forum.opennet.ru - "Выпуск пакетного фильтра iptables 1.8.10" (40)

"Выпуск пакетного фильтра iptables 1.8.10"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск пакетного фильтра iptables 1.8.10"	+/–
Сообщение от opennews (??), 11-Окт-23, 10:25
Опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.10, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59905
Ответить \| Правка \| Cообщить модератору

Оглавление

Пользуясь моментом, хочу спросить - где-нибудь есть нормальная документация по с, Аноним (5), 11:55 , 11-Окт-23, (5) +7

У меня такое же ощущение про многие нынешние проекты Спасибо за формулировку , Аноним (7), 14:19 , 11-Окт-23, (7) +5
официальный wiki читай, там охрененные примеры и всё понятно, Пряник (?), 16:01 , 11-Окт-23, (8) +1

Для тех, кто путает примеры и документацию хранит результаты своего путан, User (??), 10:27 , 12-Окт-23, (20) +2

Я называю это - How-to вместо документации, Аноним (40), 15:02 , 14-Окт-23, (40)

Для старта может сумбурно, но как ref годится, Самый умный из вас (?), 17:17 , 11-Окт-23, (11)
В Windows брандмауэр настраивается, говорят , Аноним (13), 18:53 , 11-Окт-23, (13)
Это 3500 строк нудного перечисления всего подряд отрывочный Ну-ну А чего хо, leap42 (ok), 07:18 , 12-Окт-23, (19)
Зачем ты лжёшь на опеннете Мануал полностью описывает возможности nftables, на , Менеджер Антона Алексеевича (?), 21:46 , 12-Окт-23, (24)

С детства пугал ужасный синтаксис iptables А nft ништяк, декларативно, симпатич, Аноним (6), 12:49 , 11-Окт-23, (6) –2

Где найти нормальное руководство , Аноним (9), 16:52 , 11-Окт-23, (9)

Скрыто модератором, Аноним (-), 17:00 , 11-Окт-23, (10)
Лично я в интернете искал , Аноним (6), 17:52 , 11-Окт-23, (12)

Т е автор программки не выпустил , Аноним (13), 18:55 , 11-Окт-23, (14)

Выпустил, я сумел найти при помощи Google сайт такой в интернете , Аноним (15), 18:59 , 11-Окт-23, (15)

А что там искать Все, что нужно знать про структуру https wiki nftables org w, Аноним. (?), 22:01 , 14-Окт-23, (41)

с той лишь разницей что правила iptables можно поправить в текстовом файлеа ты б, penetrator (?), 02:09 , 12-Окт-23, (16) +1

Шапка две версии назад начиная с 8-ой перешла на nftables https www redhat c, leap42 (ok), 07:15 , 12-Окт-23, (18)

специально для тупых эта статьятак вот именно в шапке эти пакеты доступны и испо, penetrator (?), 23:36 , 12-Окт-23, (26)

Для тупых лучше я объясню 1 Шапка перешла на nftables Он сотоит из двух частей, leap42 (ok), 06:08 , 13-Окт-23, (28) –1

gt оверквотинг удален какой же ты глупый кэп, даже прочитать не можешь, что лю, penetrator (?), 18:23 , 13-Окт-23, (32)

О так, это вы Другой то аргумент есть, я надеюсь Что там в iptables service , leap42 (ok), 04:54 , 14-Окт-23, (34) +1

вот мое оригинальное сообщение, а теперь скажи причем здесь вся эта хрень, что т, penetrator (?), 12:03 , 14-Окт-23, (38)

Дауны путают firewalld и nft уже несколько месяцев А правила nft всегда можно б, leap42 (ok), 07:19 , 15-Окт-23, (42) –1

не путай больше, не надо, penetrator (?), 10:36 , 15-Окт-23, (43)

Я наверное зря пишу как будто вам 5, это слишком оптимистично Попробую ещё прощ, leap42 (ok), 05:13 , 14-Окт-23, (35)
Ну да, точно Ага , Аноним (5), 12:55 , 15-Окт-23, (44)

О чем ты говоришь Nftables можно поправить в текстовом файле тоже , Аноним (21), 10:42 , 12-Окт-23, (21) +1

ну может пример подкинешь какой файл надо править и как например открыть порт 1, penetrator (?), 23:34 , 12-Окт-23, (25)

Вот файл etc sysconfig nftables confВот пример table inet filter chain, Аноним (29), 07:58 , 13-Окт-23, (29)

tcp dport 1234 accept, Аноним (29), 07:59 , 13-Окт-23, (30)
gt оверквотинг удален в RHEL8 9 и Fedora файл есть, но пустой, т е тебе нужен, penetrator (?), 18:10 , 13-Окт-23, (31)

так с nftables ты тоже можешь записать правила по одному, без группировки add ru, Аноним (36), 07:09 , 14-Окт-23, (36)

несколько странно выглядитtable inet filter add rule filter ко всему м, penetrator (?), 12:09 , 14-Окт-23, (39)

У меня для вас плохие новости nft уже 769 года 4 как больше не молодёжно Новы, PnD (??), 14:05 , 12-Окт-23, (23) +1

К слову, а iptables можно использовать для добавления правил на уровни ingress e, Аноним. (?), 04:38 , 12-Окт-23, (17)

На wikibooks есть супер статья по iptables Но я бы посоветовал переходить на nf, Пряник (?), 11:04 , 12-Окт-23, (22)

Его и использую Просто интересно было , Аноним. (?), 00:07 , 13-Окт-23, (27)

А в nft возможно 1 в одну строку записать правило для исходящего трафика tcp 4, space (?), 21:15 , 13-Окт-23, (33)

Текст новости я что, какая-то шутка Уже давно iptables работает по схеме новые, Аноним (36), 07:23 , 14-Окт-23, (37)

Сообщения [Сортировка по времени | RSS]

5. "Выпуск пакетного фильтра iptables 1.8.10" +7 +/–

Сообщение от Аноним (5), 11-Окт-23, 11:55

> Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов.
Пользуясь моментом, хочу спросить - где-нибудь есть нормальная документация по синтаксису nftables? man nft весьма отрывочный, а официальная wiki - просто сборник примеров рабочего синтаксиса, никак не объясняющий принципы его построения (типа "мы запустили fuzzing, и вот эти строки nft схавало как корректные").

Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск пакетного фильтра iptables 1.8.10" +5 +/–

Сообщение от Аноним (7), 11-Окт-23, 14:19

> man nft весьма отрывочный, а официальная wiki - просто сборник примеров рабочего синтаксиса, никак не объясняющий принципы его построения (типа "мы запустили fuzzing, и вот эти строки nft схавало как корректные").
У меня такое же ощущение про многие нынешние проекты.
Спасибо за формулировку.

Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск пакетного фильтра iptables 1.8.10" +1 +/–

Сообщение от Пряник (?), 11-Окт-23, 16:01

официальный wiki читай, там охрененные примеры и всё понятно

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

20. "Выпуск пакетного фильтра iptables 1.8.10" +2 +/–

Сообщение от User (??), 12-Окт-23, 10:27

Для тех, кто путает "примеры" и "документацию" + хранит результаты своего "путанья" в вики - в аду отдельное озеро наморожено.

Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от Аноним (40), 14-Окт-23, 15:02

Я называю это - How-to вместо документации

Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от Самый умный из вас (?), 11-Окт-23, 17:17

Для старта может сумбурно, но как ref годится

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

13. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от Аноним (13), 11-Окт-23, 18:53

В Windows брандмауэр настраивается, говорят.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

19. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от leap42 (ok), 12-Окт-23, 07:18

> man nft весьма отрывочный
Это 3500+ строк нудного перечисления всего подряд отрывочный? Ну-ну... А чего хотелось то?

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

24. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от Менеджер Антона Алексеевича (?), 12-Окт-23, 21:46

> man nft весьма отрывочный, а официальная wiki - просто сборник примеров рабочего синтаксиса
Зачем ты лжёшь на опеннете? Мануал полностью описывает возможности nftables, на вики разжёваны основные операции, даны примеры и ссылки на дополнительные материалы. Если этого мало, то тебе в детский сад надо, там воспитательница поможет треугольник от квадрата отличить.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

6. "Выпуск пакетного фильтра iptables 1.8.10" –2 +/–

Сообщение от Аноним (6), 11-Окт-23, 12:49

С детства пугал ужасный синтаксис iptables. А nft ништяк, декларативно, симпатично, продуманно. Одно из гениальнейших изобретений человечества.

Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от Аноним (9), 11-Окт-23, 16:52

Где найти нормальное руководство?

Ответить | Правка | Наверх | Cообщить модератору

10. Скрыто модератором +/–

Сообщение от Аноним (-), 11-Окт-23, 17:00

>нормальное
Корче ну ты понял.

Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от Аноним (6), 11-Окт-23, 17:52

Лично я в интернете искал.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

14. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от Аноним (13), 11-Окт-23, 18:55

Т.е. автор программки не выпустил?

Ответить | Правка | Наверх | Cообщить модератору

15. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от Аноним (15), 11-Окт-23, 18:59

Выпустил, я сумел найти при помощи Google (сайт такой в интернете).

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от Аноним. (?), 14-Окт-23, 22:01

А что там искать?
Все, что нужно знать про структуру: https://wiki.nftables.org/wiki-nftables/index.php/Netfilter_...
Правила описываються тут: https://wiki.nftables.org/wiki-nftables/index.php/Main_Page#...
Также, всегда можно использовать транслятор с iptables, чтобы глянуть.
Да и вообще он более консистентный.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

16. "Выпуск пакетного фильтра iptables 1.8.10" +1 +/–

Сообщение от penetrator (?), 12-Окт-23, 02:09

с той лишь разницей что правила iptables можно поправить в текстовом файле
а ты будешь гондурасить в консоли
поэтому они до сих пор используются в шапке и скорее всего еще долго будут

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

18. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от leap42 (ok), 12-Окт-23, 07:15

Шапка две версии назад (начиная с 8-ой) перешла на nftables:
https://www.redhat.com/en/blog/using-nftables-red-hat-enterp...

Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от penetrator (?), 12-Окт-23, 23:36

> Шапка две версии назад (начиная с 8-ой) перешла на nftables:
> https://www.redhat.com/en/blog/using-nftables-red-hat-enterp...
специально для тупых эта статья
> как в iptables и ebtables, но транслирующих полученные правила в байткод nftables.
так вот именно в шапке эти пакеты доступны и используются включая демоны iptables и ip6tables


Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск пакетного фильтра iptables 1.8.10" –1 +/–

Сообщение от leap42 (ok), 13-Окт-23, 06:08

>> Шапка две версии назад (начиная с 8-ой) перешла на nftables:
>> https://www.redhat.com/en/blog/using-nftables-red-hat-enterp...
> специально для тупых эта статья
>> как в iptables и ebtables, но транслирующих полученные правила в байткод nftables.
> так вот именно в шапке эти пакеты доступны и используются включая демоны
> iptables и ip6tables
Для тупых лучше я объясню:
1. Шапка перешла на nftables. Он сотоит из двух частей: ядерная (она делает 100% работы) и юзерспейсная (она только настраивает ядерную, а работает через API который может реализовать кто угодно и как угодно)
2. Новый iptables - просто одна из нескольких морд/шкурок для nftables (убогая альтернатива nft, с усеченным функционалом, но совместимая со "шкриптами старпёров")
3. iptables никогда не был демоном, раньше он был мордой ядерного iptables (который сейчас к счастью на помойке), теперь он - морда для nftables

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от penetrator (?), 13-Окт-23, 18:23

>[оверквотинг удален]
>> iptables и ip6tables
> Для тупых лучше я объясню:
> 1. Шапка перешла на nftables. Он сотоит из двух частей: ядерная (она
> делает 100% работы) и юзерспейсная (она только настраивает ядерную, а работает
> через API который может реализовать кто угодно и как угодно)
> 2. Новый iptables - просто одна из нескольких морд/шкурок для nftables (убогая
> альтернатива nft, с усеченным функционалом, но совместимая со "шкриптами старпёров")
> 3. iptables никогда не был демоном, раньше он был мордой ядерного iptables
> (который сейчас к счастью на помойке), теперь он - морда для
> nftables
какой же ты глупый кэп, даже прочитать не можешь, что люди пишут
● iptables.service - IPv4 firewall with iptables
   Loaded: loaded (/usr/lib/systemd/system/iptables.service; enabled; vendor preset: disabled)
   Active: active (exited) since Fri 2023-10-06 05:34:57 UTC; 1 weeks 0 days ago
это кстати RHEL8 ^
я твое кудахтанье уже наверное слышал, в прошлый раз ты обтекал доказывая что его вообще нет в системе, теперь уже пишешь, что это шкурка (но я и не доказывал обратного, а наоборот), так что обтекай и в этот раз - эта "шкурка" является бэкграунд процессом которая парсит свой конфиг и отвечает за файервол, как альтернатива firewalld

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск пакетного фильтра iptables 1.8.10" +1 +/–

Сообщение от leap42 (ok), 14-Окт-23, 04:54

О так, это вы! Другой то аргумент есть, я надеюсь? Что там в "iptables.service"? Там просто запуск утилиты (не демона, в linux firewall находится в ядре, ему демон не нужен) из новости. Ссылка прямо в ней, качайте. Что там внутри исходника iptables? Там внутри nft. Почему? Объясняю для чемпионов тупости в 10-ый раз:
1. Есть два iptables: старый и новый.
2. Фаерволом является только старый iptables
3. Новый - это "переводчик" старых правил в формат nftables (примерно как wine на лету транслирует сисколы винды в сисколы линуха).
4. 100% работы фаервола, я подчёркиваю 100% выполняет nftables
5. нынешний iptables (и это ясно даже из этой кривой новости, всем кроме вас) просто переводит правила вида iptables в формат nftables, а потом загружает их в ядерную часть nftables
> какой же ты глупый кэп, даже прочитать не можешь, что люди пишут
Я могу прочесть код, а ещё я знаю штук 7 фаерволов, зачем мне читать бред чемпиона, который не способен понять даже того, что скрипт для автостарта чего-то с помощью systemd и фаервол в ядре, который фильтрует трафик - это две разные вещи?
> ты обтекал доказывая что его вообще нет в системе
Так кто обтекал, если его нет? Вот смотрите, есть ДВЕ разные программы с ОДНИМ названием. Первая - старый iptables, к счастью на помойке. В системах её уже нет. Вторая написана с нуля и занимается совсем другим делом.
Debian+wine это НЕ Windows. Конвертер правил iptables->nftables это НЕ фаервол. Это блажь для идиотов.

Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от penetrator (?), 14-Окт-23, 12:03

вот мое оригинальное сообщение, а теперь скажи причем здесь вся эта хрень, что ты понаписывал?
> с той лишь разницей что правила iptables можно поправить в текстовом файле
> а ты будешь гондурасить в консоли
> поэтому они до сих пор используются в шапке и скорее всего еще долго будут
дошло? нет?
еще раз для не очень смарт пипл:
> поэтому ОНИ до сих пор используются... правила iptables...
все остальное что ты тут написал (файрвол не файервол) - это твое офигенное желание поспорить с самим собой, может тебе жизненно важно покапитанить где-то, где-то херь сморозить, где-то еще как-то самовыразиться, но я уже тебе тогда говорил, что ты ведешь себя как даун и сейчас повторяю это, нет ни малейшего желания разговаривать с тобой "о погоде" - зачем за меня додумывать, а потом "разговаривать с самим собой", ну и в принципе добавить мне больше нечего, чао )))

Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск пакетного фильтра iptables 1.8.10" –1 +/–

Сообщение от leap42 (ok), 15-Окт-23, 07:19

Дауны путают firewalld и nft уже несколько месяцев) А правила nft всегда можно было редактировать текстовым редактором, они сохраняются ТОЛЬКО в виде текста. Об этом есть инфа в вики, в мануале, об этом есть в ностях по теме, об этом писали комментарии, итого десятки раз только на одном opennet.

Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от penetrator (?), 15-Окт-23, 10:36

> Дауны путают firewalld и nft уже несколько месяцев) А правила nft всегда
> можно было редактировать текстовым редактором, они сохраняются ТОЛЬКО в виде текста.
> Об этом есть инфа в вики, в мануале, об этом есть
> в ностях по теме, об этом писали комментарии, итого десятки раз
> только на одном opennet.
не путай больше, не надо

Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от leap42 (ok), 14-Окт-23, 05:13

> какой же ты глупый кэп, даже прочитать не можешь, что люди пишут
Я наверное зря пишу как будто вам 5, это слишком оптимистично. Попробую ещё проще.
1. Фаервол он в ядре. Обычно, он работает в виде модуля ядра.
2. Юзерспейсные утилиты (iptables в виде iptables.service) фаерволом не являются. Они НЕ фильтруют трафик. Они ничего не сделают, если нужные модули ядра не загружены. Я повторю: они ничего не сделают если этого не сделает ядро, ведь фаервол он в ядре.
3. Раньше фаерволом был ipchains, потом iptables, сейчас nftables. К ним шли соответсвующие юзерспейсные утилиты, "шкурки" для простой и удобной загрузки правил. "Шкурок" может быть сколько угодно (хоть 5 сразу), имена они могут иметь хоть какие, хоть ipchains, они НЕ НА ЧТО НЕ ВЛИЯЮТ. Что влияет на трафик, так это правила, которые уже загружены в ядро.
4. Когда iptables отправился на помойку, его заменил nftables.
5. Шляпа написала шкурку для nftables которая мимикрирует (посмотрите в словаре) под iptables. Зачем? Ну чтобы мерзотные простыни правил для iptables просто заработали и с nftables, в новых ядрах где никакого iptables вообще нет (обратная совместимость).
Вы кем работаете, если не секрет? Мне сейчас немного жаль, что я не психиатр 😄

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

44. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от Аноним (5), 15-Окт-23, 12:55

> является бэкграунд процессом
> Active: active (exited)
Ну да, точно. Ага.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

21. "Выпуск пакетного фильтра iptables 1.8.10" +1 +/–

Сообщение от Аноним (21), 12-Окт-23, 10:42

О чем ты говоришь? Nftables можно поправить в текстовом файле тоже...

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

25. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от penetrator (?), 12-Окт-23, 23:34

> О чем ты говоришь? Nftables можно поправить в текстовом файле тоже...
ну может пример подкинешь? какой файл надо править и как например открыть порт 1234 только для tcp для всех интерфейсов?
вот поржем

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от Аноним (29), 13-Окт-23, 07:58

Вот файл:
/etc/sysconfig/nftables.conf
Вот пример:
table inet filter {
        chain input {
                type filter hook input priority 0; policy drop;
                ...
                udp dport 1234 accept
                ...
        }
}
достаточно чтобы поржать?

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от Аноним (29), 13-Окт-23, 07:59

> быстрофикс:
tcp dport 1234 accept

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от penetrator (?), 13-Окт-23, 18:10

>[оверквотинг удален]
> drop;
>
>     ...
>
>     udp dport 1234 accept
>
>     ...
>         }
> }
> достаточно чтобы поржать?
в RHEL8/9 и Fedora файл есть, но пустой, т.е. тебе нужен редактор который позволит это все с подстветкой синтексиса и форматированием, либо копипаста с мануалов, за форматирование отвечаешь сам
в openSUSE файла нет вообще, не уверен, что он вообще подтянется, но допустим, вперед арлы )))
iptables конфиге ты просто заходишь копируешь mc какую-нибудь строчку вроде
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
и правишь 22 на 1234, и всё, iptables demon сконвертит все в байткод на уровне ядра
ну как бы да, есть над чем поржать
PS я не сомневался что кто-то это редактирует, я реально хотел сравнить варианты использования

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

36. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от Аноним (36), 14-Окт-23, 07:09

так с nftables ты тоже можешь записать правила по одному, без группировки:
add rule filter input ip protocol tcp  dport 1234 accept и все, так же в mc пишется, потом скармливается nft

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от penetrator (?), 14-Окт-23, 12:09

> так с nftables ты тоже можешь записать правила по одному, без группировки:
> add rule filter input ip protocol tcp  dport 1234 accept и
> все, так же в mc пишется, потом скармливается nft
несколько странно выглядит
table inet filter { ... }
add rule filter ...
ко всему можно привыкнуть, но мягко говоря не впечатляет

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск пакетного фильтра iptables 1.8.10" +1 +/–

Сообщение от PnD (??), 12-Окт-23, 14:05

У меня для вас плохие новости. nft уже́ года 4 как больше не молодёжно.
Новый-клёвый bpfilter — наше светлое будущее.
Развивают, как я понял, те же чуваки что и nft. Поэтому, документация… Ну, вы поняли.
Вот такого https://www.opennet.ru/docs/RUS/iptables/ больше не ожидается. Читайте исходники, они рулез ©(почти).

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

17. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от Аноним. (?), 12-Окт-23, 04:38

К слову, а iptables можно использовать для добавления правил на уровни ingress/egress? И имеет ли он сеты ip с возможность, например, разрешить доступ к определенному ip на 30 минут?

Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от Пряник (?), 12-Окт-23, 11:04

На wikibooks есть супер статья по iptables. Но я бы посоветовал переходить на nftables.

Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от Аноним. (?), 13-Окт-23, 00:07

> На wikibooks есть супер статья по iptables. Но я бы посоветовал переходить
> на nftables.
Его и использую. Просто интересно было.

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от space (?), 13-Окт-23, 21:15

А в nft возможно?:
1) в одну строку записать правило для исходящего трафика tcp 443 для конкретного browser?
2) делать привязку правил к конкретному ядру CPU?
3) приведите например полный конфиг для входящего и исходящего трафиков стандартного сервера, ну что бы сравнить читабельность конфига для сервера на котором запущены веб-сайты
4) какую нагрузку на CPU делает nft по сравнению с iptables

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

37. "Выпуск пакетного фильтра iptables 1.8.10" +/–

Сообщение от Аноним (36), 14-Окт-23, 07:23

Текст новости: я что, какая-то шутка?
Уже давно iptables работает по схеме:
<новые правила iptables> --> iptables -(трансляция в новые правила nftables)-> nft --> nftables
Поэтому iptables не может иметь большего функционала, чем nft.
Нагрузка на процессор конечно ниже у nftables, он использует другие структуры данных, более подходящие под задачу. Но в целом это неважно: у вас никогда не будет столько трафика чтобы сеть на уровне ядра тормозила, таких линков не найти.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

5. "Выпуск пакетного фильтра iptables 1.8.10"	+7 +/–
Сообщение от Аноним (5), 11-Окт-23, 11:55
> Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов. Пользуясь моментом, хочу спросить - где-нибудь есть нормальная документация по синтаксису nftables? man nft весьма отрывочный, а официальная wiki - просто сборник примеров рабочего синтаксиса, никак не объясняющий принципы его построения (типа "мы запустили fuzzing, и вот эти строки nft схавало как корректные").
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Выпуск пакетного фильтра iptables 1.8.10"	+5 +/–
	Сообщение от Аноним (7), 11-Окт-23, 14:19
	> man nft весьма отрывочный, а официальная wiki - просто сборник примеров рабочего синтаксиса, никак не объясняющий принципы его построения (типа "мы запустили fuzzing, и вот эти строки nft схавало как корректные"). У меня такое же ощущение про многие нынешние проекты. Спасибо за формулировку.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Выпуск пакетного фильтра iptables 1.8.10"	+1 +/–
	Сообщение от Пряник (?), 11-Окт-23, 16:01
	официальный wiki читай, там охрененные примеры и всё понятно
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	20. "Выпуск пакетного фильтра iptables 1.8.10"	+2 +/–
	Сообщение от User (??), 12-Окт-23, 10:27
	Для тех, кто путает "примеры" и "документацию" + хранит результаты своего "путанья" в вики - в аду отдельное озеро наморожено.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от Аноним (40), 14-Окт-23, 15:02
	Я называю это - How-to вместо документации
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от Самый умный из вас (?), 11-Окт-23, 17:17
	Для старта может сумбурно, но как ref годится
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	13. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от Аноним (13), 11-Окт-23, 18:53
	В Windows брандмауэр настраивается, говорят.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	19. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от leap42 (ok), 12-Окт-23, 07:18
	> man nft весьма отрывочный Это 3500+ строк нудного перечисления всего подряд отрывочный? Ну-ну... А чего хотелось то?
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	24. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от Менеджер Антона Алексеевича (?), 12-Окт-23, 21:46
	> man nft весьма отрывочный, а официальная wiki - просто сборник примеров рабочего синтаксиса Зачем ты лжёшь на опеннете? Мануал полностью описывает возможности nftables, на вики разжёваны основные операции, даны примеры и ссылки на дополнительные материалы. Если этого мало, то тебе в детский сад надо, там воспитательница поможет треугольник от квадрата отличить.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору

6. "Выпуск пакетного фильтра iptables 1.8.10"	–2 +/–
Сообщение от Аноним (6), 11-Окт-23, 12:49
С детства пугал ужасный синтаксис iptables. А nft ништяк, декларативно, симпатично, продуманно. Одно из гениальнейших изобретений человечества.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от Аноним (9), 11-Окт-23, 16:52
	Где найти нормальное руководство?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. Скрыто модератором	+/–
	Сообщение от Аноним (-), 11-Окт-23, 17:00
	>нормальное Корче ну ты понял.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от Аноним (6), 11-Окт-23, 17:52
	Лично я в интернете искал.
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	14. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от Аноним (13), 11-Окт-23, 18:55
	Т.е. автор программки не выпустил?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от Аноним (15), 11-Окт-23, 18:59
	Выпустил, я сумел найти при помощи Google (сайт такой в интернете).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от Аноним. (?), 14-Окт-23, 22:01
	А что там искать? Все, что нужно знать про структуру: https://wiki.nftables.org/wiki-nftables/index.php/Netfilter_... Правила описываються тут: https://wiki.nftables.org/wiki-nftables/index.php/Main_Page#... Также, всегда можно использовать транслятор с iptables, чтобы глянуть. Да и вообще он более консистентный.
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	16. "Выпуск пакетного фильтра iptables 1.8.10"	+1 +/–
	Сообщение от penetrator (?), 12-Окт-23, 02:09
	с той лишь разницей что правила iptables можно поправить в текстовом файле а ты будешь гондурасить в консоли поэтому они до сих пор используются в шапке и скорее всего еще долго будут
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	18. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от leap42 (ok), 12-Окт-23, 07:15
	Шапка две версии назад (начиная с 8-ой) перешла на nftables: https://www.redhat.com/en/blog/using-nftables-red-hat-enterp...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от penetrator (?), 12-Окт-23, 23:36
	> Шапка две версии назад (начиная с 8-ой) перешла на nftables: > https://www.redhat.com/en/blog/using-nftables-red-hat-enterp... специально для тупых эта статья > как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. так вот именно в шапке эти пакеты доступны и используются включая демоны iptables и ip6tables
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Выпуск пакетного фильтра iptables 1.8.10"	–1 +/–
	Сообщение от leap42 (ok), 13-Окт-23, 06:08
	>> Шапка две версии назад (начиная с 8-ой) перешла на nftables: >> https://www.redhat.com/en/blog/using-nftables-red-hat-enterp... > специально для тупых эта статья >> как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. > так вот именно в шапке эти пакеты доступны и используются включая демоны > iptables и ip6tables Для тупых лучше я объясню: 1. Шапка перешла на nftables. Он сотоит из двух частей: ядерная (она делает 100% работы) и юзерспейсная (она только настраивает ядерную, а работает через API который может реализовать кто угодно и как угодно) 2. Новый iptables - просто одна из нескольких морд/шкурок для nftables (убогая альтернатива nft, с усеченным функционалом, но совместимая со "шкриптами старпёров") 3. iptables никогда не был демоном, раньше он был мордой ядерного iptables (который сейчас к счастью на помойке), теперь он - морда для nftables
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от penetrator (?), 13-Окт-23, 18:23
	>[оверквотинг удален] >> iptables и ip6tables > Для тупых лучше я объясню: > 1. Шапка перешла на nftables. Он сотоит из двух частей: ядерная (она > делает 100% работы) и юзерспейсная (она только настраивает ядерную, а работает > через API который может реализовать кто угодно и как угодно) > 2. Новый iptables - просто одна из нескольких морд/шкурок для nftables (убогая > альтернатива nft, с усеченным функционалом, но совместимая со "шкриптами старпёров") > 3. iptables никогда не был демоном, раньше он был мордой ядерного iptables > (который сейчас к счастью на помойке), теперь он - морда для > nftables какой же ты глупый кэп, даже прочитать не можешь, что люди пишут ● iptables.service - IPv4 firewall with iptables Loaded: loaded (/usr/lib/systemd/system/iptables.service; enabled; vendor preset: disabled) Active: active (exited) since Fri 2023-10-06 05:34:57 UTC; 1 weeks 0 days ago это кстати RHEL8 ^ я твое кудахтанье уже наверное слышал, в прошлый раз ты обтекал доказывая что его вообще нет в системе, теперь уже пишешь, что это шкурка (но я и не доказывал обратного, а наоборот), так что обтекай и в этот раз - эта "шкурка" является бэкграунд процессом которая парсит свой конфиг и отвечает за файервол, как альтернатива firewalld
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Выпуск пакетного фильтра iptables 1.8.10"	+1 +/–
	Сообщение от leap42 (ok), 14-Окт-23, 04:54
	О так, это вы! Другой то аргумент есть, я надеюсь? Что там в "iptables.service"? Там просто запуск утилиты (не демона, в linux firewall находится в ядре, ему демон не нужен) из новости. Ссылка прямо в ней, качайте. Что там внутри исходника iptables? Там внутри nft. Почему? Объясняю для чемпионов тупости в 10-ый раз: 1. Есть два iptables: старый и новый. 2. Фаерволом является только старый iptables 3. Новый - это "переводчик" старых правил в формат nftables (примерно как wine на лету транслирует сисколы винды в сисколы линуха). 4. 100% работы фаервола, я подчёркиваю 100% выполняет nftables 5. нынешний iptables (и это ясно даже из этой кривой новости, всем кроме вас) просто переводит правила вида iptables в формат nftables, а потом загружает их в ядерную часть nftables > какой же ты глупый кэп, даже прочитать не можешь, что люди пишут Я могу прочесть код, а ещё я знаю штук 7 фаерволов, зачем мне читать бред чемпиона, который не способен понять даже того, что скрипт для автостарта чего-то с помощью systemd и фаервол в ядре, который фильтрует трафик - это две разные вещи? > ты обтекал доказывая что его вообще нет в системе Так кто обтекал, если его нет? Вот смотрите, есть ДВЕ разные программы с ОДНИМ названием. Первая - старый iptables, к счастью на помойке. В системах её уже нет. Вторая написана с нуля и занимается совсем другим делом. Debian+wine это НЕ Windows. Конвертер правил iptables->nftables это НЕ фаервол. Это блажь для идиотов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от penetrator (?), 14-Окт-23, 12:03
	вот мое оригинальное сообщение, а теперь скажи причем здесь вся эта хрень, что ты понаписывал? > с той лишь разницей что правила iptables можно поправить в текстовом файле > а ты будешь гондурасить в консоли > поэтому они до сих пор используются в шапке и скорее всего еще долго будут дошло? нет? еще раз для не очень смарт пипл: > поэтому ОНИ до сих пор используются... правила iptables... все остальное что ты тут написал (файрвол не файервол) - это твое офигенное желание поспорить с самим собой, может тебе жизненно важно покапитанить где-то, где-то херь сморозить, где-то еще как-то самовыразиться, но я уже тебе тогда говорил, что ты ведешь себя как даун и сейчас повторяю это, нет ни малейшего желания разговаривать с тобой "о погоде" - зачем за меня додумывать, а потом "разговаривать с самим собой", ну и в принципе добавить мне больше нечего, чао )))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Выпуск пакетного фильтра iptables 1.8.10"	–1 +/–
	Сообщение от leap42 (ok), 15-Окт-23, 07:19
	Дауны путают firewalld и nft уже несколько месяцев) А правила nft всегда можно было редактировать текстовым редактором, они сохраняются ТОЛЬКО в виде текста. Об этом есть инфа в вики, в мануале, об этом есть в ностях по теме, об этом писали комментарии, итого десятки раз только на одном opennet.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от penetrator (?), 15-Окт-23, 10:36
	> Дауны путают firewalld и nft уже несколько месяцев) А правила nft всегда > можно было редактировать текстовым редактором, они сохраняются ТОЛЬКО в виде текста. > Об этом есть инфа в вики, в мануале, об этом есть > в ностях по теме, об этом писали комментарии, итого десятки раз > только на одном opennet. не путай больше, не надо
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от leap42 (ok), 14-Окт-23, 05:13
	> какой же ты глупый кэп, даже прочитать не можешь, что люди пишут Я наверное зря пишу как будто вам 5, это слишком оптимистично. Попробую ещё проще. 1. Фаервол он в ядре. Обычно, он работает в виде модуля ядра. 2. Юзерспейсные утилиты (iptables в виде iptables.service) фаерволом не являются. Они НЕ фильтруют трафик. Они ничего не сделают, если нужные модули ядра не загружены. Я повторю: они ничего не сделают если этого не сделает ядро, ведь фаервол он в ядре. 3. Раньше фаерволом был ipchains, потом iptables, сейчас nftables. К ним шли соответсвующие юзерспейсные утилиты, "шкурки" для простой и удобной загрузки правил. "Шкурок" может быть сколько угодно (хоть 5 сразу), имена они могут иметь хоть какие, хоть ipchains, они НЕ НА ЧТО НЕ ВЛИЯЮТ. Что влияет на трафик, так это правила, которые уже загружены в ядро. 4. Когда iptables отправился на помойку, его заменил nftables. 5. Шляпа написала шкурку для nftables которая мимикрирует (посмотрите в словаре) под iptables. Зачем? Ну чтобы мерзотные простыни правил для iptables просто заработали и с nftables, в новых ядрах где никакого iptables вообще нет (обратная совместимость). Вы кем работаете, если не секрет? Мне сейчас немного жаль, что я не психиатр 😄
	Ответить \| Правка \| К родителю #32 \| Наверх \| Cообщить модератору


	44. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от Аноним (5), 15-Окт-23, 12:55
	> является бэкграунд процессом > Active: active (exited) Ну да, точно. Ага.
	Ответить \| Правка \| К родителю #32 \| Наверх \| Cообщить модератору


	21. "Выпуск пакетного фильтра iptables 1.8.10"	+1 +/–
	Сообщение от Аноним (21), 12-Окт-23, 10:42
	О чем ты говоришь? Nftables можно поправить в текстовом файле тоже...
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	25. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от penetrator (?), 12-Окт-23, 23:34
	> О чем ты говоришь? Nftables можно поправить в текстовом файле тоже... ну может пример подкинешь? какой файл надо править и как например открыть порт 1234 только для tcp для всех интерфейсов? вот поржем
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Выпуск пакетного фильтра iptables 1.8.10"	+/–
	Сообщение от Аноним (29), 13-Окт-23, 07:58
	Вот файл: /etc/sysconfig/nftables.conf Вот пример: table inet filter { chain input { type filter hook input priority 0; policy drop; ... udp dport 1234 accept ... } } достаточно чтобы поржать?
	Ответить \| Правка \| Наверх \| Cообщить модератору