| 1.1, Аноним (1), 22:42, 11/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Люблю этот файрвол. Простой как сапог, как полено. Именно таким и должен быть файрвол для здоровых людей, ведущих активный образ жизни (не за канпуктерами то бишь).
| | |
| |
| 2.2, Аноним (2), 22:51, 11/07/2024 [^] [^^] [^^^] [ответить]
| +13 +/– |
Всё хорошо, только первое что делается в новых инсталляциях:
systemctl disable firewalld
| | |
| |
| |
| 4.4, Аноним (4), 22:56, 11/07/2024 [^] [^^] [^^^] [ответить]
| –6 +/– |
Потому что используется nftables/iptables, зачем же ещё. Это как с селинуксом.
| | |
| |
| |
| 6.23, Аноним (23), 05:06, 12/07/2024 [^] [^^] [^^^] [ответить]
| –4 +/– |
если бы, убиться проще.
и вообще лишь бы аппармор не пользоваться.
| | |
| |
| 7.41, Аноним (41), 09:21, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Суицид не выход. Надо просто немного почитать документацию на SELinux. Все чичтать не надо, достаточно понимать 10% чтобы держаться на воде и все будет хорошо.
| | |
|
| 6.42, Аноним (42), 09:27, 12/07/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Отлично настраиваются миллионы вещей в мире. Это не значит, что их надо все настраивать.
| | |
| |
| 7.48, Аноним (48), 10:07, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
У вас роутер случаем не зуксель? Почему-то сразу об этом подумал.
| | |
| |
| 8.102, Аноним (102), 16:59, 12/07/2024 [^] [^^] [^^^] [ответить] | –2 +/– | Ну я сам как-нибудь решу, чё мне настраивать И в индустрии люди грамотные разбе... текст свёрнут, показать | | |
|
|
| 6.147, Аноним (147), 10:36, 16/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> SELinux отлично настраивается
... автором ПО.
А если автор не настроил, то будет много поисковой деятельности, чтобы выловить всё, к чему обращается это ПО.
Что делает SELinux бесполезным, неприменимым.
| | |
|
| 5.15, noc101 (ok), 01:20, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
 > Потому что используется nftables/iptables, зачем же ещё. Это как с селинуксом.
Глупостями занимаются люди. Не умеют готовить просто.
| | |
| |
| 6.43, Аноним (42), 09:29, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Профит от firewalld не очевиден, поэтому и занимаются. Проверенные решения для которых уже есть ансибл скрипты и гигатонны мануалов предоставляют такую же функциональность. Так что все логично.
| | |
| |
| 7.47, User (??), 09:42, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Господи. Ему уже хорошо так больше 10 лет - давно и документация, и скрипты, и мануалы в наличии, но нет. "Лошадь себя еще покажет! - а в этой вашей фигне с колесами не понятно, куды овес класть..."
| | |
| |
| 8.56, Аноним (56), 10:28, 12/07/2024 [^] [^^] [^^^] [ответить] | +/– | так 42й аноним и не говорил, что нет скриптов или мануалов Просто профит от при... текст свёрнут, показать | | |
| |
| 9.63, User (??), 10:48, 12/07/2024 [^] [^^] [^^^] [ответить] | +/– | Уфффф Firewalld если что - старше nftables, а iptables и вовсе уже не устанав... текст свёрнут, показать | | |
| |
| |
| 11.74, User (??), 12:00, 12/07/2024 [^] [^^] [^^^] [ответить] | +/– | Ухтыжлапочка А что там по дефолту в FC18 в 2013 году воткнуто было не напомнишь... текст свёрнут, показать | | |
| |
| |
| 13.97, User (??), 15:18, 12/07/2024 [^] [^^] [^^^] [ответить] | +/– | А хз если честно В rhel оно в районе 8 2 доехало, чотам в федоре было не особо ... текст свёрнут, показать | | |
|
|
| 11.81, Anm (?), 12:43, 12/07/2024 [^] [^^] [^^^] [ответить] | +1 +/– | А что так сразу домохозяйкам Мне вот поначалу давным давно очень даже зашёл g... текст свёрнут, показать | | |
|
| |
| 11.98, User (??), 15:24, 12/07/2024 [^] [^^] [^^^] [ответить] | +1 +/– | Не-не-не Вот почему с iptables на nftables мигрировать окнорм и не надо про ав... текст свёрнут, показать | | |
| |
| |
| 13.108, User (??), 19:20, 12/07/2024 [^] [^^] [^^^] [ответить] | +/– | Нет, если вы с дивана nm выпилили, net-tools установили и ifconfig ом сеть конф... текст свёрнут, показать | | |
| |
| |
| |
| |
| 17.119, User (??), 08:24, 13/07/2024 [^] [^^] [^^^] [ответить] | +/– | Какая-то шизофрения, простите Ещё раз - выбираете дистрибутив и используете _ег... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
| 8.103, Аноним (102), 17:01, 12/07/2024 [^] [^^] [^^^] [ответить] | +/– | Да хоть 100 лет, непонятно зачем он нужен, когда есть такие же решения, под кото... текст свёрнут, показать | | |
| |
| 9.107, User (??), 19:18, 12/07/2024 [^] [^^] [^^^] [ответить] | +/– | Нет, если вы с дивана nm выпилили, net-tools установили и ifconfig ом сеть конф... текст свёрнут, показать | | |
| |
| |
| 11.118, User (??), 08:21, 13/07/2024 [^] [^^] [^^^] [ответить] | +/– | А ip по сравнению с ifconfig - является и несёт А nm по сравнению с ifcfg-eth0 ... текст свёрнут, показать | | |
| |
| |
| 13.131, User (??), 19:08, 13/07/2024 [^] [^^] [^^^] [ответить] | +/– | Так не пользуйтесь ip - и проблем с отображением не будет, делов-то Еще и скрЫп... текст свёрнут, показать | | |
|
| 12.130, нах. (?), 16:34, 13/07/2024 [^] [^^] [^^^] [ответить] | +/– | внезапно, да Это прямой интерфейс к механизмам ядра, а не прослойка поверх прок... большой текст свёрнут, показать | | |
| |
| 13.132, User (??), 19:16, 13/07/2024 [^] [^^] [^^^] [ответить] | +/– | Для _программиста_ возможно - а для пользователя не все ли равно, прослойка , ... большой текст свёрнут, показать | | |
| |
| 14.137, нах. (?), 00:23, 14/07/2024 [^] [^^] [^^^] [ответить] | +/– | А пользуемому и не надо задавать такие вопросы Пусть дальше смотрит свой тик-то... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 6.149, Аноним (147), 10:42, 16/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> Потому что используется nftables/iptables, зачем же ещё. Это как с селинуксом.
> Глупостями занимаются люди. Не умеют готовить просто.
Как по памяти написать анти-DDoS правило... С хорошим логгированием, чтобы в логи не чрезмерно часто записывало... С переключениями на лету.
Ищут простых решений сложных ситуаций. Но такой софт если хороший, то будет сложен как ЛибреОФис, например. Либо будет тяжёлый в настройке. Либо будет уметь кроме HTTP и ICMP, да и только.
| | |
| |
| 7.158, noc101 (ok), 15:00, 16/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>>> Потому что используется nftables/iptables, зачем же ещё. Это как с селинуксом.
>> Глупостями занимаются люди. Не умеют готовить просто.
> Как по памяти написать анти-DDoS правило... С хорошим логгированием, чтобы в логи
> не чрезмерно часто записывало... С переключениями на лету.
> Ищут простых решений сложных ситуаций. Но такой софт если хороший, то будет
> сложен как ЛибреОФис, например. Либо будет тяжёлый в настройке. Либо будет
> уметь кроме HTTP и ICMP, да и только.
Точно также как и везде.
| | |
|
|
|
| 4.32, Diozan (ok), 08:02, 12/07/2024 [^] [^^] [^^^] [ответить]
| –3 +/– |
 Это, наверное, такой вид садо-мазохизма. Установить сервис, а потом сделать ему systemctl disable... На вопрос - А зачем устанавливал, ответа, думаю, не последует. А может устанавливать под дулом пистолета заставляют?
| | |
| |
| 5.44, Аноним (42), 09:30, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Наверное потому что в рхел, центос и пр. оно ставится по умолчанию, не?
| | |
| |
| 6.70, Аноним (69), 11:25, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вы дали ответ для человека-разумного. Автор поста, на который Вы ответили, из другой эволюционной ветки гоминоидов.
| | |
|
| 5.52, Соль земли (?), 10:20, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
firewalld используется в CentOS, а там по умолчанию все новые пакеты ставятся disabled
| | |
| |
| 6.78, Аноним (77), 12:23, 12/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну вот правильно же выше написали: "А может устанавливать под дулом пистолета заставляют?"
| | |
| 6.124, Аноним (124), 11:31, 13/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Пакеты, которые не были установлены в системе, конечно, disabled. А все предустановленные, включая firewalld, конечно, enabled.
| | |
|
|
|
| |
| 4.72, Аноним (69), 11:28, 12/07/2024 [^] [^^] [^^^] [ответить]
| –3 +/– |
В первом предложения использовано будущее время - заявляются намерения. Во второй используется прошедшее - дается описание свершившимся фактам.
Вы осознаёте то, что пишите?
| | |
| 4.125, Аноним (124), 11:34, 13/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ты на своей собственной дженту или ещё какой слаке можешь как угодно развлекаться.
| | |
|
| 3.71, Аноним (71), 11:26, 12/07/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
И правильно делают.
Еще одна правильная "настройка":
apt purge firewalld / dnf remove firewalld
Этот "велосипед" с квадратными колёсами, у которого ещё и "руль" спрятан. Как там трассировать пакеты по правилам? Для более менее гибкой настройки оно переизобретает всё то, что уже есть в nftables, но без счётчиков и прочих плюшек. За ради почему? Зачем тогда учить два синтаксиса, если можно просто один раз изучить nftables и собрать на нём хоть чёрта лысого без всяких жирных демоном на пухтоне?
| | |
| |
| 4.126, Аноним (124), 11:39, 13/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Одно у тебя для настройки и чтобы правила не слетали, а с другого собирай статистику сколько влезет если так нужно. Никто nft list ruleset у тебя не отбирает.
| | |
| |
| 5.151, Аноним (147), 10:48, 16/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
"ruleset" может быть очень сложен, после автогенератора правил, учитывающего все возможные случаи и удобства неизвестного заранее пользователя. А тогда "nft list ruleset" НЕполезен из-за монструозности правил автогенератора.
Keep it simple. Или придётся городить второй Apple, до размера которого сабжу как до соседней планеты.
| | |
|
|
|
| 2.46, Аноним (46), 09:37, 12/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Абсолютно уродский и непонятный интерфейс.
1) В какой зоне я сейчас нахожусь? ХЗ.
2) Как посмотреть правила для определенной зоны? ХЗ.
3) Где посмотреть текущие правила? ХЗ.
4) Что такое permanent и runtime правила и вообще зачем это надо? ХЗ.
Откройте Windows Firewall - да, одна тупая страница со всеми правилами и всё понятно.
| | |
| |
| 3.51, Аноним (48), 10:18, 12/07/2024 [^] [^^] [^^^] [ответить]
| +5 +/– |
1) --get-default-zone что бы узнать зону по умолчанию, а вообще это интерфейсы в разных зонах, если их больше одного
2) --zone={имя зоны} --list-all
3) --list-all - для дефолтной, --list-all-zone - для всех зон
4) правила которые сохранятся или не сохранятся при перезапуске сервиса (или перезагрузке системы). зачем сбрасывать правило при рестарте, ну как минимум можно все настроить, проверить, и только после этого сохранить как постоянные.
| | |
| |
| 4.64, Аноним (64), 11:03, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Чувак, да я сам с нуля накатал правила что для iptables, что для nftables. Там всё чётко и понятно и нет гор мусора. Не надо мне эту пар*шу непонятную.
Оно нелогично и слишком сложно, точка. Сделали для якобы упрощения, а получилось в итоге хуже.
Ещё раз, глянь на Windows Firewall и сразу станет очевидно, что там делали для людей, а в Линуксе надмозги сделали для надмозгов.
Единственно, недавно понял, что правила для ip6 немного неправильные (раньше работали) - после 15 минут отладки всё заработало, после чего IPv6 отключил к чертям, ибо оно несовместимо с VPN. Трафик течёт. Конечно, можно изгаляться и отключать IPv6 после подключения к VPN, но это может нечаянно сломаться с любой момент, поэтому к чёрту.
| | |
| |
| 5.135, Аноним (135), 21:05, 13/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>Оно нелогично и слишком сложно, точка
Не осилил, ясно. Сразу бы с этого начал.
| | |
| 5.136, Аноним (136), 23:01, 13/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Золотые слова бро! ППКС
В виндовс файрвол настраивается и используется интуитивно, отличный инструмент, образец как надо делать что то для обычных пользователей.
Те у кого настройка чего либо (не работа) это хобби/работа это отдельная тема.
| | |
| 5.140, Sem (??), 00:33, 15/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Что за ерунда с несовместимостью ipv6 и VPN? Может маршрутизацию просто настроить?
| | |
|
|
|
| |
| 3.88, Аноним (88), 13:33, 12/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Такая же фигня как firewalld.
Не должно быть у менеджера сетевых правил "интерфеса", точка.
Вы создаёте правила и говорите, либо оно для всех, либо для одного.
Всё это должно быть в одном понятном списке:
https://i.sstatic.net/soWUR.png
Вот это предельно ясно и понятно и можно отсортировать любым способом.
| | |
| |
| 4.104, Аноним (48), 17:37, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Не должно быть у менеджера сетевых правил "интерфеса", точка.
Так их и нет в firewalld. Есть правила зоны.
> Вы создаёте правила и говорите, либо оно для всех, либо для одного.
Ну, то есть либо ты открываешь порт "со всех доступных сторон", либо не открываешь совсем? Я понимаю, что идея что компьютер может исполнять роль гранчиного фаервола на стыке двух и более сетей - дикая, для этого нужно D-Linkпокупать, да?
> Вот это предельно ясно и понятно и можно отсортировать любым способом.
А уж компьютер без гуя вообще от лукавого? "New-NetFirewallRule -DisplayName "Allow HTTP" -Protocol TCP -LocalPort 80 -Action Allow" сильно проще и удобнее.
| | |
| |
| 5.133, нах. (?), 20:15, 13/07/2024 [^] [^^] [^^^] [ответить] | +/– | для этого достаточно правил форварда Отдельных совершенно от правил доступа И ... большой текст свёрнут, показать | | |
|
|
| 3.99, 111 (??), 15:29, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
 > gshorewall
Прочитал как "КошерВолл". Подумал, что надо бы ещё и "ХаляльВолл" придумать.
| | |
|
|
| |
| 2.17, Аноним (69), 02:29, 12/07/2024 [^] [^^] [^^^] [ответить]
| –3 +/– |
Точно подмечено. Что ожидать от псевдофайрвола, который не использует ip-адреса, но зато позволяет открыть проходной двор по названию службы? И нужна ли вообще эта нелепая прокладка между командной строкой и iptables/nftables.
systemctl stop firewalld - это безальтернативное действие.
| | |
| |
| 3.19, Аноним (7), 04:04, 12/07/2024 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> не использует ip-адреса
Что, не дочитал до ipset? Ну бывает…
| | |
| |
| 4.65, Аноним (69), 11:11, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Укажи мне, где в тексте новости сказано про ipset. Или видишь то, чего нет, включая белочек? Ну бывает.
| | |
| |
| 5.106, Аноним (48), 17:52, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Бывает другое, что не все что есть в софте написано в новости про обновление версии. А то боюсь представить, как ты сильно расстраиваешься с каждой новости по обновлению ядра, ведь новые драйвера появляются на одну версию и потом пропадают, да?)
| | |
| |
| 6.146, Аноним (69), 10:34, 16/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Специалист по обновлению драйверов? :)
Зачем людям, знающим iptables/nftables читать руководства для домохозяек?
| | |
| |
| 7.150, нах. (?), 10:45, 16/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Специалист по обновлению драйверов? :)
> Зачем людям, знающим iptables/nftables читать руководства для домохозяек?
затем что ты только что нес дезинформацию, что "там нет адресов" про утилиту "для домохозяек".
А теперь хочешь чтобы кто-то поверил что ты что-то знаешь кроме iptables/nftables/кунфу/джиу-джитсу и еще десятка страшных слов.
| | |
|
|
|
|
| 3.134, нах. (?), 20:43, 13/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Точно подмечено. Что ожидать от псевдофайрвола, который не использует ip-адреса
а если найду?!
firewall-cmd --zone=ssh-access --add-source=127.0.0.0/8
(да, это феерично криво, и ломает его интеграцию с nm, но так - можно)
> И нужна ли вообще эта нелепая прокладка между командной строкой и iptables/nftables.
судя по тому что ты ниасилил даже ман прочитать - таким вот точно нужна. Потому что удержать в голове весь миллион кракозябов конфига nft ты точно не сможешь и какую-то фигню нагородишь.
| | |
| |
| 4.152, Аноним (69), 10:50, 16/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> firewall-cmd --zone=ssh-access --add-source=127.0.0.0/8
А точно ли есть какой-то смысл в сей поделке, когда вариант:
iptables -p 6 --dport 22 -s 127/8 -j ACCEPT
и короче и сразу в байт-код, минуя прокладку в виде firewalld?
Если только польза нумерофобам, которым не удержать в голове номера портов, но при этом тарабарщина вида "zone=ssh-access" вызывает какие-то ассоциативные ряды.
| | |
| |
| 5.157, нах. (?), 12:46, 16/07/2024 [^] [^^] [^^^] [ответить] | +/– | и сразу не работает Поправил, не благодари iptables -p 6 --dport 22 -s 127 8 -... большой текст свёрнут, показать | | |
|
|
|
| 2.57, Соль земли (?), 10:28, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Нет. firewalld или ufw - по умолчанию закрыты, как ipfw. Поэтому приучают открывать только нужное.
| | |
|
| 1.10, Аноним (10), 23:43, 11/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Если в установке по умолчанию в Убунте посмотреть список портов, на которых кто-то слушает, то там будут всякие DHCP, mdns, domain, ipp и может быть еще что-то. Эти вещи как-то приписаны в фаервол? Или каждый порт надо будет добавлять руками?
| | |
| |
| 2.14, cheburnator9000 (ok), 00:38, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
 Дефолтные правила должны мейнтейнеры пакетов добавлять в свои пакеты сами. Возможно они там есть но это не факт, в убунте же ufw.
| | |
| |
| 3.79, нах. (?), 12:24, 12/07/2024 [^] [^^] [^^^] [ответить]
| –4 +/– |
и зачем ему 'ufw' is not recognized as an internal or external command,
operable program or batch file ?
А устанавливать убунту ради посмотреть ответ на этот вопрос - да, может и не позволять, дело долгое, нервотрепное, а до начала шаббата уже меньше пол-дня.
Но забавно что здешние горе-фанаты шва6одки не знают ответ.
| | |
|
|
| 1.11, Аноним (11), 23:53, 11/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений
Бла-бла-бла. Типа, какая крутая штукенция, но при этом тут же указаны dbus и код на питоне. Да лучше без фонового процесса, без d-bus и питона, но с разрывом соединений. Лучше заново коннект установить, чтоб этот треш в системе иметь
| | |
| |
| 2.12, Аноним (1), 23:58, 11/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> лучше без фонового процесса
IPC организовывается фоновыми процессами.
> без d-bus
D-Bus -- важнейший компонент десктопного (и не только) линукса. Смирись. Да и реализовывать свой собственный нескучный IPC уже не круто.
> и питона
Питон в данном случае не мешает.
| | |
| |
| 3.61, Соль земли (?), 10:33, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> IPC организовывается фоновыми процессами.
нет, он организовывается механизмами в ядре линукс (сокеты, системные вызовы)
| | |
| |
| 4.80, Аноним (77), 12:28, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Механизмами ядра организовывается транспортный уровень. Прикладной уровень организовывается таки (фоновыми) процессами в пользовательском пространстве.
| | |
| |
| 5.86, Соль земли (?), 13:04, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Необязательно. Если я создал сокет для соединения с mysql, то для этого не нужен ещё один процесс.
| | |
|
|
|
| 2.36, нах. (?), 08:27, 12/07/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
> динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил
> пакетного фильтра и без разрыва установленных соединений
"Шеф, может скажем им?"
> Бла-бла-бла. Типа, какая крутая штукенция, но при этом тут же указаны dbus и код на питоне.
не имеющие ни малейшего отношения к тому что выше процитировано. Вот вообще.
Кстати, и про имена сервисов в общем-то то же самое. iptables прекрасно может в getservicebyname без дерьмобасов и пихонов.
А в целом лучше не говорить. Улыбаемся и машем.
| | |
| |
| 3.37, Аноним (11), 08:54, 12/07/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Не понимаю почему тебя здесь не любят. Правильно же все говоришь
| | |
| |
| 4.40, нах. (?), 09:13, 12/07/2024 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> Не понимаю почему тебя здесь не любят. Правильно же все говоришь
"вот за это и не любят"
| | |
| |
| 5.109, _ (??), 19:28, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Дык необходимость в "похвалят" с возрастом сильно снижается ... :)
А постит он обидную правду исключительно из вредности характера, впрочем как и я, к примеру :-)
| | |
|
|
|
|
| 1.16, Аноним (16), 01:43, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
да да, крутая штукенция не умеющая закрывать доступ на уровне отдельных приложений.
| | |
| |
| 2.18, Аноним (69), 02:33, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ну как же, ведь они доросли в 2024-ом, что добавили owner. Каждому приложению свой owner, как в Android, и будет Вам счастье.
| | |
| |
| 3.20, Аноним (20), 04:12, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
В 2024 уже есть готовый opensnitch и конструктор eBPF. А вот кому нужен этот firewalld, когда порт можно легко открыть одной командой в консоли или строчкой в конфиге с помощью штатного nftables? Причем без Python, DBUS, регистрации и СМС. Загадка.
| | |
| |
| 4.143, Аноним (124), 15:37, 15/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> В 2024 уже есть готовый opensnitch и конструктор eBPF. А вот кому
> нужен этот firewalld, когда порт можно легко открыть одной командой в
> консоли или строчкой в конфиге с помощью штатного nftables?
Контейнерным движкам, например, чтобы сетью через библиотеку рулить.
| | |
|
|
| 2.25, User (??), 05:15, 12/07/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Так это не к firewall претензия, а камень в огород модели безопасности Linux. Или вам две охапки костылей подавай? Так один opensnitch у нас уже есть - так нужный так нужный, что нафиг никому не нужный судя по его отсутствию в дефолтах дистрибутивов...
| | |
| |
| 3.54, iCat (ok), 10:25, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
 >...камень в огород модели безопасности Linux.
Если я правильно понимаю, то ты знаешь где модель безопасности хороша?
Скажи, будь добр, где?
| | |
| |
| 4.60, User (??), 10:31, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>...камень в огород модели безопасности Linux.
> Если я правильно понимаю, то ты знаешь где модель безопасности хороша?
> Скажи, будь добр, где?
Прям "хороша" - вряд-ли, но сильно-сильно-афффигеть-как-сильно лучше - знаю. Предполагаю, что и ты знаешь... Но ни за что не ПРИзнаешь).
| | |
| |
| |
| 6.95, User (??), 15:10, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> А что тут признавать? Голословные утверждения админов локалхоста?
Действительно. Ведь каждый не-админ не-локалхоста твёрдо знает, что ничего лучшего, чем реализованная в ядре linux'а модель безопасности нет и быть не может вот просто по тому, что. Сияющий (злые языки клевещут, что местами конечно "зияющий" - но кто из не-админов не-локалхоста их слушает?) идеал достигнут - нет предмета обсуждения.
| | |
|
|
|
| 3.75, нах. (?), 12:11, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
ну ты же понимаешь что в שtable api nonsense ни одно жевтоне не пострадало бы, если бы в skbuf (или что оно там через фиревал таскает) добавили лишнее поле "pid" и заставили бы conntrack его заполнять.
Модель осталась бы той же. И для других костыликов это сто раз делали.
> Так один opensnitch у нас уже есть - так нужный так нужный, что нафиг никому не нужный
Потому что копирует именно ненужное какввенде.
(при этом в венде-то работает, но эту часть так просто не скопировать)
| | |
| |
| 4.83, Аноним (77), 12:48, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>если бы в skbuf (или что оно там через фиревал таскает) добавили лишнее поле "pid"
А для chain FORWARD куда добавить? В заголовок IP ещё одно поле? :)
| | |
| |
| 5.85, нах. (?), 12:57, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
а какое отношение фовард имеет к локальным процессам и юзерам?
| | |
| |
| 6.145, Аноним (124), 15:45, 15/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> а какое отношение фовард имеет к локальным процессам и юзерам?
Виртуалки, контейнеры. Из того, что первое на ум приходит.
| | |
| |
| 7.153, нах. (?), 10:52, 16/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> а какое отношение фовард имеет к локальным процессам и юзерам?
> Виртуалки, контейнеры. Из того, что первое на ум приходит.
в контейнере нет настоящего forward, это такой скрытый от юзера input (причем у ip есть связнаная с этим неприятная фича... э... не будем снабжать ненужным знанием местных "специалистов", пусть дальше думают что DROP в forward их от чегототам защитит). Чисто технически - в этом случае все работает точно так же.
Виртуалка - отдельная операционная система, и должна иметь собственный input фильтр, разумеется, если тебе хочется поуправлять на уровне отдельных процессов.
| | |
|
|
|
| 4.110, _ (??), 19:36, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>добавили лишнее поле "pid" и заставили бы conntrack его заполнять
Вроде кто то делал уже.
Но это не сосем то - pid разный на каждом перезапуске. Другой токен нужен, и тут ... внезапно винда вперде! :)
Ну и всякое делойтное что сидит на линуксе и делает вид что оно НЕ :) И кстати - ложат (кладут?) на GPL с особым цынизмом, они вам софт не поставляют, а ведро не под AGPL.
| | |
| |
| 5.112, нах. (?), 19:54, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Но это не сосем то - pid разный на каждом перезапуске.
ну это же ж - мы его запускали, мы ведь запускали, ГА?!
Т.е. обертку для отслеживания именного своего pid я и на баше напишу, это как раз все просто.
(ну а изменения в продукт вторичный от rhbm+microsoft, норовящий запускать бинарники по своему усмотрению, пусть вносит соответствующий сотрудник microsoft, на зарплате)
| | |
|
|
|
|
| 1.87, Аноним (87), 13:06, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Человеческий сетевой экран с контролем отдельных приложений и соеднинений?
| | |
| |
| 2.113, нах. (?), 19:55, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Человеческий сетевой экран с контролем отдельных приложений и соеднинений?
ручным? Нет, это нечеловеческий.
| | |
|
| 1.91, xsignal (ok), 13:50, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > в виде обвязки над iptables
А чем iptables не устраивает без всяких обвязок?
| | |
| |
| 2.128, еропка (?), 14:29, 13/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Хотя бы тем, что в Шляпе, начиная с версии 8 (а стало быть во всех ее многочисленных клонах) нету никакого iptables. nftables там
| | |
| |
| 3.144, Аноним (124), 15:42, 15/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Хотя бы тем, что в Шляпе, начиная с версии 8 (а стало
> быть во всех ее многочисленных клонах) нету никакого iptables. nftables там
Уже нигде нет никакого iptables, даже на олдстейбле дебиана. Есть какой-то слой совместимости, который транслирует команды и правила iptables в понятные nftables. Все, кто "пользуется iptables" используют именно его.
| | |
| |
| 4.154, нах. (?), 11:00, 16/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Уже нигде нет никакого iptables, даже на олдстейбле дебиана. Есть какой-то слой
А если найду?
> совместимости, который транслирует команды и правила iptables в понятные nftables. Все,
только он не работает, поэтому пользоваться им невозможно. Модные современные тяпляперы ведь не имеют привычки ничего доделывать нормально, хвост задрал, навалил кучку и убежал по веткам дальше.
> кто "пользуется iptables" используют именно его.
Разумеется, нет.
Те кого пользуют - тех да, они ничего и не заметят, им и не видно что х-й в оппе сменился.
cat /etc/*ease
PRETTY_NAME="Debian GNU/Linux 11 (bullseye)"
lsmod
Module Size Used by
ipt_REJECT 16384 2
nf_reject_ipv4 16384 1 ipt_REJECT
xt_tcpudp 20480 12
xt_state 16384 0
xt_conntrack 16384 2
iptable_filter 16384 1
xt_nat 16384 1
iptable_nat 16384 1
lrwxrwxrwx 1 root root 25 Feb 16 2023 /etc/alternatives/iptables -> /usr/sbin/iptables-legacy
сильно сомневаюсь что в 12м что-то радикально изменится.
Пока в ведре не доломают окончательно.
| | |
| 4.155, Аноним (69), 11:17, 16/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Да нифига не так. Есть модули netfilter x_tables и nf_tables, которые прекрасно поддерживаются на ядре 6.10, и могут сосуществовать. Есть утилиты для взаимодействия с модулем x_tables - iptables, и nf_tables - nftables и iptables-nft.
А дальше пользуетесь тем, что знаете. Чего не хватает - доустанавливаете.
Статичный пакет проходит через оба модуля, приоритет отдается запрету. Маскарадный пакет обрабатывается в приоритете модулей.
Приоритет модулей устанавливается числом. Если память не изменяет, у nf_tables это 0, у x_tables - то ли -1, или -100.
| | |
| |
| 5.156, нах. (?), 12:15, 16/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Да нифига не так. Есть модули netfilter x_tables и nf_tables, которые прекрасно
> поддерживаются на ядре 6.10, и могут сосуществовать. Есть утилиты для взаимодействия
> с модулем x_tables - iptables, и nf_tables - nftables и iptables-nft.
не переживай, это - ненадолго. Тяпляперам спать мешает мысль о том что они еще что-то работающее не доломали окончательно.
| | |
|
|
|
|
| 1.129, Рокки (-), 14:30, 13/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В современном KDE есть графический файрволл в меню настроек - это обвязка над чем? Над firewalld?
| | |
| |
| 2.138, Аноним (124), 12:06, 14/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Насколько я помню, морда к firewalld есть только одна и она была на gtk.
| | |
|
|
