вообще, как в IT любят ломать и перестраивать внешний интерфейс(ы) к одной и той же сущности...
>Мой сын родился в год когда появился iptables, а сейчас сыну 21 год уже.
Моя старшенькая, родилась до iptables и через год будет профессором в одном самом крутом тех.универе на планете... и что? К чему это? Детишками померились?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

68. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от zunkree (ok), 26-Июн-19, 15:23

> в IT любят ломать и перестраивать внешний интерфейс(ы) к одной и той же сущности...
К одной и той-же сущности? Серьезно? Ты сейчас вот это вот точно серьезно? Ты точно 21 год учил iptables и все тулы экосистемы или делал вид, что учил? Потому, что на основе твоего заявления твоих знаний о том, что такое iptables и чем от него отличается nftables явно недостаточно, что-бы даже банальным сисадмином работать, разве эникей, да и то 21 год продержаться без знаний работы системы было-бы трудно.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

70. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от OpenEcho (?), 26-Июн-19, 16:13

Спасибо за беседу, очень познавательно для меня и всех окружающих...
позволю только заметить, что перевод разговора в 6ыдлo русло - никогда, ни кому не приносил пользы

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

73. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от пох. (?), 26-Июн-19, 17:08

> К одной и той-же сущности? Серьезно?
серьезно - ни ip, ни net/3 в линуксе практически не изменились за эти 20 лет.
Это вот - сущности. А наляпанное наспех поверх них убожество для всего лишь фильтрации - оно хоть каждый день может быть новое.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

46. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от пох. (?), 26-Июн-19, 10:35

> За время существования iptables успели не только родиться, но вырасти и пойти работать, а на
> работе вырасти от попингуев до младших админов новое поколение админов.
а настраивать сети - так и не научились.
доделать поломанное торопыгами при переходе с ipchains - тоже за 21 год не шмагли. Нате вам нового недоделка, в котором и того что было - половина не работает, а вторая работает неправильно. Зато вам не надо на самом деле ничего о нем знать, за вас все сделают интуитивно-приятные скрипты.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

16. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от Аноним (16), 26-Июн-19, 02:09

Да собственно то уже то IT как его знали раньше и закончилось - неудобно корпорациям зависить от знаний людей.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Аноним (17), 26-Июн-19, 02:45

> Дернуло же связать жизнь с IT...
> не успеешь выучить одно, хepяк, - учи что то новое...
Ну иди работать дворником тогда. В IT потому и зарплаты такие высокие*, что как правило нужно знать не только новую технологию, но и одновременно с ней старую, чтобы поддерживать легаси.
________
* не относится к админам. Но у админов и работа-то гораздо легче, чем у программистов

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от gsdh (?), 26-Июн-19, 03:01

> зарплаты такие высокие*
А ха-ха
> знать не только новую технологию, но и одновременно с ней старую
Отсыпь

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Аноним (17), 26-Июн-19, 03:52

> > зарплаты такие высокие*
> А ха-ха
Изучи рынок. Скорее всего ты устроился куда-то в soviet-style-компанию, где требуют две вышки, а платят так, как платили инженерам в СССР. Даже пихоно-жс-макаки, вошедшие в айти полгода назад, сейчас делают 2-3К евро в месяц.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

25. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от gsdh (?), 26-Июн-19, 03:56

ушел из мтс в совет-стайл изза зп, в совет-стайл почти в 2 раза больше

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от gsdh (?), 26-Июн-19, 03:59

> йчас делают 2-3К евро в месяц.
пруфы на ждобхантер, или пиз...л

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Аноним (17), 26-Июн-19, 04:05

В hh в основном советские компании. Ищи работу на других площадках, в LinkedIn на первый случай.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от тов. майор (?), 26-Июн-19, 07:24

я вот тебе поищу на террористическом сайте, запрещенно в ресурсной федерации!
я тебя на работу устрою - ты мне там лет пять отработаешь, предатель родины!

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от gsdh (?), 26-Июн-19, 07:30

Вот не поленился обойти блокировку, а там 2 вакансии за месяц, из которых одна требует 5 лет опыта, вторую даже читать не стал - сайт обезьяны делали.
И это уровень.
Да можно, наверное, найти работу на какого-нибудь проныру фэйковые сатики клепать за пару миллионов в месяц, но все это дичь.
Времена бесценных ит-спецов прошли, зп как у всех.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

42. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от user455 (?), 26-Июн-19, 10:23

мне на linkedin в месяц приходит примерно 5-6 предложений от разных компаний на релокацию в другие страны. может у тебя с резюме что-то не то?

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

47. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от . (?), 26-Июн-19, 10:36

не езди туда - наобещают релокаций ит/шмит, а потом привяжут к батарее и вжеппа ипать будут!

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

63. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от тщт (?), 26-Июн-19, 13:14

мне на почту и больше приходит если спам фильтр отключить.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

49. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от Аноним (49), 26-Июн-19, 11:05

Получаю 4к евро в Риге, ЧЯДНТ?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

51. "Выпуск пакетного фильтра nftables 0.9.1" –2 +/–

Сообщение от пох. (?), 26-Июн-19, 11:11

членами деревянными на базаре торгуешь?

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

56. "Выпуск пакетного фильтра nftables 0.9.1" –2 +/–

Сообщение от Аноним (49), 26-Июн-19, 11:47

Твоей мамашей

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

20. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от OpenEcho (?), 26-Июн-19, 03:16

> Ну иди работать дворником тогда
Во, страна советов подтянулась...
програмист наверное... богатый...

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Выпуск пакетного фильтра nftables 0.9.1" –2 +/–

Сообщение от Аноним (21), 26-Июн-19, 03:17

В AIX всё развивается как надо. Что было 20 лет, то и сегодня работает в 95% случаев.
Это только линукс представляет кучу форков на форки с постоянно сломанной обратной совместимостью и выброшенными, патаму что не модно, не стильно, не молодёжно, проектами.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

23. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от Ключевский (?), 26-Июн-19, 03:46

И где же «форки на форки»? И где примеры сломанной совместимости? Опять врешь

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

34. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от kostyarin (ok), 26-Июн-19, 08:13

Приспосабливаться к изменениям существующей реальности == не быть лохом. Разве это не правильно -- поставить с собой наравне бородатых дядек, которые iptables ещё в детском саду проходили?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

43. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от пох. (?), 26-Июн-19, 10:25

не быть лохом - это спокойно сидеть на берегу, и смотреть как мимо проплывают трупики проектов, сделанных обезьянками.
Не тратя времени на детальное знакомство - все равно они каждый раз новые, через год очередного недоделка все забудут и радостно побегут за новой ненужностью.
Кликать ok в firewalld бородатые дядьки умеют не хуже тебя, малыш. А вот настроить разброс входящих h323 по queues - ты не умеешь.
В принципе, тебе и не надо (мне тоже) - дЭффехтивный манагер купит тебе еще пять-пятьдесят корыт в кластер, деньги-то он проматывает инвесторские, а не свои. А сэкономит на твоей зарплате.
но вот работать из г-на лично мне как-то все более и более противно.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

72. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от OpenEcho (?), 26-Июн-19, 16:30

> Приспосабливаться к изменениям существующей реальности == не быть лохом.
Вы учите меня жизни, а Я говорил о тенденции в IT, - постоянно что то ломать и перестраивать... и эти перестройки в большинстве - подача того же блюда, только под разными соусами.
А по поводу "Приспосабливаться", знаете, есть еще синоним - "прогибаться" или по народному, просто подмахивать пoпкoй, изображая при этом удовольствие, так что, кто есть лох, это далеко не так обьективно, как кажется на первый взгляд...

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

102. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от kostyarin (ok), 28-Июн-19, 14:02

Я не заступаюсь за nftable просто условная молодежь тратит свой пердячий пар на то, чтобы подвинуть дядек, а не сделать что-то новое и стоящее. Тому множество примеров, а не только nftables. В том смысле, что новость вовсе не про облегчение чего-то там и не про улучшение чего-то там -- просто раздел сферы интересов. Кто-то решит не изучать nftables. Если nftables окажется востребованной, то места тех займут условные молодые. Вот и всё. Это борьба за место под солнцем, а не решение проблем сетевых утилит.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

104. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от Аноним (104), 28-Июн-19, 18:59

>  Вот и всё. Это борьба за место под солнцем, а не решение проблем сетевых утилит.
Ага. Кролики думали что они занимаются любовью. А на самом деле их тупо разводили.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

41. "Выпуск пакетного фильтра nftables 0.9.1" –4 +/–

Сообщение от пох. (?), 26-Июн-19, 10:16

> Дернуло же связать жизнь с IT...
вы просто выбрали не то направление в IT.
MS'овский фиревалл не меняется принципиально со времен XP SP3. Причем то что было настроено до него ipsec-политикой еще во времена 2000 - тоже работает по сей день.
Да, оно не особенно удобно в обслуживании, но там никогда и не ставили себе целью заменить граничные файрволы больших сетей - задача была как-то прикрыть единичные хосты, желательно не сломав пользователям все нафиг и не требуя лично настраивать десяток тыщ.
И скриптлет, написанный в 2009м, работает по сей день.
> а в итоге как у чебургена: "мы строили, строили и ничего не построили"
а такой цели и нет. Цель - угробить конкурирующие продукты, продаваемые и разрабатываемые за деньги. С этой целью опенсосеры успешно справляются, пипл хавает затобесплатное - за ушами трещит.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

54. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от SysA (?), 26-Июн-19, 11:46

У меня для тебя плохие новости - nftables уже скоро тоже устареет! :)
https://www.lowendtalk.com/discussion/158192/iptables-vs-nft...

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

65. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Аноним (65), 26-Июн-19, 13:57

Как скоро?

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

67. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от пох. (?), 26-Июн-19, 15:10

> Как скоро?
раньше чем его допишут - гарантирую.
Вот, например, iptables - так и не дописали.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

28. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Аноним (28), 26-Июн-19, 06:18

не увидел ничего что не умеет iptables
очередной NIH

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Выпуск пакетного фильтра nftables 0.9.1" +6 +/–

Сообщение от пох. (?), 26-Июн-19, 10:30

> не увидел ничего что не умеет iptables
очочки-то протри, интеллихент хренов!
"улучшена поддержка json" - вот в чем сила, брат! Это ж то, что непременно надо засунуть в файрвол! (надеюсь, она непосредственно в ядре, а не в пихоновском враппере каком)

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

29. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Tifereth (?), 26-Июн-19, 07:05

> It supports 3/4 of the existing iptables features, although it provides new features that you cannot find in iptables.
Сразу бы перечислили ту 1/4, которая не поддерживается.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Выпуск пакетного фильтра nftables 0.9.1" +2 +/–

Сообщение от пох. (?), 26-Июн-19, 10:32

разработчики nft пока еще просто не прочитали lartc дальше 2/3 - поэтому не могут перечислить то, что еще не знают.
Но они работают над этим, и даже, как видишь, держат нас в курсе.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

53. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Tifereth (?), 26-Июн-19, 11:46

Остаётся надежда, что хоть читают подряд, с начала и до конца.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

35. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от ryoken (ok), 26-Июн-19, 08:14

Подскажите, в целях повышения уровня образованности. "ARP-адрес" - это вот что? MAC? (Тогда зачем его так сложно обозвали?)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от Онанимус (?), 26-Июн-19, 10:41

Ну имелся в виду ethernet адрес (MAC). Но там вообще глупость написана:
>Возможность сопоставления ARP-адреса отправителя и IPv4-адреса целевой системы.
Должно звучать так:
>Возможность сопоставления ARP-пакета с IPv4-адресом отправителя.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

36. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от Аноним (36), 26-Июн-19, 08:36

>Поддержка масок для идентификации операционных систем (OS Fingerprint)
А почему это до сих пор не прикрыли?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от анон (?), 26-Июн-19, 14:25

потомушо гладиолус!

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

39. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от An (??), 26-Июн-19, 09:38

А слышно что-нибудь про bpfilter ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Аноним (52), 26-Июн-19, 11:47

Он уже в ядре работает как процесс, но только для тупого дропа пакетов.
Для остального есть реализации XDP.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

57. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Аноним (52), 26-Июн-19, 11:50

bpfilter сейчас работает только как offloading drop если находит соответствия до прихода в ОС.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

59. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от пох. (?), 26-Июн-19, 11:59

зато с КАКОЙ скоростью он их дропает!
;-)
P.S. жаба или гадюка, кто кого сборет, как думаете?

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

58. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от Аноним (52), 26-Июн-19, 11:56

$ nft export json
Error: this output type is not supported
export json
^^^^^^^^^^^^
$ nft export xml
Error: this output type is not supported
export xml
^^^^^^^^^^^

Nice!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

60. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от Аноним (65), 26-Июн-19, 12:39

./configure --with-json

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

69. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от Аноним (69), 26-Июн-19, 15:34

Пока в дистрибутивы попадёт проект может и загнуться.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

71. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Аноним (71), 26-Июн-19, 16:21

так уже в Ubuntu 16.04

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

88. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от Пряникё (?), 27-Июн-19, 14:41

Скажите, по nftables есть хорошая дока?
Ну, кроме man?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

91. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от пох. (?), 27-Июн-19, 15:04

лолшта?
окстись, чувак, какие тебе еще доки - это немодно, немолодежно, несовременно - вон, вика, эклектичная свалка записок углем на манжетах, половина устарела, другая ведет на недописанные странички - у нас нынче так принято.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

106. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от Лолноним (?), 29-Июн-19, 07:59

Iptables кончено не шоколад, подтормаживает на большом количестве правил (по сравнению с pf), но не так сильно как nftables

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

110. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от пох. (?), 30-Июн-19, 22:14

вы таки ничего не понимаете, там же виртуальная машина(!) , она же не может тормозить! ;-)
btw, на самом деле меряли, или как всегда? И что такое "больше количество"?
Вот 800 штук линейным списком - это достаточно большое?

Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

107. "Выпуск пакетного фильтра nftables 0.9.1" +1 +/–

Сообщение от Олег (??), 30-Июн-19, 08:23

Хотели в своё время на него перевести пару машин, но оказалось, что ipt_netflow для него нет и не предвидится. А жаль...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

108. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Аноним (108), 30-Июн-19, 13:40

Можно все правила на nft перевести, а в iptables оставить только NETFLOW.

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

111. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Олег (??), 30-Июн-19, 23:13

Может так и сделаем, когда руки снова дойдут. Но всё таки хотелось полностью на nft переехать и опробовать на боевых машинах его.

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

113. "Выпуск пакетного фильтра nftables 0.9.1" +/–

Сообщение от Аноним (108), 01-Июл-19, 03:41

У автора была идея написать модуль, независимый от iptables и nftables
https://github.com/aabc/ipt-netflow/issues/34

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

115. "Выпуск пакетного фильтра nftables 0.9.1" –1 +/–

Сообщение от пох. (?), 01-Июл-19, 07:09

> У автора была идея написать модуль, независимый от iptables и nftables
но не было пороха, как обычно.
> https://github.com/aabc/ipt-netflow/issues/34
This is good in itself, and also may be useful for nftables, because nftables (as of yet) does not support extensions.
лолшта?
Но новым стандартом этот недоделок уже объявлен, и все посасывающие у redbm уже заменили врапперами старые бинарники, а скоро "по данным нашей телеметрии никто этими мамонтовыми iptables не пользуется, авторы их не поддерживают, выпиливаем из ведра!"

Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Выпуск пакетного фильтра nftables 0.9.1"	+5 +/–
Сообщение от Аноним (1), 26-Июн-19, 00:06
> Error: No such file or directory; did you mean table â€˜filterâ€™ in family ip? Красиво :)
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Выпуск пакетного фильтра nftables 0.9.1"	–6 +/–
	Сообщение от Аноним (2), 26-Июн-19, 00:18
	Кажется мой вопрос про "почему у них мажорная версия 0 после года разработки", только что отпал.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	50. "Выпуск пакетного фильтра nftables 0.9.1"	+/–
	Сообщение от . (?), 26-Июн-19, 11:09
	мне кажется, ты бы мог помочь проекту - покоммить им в CoC.md немножко, а потом, думаю, твое предложение сделать версию 91, вместо каких-то дурацких нулей, пройдет на ура!
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	82. "Выпуск пакетного фильтра nftables 0.9.1"	+3 +/–
	Сообщение от gogo (?), 27-Июн-19, 11:08
	Не понятно, почему заминусовали анона. Столько очевидных вещей добавлено ПОСЛЕ того, как это г включили в энтерпрайзнейшую из осей.... Тут версию не то, что 0 нужно ставить, а еще с припиской "альфа"...
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "Выпуск пакетного фильтра nftables 0.9.1"	+8 +/–
	Сообщение от Fyjybv755 (?), 26-Июн-19, 00:50
	>> Error: No such file or directory; did you mean table â€˜filterâ€™ in family ip? > Красиво :) Это ответ на знаменитое кузнецовское RTNETLINK answers: File exists
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	22. "Выпуск пакетного фильтра nftables 0.9.1"	+1 +/–
	Сообщение от KaE (ok), 26-Июн-19, 03:36
	.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "Выпуск пакетного фильтра nftables 0.9.1"	–7 +/–
Сообщение от Аноним (3), 26-Июн-19, 00:37
Хорошо, что я не вникал в iptables до этого, теперь не придется переучиваться, а всего-то - познать новое.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	33. "Выпуск пакетного фильтра nftables 0.9.1"	+22 +/–
	Сообщение от kostyarin (ok), 26-Июн-19, 08:10
	Хорошо, что я не вникал в iptables. Теперь ещё и в nftables не вникать придётся.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	37. "Выпуск пакетного фильтра nftables 0.9.1"	+1 +/–
	Сообщение от Аноним (37), 26-Июн-19, 09:14
	> Хорошо, что я не вникал в iptables до этого, теперь не придется переучиваться, а всего-то - познать новое. Не спеши, подожди еще лет 20-30, там снова что-то поменяется и это новое станет старым. Столько усилий и времени сэкономишь - жуть... Этот совет тебе (но только тебе!) подойдет ко всему, с чем ты столкнешься в жизни. В том числе - не спеши жить, все равно помрешь.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	78. "Выпуск пакетного фильтра nftables 0.9.1"	+/–
	Сообщение от macfaq (?), 27-Июн-19, 09:42
	Последний совет по-своему не лишён смысла.
	Ответить \| Правка \| ^ к родителю #37 \| Наверх \| Cообщить модератору


	100. "Выпуск пакетного фильтра nftables 0.9.1"	+1 +/–
	Сообщение от crypt (ok), 28-Июн-19, 03:26
	> еще лет 20-30 10 достаточно. systemd+прочие новинки и проще уже на freebsd перейти, чем изучать замену крона на федоре.
	Ответить \| Правка \| ^ к родителю #37 \| Наверх \| Cообщить модератору

4. "Выпуск пакетного фильтра nftables 0.9.1"	+/–
Сообщение от Аноним (4), 26-Июн-19, 00:45
Серьёзный вопрос: кто-то это вообще использует? Потому что у меня сложилось впечатление, что разработчики netfilter живут в каком-то своём особом мире, где кроме них никого нет. Т.е. иметь firewall типа pf из OpenBSD было бы очень круто, но тут это, как и всегда в Linux, сделано наполовину и через жопу.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "Выпуск пакетного фильтра nftables 0.9.1"	+2 +/–
	Сообщение от Fyjybv755 (?), 26-Июн-19, 00:51
	"Не скопипастить то, к чему я привык" == "сделать через жoпу", ок.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	61. "Выпуск пакетного фильтра nftables 0.9.1"	+/–
	Сообщение от Аноним (61), 26-Июн-19, 13:09
	>"Не скопипастить то, к чему я привык" == "сделать через жoпу", ок. Копипаста тут не причём. Я к тому, что NFTables не доделан и зачастую работает не так как надо.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	74. "Выпуск пакетного фильтра nftables 0.9.1"	–1 +/–
	Сообщение от пох. (?), 26-Июн-19, 17:45
	как будто iptables доделан и работает как надо... просто за 20 лет хотя бы все привыкли мимоходом уворачиваться от граблей.
	Ответить \| Правка \| ^ к родителю #61 \| Наверх \| Cообщить модератору


	77. "Выпуск пакетного фильтра nftables 0.9.1"	+2 +/–
	Сообщение от Аноним (77), 26-Июн-19, 19:26
	Вы таки неправы! Когда я пишу add set inet fw input_lan_tcp_services { type inet_service ; } add element inet fw input_lan_tcp_services { ... } add rule inet fw input_tcp \ ip saddr @lan_list_4 \ tcp dport @input_lan_tcp_services \ accept я ожидаю вполне понятного поведения. Только оно, ссссамка собаки, нихера не работает. Причём бяда в том, что оно иногда сколько-то работает, а потом устаёт, зараза. Но если написать define input_lan_tcp_services = { ... } add rule inet fw input_tcp \ ip saddr $lan_list_4 \ tcp dport $input_lan_tcp_services \ accept оно стабильно работает. В iptables/ipset косяков подобного рода я не помню.
	Ответить \| Правка \| ^ к родителю #74 \| Наверх \| Cообщить модератору


	79. "Выпуск пакетного фильтра nftables 0.9.1"	–1 +/–
	Сообщение от пох. (?), 27-Июн-19, 10:09
	ну, конкретно такого не было (впрочем, учитывая простоту манипуляции и эффективность обычных правил, ipset для таких задач и не был особо там нужен, актуально становилось когда список без конца надо менять, а содержимого там не на один экран), а "устать" оно тоже вполне умело - всю 2.4 серию у меня периодически кончались какие-то внутренние статические структуры (надо отдать должное - оно хотя бы об этом говорило в логи, но результат один - reboot, они не освобождались никогда) там в другом месте недоделанно - половина того, что можно якобы матчить - не работает, вторая половина - работает неправильно. И, разумеется, в документации об этом ничего нет или просто наврано (ее вообще писали другие люди, отдельные от разработчиков, под неодобрительное фырканье тех, что "вы ничего в этом не понимаете и вообще все не так" и без малейших попыток объяснить). Посмотрите исходники nf_nat_proto_gre - поплачете за компанию. 20 гре6анных лет!
	Ответить \| Правка \| ^ к родителю #77 \| Наверх \| Cообщить модератору


	10. "Выпуск пакетного фильтра nftables 0.9.1"	+/–
	Сообщение от Аноним (10), 26-Июн-19, 01:03
	В большинстве дистрибутивов уже стоит nftables, от iptables только "переходники" в nftables.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	89. "Выпуск пакетного фильтра nftables 0.9.1"	+/–
	Сообщение от . (?), 27-Июн-19, 14:46
	в большинстве васян-роллингов, больных рачем - уже. Поправил, не благодари. А, к примеру, в тоже не чуждой бегу впереди паровоза бубунте LTS - еще не совсем. обмазываться свежайшим да еще в принудительном порядке любят не одни только лишь все.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	11. "Выпуск пакетного фильтра nftables 0.9.1"	+2 +/–
	Сообщение от Sw00p aka Jerom (?), 26-Июн-19, 01:06
	как по мне лучше уж старый добрый синтаксис iptables, ip6table, arptables. у pf не плохой, но хотелось бы немного строгой иерархичности.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	38. "Выпуск пакетного фильтра nftables 0.9.1"	+1 +/–
	Сообщение от kvaps (ok), 26-Июн-19, 09:18
	Evolution is better than stagnation! Синтаксис nft гораздо проще и лаконичнее, а главное един для всего семейства протоколов, в отличии от iptables/ip6tables/arptables/ebtables/'что-то ещё tables' Не бойтесь переучиваться, просто возьмите и попробуйте. Для упрощения понимания и миграции существующих правил есть xtables-compat.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	40. "Выпуск пакетного фильтра nftables 0.9.1"	+3 +/–
	Сообщение от пох. (?), 26-Июн-19, 10:10
	угу-угу, revolution прямо. Главное ведь не доделывать брошенное еще в 2002м. (да, обещанного rules tester так и не осилили - "as soon as possible" надо читать как примерно-никогда) > Синтаксис nft гораздо проще и лаконичнее угу, размазать на десять строк то что помещалось в одной - проще и лаконичней, особенно когда добавить туда скобочек, которые для шелла имеют специальное значение и требуют экранирования. А sed/awk вы пользоваться все равно никогда не умели, как и разработчики этого ненужно. > Не бойтесь переучиваться, просто возьмите и попробуйте. попробовал - г-но. Предназначено для тех, за кого все делает доскер, systemd-firewalld и интуитивно-приятный cockpit к нему. И что дальше? > Для упрощения понимания и миграции существующих правил есть xtables-compat. жалко только, что неработающий. и так у этих мартышек - все.
	Ответить \| Правка \| ^ к родителю #38 \| Наверх \| Cообщить модератору


	76. "Выпуск пакетного фильтра nftables 0.9.1"	+/–
	Сообщение от Ordu (ok), 26-Июн-19, 18:02
	> добавить туда скобочек, которые для шелла имеют специальное значение и требуют экранирования. А там есть скобочки? Здесь в примерах только {}, то есть фигурные, их разве надо экранировать? Я никогда их не экранировал, и у меня проблем с этим не было. Нужно начать экранировать?
	Ответить \| Правка \| ^ к родителю #40 \| Наверх \| Cообщить модератору


	80. "Выпуск пакетного фильтра nftables 0.9.1"	+/–
	Сообщение от пох. (?), 27-Июн-19, 10:18
	Note that the following characters are also treated specially by the shell and must be quoted if they are to represent themselves: \, ", ', #, $, ', ~, {, }, *, ? and [. это ksh, но есть и другие шеллы отличные от единственного вам известного. (в bash совершенно античеловеческая логика угадава, в каком случае { спецсимвол, а в каком точно не, поэтому горе-авторы nft так и не узнали, что и в нем он тоже может иметь специальное значение - башем-то они тоже вряд ли умеют пользоваться по настоящему, mc в нем запускают в лучшем случае) > Нужно начать экранировать? если скрипты писать - да, нужно. Иначе от перестановки мест слагаемых внезапно могут произойти забавные спецэффекты. То же самое для '!' - где-то он просто текст, а где-то нет ;-) Если mc запускать - то, конечно, нет. nft вы точно не будете управлять через вручную набираемые команды, они совершенно нечитаемые.
	Ответить \| Правка \| ^ к родителю #76 \| Наверх \| Cообщить модератору


	83. "Выпуск пакетного фильтра nftables 0.9.1"	+/–
	Сообщение от Ordu (ok), 27-Июн-19, 12:08
	> это ksh, но есть и другие шеллы отличные от единственного вам известного. Кому нужен этот ksh? Если ты идёшь перпендикулярно мейнстриму, да ещё и в системном администрировании, то ты должен быть готов к проблемам. > nft вы точно не будете управлять через вручную набираемые команды, они совершенно нечитаемые. А мне нравится. Видимая без специального обучения структура команды -- это круто и шаг вперёд. А проблемы шеллов -- это проблемы шеллов. Гоняться за обратной совместимостью да ещё и до уровня лишь бы лишний символ не экранировать -- это отличный способ остаться навечно в unix-философии. Бррр.
	Ответить \| Правка \| ^ к родителю #80 \| Наверх \| Cообщить модератору


	84. "Выпуск пакетного фильтра nftables 0.9.1"	+/–
	Сообщение от пох. (?), 27-Июн-19, 12:13
	> Кому нужен этот ksh? системным администраторам, кому же еще. Модные разработчики ведь не читали Пайка и вообще "у них мак". > Если ты идёшь перпендикулярно мейнстриму мейнстрим у нас нынче - это то что альтернативно-одаренные грантопилы выкатят на лопате? Системные средства разрабатываются не для админа, а для еще более лучшего запихивания в них нескучных api? А, ну да. А потом вы удивляетесь что те, кому по должности положено обслуживать ваши поделки, их почему-то не любят. > А мне нравится. Видимая без специального обучения структура команды -- это круто и шаг вперёд. жаль что она совершенно нечитаемая и понять те примитивные примеры что в новости требует пристального вглядывания, ага. А юникс не нужен, да, жрите вашновыйстандарт.
	Ответить \| Правка \| ^ к родителю #83 \| Наверх \| Cообщить модератору


	87. "Выпуск пакетного фильтра nftables 0.9.1"	–1 +/–
	Сообщение от Ordu (ok), 27-Июн-19, 13:30
	>> Если ты идёшь перпендикулярно мейнстриму > мейнстрим у нас нынче - это то что альтернативно-одаренные грантопилы выкатят на > лопате? Мейнстрим, это то что понятно любому квалифицированному админу без дополнительного обучения. Дополнительное обучение -- это время, а время -- деньги. > А потом вы удивляетесь что те, кому по должности положено обслуживать ваши поделки, > их почему-то не любят. Задача админа не любить поделки, а обслуживать их. Ему деньги за любовь не платят. >> А мне нравится. Видимая без специального обучения структура команды -- это круто и шаг вперёд. > жаль что она совершенно нечитаемая и понять те примитивные примеры что в > новости требует пристального вглядывания, ага. Ага. Я очень тебе сочувствую. Честно-честно.
	Ответить \| Правка \| ^ к родителю #84 \| Наверх \| Cообщить модератору


	90. "Выпуск пакетного фильтра nftables 0.9.1"	+1 +/–
	Сообщение от . (?), 27-Июн-19, 15:00
	> Мейнстрим, это то что понятно любому квалифицированному админу без дополнительного обучения. вы опять перепутали квалифицированного админа с девляпсом. у квалифицированных админов во-первых нет проблем с пониманием скриптов на ksh (даже если они им отродясь не пользовались, впрочем, это таки вызывает некоторые опасения за их квалификацию), во-вторых они знают про спецсимволы. Кстати, проблем с пониманием правил iptables у них тоже быть не может, даже если они вчера его man прочитали. > Задача админа не любить поделки, а обслуживать их. Ему деньги за любовь не платят. будешь есть свой бигмак - учти, в него плюнул сперва повар, потом работник на кассе. Им деньги не за любовь к своей работе платят, и они ее - как правило, ненавидят, как и потребителей бигмаков. К счастью, системы управления действительно сложными и опасными инфраструктурами проектировали и обслуживают в основном совсем другие категории людей. Но чем дальше, тем больше шансы, что и там понаберут тех, кому "деньги не за любовь платят", и чья единственная задача - закрыть таск и уйти домой ровно в 18:00.1 - именно по этой причине я очень нервничаю, слыша про очередные прожекты впихивания в них линупcoв. > Ага. Я очень тебе сочувствую. Честно-честно. мне-то зачем, я это г-нецо эксплуатировать не буду, нигде и никогда - а что там доскер с фиревалдой с ним творят и как оттуда [не] экспортируется json - мне глубоко похрен. Все равно эти поделки не предназначены для ручного вмешательства. Чинить, если поломаются, я их тоже не планирую, мне за это не заплатят. Сломалось - ждите ебилдов, ну или не ждите, я вам не разработчик. Могу версию на предыдущую откатить, если, конечно, это не бубунточка с единственно-верной. Сочувствуйте тем, кто еще любит свою работу и вынужден переходить на "новый стандарт".
	Ответить \| Правка \| ^ к родителю #87 \| Наверх \| Cообщить модератору


	92. "Выпуск пакетного фильтра nftables 0.9.1"	+/–
	Сообщение от Ordu (ok), 27-Июн-19, 15:13
	>> Мейнстрим, это то что понятно любому квалифицированному админу без дополнительного обучения. > вы опять перепутали квалифицированного админа с девляпсом. > у квалифицированных админов во-первых нет проблем с пониманием скриптов на ksh (даже > если они им отродясь не пользовались, впрочем, это таки вызывает некоторые > опасения за их квалификацию), во-вторых они знают про спецсимволы. > Кстати, проблем с пониманием правил iptables у них тоже быть не может, > даже если они вчера его man прочитали. У вас есть странное понимание об админстве. Админство -- это часть бизнеса, а это значит, что аргументы вида "девляпс" не релевантны. Такого рода аргументы могут работать только на опеннете. > К счастью, системы управления действительно сложными и опасными инфраструктурами проектировали > и обслуживают в основном совсем другие категории людей. Но чем дальше, > тем больше шансы, что и там понаберут тех, кому "деньги не > за любовь платят", и чья единственная задача - закрыть таск и > уйти домой ровно в 18:00.1 - именно по этой причине > я очень нервничаю, слыша про очередные прожекты впихивания в них линупcoв. Пока ты нервничаешь, технологии движутся вперёд. И не только IT технологии, но и технологии подготовки IT специалистов. Бизнесу не нужны админы со специфическими запросами, бизнесу нужны админы, которых можно подготовить за два месяца, а через год уволить, когда те начнут просить повышения зарплаты. Всё это нытьё Раймонда о том, как компания должна относиться к хакеру и носить его на руках, несмотря на все его странности -- это его пустые мечты. Ты смотри, такими темпами ты можешь оказаться не у дел. > будешь есть свой бигмак - учти, в него плюнул сперва повар, потом работник на кассе. Им деньги не за любовь к своей работе платят, и они ее - как правило, ненавидят, как и потребителей бигмаков. Именно поэтому я не питаюсь бигмаками. фастфуд для нищих.
	Ответить \| Правка \| ^ к родителю #90 \| Наверх \| Cообщить модератору


	93. "Выпуск пакетного фильтра nftables 0.9.1"	+/–
	Сообщение от пох. (?), 27-Июн-19, 16:42
	> Пока ты нервничаешь, технологии движутся вперёд. в данном случае это атехнологичное движение вбок - вместо понимаемого и управляемого файрвола (за двадцать лет недоделанного, но все же - одного из лучших, доступных не в виде закрытой коробки за миллион денег в год) получить невменямемую хрень, управляемую за тебя интуитивно-приятными недоделками, к тому же и саму еще недоделанную даже до начально работающего состояния, зато уже назначенную новым стандартом. Кто и зачем это спонсирует - вполне понятно, у основного потребителя какой-нибудь NG-firewall на периметре и еще один в качестве основного маршрутизирующего узла сети. > бизнесу нужны админы, которых можно подготовить за два месяца, а через год уволить, когда те это он так думает - до первого крэша > Ты смотри, такими темпами ты можешь оказаться не у дел. не, наоборот - у меня будет все больше и больше противной и неприятной работы - когда всех уже поувольняли, понадеявшись что знать ничего не надо, интуитивно приятные системы все сделают сами. Оно первые пол-годика где-то так и происходит, а потом опаньки - и двухмесячные админы с улицы все только доламывают окончательно. Потому что учиться им некогда и не оплачивает работодатель, да и ненужно - они ж отлично заучили, куда мышкой кликать. Уровень (в одних и тех же конторах) за последние десять лет упал до нижеплинтусного, поэтому катастрофические последствия все более красивы и замечательны. Тем более что за поддержку они тоже стараются ненароком никому не заплатить. Беда только в том, что оно уже и до реально угрожающих жизни и здоровью вещей добралось. > Именно поэтому я не питаюсь бигмаками. фастфуд для нищих. в понятных тебе аналогиях - шеф-повара высокой кухни тоже все это достало, и он тоже, нет-нет, да и поплевывает в кастрюли (все равно готовить приходится г-но и из г-на, так чего бы и не). В тарелки плюет официант, кстати, у него гепатит-C. "бизнесу не нужно чтобы жратва была съедобной и тем более чтобы повару нравилась его работа - бизнесу нужно содрать как можно больше денег с едока - и лучше за один раз, а то вдруг до второго он не доживет". Зато у работника кладбища дела идут отлично.
	Ответить \| Правка \| ^ к родителю #92 \| Наверх \| Cообщить модератору