| |
| 2.34, Anonim (??), 15:44, 02/07/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
Он лучше буквально во всём. Попробуй и сам поймёшь. Разработчикам респект и уважение.
| | |
| 2.56, Аноним (56), 23:27, 02/07/2022 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Чем это лучше ...
Ничем. Как видишь суффикс *d - выпиливай под корень.
| | |
| |
| |
| |
| 5.90, Аноним (90), 10:18, 05/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Так chronyd же... Придется выпиливать (
1691 ? S 0:00 /usr/sbin/chronyd -F 2
| | |
|
|
| 3.91, Аноним (90), 10:20, 05/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Ну httpd заменим на nginx. atd, crond - выкинуть заменив systemd-timers. smbd - нефиг виндузятникам потакать, пусть ставят нормальные ОС, выкинем.
А что брать вместо rsyslogd? Вместо smartd? Вместо sshd, наконец?
| | |
|
|
| 1.2, Аноним (2), 11:59, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +9 +/– |
iptables и так надстройка над netfilter зачем дополнительная надстройка над надстройкой?
| | |
| |
| 2.7, DeerFriend (?), 12:17, 02/07/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
Когда иптаблесы заменяют на нфтаблесы, не все успевают или горят желанием погружаться в изменения.
| | |
| |
| 3.12, Аноним (2), 13:27, 02/07/2022 [^] [^^] [^^^] [ответить]
| +3 +/– | |
так при смене бинарнечек и делает все поправки (что то типа iptables-old) пихаешь ему старый синтаксис он плюнет новый уже под нфтейбл
опять вопрос - зачем надстройка?
| | |
|
| 2.11, anonymouse (?), 13:25, 02/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
не надстройка, а пользовательский интерфейс для управления. Желаю удачи юзать netfilter без "надстроек".
| | |
|
| |
| 2.14, Аноним (14), 13:38, 02/07/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не жди, просто поставь из репозиториев.
Не знаю, как в Debian, но в Ubuntu 20.04 он ставится одной командой... (Версия 0.82)
| | |
|
| 1.4, Sw00p aka Jerom (?), 12:02, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб
прям ngfw какой-то
| | |
| |
| |
| 3.24, Sw00p aka Jerom (?), 14:51, 02/07/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> И в каком месте?
в том, что "при создании правил отталкивается" от сервисов (аппликейшенов) именно ngfw разобрав сам протокол. Отсюда и весь абсурд, казаться тем чем не являешься.
| | |
| |
| 4.29, ыы (?), 15:24, 02/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> разобрав сам протокол.
Разве данная программа разбирает какието протоколы? Она отталкивается от алиасов для некоторых чисел.
Каким образом навешивание алиаса на номер порта "разбирает протокол" - загадка :)
| | |
| |
| 5.31, Sw00p aka Jerom (?), 15:30, 02/07/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Разве данная программа разбирает какието протоколы? Она отталкивается от алиасов для некоторых
> чисел.
вот и написал "прям ngfw какой-то", то есть - не разбирает протоколы, но оперирует понятием сервисов (аппликейшенов)
> Каким образом навешивание алиаса на номер порта "разбирает протокол" - загадка :)
ну как минимум "разбирает протокол" уровней L3/L4
| | |
|
|
|
|
| |
| |
| 3.81, pfg21 (ok), 14:56, 04/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
 ну дык истинный бог. который онные атомы для оберток и наштамповал.
управлять, расти тебе дитятко до ентого... еще долго и трудно...
| | |
|
|
| 1.9, Аноним (9), 13:16, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
И насколько роняет производительность эта безопасность. В ядре безопасности роняющее производительность, в интерфейсах.
Плотиш тыщи лиш бы не логало - современный мир.
| | |
| 1.15, ixpert (?), 13:56, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Динамически изменять правила пакетного фильтра через D-Bus - это так важно для сервера потому что там ничего не меняется после установки, и этот фоновый процесс обязательно нужен вам. Мне нет, сразу удаляю.
| | |
| |
| 2.22, Аноним (63), 14:32, 02/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
Кроме твоего локалхоста существует ещё столько всего — целый мир! Подрастешь, пойдешь работать и сам увидишь.
| | |
| |
| 3.27, ixpert (?), 15:16, 02/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
ваша убогая шутка про localhost настолько в тему, что это убожество только и запускать на localhostе из за кучи гуевых программок которым вдруг понадобился входящий трафик.
| | |
| |
| 4.67, Аноним (67), 18:59, 03/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
здесь это самая уместная шутка, ведь уровень комментаторов ей полностью соответствует
| | |
|
| 3.38, Aninim (?), 17:44, 02/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
вообще все настройки делаютя на фаерволах инфраструктуры (циски жуниперы брокейды ил хуавеи - кому что нравится/купили) а не на серверах
да и с кубом он сам всем управляет сетью без шаловливых ручек одмина
| | |
| |
| 4.71, Аноним (71), 20:29, 03/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
А вот и мамкины ибэшники подъехали, у которых внутри домашнего ланчика фаерволлы не нужны.
| | |
|
| 3.74, bOOster (ok), 11:29, 04/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Это точно, поголовно лезут в IT даже те кто ничерта в этом не понимает и в целом не хотят понимать. В результат выплывают вот такие вот поделки. Облегчить жизнь лохам и осложняющую серверную платформу в принципе.
| | |
|
|
| |
| 2.25, Sw00p aka Jerom (?), 14:57, 02/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Если ссх не на 22 порту, оно сработает?
конечно, откроет вам тупо 22 порт, тут список /usr/lib/firewalld/services/
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>SSH</short>
<description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
<port protocol="tcp" port="22"/>
</service>
| | |
| |
| 3.92, Аноним (90), 10:22, 05/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
Так для этого поддерживается добавление своего сервиса sshd-my-cool-port...
| | |
|
|
| 1.17, псевдоеимус (?), 14:14, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
мало того, что убогое, так еще завязано на дбус.
и после этого линуксоиды смеются над 3 пакетными фильтрами в бзде.
| | |
| |
| 2.39, Anonimussh (?), 17:48, 02/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
я кайфую от PF особено его таблички искаропки, и не надо, что то типа ipset городить
| | |
| 2.68, Аноним (67), 19:00, 03/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> мало того, что убогое,
твою биографию тут все уже наизусть знают
| | |
| |
| 3.83, BorichL (ok), 15:52, 04/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
 В базовой системе конечно нет, нахрена там этот дерибас? Уязвимости собирать? Если тебе надо dbus - ставишь из портов, а так ну нахрен он например в FAMP'е?
| | |
|
|
| 1.28, ыы (?), 15:21, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Это же классно! Можно описать сервисы своими именами потом выдавать команды
"firewall-cmd --add --service=ПолетШмеляНадГранатом"
| | |
| |
| 2.40, нига (?), 17:49, 02/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
залетаешь такой и начинает исслудование и раскопки что и где накручено наверчено
| | |
| 2.93, Аноним (90), 10:24, 05/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Это фигня. Куда важнее фича что можно открыть порт на минуту или на 10 минут, типа нужно что-то проверить или эксперимент произвести, а потом не забывать закрыть. Вот firewalld сам закроет ка было через заданное время.
Очень полезная фича при поиске неясных проблем.
| | |
| |
| 3.94, gapsf2 (ok), 11:26, 05/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
 Вот наивные - думают, что это некий эксклюзив firewalld и что только благодаря firewalld такое возможно.
Это не так.
Реализовано это (может быть) с помощью возможностей ipset: при добавлении в список можно указать таймаут, по истечении которого элемент будет удален из списка *автоматически* (т.е. ядром).
Ну и очевидно, примитивно манипуляцией правилами iptables/nftabels через cron.
| | |
| |
| 4.95, Аноним (90), 12:36, 05/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Брр. Почему *только*?
Это очевидно делается руками или через крон. Просто firewalld делает это автоматически, убирая риски забывчивости. Типа "вот мне порт открыть на минуту, погонять iperf" а потом гоняем 5 минут и забываем. Ну от этого открытого порта проблем не будет, но ситуации разные бывают. Вы что, думаете кто-то полезет крон джоб писать каждый раз для этого?
А тут эта фича ничего не стоит в плане усилий, добавил --timeout и оно само выключится.
| | |
|
|
|
| 1.30, ыы (?), 15:28, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб
Прекрасно. Главное не узнать что пользоваться алиасами вовсе не обязательно (это опция а не требование), и можно указывать именно IP-адреса, сетевые интерфейсы и номера портов.
| | |
| |
| 2.33, Sw00p aka Jerom (?), 15:32, 02/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Прекрасно. Главное не узнать что пользоваться алиасами вовсе не обязательно (это опция
> а не требование), и можно указывать именно IP-адреса, сетевые интерфейсы и
> номера портов.
у микроскопов тоже есть такая опция как забивать гвозди.
| | |
|
| 1.36, Аноним (36), 17:23, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
iptables/nftables и так обновляют правила в ядре без разрыва соединений.
nftables точно загружает новый набор правил транзакционно.
С этой точки зрения ничего, что нельзя сделать при помощи iptables/nftables/ipset, в firewalld нет.
И зоны там дурацкие.
Лучше непосредственно юзать iptables/nftables или на крайняк shorewall.
Вот я давно писал как логично можно организовать правила
http://handmade-linux-firewall.narod.ru/
| | |
| |
| 2.41, Аноним (36), 18:03, 02/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
И, да, firewalld это просто обертка, которая генерит набор правил iptables/nftables из своего формата конфигурации и как именно эти правила организованы и насколько эффективно - это вопрос требующий изучения.
Документация очень слабая
| | |
| |
| 3.51, An0nim0us (?), 20:15, 02/07/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
Изучал что эта обертка генерит на выходе - ужаснулся и после этого на норм проектах стараюсь не юзать. Что б было понятно вместо 5 строчек которые вы бы написали без нее - это чудо генерит в 20 раз больше и многое из того что получаем просто нах не нужно.
| | |
|
| 2.45, ыы (?), 19:26, 02/07/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Более того, при попытке сделать конфигурацию отличную от "локалхост хомячка" - тут же оказывается что весь сахар этой обертки - исчезает бесследно, и нужно описывать все как и раньше, построчно, без всяких алиасов, указывая порты, ip, и протоколы...
| | |
|
| 1.42, BrainFucker (ok), 18:17, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Добавлены сервисы с поддержкой gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly
Э... то есть там для каждого приложения нужна своя поддержка? Ужас какой...
| | |
| |
| 2.98, Аноним (90), 22:30, 06/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
Речь просто про более фичастый вариант бывшего /etc/services (который некорректен в плане tcp/udp, смешивает в кучу абстрактные протоколы и конкретные программные реализации, плохо отражает приложения которым нужно более одного порта и тп). Т.е. да, поддерживается список определений, какие порты какое приложение требует. Они в раздельных файлах, поэтому определение может идти в конкретном приложении, а не общем firewalld.
| | |
|
| 1.44, Аноним (44), 19:25, 02/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Когда сделают фильтр по имени процесса, просящего доступ в сеть? Чтобы я себе мог просто белы список процессов составить.
Столько лет Линуксу, а такой базовой фичи нет для пользователя недоверенных программ. Может я чего не понимаю.
| | |
| |
| 2.46, ыы (?), 19:27, 02/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
Когда доля линукса на десктопе станет больше погрешности измерения - сразу же появится... Наверное :)
| | |
| 2.50, slepnoga (??), 19:44, 02/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
>Когда сделают фильтр по имени процесса, просящего доступ в сеть..
сделали, примерно в 2005-м году.И даже как всегда,более чем одним способом.
| | |
| 2.52, gapsf2 (??), 21:27, 02/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
С этим все непросто.
Когда-то можно было фильтровать по pid, но это убрали.
И прям по имени процесса или файла скорее всего никто никогда в ядре уже делать не будет, т.к. с точки зрения ядерщиков, все что можно сделать в юзерспейс не надо тащить в ядро.
Кроме того имя процесса/команды неоднозначно: их может быть несколько.
Для входящих соединений определить процесс, который получит пакет в общем случае затруднительно.
В любом случае придется самому мастерить, сам я таким не занимался.
На данный момент с помощью iptables можно фильтровать по
-m cgroup --path...
По сути это все, что доступно непосредственно по процессам.
1 Пробовать/смотреть куда системд пихает процесс в cgroups и использовать -m cgroup --path если получится
2 Пробовать по разному использовать network namespaces
https://unix.stackexchange.com/questions/68956/block-network-access-of-a-proce
Причем в каждом пространстве имен собственные интерфейсы, таблицы маршрутизации и набор правил фаервола.
Наверное это самый перспективный и гибкий вариант.
3 Запускать приложения под другим пользователем и использовать для фильтрации
-m owner...
4 Пробовать selinux, apparmor, ясно что это гемор, хотя...
https://askubuntu.com/questions/679474/how-to-block-internet-access-for-an-app
Т.е. apparmor настроить не очень сложно и можно прям по путям в фс огрничения делать.
Тоже неплохой вариант.
5 Пробовать готовые проги, я нашел
https://github.com/evilsocket/opensnitch
https://douaneapp.com/
Эти проги gui и интерактивные, как именно они реализуют этот функционал - над смотреть исходники.
Как видно вариантов много, поэтому ждать реализации этого прямо в ядре+iptables/nftables нет смысла.
| | |
| 2.58, john_erohin (?), 07:43, 03/07/2022 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> фильтр по имени процесса
на винде это уже проходили.
через несколько итерций пришли к подписанным бинарникам или хэшам.
не надо так.
| | |
| 2.59, Аноним (59), 09:44, 03/07/2022 [^] [^^] [^^^] [ответить] | +/– | Вы хотите аналог Windows Filtering Platform В Windows много файрволов, но один ... большой текст свёрнут, показать | | |
| 2.72, Аноним (71), 20:32, 03/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Когда сделают фильтр по имени процесса, просящего доступ в сеть?
Когда ты опишешь надёжный, непротиворечивый и невзламываемый метод определения имени процесса. В любой ОС на выбор.
| | |
| |
| 3.73, ыы (?), 09:25, 04/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Зачем его "определять"? Он известен изначально.
Вы вероятно думаете, что процесс инициируется в момент появления пакета на интерфейсе? Тоесть ничего небыло и вдруг:
Пакет на интерфейсе!!! ААААА!!! Что с ним делать !??!! ...ааааа..паника.. откуда взялся этот пакет !?? ... ааааа [стук головы об радиатор процессора]... что делать??
Такое да? :)
В момент появления пакета на интерфейсе - за ним уже давно наблюдали, и откуда он взялся хорошо известно. Просто в винде файрвол писали для людей, а в линуксе - для маршрутизатора ...
Как только количество линуха на десктопе превысит погрешность измерения - ктото озаботится и напишет обертку под механизмы которые в ядре были давным давно и которую гордо назовет НекстГенерейшенЮзерАппликейшенФайрвол...
| | |
|
| 2.79, Аноним (78), 14:14, 04/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
>Может я чего не понимаю.
Башескритования не понимаешь. Можно по PID. А чтобы его получить, есть Bash.
| | |
| 2.84, BorichL (ok), 15:57, 04/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
Вероятно ты вообще слабо понимаешь, что это, зачем это и как всё это работает. Хомячковый фаерволл вобщем то занимает всего несколько строк правил и достаточен для одминов локалхоста и территориально расположен в его роутере.
| | |
| |
| 3.88, ыы (?), 20:34, 04/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
это в линухе так. файрвол стоит "гдето там на роутере и имеет пару правил".
А в нормальной адекватной ОС- файрвол стоит на компе юзера, и педантично управляет допуском и блокированием работы с сетью каждого конкретного процесса в системе.
| | |
| |
| 4.89, BorichL (ok), 21:07, 04/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
> это в линухе так. файрвол стоит "гдето там на роутере и имеет
> пару правил".
> А в нормальной адекватной ОС- файрвол стоит на компе юзера, и педантично
> управляет допуском и блокированием работы с сетью каждого конкретного процесса в
> системе.
Насчёт адекватности такой ОС есть большие сомнения. Ну для мамкиного хакера такая может и пойдёт. А обычному юзеру этот типа фаерволл нахрен не упёрся, юзеру надо, чтобы работало, а не пыталось блокировать то, что он хочет.
| | |
|
|
|
| 1.60, Аноним (-), 11:35, 03/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
> Для изменения конфигурации межсетевого экрана также может использоваться графический интерфейс firewall-config (GTK) и апплет firewall-applet (Qt).
Спасибо, не знал, что интерфейсы есть!
| | |
| 1.65, Annno (?), 16:09, 03/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
firewalld - пришло твое время.
p.s. этож все для неосиляторов nftables/iptables
nftables учат походу только ботаны
| | |
| 1.76, pfg21 (ok), 12:09, 04/07/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
т.е. если я файл своей кривой поделки проименую ssh то получу все возможности ssh, однако мысль мне нравитца.
| | |
| |
| 2.77, ыы (?), 13:22, 04/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
>т.е. если я файл своей кривой поделки
Да.
>проименую ssh
Ну допустим...
>то получу все возможности ssh,
Схуали?
>однако мысль мне нравитца.
Штирлиц подумал мысль... Ему понравилось и он подумал еще :)
| | |
| |
| 3.82, pfg21 (ok), 14:59, 04/07/2022 [^] [^^] [^^^] [ответить]
| +/– |
срояли йопт, оно ж того именования сервисов читает, а эта вещчъ гвоздями не прибитая.
| | |
| |
| 4.87, ыы (?), 20:31, 04/07/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> именования сервисов читает
из простого текстового файла, который никакого отношения ни к реальным сервисам, ни к ИМЕНАМ ФАЙЛОВ не имеет.
| | |
|
|
|
|
