The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7

16.01.2021 16:07

Опубликован выпуск пакетного фильтра nftables 0.9.8, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.8 изменения включены в состав ядра Linux 5.11-rc1.

На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Основные новшества:

  • Появилась полноценная поддержка проверки содержимого полей в заголовках ICMP-пакетов.
    
       ... icmp type { echo-reply, echo-request} icmp id 1 icmp sequence 2
       ... icmpv6 type packet-too-big icmpv6 mtu 1280
    
  • Добавлена возможность сопоставления с использованием сырых значений опций TCP, выделяемых в формате "@kind,offset,length".
    
       ... tcp option @42,16,4
    
  • Добавлена возможность проверки наличия в пакете любых опций TCP.
    
       ... tcp option 42 exists
    
  • Предоставлена возможность отклонения трафика из цепочки "ingress", обрабатываемой на том же уровне, что ingress-обработчик в цепочке netdev (hook ingress), т.е. на стадии когда драйвер передаёт пакет сетевому стеку ядра.
    
         table netdev x {
             chain y {
                   type filter hook ingress device eth0 priority 0; policy accept;
                   tcp dport 22 reject with tcp reset
             }
         }
    
  • Проведена оптимизация генерации байткода для сопоставления префиксов. Например, в результате для следующего правила будет сгенерированы две инструкции место трёх:
    
       # nft --debug=netlink x y ip saddr 192.168.2.0/24
       ip
         [ payload load 3b @ network header + 12 => reg 1 ]
         [ cmp eq reg 1 0x0002a8c0 ]
    
  • Добавлена возможность указания нескольких выражений для каждого элемента set-списков. Необходимая функциональность появилась начиная с ядра Linux 5.11-rc1. Например, в примере ниже для динамического списка в выражении фигурирует ratelimit и число пакетов для каждого элемента списка:
    
      table ip x {
           set y {
                   type ipv4_addr
                   size 65535
                   flags dynamic,timeout
                   timeout 1h
           }
    
           chain z {
                   type filter hook output priority filter; policy accept;
                   update @y { ip daddr limit rate 1/second counter }
           }
      }
    

    Также допускается использование комбинированных выражений со статически определяемыми set-списками:

    
       table ip x {
           set y {
                   type ipv4_addr
                   limit rate 1/second counter
                   elements = { 1.1.1.1, 4.4.4.4, 5.5.5.5 }
           }
    
           chain y {
                   type filter hook output priority filter; policy accept;
                   ip daddr @y
           }
      }
    

    В данном примере выражения с ratelimit и счётчиком будут запущены при добавлении нового элемента в список, например, через "nft add element x y { 6.6.6.6 }".

  • В CLI-интерфейс "nft -i" добавлена поддержка редактирования командной строки при помощи библиотеки editline вместо readline. Для работы требуется сборка с опцией "./configure --with-cli=editline".

Дополнительно доступен новый выпуск классического инструментария для управления пакетным фильтром iptables 1.8.7, развитие которого в основном сосредоточено на компонентах iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nf_tables. В iptables-nft повышена производительность сопоставлений префиксов IP- и MAC-адресов и обеспечен вывод дампов правил в цепочках, определённых пользователем, в неизменном лексическом порядке. В ebtables-nft устранена неработоспособность переименования пользовательских цепочек. Переработан и унифицирован код парсинга MAC-адресов.

  1. Главная ссылка к новости (https://www.mail-archive.com/n...)
  2. OpenNews: Выпуск пакетного фильтра nftables 0.9.7
  3. OpenNews: В Ubuntu 20.10 планируют перейти с iptables на nftables
  4. OpenNews: В Debian 11 предлагается по умолчанию задействовать nftables и firewalld
  5. OpenNews: Разработчики Netfilter официально объявили инструментарий iptables устаревшим
  6. OpenNews: Релиз iptables 1.8.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/54419-nftables
Ключевые слова: nftables, netfilter, firewall
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (168) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Антонимм (?), 18:37, 16/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    Помню был такой "agnitum outpost firewall" на окнах.Вот такой же на linux надо.Удобный понятный наглядный прост в использовании умных знаний не требовал.  
     
     
  • 2.7, пох. (?), 19:25, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вам надо просто поставить окна.
    Где все как вы любите - удобно, наглядно, и no user-servicable parts inside.

     
  • 2.8, анон45 (?), 19:30, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а чо вы его минусуете? Он прав так-то
     
     
  • 3.17, пох. (?), 20:01, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    У нас УЖЕ есть одна винда. И в ней - почти нормальный и почти application firewall, все как он любит.

    А вот тем кому надо было _управляемый_ а не "мышом покликать он сам разберется лучше тебя" - куды теперь бечь?

     
     
  • 4.57, КО (?), 05:51, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "он сам разберется лучше тебя"
    Обернуть те же функции в гуй? Не, не линукс-вэй...
     
     
  • 5.99, псевдонимус (?), 15:37, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >обернуть те же функции в гуй

    Оно либо примитивное донельзя выйдет, либо толком неуправляемое без справочника перед глазами. Даёшь 10000 кнопок! И все равно может не хватить.

     
  • 4.63, Аноним (-), 08:46, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А чего вы так ополчились на мышь?
     
  • 4.91, crypt (ok), 15:14, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > куды теперь бечь?

    да)) это точно)) на линуксе переписали конфиг в стиле json и будут переписывать каждую среду. а на *bsd он залип на уровне basic'a (ipfw) и реплик старых версий fw от openbsd и solaris.

     
     
  • 5.156, Azudim (??), 11:41, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> bsd он залип на уровне basic'a (ipfw)

    Про pf слышали?

     
  • 2.10, Аноним (10), 19:42, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Так сделай интерфейс, пришли патч, кто мешает? Это опенсорс, детка.
     
     
  • 3.16, пох. (?), 19:59, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А эту невероятную херню кто делал? Аааа, ну да, ну да - sponsored by facebook. Это впопенсос детка.

    Что пейсбук оплатил - то и жрете с лопаты. А чего не оплатил - ждете патчей, потом будете ждать ебилдов.

     
  • 2.18, Аноним (18), 20:48, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не поверишь, у меня он сейчас стоит)
     
  • 2.28, Космозавр (?), 23:01, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    а куда он, кстати, делся?
     
     
  • 3.136, mikhailnov (ok), 22:52, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Яндекс купил Агнитум, потом закрыл его.
     
  • 2.47, Пох (?), 01:48, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Или как в Comodo, а то достало, одно выучишь, как его дропнули и заменили другим. Нет, ну правда, настраивать фаервол в консоли?
     
  • 2.48, Old man (?), 02:38, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Помню был такой "agnitum outpost firewall" на окнах.Вот такой же на linux надо.Удобный понятный наглядный прост в использовании умных знаний не требовал.  

    Есть fwbuilder.

     
     
  • 3.59, Антонимм (?), 06:26, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да есть есть еще gufw.ИМХО не дотягивают они даже близко до agnitum по удобству и понятливости.  
     
  • 2.81, Аноним (81), 12:55, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Хотелось бы что-нибудь типа tinywall, чтобы исходящий траф разрешать только определённым приложениям (ну входящий настраивать это бонусом), но это придётся bpf бинари от юзера загружать в ядро постоянно. А там тебе и жит, и всё остальное -- такой-то вектор для атак. И ещё бы добавить в ksysguard просмотр исходящих/входящих соединений процесса. Эх, мечты, вот файрвол у венды годный (особенно для десктопа), тут не поспоришь.
     
  • 2.134, Роман (??), 22:15, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    как вы думаете, по какой цене могли бы продавать авторы такого продукта, чтобы его еще как-то массово покупали пользователи Linux? Какие дистрибутивы должны поддерживаться?
     
  • 2.185, Cololo (?), 02:11, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Посмотрите Open Snitch.
     

  • 1.2, leap42 (ok), 18:51, 16/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    cat /etc/sysconfig/nftables.conf

    table inet filter {
      chain input {
        type filter hook input priority 0; policy drop;
        ct state established,related accept comment "Accept traffic originated from us"

        iif lo accept comment "Accept all loopback connections"

        ip protocol icmp accept comment "Accept ICMP"
        ip6 nexthdr icmpv6 accept comment "Accept ICMPv6"

        udp dport 5353 counter accept comment "Accept mDNS/UDP (resolved)"

        udp dport 5060 counter accept comment "Accept SIP/UDP (Baresip)"
        tcp dport { 5060, 5061 } counter accept comment "Accept SIP/TCP (Baresip)"
        udp dport { 16384-16389 } counter accept comment "Accept RTP (Baresip)"

        tcp dport 9881 counter accept comment "Accept Torrent/TCP (Transmission)"
        udp dport 9881 counter accept comment "Accept Torrent/UDP (Transmission)"

        counter comment "Count any other traffic"
      }

      chain forward {
        type filter hook forward priority 0; policy drop;
      }

      chain output {
        type filter hook output priority 0; policy accept;
      }
    }

    ^^^ вот это разве непонятно? по-моему проще чем что-то по менюшкам натыкивать...

     
     
  • 2.4, Аноним (4), 18:56, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Зачем ipv6, или не отключили примочку в ядре для одинаковости (ц) правил с ipv4?
     
     
  • 3.12, пох. (?), 19:50, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    просто клиент при копипасте со стека забыл удалить ненужное Ибо синтаксис г-но ... большой текст свёрнут, показать
     
     
  • 4.20, СеменСеменыч777 (?), 21:17, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    все очень просто. нужен генератор правил типа firehol.
    пусть он делает неоптимально, зато все понятно и не надо учить очередной собачий язык.

    > незачем в сторону стораджа пускать виндовые машины, пусть и trusted сегмента, все равно им там делать нечего

    проблемы "уровня приложения" решаем на "сетевом уровне" ? ай молодца казахский хакер.

    ps: в цисках невозможен недорогой апгрейд. циски могут быть протроянены либо с завода, либо в "черном кабинете" перевозчика (например US Post). IOS для цисок пишут чурки^Wиндусы.

     
     
  • 5.21, slepnoga (ok), 21:35, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Сема, в asa линукса на бекплейне. ))
     
     
  • 6.22, пох. (?), 22:10, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    они там используются для сугубо специфической цели - кое-как прочитать с флэшки ... большой текст свёрнут, показать
     
     
  • 7.29, slepnoga (ok), 23:04, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    так я и написал - на бекплейне. Не Микроштык же.
     
     
  • 8.33, пох. (?), 23:16, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну вон у ios-xr тоже типа на бэкплейне кто бы понял где у этой штуки бэкплейн ,... текст свёрнут, показать
     
     
  • 9.72, Онаним (?), 11:48, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В XR QNX на 6 0 Linux только в 6 0 появился И не на бекплейне, а на RSP и про... текст свёрнут, показать
     
     
  • 10.84, пох. (?), 13:22, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    не используется Я, в отличие от некоторых, запускал Единственное, что там от т... текст свёрнут, показать
     
     
  • 11.110, Онаним (?), 18:25, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Состояние файрвола через мониторинг conntrackd я передавал, да, нужно костылять,... текст свёрнут, показать
     
  • 4.71, Онаним (?), 11:45, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ASA дерьмо, так-то. Всё тот же linux с нескучным синтаксисом конфига, в котором даже два IP на один интерфейс не повесить.
     
  • 4.94, crypt (ok), 15:19, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ибо синтаксис г-но и эта простыня совершенно нечитаема ... Доломали и это.

    ППКС:( индусские менеджеры из RH мля просто угробить линукс решили.

     
  • 2.27, Аноним (27), 22:58, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А теперь запрети конкретному приложению доступ в сеть на лету, после запуска оного, для тестов, что именно у него сеть отвалилась. И так сто раз за час пока дебажишь.
     
     
  • 3.34, пох. (?), 23:18, 16/01/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 3.38, Аноним (38), 23:24, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Конечно виндопользователям проще по 10 раз кликать для включение и отключение правила, но я не вижу никаких сложностей сделать это с nft. Ищу пид процесса, а потом по пиду хоть дроп, хоть реджект делаю НА ЛЕТУ. Да хоть tc ему наверну, если нужно посмотреть как с плохим интернетом работать будет. Ну и конечно же написать скрипт, который это делает - 10 минут, если в первый раз. А потом этот скрипт могу и в тесты добавить, ведь я же не мышко-кликательный холоп, чтобы на каждый билд вручную тестить отсутствие интернета.
     
     
  • 4.44, пох. (?), 01:02, 17/01/2021 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 5.51, Аноним (38), 03:41, 17/01/2021 Скрыто ботом-модератором     [к модератору]
  • +5 +/
     
     
  • 6.67, пох. (?), 10:40, 17/01/2021 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 7.102, псевдонимус (?), 16:44, 17/01/2021 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 8.105, пох. (?), 18:04, 17/01/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 9.111, псевдонимус (?), 18:27, 17/01/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 10.123, пох. (?), 19:15, 17/01/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 9.112, псевдонимус (?), 18:36, 17/01/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 9.113, псевдонимус (?), 18:41, 17/01/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 10.116, пох. (?), 18:49, 17/01/2021 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 11.132, псевдонимус (?), 21:48, 17/01/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 12.145, пох. (?), 01:38, 18/01/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 5.53, СеменСеменыч777 (?), 05:03, 17/01/2021 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 6.66, пох. (?), 10:25, 17/01/2021 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 5.56, Tifereth (ok), 05:50, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ай, молодец какой - нашёл единственного ответившего, прочёл в его словах то, чего там отродясь не было и гордо экстраполировал на всех пользователей Линукс. Бурные продолжительные аплодисменты.

    Нормальный админ *вначале* всё планирует и соответственно настраивает конфигурацию. А уж кто натыкивать горазд, а кто в консоли предпочитает - это уже спор о вкусе фломастеров. То есть бессмысленный по определению.

     
     
  • 6.88, InuYasha (??), 14:40, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Каким "нормальным" бы админ ни был, если он приходит работать в "зоопарк", где всё уже "спланировано" лет 10 назад, ни о каком планировании кроме "а вот хорошо бы через пару лет обновить цынтос до 7го на роторе и почтовике" речи нет. )
     
     
  • 7.106, пох. (?), 18:07, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Каким "нормальным" бы админ ни был, если он приходит работать в "зоопарк",
    > где всё уже "спланировано" лет 10 назад, ни о каком планировании
    > кроме "а вот хорошо бы через пару лет обновить цынтос до
    > 7го на роторе и почтовике" речи нет. )

    зависит от должности и от масштаба (бардака в) компании. Бывало что и приглашали зоопарк разогнать по вольерам, и переделать чтоб работало надежно.
    Хотя, если роутер на центос, можно смело идти дальше сразу же, не тратя время.


     
  • 7.147, Tifereth (ok), 02:16, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И это не всегда так. Конторы иногда переезжают, расширяют офис и т.д. и т.п.

    Вот в таких случаях и представляется иногда возможность уменьшить долю хаоса. Помимо соблюдения основной директивы "не чини то, что работает".

    Раз тут упомянут CentOS (который с конца этого года прикажет долго работать), один чёрт придётся менять эту операционку - опять же повод внести чуть больше порядка (в понимании конкретного админа, конечно).

    Всякое бывает.

     
  • 3.62, barmaglot (??), 08:35, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Берёте дефолтный раымный конфиг для декстопа nft --handle --numeric list tabl... большой текст свёрнут, показать
     
     
  • 4.68, пох. (?), 10:43, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Берёте дефолтный раымный конфиг для декстопа:

    это разумный? Вот этот вот фееричный бред?!

    > Потом с помощью lsof -p <pid> у вашего приложения смотрите, куда оно
    > ломится. И всё что не нравится в chain output добавляете. всё.

    c помощью lsof... все понятно. "Специалисты" на марше.

    > И ничего дебажить не нужно.

    Угу, угу.

     
     
  • 5.100, Sw00p aka Jerom (?), 15:39, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>c помощью lsof... все понятно.

    tcpdump уже не в моде :)

     
     
  • 6.107, пох. (?), 18:11, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>>c помощью lsof... все понятно.
    > tcpdump уже не в моде :)

    Уж хотя бы strace, если мы танцуем от процесса (линукс, чай, опять же). А то окажется там банальный protobuf - и что ви таки хотели увидеть тем lsof'ом?

     
  • 4.74, Онаним (?), 11:50, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот это вот дефолтное удолбище - одна из причин, по которой nf так до сих пор и не взлетел массово, хотя он крут.
     
     
  • 5.85, пох. (?), 13:30, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    вовсе нет Хотя за такое, конечно, отдельно надо кастрировать Дефолтный susefir... большой текст свёрнут, показать
     
     
  • 6.89, InuYasha (??), 14:46, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Справедливости ради, "Подсветочка в mcedit" регулярно ломается и на баш-скриптах ) Фаерволлам нужен интерактивный IDE с дебаггером.

    ЗЫ: а вообще для каждого конфига в прынуксе нужен свой IDE (размером с MS Casual Studio чтоб было больнее), раз так ненавидят идею реестра а-ля Вандовс.

     
  • 6.139, flkghdfgklh (?), 23:51, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Величайшего прогресса в этой области достигла redhat, которая хотя бы умела без ручного вмешательства сохранять твои правки при шатдауне и восстанавливать при загрузке.

    Мнэ. А почему у меня это всегда в Debian/Ubuntu было? Пакет iptables-persistent

     
     
  • 7.140, пох. (?), 00:33, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И вот какого х-я его нет по умолчанию в любой установленной системе, и надо пойт... большой текст свёрнут, показать
     
     
  • 8.167, PnD (??), 15:36, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    С RHEL-5 AFAIR И не забыть service iptables save в конце если ещё от консоли... текст свёрнут, показать
     
     
  • 9.178, пох. (?), 18:03, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    если отвалился - после ребута привалится обратно, в том и смысл был я даже не п... текст свёрнут, показать
     
  • 9.179, пох. (?), 18:06, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    упс, не заметил Чувак, твой rhel5 - это 2010й версия 6 - это на десять ле... текст свёрнут, показать
     
  • 8.176, flkghdfgklh (?), 12:07, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Малыш, мне 40 лет Я использую Debian с 2001 года Ты в то время еще не родился ... текст свёрнут, показать
     
     
  • 9.180, пох. (?), 18:09, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ну и зачем ты тут разговариваешь со своим малышом А я его выбросил окончатель... текст свёрнут, показать
     
  • 7.143, пох. (?), 01:03, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Упс, а что, оно за те десять лет модули-то грузить так и не научилось?
    Видимо, этим недоделком вообще никто кроме тебя и не пользуется никогда.

    Или просто нужен еще один чудо-пакет с еще одним тривиальным скриптом из двух строчек?

     
  • 4.78, Аноним (78), 12:19, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если с этим pid другое приложение запустилось?
     
  • 4.103, псевдонимус (?), 16:47, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >разумный конфигурацию.

    Разумный-то он разумный.... Вот читать такое и врагу не пожелаешь.

     
     
  • 5.118, пох. (?), 18:53, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >>разумный конфигурацию.
    > Разумный-то он разумный.... Вот читать такое и врагу не пожелаешь.

    Читать-то пожалуйста, заметить что в 16й строчке вместо 0x10 написано 1 - вот это попробуй.

    Чуждый разум это понапроектировал.

     
  • 3.172, Аноним (172), 18:02, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А теперь запрети конкретному приложению доступ в сеть на лету

    Для твоей задачи подходят cgroups, или заморачивайся с connection mark (если ты реально Ъ-джедай).

     
  • 2.31, Random (??), 23:14, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    На таком уровне всё элементарно.
    Но это конечный ПК, с одним инетом, без форварда, без динамических афроамериканских списков, полностью открытый на выход.
    А вот если посложнее - там начинается.
    Документация неполная и в разных местах иногда противоречит сама себе.
    Продукт очень сырой, то и дело натыкаешься на "особенности".
    Но потенциально не так всё плохо, если до ума доведут, много вкусностей.
    Потихоньку дополняю себе файл подсветки синтаксиса для mcedit - гораздо понятнее и удобнее становится.

     
  • 2.46, murmur (?), 01:37, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну и зачем тебе файрвол не на сервере? Или у тебя запущены какие-то службы на внешнем интерфейсе, к которым ты не хочешь, чтобы коннектились? Может в консерватории что-то подправить?
     
     
  • 3.61, leap42 (ok), 08:03, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну и зачем тебе файрвол не на сервере? Или у тебя запущены какие-то службы на внешнем интерфейсе, к которым ты не хочешь, чтобы коннектились? Может в консерватории что-то подправить?

    я ip-телефонией занимаюсь, у меня, как можно заметить по правилам, часто запущен SIP клиент, и мне можно позвонить напрямую, без серверов вообще (по работе надо для тестов), потому upnp/nat-pmp, потому нужен firewall

     
     
  • 4.70, пох. (?), 11:14, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > я ip-телефонией занимаюсь, у меня, как можно заметить по правилам, часто запущен
    > SIP клиент, и мне можно позвонить напрямую, без серверов вообще (по
    > работе надо для тестов), потому upnp/nat-pmp, потому нужен firewall

    и именно по этой причине единственный на васян-десктопе, в общем-то, опасный протокол - у тебя торчит во весь мир, включая китайские ботофермы. А conntrack_sip - не, не наш метод.

    Ну да, ну да, модные современные именно так все настраивают.

     
     
  • 5.96, leap42 (ok), 15:29, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    опасный протокол это что у вас во дворе придумали, да ещё раз там торчит клие... большой текст свёрнут, показать
     
     
  • 6.108, пох. (?), 18:20, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > опасный протокол это что? у вас во дворе придумали, да? ещё раз:

    Телефонисты придумали. И, самое главное - клиентов понаписали.
    Лучше б уж - во дворе, у тамошних пацанов меньше мозги набекрень.

    > conntrack_sip - нерабочее г*в*о, телефонисты выключают это первым делом (оно толком не
    > может в SIP и неправильно подменяет ip, от чего звонки часто

    conntrack вообще ничего не подменяет. Он обеспечивает попадание в related rtp пакетов.
    > перестают проходить, настроек нет)

    Это для nat, а не conntrack. Проблема не в том что неправильно подменяет, а в том что не угадаешь как с точки зрения порождений телефонистов "правильно" и не подменят ли те еще разок, для надежности.
    Настройка есть, называется iptables. Но ты, похоже, не умеешь, раз даже nat от conntrack не отличаешь.

     
  • 4.73, mumu (ok), 11:48, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Этот порт открыт для всего интернета.
    Файрвол у тебя закрывает все КРОМЕ этого порта. Ещё раз поясни свою стратегию защиты: что и от чего защищается?
     
     
  • 5.83, пох. (?), 13:14, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Этот порт открыт для всего интернета.

    он там и ждет весь интернет.

    > Файрвол у тебя закрывает все КРОМЕ этого порта. Ещё раз поясни свою

    потому что это "десктоп", там логично так сделать, а исключения описать правилами.

    Другое дело, что надо очень верить в надежность своего sip-софтфона, чтоб вот именно так это настроить. Ну или не держать на том "десктопе" лишнего. (Не в смысле нечего прикрывать, а в смысле - поломают, откачу снапшот vm)

    > стратегию защиты: что и от чего защищается?

    да в общем, как-бы, умеющему - понятно, а неумеющему не поможет.

     
  • 5.98, leap42 (ok), 15:34, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Этот порт открыт для всего интернета.
    > Файрвол у тебя закрывает все КРОМЕ этого порта. Ещё раз поясни свою
    > стратегию защиты: что и от чего защищается?

    ещё раз: роутер с upnp, он без вопросов прокидывает любые порты любому софту (и это именно то, чего я хочу), любому устройству из локалки (у меня их семь)

    на тачке должна торчать в инет только телефония (нужна для работы), вот и вся стратегия

     
  • 2.60, Антонимм (?), 06:30, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для админа да проще.А для пользователя нет.Что и тормозит использование linux.
     
     
  • 3.69, пох. (?), 10:46, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Для админа да проще.А для пользователя нет.Что и тормозит использование linux.

    А у пользователя есть уже целых ДВЕ операционные системы, не считая ведроида, где сделали ему как проще. Тому аутпосту - 20 лет! И было бы хорошо затормозить скатывание линукса в "еще более удобно еще более т-ым пользователям", чтобы они его обходили десятой дорогой, и вместе с ними подобные "разработчики" свалили нахрен.

    Тогда, может быть, снова придут те, кому надо не для т-го пользователя и совсем т-го разработчика, а для админа "проще".

    Хотя, конечно, уже не придут никогда.

     
  • 2.92, crypt (ok), 15:17, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > вот это разве непонятно?

    да не, "counter accept comment" - счетчик принял коммент! че тут непонятного-то. отлично все.

    type filter hook input priority foo bar bar foo bar foo foo bar bar foo foo foo 0; - да зашибись!

     
  • 2.101, псевдонимус (?), 15:41, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну страшненькая ведь простынка :-(
     

     ....большая нить свёрнута, показать (65)

  • 1.3, Аноним (4), 18:52, 16/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Тот без антивируса еще который был? Знатная вещь.
     
  • 1.5, Аноним (-), 18:59, 16/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Когда уже 1.0 будет? Надоела эта вечная бета.
     
     
  • 2.6, псевдонимус (?), 19:06, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если не нравится вечная бэтп, то большая часть бесплатных гнулинукс не для тебя.
     
  • 2.14, пох. (?), 19:55, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    о, инвестор нарисовался!
     
  • 2.32, Random (??), 23:15, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Там ещё дофига фиксить и допиливать.
     
     
  • 3.79, Аноним (78), 12:23, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну и на фига его тогда везде насовали и заменили работающему iptables.
     
     
  • 4.97, псевдонимус (?), 15:32, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тестировать-то надо. И желательно бесплатно.
     
     
  • 5.119, пох. (?), 18:55, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Тестировать-то надо. И желательно бесплатно.

    Я полагаю, платиновому спонсору в общем-то наплевать. Сам потестирует.
    Вот угнаться за бесконечными stable api nonsense ему тоже не под силу, поэтому - пропихнуто в мэйнлайн, так проще.

     
     
  • 6.130, псевдонимус (?), 20:50, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и выбросят этот "инносенс". Уже приступили, не смотри на медленное запрягание.
     
  • 4.109, пох. (?), 18:24, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ну и на фига его тогда везде насовали и заменили работающему iptables.

    во-первых, по прежнему полу-работающему. Только он уже deprecated, поэтоу ураааа, можно ничего не чинить!

    во-вторых, не нафига, а на денежки платинового спонсора. Он как раз и не собирался руками эти простыни редактировать.

    С тобой софтом не поделится, да и нахер тебе фейсбук дома?

     

  • 1.9, Аноним (-), 19:40, 16/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    С цацкой все ясно. А что в iptables-1.8.7 то поменяли ? Вообще непонятно новость какбы упоминает iptables в заголовке..
     
     
  • 2.11, Аноним (11), 19:47, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Сломали все, раньше было лучше
     
  • 2.13, пох. (?), 19:54, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > С цацкой все ясно. А что в iptables-1.8.7 то поменяли ?

    Написано ж - еще более улучшили кривовраппер, и он теперь позволяет хотя бы выводить правила в том же порядке, в котором вводили. Еще через пару лет будет и исполнять в нем же, а не рандомом.

    Все что надо знать о современном состоянии iptables, не так ли?

    А ты думал - ipsec sa match починят? Может, тебе еще и gre nat починить, совсем оборзел?!
    За двадцать гребаных лет переписывания переписанного ниасилен даже чекер. который в новой-модной-bpf-помойке невозможен в принципе.

     
     
  • 3.41, Аноним (41), 00:37, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и славненько. А за двадцать лет то что должно было произойти ? Эта фигня была по фану написана
    и впринципе то всех все утстраивает. Кому надо - либо сами не могут даже сформулировать что им надо, а кто может - не хватит денег и сил это реализовать. Так что улыбаемся и машем.
     
     
  • 4.43, пох. (?), 00:57, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Хотя бы то что Рыжий обещал как только, так сразу И нап-дел, как обычно До э... большой текст свёрнут, показать
     
     
  • 5.104, Аноним (-), 17:17, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > В смысле, бежим хватать ту краденую циску за пятнарик,

    Быдлопровайдинг это побочный эффект. Жаловаться на то что таких не обращают внимание и не фиксят "нужды" - просто глупо.

     
     
  • 6.114, пох. (?), 18:42, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    мальчик, ты совсем дурак Я ее себе под стол поставлю, вместо линуксного ненужно... большой текст свёрнут, показать
     
     
  • 7.149, Sw00p aka Jerom (?), 03:38, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Краденые pa7000

    чур меня чур, даже даром не нужно как и всякие ЧП (собратья пальто) со своими ЭнДжи.


     
     
  • 8.164, пох. (?), 13:27, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ну да, ну да - лучше ковырять дома вот тот п-ц с tcp flags 0x10 А я бы вот бы... текст свёрнут, показать
     
     
  • 9.170, Sw00p aka Jerom (?), 16:23, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    я только за, но больно очень, ибо лучше чтобы не было вовсе, чем есть и через ... текст свёрнут, показать
     
  • 8.166, пох. (?), 14:14, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    и кстати, да, gre nat conntrack для многих источников-приемников у них тоже рабо... текст свёрнут, показать
     

  • 1.24, Аноним (24), 22:38, 16/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вангую что через пару лет nftables устареет и на смену ему придет systemd-tables
     
     
  • 2.25, СеменСеменыч777 (?), 22:43, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    systemd-nettablesd
     
     
  • 3.37, Лёня Потный (?), 23:21, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > systemd-nettablesd

    он у меня называется -firewalld. Уже давно пришел, уютно устроился и смотрит на вас добрыми-добрыми глазками.
    А, не это п-ц пришел. У firewalld глазков нету.

    Конечно же мы уже почти совсем поддеживаем в нем и nft.

     
     
  • 4.144, Аноним (24), 01:10, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Глаза Лени не могут быть добрыми ро определению
     
  • 2.75, Онаним (?), 11:51, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А вот кстати неплохо бы, да.
    Потому что rh'вый firewalld - конченное удолбище, а в рамки системды оно себе вполне ляжет. Например каждый набор правил софта - своим "юнитом".
     
     
  • 3.115, пох. (?), 18:44, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > себе вполне ляжет. Например каждый набор правил софта - своим "юнитом".

    да, представляю какая красота - снова три набора заклинаний-завываний чтобы как-то построить порядок запуска, и снова шибкоумный менеджер всего решит за тебя что можно тут что-то и поулучшать, поэтому правило с allow all однажды запустит раньше чем с deny.

    Мечта...

     
     
  • 4.117, Онаним (?), 18:52, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да не, чего-чего, а с порядком запуска у системды всё хорошо.
    Как раз таки печально не указать пререквизиты правильно - что очень часто встречается, тогда да, запустит как попало.
     
     
  • 5.124, пох. (?), 19:21, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Да не, чего-чего, а с порядком запуска у системды всё хорошо.

    Просто прекрасно. Сколько там у нее заклинаний для этой цели - пять, или больше уже?

    А поскольку "Result is RESULT" и нормально отслеживать завершение запуска она не научится никогда - хоть двадцать пять напиши, не поможет. Как там у тебя с systemd-networkd-wait-online.service , все хорошо, да?

     
     
  • 6.129, Онаним (?), 20:47, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А что с ним должно быть не так?
    У меня монтирование ряда FS на старт сети завязано, после стартует всё остальное.
    Никаких затруднений не испытываю.
     
     
  • 7.141, пох. (?), 00:41, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А что с ним должно быть не так?

    А что с ним может быть "так"? Не работает оно. Как всегда у вас.

    > У меня монтирование ряда FS на старт сети завязано

    Это _netdev в fstab, небось, у тебя.
    Очередной костыль.

    Впрочем, он тоже иногда глючит.
    Но большинство монтируемого просто виснет до победного результата, поэтому как раз и обеспечивает требуемую задержку для всего остального.

     
     
  • 8.152, Онаним (?), 09:27, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну у меня это в принципе и есть желаемое поведение если что-то смонтировать не ... текст свёрнут, показать
     
  • 8.169, PnD (??), 16:17, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А fstab себя сам монтирует Ой, да это же 8230 man systemd-fstab-generator Р... текст свёрнут, показать
     
     
  • 9.174, пох. (?), 11:07, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ну так и почитай там что такое _netdev Что, опять не написано, вместо мана били... текст свёрнут, показать
     

  • 1.26, Аноним (26), 22:57, 16/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Поддержку ipv4 пора удалять как устаревший протокол. Ну раз i386 и FTP убрали
     
     
  • 2.30, Аноним (30), 23:08, 16/01/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    И к ICMP прикрутить сертификаты, а то совсем не секурно
     
  • 2.95, Аноним (95), 15:23, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    FTP на уровне ядра и не было никогда.
     

  • 1.40, онанимус (?), 23:37, 16/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    оно действительно быстрее, чем iptables? есть смысл переезжать, если у меня под десять тысяч строк в iptables-save?
     
     
  • 2.42, пох. (?), 00:49, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    очевидно, что это зависит не от количества тысяч строк, а от того, есть у тебя п... большой текст свёрнут, показать
     
     
  • 3.50, Sw00p aka Jerom (?), 02:50, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Лично я планирую на промышленные файрволы для периметра

    промышленный? эт какой-такой промышленный а?

     
     
  • 4.54, СеменСеменыч777 (?), 05:20, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > промышленный? эт какой-такой промышленный а?

    это у которого в рекламе написано "industrial" и "enterprise level".

     
     
  • 5.86, Аноним (86), 13:43, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И чтоб обязательно встроенный бекдор от лучших индусов Бангалора.
     
  • 5.87, Sw00p aka Jerom (?), 14:27, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Туда бы ещё добавить словечко NGFW :)
     
     
  • 6.120, пох. (?), 19:01, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Туда бы ещё добавить словечко NGFW :)

    ngfw не украсть - там весь ng в том что где-то в Бангалоре команда из сорока прикованных индусов день и ночь анализирует дампы и лепит новые правила.

    Без подписки ценой примерно в стоимость самой коробки (которая тоже не 15 тыщ, причем и не $$ даже) бесполезно, он даже не запустится у тебя.

    Внутри, кстати, вполне себе теперь может оказаться линyпс с nft. Почему же нет, для этой цели он вполне пригоден, и не надо ничего самим разрабатывать, кроме той руки, в которой кнут для индусни.

    bpf загрузит не в память, а в asic, разьве что.

     
     
  • 7.131, Sw00p aka Jerom (?), 21:23, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Внутри, кстати, вполне себе теперь может оказаться линyпс с nft.

    так и есть

    > Почему же нет, для этой цели он вполне пригоден

    такое же гамно если честно, при 1M pps валится. устал багрепортить, индусия.

     
     
  • 8.154, RHEL fan (?), 11:32, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не, nft нету Там ядро 2 6, тогда такого еще не придумали ... текст свёрнут, показать
     
     
  • 9.158, Sw00p aka Jerom (?), 12:26, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это не утверждение, а предположение Через пару лет вероятней и окажется с nft ... текст свёрнут, показать
     
     
  • 10.165, пох. (?), 13:31, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    неисключено, что именно эти ребята и спонсируют Сам понимаешь, от обычных iptab... текст свёрнут, показать
     
  • 3.58, Tifereth (ok), 05:54, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Перенос в ipset, по накопленной статистике, сказывается на производительности уже после пары сотен однотипных правил (ясен пень, что зависит от скорости конкретного железа или его эмуляции).

    Помимо того, что элементарно проще разбираться в десятке правил с ipset, чем в жуткой простыне, что была бы вместо него.

     
     
  • 4.64, пох. (?), 10:11, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Перенос в ipset, по накопленной статистике, сказывается на производительности уже после
    > пары сотен однотипных правил (ясен пень, что зависит от скорости конкретного

    по "накопленной статистике" не на чем сказываться. Вообще никак эти пары сотен не видны.

    > Помимо того, что элементарно проще разбираться в десятке правил с ipset, чем
    > в жуткой простыне, что была бы вместо него.

    чем простыня ipset отличается в лучшую сторону от точно такой же в виде chain?
    Тем, что теперь вместо одного места, надо смотреть в два?

     
     
  • 5.153, Tifereth (ok), 11:15, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > по "накопленной статистике" не на чем сказываться. Вообще никак эти пары сотен не видны.

    У вас это любимое занятие, я погляжу - делать выводы о том, чего в глаза не видели?

    > чем простыня ipset отличается в лучшую сторону от точно такой же в виде chain?
    > Тем, что теперь вместо одного места, надо смотреть в два?

    Тем, что в случае ipset это уже не простыня.

     
     
  • 6.162, пох. (?), 13:18, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> по "накопленной статистике" не на чем сказываться. Вообще никак эти пары сотен не видны.
    > У вас это любимое занятие, я погляжу - делать выводы о том,
    > чего в глаза не видели?

    да, да, конечно же не видел.

    Кончай бредить. Увидеть вшивые сотни правил невозможно НИКАК, разьве что на i386/20.
    Скорее ты увидишь разницу между отсутствием и наличием загруженного модуля iptables вообще.
    Увидеть можно тысячу - ну увидел, аж целых пара миллисекунд, ужос-ужос, дальше пошел.

    >> чем простыня ipset отличается в лучшую сторону от точно такой же в виде chain?
    >> Тем, что теперь вместо одного места, надо смотреть в два?
    > Тем, что в случае ipset это уже не простыня.

    о да, да, конечно же не простыня,это другое.

     
     
  • 7.177, Tifereth (ok), 17:42, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > да, да, конечно же не видел.

    Единственное мало-мальски осмысленное среди вороха букв. Понятно, что вы тужились иронизировать, но ответили точно и по существу.

    Остальное - белый шум (ну не признаетесь же вы, в самом деле, что могли чего-то не видеть и о чём-то не знать).

     
  • 2.52, Аноним (52), 04:03, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    на ipset https://www.dbsysnet.com/wp-content/uploads/2016/03/ipset3.png
     
     
  • 3.55, СеменСеменыч777 (?), 05:25, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > на ipset https://www.dbsysnet.com/wp-content/uploads/2016/03/ipset3.png

    1) непонятно, что такое "responce" и "request" в контексте фаерволла.
    2) почему-то нет графиков для ipfw и pf.

     
     
  • 4.65, пох. (?), 10:21, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    понятно только что до 15000 эффект неразличим приборами ты правда можешь достов... большой текст свёрнут, показать
     
  • 3.77, Онаним (?), 11:53, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если встаёт вопрос об ipset - лучше сразу таки на nft, потому что одно дело мейнтейнить один конфиг файрвола, другое дело - два оторванных друг от друга.
     
     
  • 4.82, пох. (?), 13:08, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Если встаёт вопрос об ipset - лучше сразу таки на nft, потому
    > что одно дело мейнтейнить один конфиг файрвола, другое дело - два
    > оторванных друг от друга.

    наоборот. "майнтейнить" простыню в десять тыщ строк, перемешанную с конфигом файрвола - это для особых любителей на лыжах в гамаке.

     
     
  • 5.159, Random (??), 13:11, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В конфиге файрвола только (например):
    define ext1_if = enp1s0.10
    define ext2_if = enp1s0.11
    define ext_ifs = { $ext1_if, $ext2_if }
    add table ip filter
    add chain ip filter fin { type filter hook input priority filter; policy drop ; }
    # Собственно, вот это:
    add set ip filter bad_src_ranges { type ipv4_addr; size 65536; flags interval; }
    add rule ip filter fin iif $ext_ifs ip saddr @bad_src_ranges drop

    И, по желанию, отдельно или тут же:
    nft add element ip filter bad_src_ranges { x1.x2.x3.0/23, y1.y2.y3.y4-y1.y2.y5.y6, z1.z2.z3.z4 }

     
     
  • 6.163, пох. (?), 13:23, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    п-ц то какой.

    Я сломал глаза, пытаясь эту фигню прочесть.

     
  • 3.138, онанимус (?), 23:42, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    у меня именно правила ipset...
    предварительно укороченные с помощью aggregate - блокирую больших братьев по AS.
    короче, понял - пока не закончится поддержка Centos 7, оставляю iptables.
     
  • 2.76, Онаним (?), 11:52, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я бы поглядел. Вполне возможно, что удастся сгруппировать в пару сотен.
     

  • 1.90, InuYasha (??), 14:59, 17/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Коллеги (особенно пох :) ), подскажите, у линухе уже можно реализовать мою мечту когда можно в одном месте назначить PORT_SSH=999, IFACE_WAN=enp2s45f968wtf; и потом во всех остальных местах вот эти дефайны использовать? А не так чтобы grep -r /etc каждый раз чтобы найти, где ж ещё этот сраный enp2s45f968wtf используется.
     
     
  • 2.122, пох. (?), 19:09, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Коллеги (особенно пох :) ), подскажите, у линухе уже можно реализовать мою
    > мечту когда можно в одном месте назначить PORT_SSH=999, IFACE_WAN=enp2s45f968wtf; и потом
    > во всех остальных местах вот эти дефайны использовать?

    Не советую, оно его тебе завтра еще разок переименует - и все сломается.

    Можно. Хошь m4 используй, не хошь - cpp.
    Собственно, другим способом с новым-модным nft работать и не получится. Только генерить его уродливые конфиги чем-то, что имеет человекочитаемый.

    В прошлые-то годы, если мне такого хотелось, я мог просто переименовать eth0 в wan. Но сейчас этим занимается systemd-govnod, и не спрашивает, во что бы я там хотел его переименовать.

     
     
  • 3.133, InuYasha (??), 21:53, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    М-да, не радужно. системду я ещё не изучал на этот предмет. но вообще переимновать сам девайс было бы лучше всего....наверное. Но тот же порт или влан всё равно было бы неплохо где-нибудь обозначить. Вот только конфиг ССШ не умеет же переменные окружения (не умел, пкм).
     
     
  • 4.135, Sw00p aka Jerom (?), 22:47, 17/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    http://manpages.ubuntu.com/manpages/bionic/man5/systemd.link.5.html

    может поможет, там примеры есть

     
     
  • 5.142, пох. (?), 00:52, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Отличная диверсия, кстати, спасибо, хер кто потом найдет, почему на этом хосте вместо enp2s45f968wtf оказался wtfenp2s45f968
    (Или почему все сломалось нахрен, когда ты заменил сгоревшую карту на такую же.)

     
     
  • 6.148, Sw00p aka Jerom (?), 03:26, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Или почему все сломалось нахрен, когда ты заменил сгоревшую карту на такую же.

    Далеко ходить не надо :)

    Device eth0 does not seem to be present, delaying initialization

    # rm /etc/udev/rules.d/70-persistent-net.rules


     
     
  • 7.155, InuYasha (??), 11:41, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Поглядел ман, спасибо. Теоретичеси, половину вопроса решает, возможно
    [Link]
    Name=МойУютный
    А пока ждём когда в линукс завезут глобалы или реестр.
     
  • 7.160, пох. (?), 13:12, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Далеко ходить не надо :)

    Не, это у тебя какая-то немодная-устаревшая херня, так было в конце нулевых, где тебя забыли разморозить. Мне даже целый один раз на самом деле пригодилось - попалась специфическая машина, каждый раз инитившая одни и те же сетевухи в разном порядке (ну не чинить же, действительно, само непредсказуемое поведение ведра, что вы, в самом деле).

    Нынче этот самый eth0 увидеть - большая редкостная удача, и та доступна _исключительно_ благодаря майнтейнерам убунты, поднявшим шум, когда фичу с отключением переименования во что попало по тихому выпилили из системды. Достаточно громко орали, что ее после нытья про немодность и нотабаг все же запилили взад. Неизвестно, надолго ли.

    (Разумеется, в любом случае для этого нужен параметр в командной строке ядра, и другие ужимки и прыжки (в убунте за тебя их уже проделал майнтейнер)

    А простым смертным - eno2p42353265wtf - а переименовали его из eth0 или из eth5 - какая, в общем-то, разница?

     
     
  • 8.171, Sw00p aka Jerom (?), 16:48, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    почему же udev и щас живет, пример выше при смене мака происходит, ибо удев прав... текст свёрнут, показать
     
     
  • 9.181, пох. (?), 18:20, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    сейчас удев - интегрированный кусок shittyd Ничего при смене мака не происходит... текст свёрнут, показать
     
  • 4.146, пох. (?), 01:43, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Но тот же порт

    дарю идею - /etc/services
    Это будет диверсия похлеще .link - никто вообще нихрена понять не сможет!

     
     
  • 5.157, InuYasha (??), 11:41, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    О, это будет круто )
     
  • 3.173, СеменСеменыч777 (?), 21:25, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Только генерить его уродливые конфиги чем-то, что имеет человекочитаемый.

    1) а я о чем писал ?
    2) типа у циски конфиги не уродливые.

    > Но сейчас этим занимается systemd-govnod

    у кого как. у меня не занимается.

     
     
  • 4.175, пох. (?), 11:15, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > 2) типа у циски конфиги не уродливые.

    они %банутые, но хотя бы -  читаемые, если не использовать совсем кривые практики.
    И отлаживаемые наживую, что ценно - можно вместо "пристального вглядывания" в простыни правил  просто позвать packet tracer и посмотреть, на каком конкретно фильтре оно этим пакетом подавилось (причем это не сбоку-кривая-приблуда, а виртуальный пакет реально прогоняется по всей цепочке, даже с поднятием ipsec туннелей если потребуются, это еще ж для людей делали, а не для рабов сцукенберга)

    Что позволяет, при большом желании, их вообще не писать руками а генерить чем-то (потому что не придется читать понагенеренное - достаточно посмотреть, где ошибка, и читать уже в компактном и понятном исходнике).

    За эти-то деньги - просто даром, считай, четыре таких сетевухи столько же или дороже. И никаких внезапно превращений eno2wtf в wtfeno2 и вообще угадай как его сегодня зовут, ethernet0 был и остается ethernet0.

     
     
  • 5.182, СеменСеменыч777 (?), 01:24, 21/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    подведем итоги. линукс виноват в том что:

    1) не выдал забесплатно стандартный генератор правил с визардом (есть 2 нестандартных, 1 из них без визарда, чисто текстовый конфиг).

    2) не выдал забесплатно трассировщик пакетов.

    3) имеет наглость развиваться куда попало и перетряхивать сетевую подсистему.

    по пп.1-2: а вам не кажется, что вы немного ЗАЖРАЛИСЬ ?

     
     
  • 6.183, пох. (?), 10:57, 21/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > не выдал забесплатно стандартный генератор правил с визардом

    мне он нахер не нужен. Мне нужен человекочитаемый конфиг. У вас он был, теперь его нет.

    > не выдал забесплатно трассировщик пакетов

    как будто у вас за деньги есть способ посмотреть, в каком месте и по какой причине пакет вот с такими src/dst/proto/port ушел не туда или отброшен? Ну же, куда занести 20 тыщ? А то таки продавцам краденых цисок достанутся, я нашел что искал.
    Да, ваша поделка этому разучилась. В 98м, как ни смешно - частично умела.

    > имеет наглость развиваться куда попало

    вовсе не куда попало, а куда рулит пейсбук. А поскольку я не пейсбук - мне от этого развития никакой пользы нет, одни проблемы. Удивительно, да?

    > по пп.1-2: а вам не кажется, что вы немного ЗАЖРАЛИСЬ ?

    не желаю жрать пейсбучье г-цо с лопаты, зато6ешплатное?! Ага. Могу себе позволить за деньги удобное. И работодателя могу выбрать не настолько феноменально бедного и жадного (мне в зарплату эти деньги все равно не могут заплатить, там совсем другие налоги будут)


     

  • 1.151, Аноним (151), 09:03, 18/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Интересно: есть ли хоть кто-то, (кроме марсиан-разарбов) кто в nftables продвинулся дальше написания примитивных правил?
     
     
  • 2.161, пох. (?), 13:13, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я уверен, что в фейсбуке их полно таких.

    Только вот зачем, учитывая что времени и геморроя на отладку (если отлаживать, конечно, а не наваять херню и через день убежать ваять другую херню) банально жалко?

     
  • 2.168, Random (??), 15:45, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чуть менее примитивное:
    работа домашнего роутера через двух провайдеров одновременно, с афроамериканскими списками, в т.ч. динамическими.
     
  • 2.184, OpenEcho (?), 15:46, 21/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Пока куцый врапер в iptables не уберут, народ на эту модную реплику пытающуюся стать pf-ом навряд пойдет
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру