Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Выпуск пакетного фильтра nftables 0.4, opennews (ok), 17-Дек-14, (0) [смотреть все] Наконец-то маскарад доделали, а то вообще неприлично было , ACCA (ok), 00:09 , 17-Дек-14, (1) +3 А шейпинг встроили , Аноним (-), 01:02 , 17-Дек-14, (2) // Dummynet, не , Аноним (-), 01:20 , 17-Дек-14, (4) man tc же , Аноним (-), 13:29 , 17-Дек-14, (19) За это отвечает другая подсистема ядра QoS Зачем дублировать функциональность , Аноним (-), 12:21 , 19-Дек-15, (74) Всё бы хорошо, но чертовы правила, состоящие из слов в одном регистре как-то оче, Crazy Alex (ok), 01:16 , 17-Дек-14, (3) // Отправляйся-ка SQL читать, дядя Нечего нам здесь регистры менять , Аноним (-), 06:20 , 17-Дек-14, (5) –6 ИМХО дело привычки Зато правила стали лаконичней и уютно структурируются, а не , llolik (ok), 08:43 , 17-Дек-14, (7) +2 // У народа какой-то патологический сидром футуризма - всё, что новое по определени, pavlinux (ok), 12:39 , 17-Дек-14, (14) +2 // Выстрой-ка пооптимальнее, чтобы нагрузка на процессор была поменьше Напиши комм, Аноним (-), 14:26 , 17-Дек-14, (20) Зачем комментарии, там в командах все написано Вот тут ещё можно, пару строчек , pavlinux (ok), 22:59 , 17-Дек-14, (34) Вот это удобно, да , Аноним (-), 06:03 , 18-Дек-14, (39) Там просили чтобы нагрузка на процессор была поменьше , pavlinux (ok), 15:21 , 18-Дек-14, (43) Открою страшную тайну - можно было просто правило с -i lo перенести повыше, чтоб, Аноним (-), 15:38 , 18-Дек-14, (51) Наглядно на тему работая над кодом програмы её можно ускорить на 10-15 , а рабо, Аноним (-), 17:10 , 18-Дек-14, (53) cat proc net ip_conntrack 124 wc 30 420 4478cat proc net ip_connt, pavel_simple (ok), 17:24 , 18-Дек-14, (56) Вы таки полагаете, что доказали одним конкретным случаем некую всеобъемлющую зак, Аноним (-), 18:03 , 18-Дек-14, (60) я таки пологаю что Павлин троль, накинул так, что никто и не заметил потому-чтоi, pavel_simple (ok), 18:27 , 18-Дек-14, (63) Хм, и правда Значит, фиговый из павлина переводчик На чем основано такое заявле, Аноним (-), 19:26 , 18-Дек-14, (64) на опыте -- ибо это МСЭкто сказал , pavel_simple (ok), 19:41 , 18-Дек-14, (66) Доколе вы будете читать мои примеры как Святое писание D Начинали по CodingSty, pavlinux (ok), 18:49 , 20-Дек-14, (69) Павлин -- а это ты точно мне пейсал -- а то я чито-то не понимаю всмысле ничег, pavel_simple (ok), 20:42 , 20-Дек-14, (70) Открою вторую страшную тайну, можно ещё lo в raw в NOTRACK запихнуть Чтобы во, AlexAT (ok), 21:29 , 18-Дек-14, (67) +1 Эталонное насрано с мешаниной из больших и маленьких букв в качестве optional-, User (??), 15:24 , 17-Дек-14, (24) Видишь ли, в этом насрано глав мгновенно выхватывает ESTABLISED,RELATED - и , Crazy Alex (ok), 19:32 , 17-Дек-14, (29) Вот только все остальные, хвала Аллаху, милостивому и милосердному, привычку выд, User (??), 21:30 , 17-Дек-14, (31) –1 Чё ты гонишь Видимо них я не читаешь доки, книги, маны Ну так забей в гугле , pavlinux (ok), 23:08 , 17-Дек-14, (35) То-то, я смотрю, большинство админов настраивает iptables методом бездумной , Аноним (-), 15:41 , 18-Дек-14, (52) getopt Что в ответ может предложить носитель языга , Аноним (-), 06:32 , 18-Дек-14, (41) Bison , Аноним (-), 15:26 , 18-Дек-14, (45) Ну-ну , Аноним (-), 21:32 , 20-Дек-14, (71) С непонятно кем встроенными бекдорами Читай недавнюю новость на opennet Поэт, Аноним (-), 12:36 , 19-Дек-15, (75) Спорим, что конфиг будет очень критичен к количеству отступов от края, и если кт, Адекват (ok), 07:31 , 18-Дек-14, (42) –6 Вы проиграли И так будет с каждым, кто не читал, но осуждает , Аноним (-), 15:32 , 18-Дек-14, (48) +1 Там блоки формируются с помощью Так что не надо сравнивать с Питоном , Аноним (-), 12:42 , 19-Дек-15, (76) Когда всё, что нужнодля понимания, в одной строке, а не в начале блока, находяще, Crazy Alex (ok), 13:08 , 17-Дек-14, (15) А чё толку, те же яйцы, только капслок держатьnft ADD SET FILTER set1 TYPE IPV, pavlinux (ok), 12:21 , 17-Дек-14, (13) +1 // Смотря как капсы расставлять Но мне в прицнипе не нравится, что подумали об у, Crazy Alex (ok), 13:11 , 17-Дек-14, (17) // Айпитаблес - и для машины не удобен, ибо длинные цепочки правил все нагибают и з, Аноним (-), 13:23 , 17-Дек-14, (18) Только когда дизайнили новое - о машине подумали, а о человеке не особенно, Crazy Alex (ok), 15:12 , 17-Дек-14, (22) Умалишённые - не люди О нормальных людях подумали , Аноним (-), 06:04 , 18-Дек-14, (40) –1 Мы, умалишенные, не согласный с вашим не толерантным комментарием Держите минус, Аноним (-), 15:24 , 18-Дек-14, (44) Это в тебе гармонЪ играет, половое созревание, то-сё Ну ниче, вырастишь, пой, Аноним (-), 17:20 , 18-Дек-14, (54) +2 Парадокс в том, что большинство людей в данном случае оказались по одну сторону , Аноним (-), 18:05 , 18-Дек-14, (61) Да ладно вам спорить Радуйтесь, что не XML-е , Аноним (-), 21:42 , 18-Дек-14, (68) Такому админу для настройки фаервола нужен эникей-ассистент, который будет стоят, Аноним (-), 15:36 , 18-Дек-14, (50) // Стесняюсь спросить ЧЕМ у вас админ фаервол настраивает , Аноним (-), 17:22 , 18-Дек-14, (55) Эээм а как вы книжки читаете , User (??), 14:35 , 17-Дек-14, (21) +3 // Отлично читаю Абзацы, большие буквы, знаки препинания, приличный шрифт и тому п, Crazy Alex (ok), 15:14 , 17-Дек-14, (23) // Ну вот вам в примере выше все перечисленное, кроме разве что больших букв code , User (??), 15:32 , 17-Дек-14, (25) +2 Еще раз объясняю В варианте iptables для того, чтобы найти нужный участок, прав, Crazy Alex (ok), 20:26 , 17-Дек-14, (30) Ах вот откуда берутся м Hчудаки, которые пишут названия таблиц капсом, из-за чег, Аноним (-), 15:35 , 18-Дек-14, (49) А ты парсер и форматер написал, чтоб сделай мне красива было Мне правильный S, pavlinux (ok), 00:56 , 18-Дек-14, (36) +2 Первое больше похоже на nftables, второе больше похоже на iptables ИМХО , Аноним (-), 15:28 , 18-Дек-14, (46) Очень надеюсь что павлин - хороший мaльчик и вложенные селекты и юнион выделил е, Аноним (-), 17:28 , 18-Дек-14, (57) Открою вам страшную тайну синтаксис nftables надо не парсить глазами , а прост, Аноним (-), 15:31 , 18-Дек-14, (47) // В большинстве случаев правила файрволла читать сплошняком как раз не нужно Ну, Crazy Alex (ok), 19:33 , 18-Дек-14, (65) пейсать и фантацировать это не одно и то-же BPF зачастую реализуется в виде вирт, pavel_simple (ok), 08:19 , 17-Дек-14, (6) И чем оно лучше PF , я (?), 08:44 , 17-Дек-14, (8)   // в отличие от PF у nftables нет фатального недостатка , savant (ok), 09:16 , 17-Дек-14, (9) +1   Кстати да, меня тоже поражает стремление лялексоедов запилить очередной ни с чем, Аноним (-), 17:12 , 17-Дек-14, (27)   // как давно PF имеет возможность обрабатывать на разных ядрах есть аналог TPROXY, , pavel_simple (ok), 17:27 , 17-Дек-14, (28) +4   // gt оверквотинг удален Ээээм Cisco IOS А от desktop ного, мать его за ногу, , User (??), 21:38 , 17-Дек-14, (32) –2   gt оверквотинг удален тот, кто считает что для десктопного юзера можно ждать, pavel_simple (ok), 21:52 , 17-Дек-14, (33)   Не так давно Это про знание каратэ, джиу-джитсу, айкидо и других страшных слов , Аноним (-), 17:50 , 18-Дек-14, (58)   в каком слове оригинального вопроса шла речь о синтаксисе как в рамках указанно, pavel_simple (ok), 17:57 , 18-Дек-14, (59) +1   Еще скажите, что оно нормально масштабируется хотя бы на 4-6 ядер DОчевидно, во, Аноним (-), 18:10 , 18-Дек-14, (62) +1   Покажите мне пример конфига Netfilter, и я скажу - практически применимо или нет, robux (ok), 09:16 , 17-Дек-14, (10) // D , pavlinux (ok), 12:17 , 17-Дек-14, (12) // Странный конфиг, Crazy Alex (ok), 13:10 , 17-Дек-14, (16) +2 // Метка же, GOTO D DGOTO , pavlinux (ok), 00:58 , 18-Дек-14, (37) +1 Оно конечно правильно, но подскажите что там с маркировкой пакетов для tc ip ro, anonymousZ (?), 16:01 , 17-Дек-14, (26) // А по мануалить b meta b code length Length of the packet in bytes meta leng, pavlinux (ok), 01:03 , 18-Дек-14, (38) а как он скриптуется например, в iptables можно так iptables -F wan_in_fltfor s, Аноним (-), 17:51 , 21-Дек-14, (72) // ты только-что понтанулся неумением пользоваться netfilter ом нищим тут не подаю, pavel_simple (ok), 18:23 , 21-Дек-14, (73) 1,2,3,6,8,10,26,72

Сообщения

[Сортировка по времени | RSS]

8. "Выпуск пакетного фильтра nftables 0.4"	+/–
Сообщение от я (?), 17-Дек-14, 08:44
И чем оно лучше PF?
Ответить | Правка | Наверх | Cообщить модератору

	9. "Выпуск пакетного фильтра nftables 0.4"	+1 +/–
	Сообщение от savant (ok), 17-Дек-14, 09:16
	в отличие от PF у nftables нет фатального недостатка.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от Аноним (-), 17-Дек-14, 17:12
	Кстати да, меня тоже поражает стремление лялексоедов запилить очередной ни с чем не совместимый кривой велосипед вместо того, чтобы взять готовое проверенное годами решение вроде PF,
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	28. "Выпуск пакетного фильтра nftables 0.4"	+4 +/–
	Сообщение от pavel_simple (ok), 17-Дек-14, 17:27
	> Кстати да, меня тоже поражает стремление лялексоедов запилить очередной ни с чем > не совместимый кривой велосипед вместо того, чтобы взять готовое проверенное годами > решение вроде PF, как давно PF имеет возможность обрабатывать на разных ядрах? есть аналог TPROXY, RATEEST, NETMAP, cgroup, bpf, audit, cluster, owner ... десятки их? как насчёт побыстрому налабать свой модуль без пересборки ядра? как там с NAT/statefull filter tftp/sctp/sip/h323/pptp? как у вас теперь с поддержкой списков ip/сетей/портов/меток/комбинаций_вышеперечисленного ? покажите наконец ваш некривой велосипед -- то-то ляликсоиды подивяться
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Выпуск пакетного фильтра nftables 0.4"	–2 +/–
	Сообщение от User (??), 17-Дек-14, 21:38
	>[оверквотинг удален] >> не совместимый кривой велосипед вместо того, чтобы взять готовое проверенное годами >> решение вроде PF, > как давно PF имеет возможность обрабатывать на разных ядрах? > есть аналог TPROXY, RATEEST, NETMAP, cgroup, bpf, audit, cluster, owner ... десятки > их? > как насчёт побыстрому налабать свой модуль без пересборки ядра? > как там с NAT/statefull filter tftp/sctp/sip/h323/pptp? > как у вас теперь с поддержкой списков ip/сетей/портов/меток/комбинаций_вышеперечисленного > ? > покажите наконец ваш некривой велосипед -- то-то ляликсоиды подивяться Ээээм... Cisco IOS? А от desktop'ного, мать его за ногу, linux'а хочется иметь firewall, правила которого можно с минимальными усилиями читать глазами, править пальцами (Не ломая их при этом) и понимать головой (Среднестатистического пользователя). Простые вещи должны делаться просто, сложные - немного сложнее, вместо этого... ну вы видите. "ЗАТО ИЗ ЭТОГО МОЖНО СОБРАТЬ АДРОННЫЙ КОЛЛАЙДЕР!!111"
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от pavel_simple (ok), 17-Дек-14, 21:52
	>[оверквотинг удален] >> как там с NAT/statefull filter tftp/sctp/sip/h323/pptp? >> как у вас теперь с поддержкой списков ip/сетей/портов/меток/комбинаций_вышеперечисленного >> ? >> покажите наконец ваш некривой велосипед -- то-то ляликсоиды подивяться > Ээээм... Cisco IOS? > А от desktop'ного, мать его за ногу, linux'а хочется иметь firewall, правила > которого можно с минимальными усилиями читать глазами, править пальцами (Не ломая > их при этом) и понимать головой (Среднестатистического пользователя). Простые вещи должны > делаться просто, сложные - немного сложнее, вместо этого... ну вы видите. > "ЗАТО ИЗ ЭТОГО МОЖНО СОБРАТЬ АДРОННЫЙ КОЛЛАЙДЕР!!111" тот, кто считает что "для десктопного юзера" можно ждать какое-то понимание какого-то там синтиксиса pf/ipfw/netfilter/nftables/cisco_acl просто малолетний чудак. при чём тут ось для коммутаторов/маршрутизаторов? на какой вопрос вы ответили написав про иос?
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от Аноним (-), 18-Дек-14, 17:50
	> как давно PF имеет возможность обрабатывать на разных ядрах? Не так давно. > есть аналог TPROXY, RATEEST, NETMAP, cgroup, bpf, audit, cluster, owner ... десятки Это про знание каратэ, джиу-джитсу, айкидо и других страшных слов? :) > покажите наконец ваш некривой велосипед -- то-то ляликсоиды подивяться Выдыхай бобёр. Речь о синтаксе конфиг файла, я щщетаю :) что у pf-а оно более для людей. Тчк.
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	59. "Выпуск пакетного фильтра nftables 0.4"	+1 +/–
	Сообщение от pavel_simple (ok), 18-Дек-14, 17:57
	> Речь о синтаксе конфиг файла, я щщетаю :) в каком слове оригинального вопроса шла речь о синтаксисе? как в рамках указанного синтаксиса (pf) можно использовать отдельные модули обработки трафика?
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Выпуск пакетного фильтра nftables 0.4"	+1 +/–
	Сообщение от Аноним (-), 18-Дек-14, 18:10
	> Не так давно. Еще скажите, что оно нормально масштабируется хотя бы на 4-6 ядер :D >> есть аналог TPROXY, RATEEST, NETMAP, cgroup, bpf, audit, cluster, owner ... десятки > Это про знание каратэ, джиу-джитсу, айкидо и других страшных слов? :) Очевидно, возможности нормального фаервола для любителей pf выглядят как нечто заоблачное. > Выдыхай бобёр. Речь о синтаксе конфиг файла, я щщетаю :) что у > pf-а оно более для людей. Тчк. Это ваше личное мнение. А у других людей оно может быть и другое, и даже прямо противоположное :)
	Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема