forum.opennet.ru

"Для ядра Linux предложен новый пакетный фильтр bpfilter"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для слежения за появлением новых сообщений в нити, нажмите "Проследить за развитием треда".

. "Для ядра Linux предложен новый пакетный фильтр bpfilter"	+/–
Сообщение от пох (?), 22-Фев-18, 20:39
> 2018, а фаерволлы до сих пор не умеют в правила per file и per process без костылей потому что как в 78м не было в ip пакете, нипаверишь, ну никаких указаний какому такому "файлу" или "процессу" он должен быть доставлен, так и в 2018м нет. И если при отправке исходящего пакета еще как-то можно привязать к нему метку (в пяти разных местах, потому что есть примерно пять разных способов создать исходящий пакет), то при получении, когда мы даже еще точно не знаем, наш ли это пакет вообще (это решение может определиться тоже аж на трех разных этапах, из-за манглинга, ната и маршрутизации), увы, без тотальной переделки стека с полной деградацией производительности - никак. да и смысла особого уже нет. Будущее за application firewalls, пакетные фильтры свое отжили.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Для ядра Linux предложен новый пакетный фильтр bpfilter, opennews, 21-Фев-18, 22:16 [смотреть все]

Какая у них интеллектуальная дискуссия, а был бы Линус обозвал бы всех макаками, mimocrocodile, 21-Фев-18, 22:16 (1) //
- Если б они сказали Мы запилили новый bpfilter, с новой версией все старые iptab, Аноним, 22-Фев-18, 14:36 (92) //
  - Да их и сейчас не лишне назвать Потому что если вгружать мутные блобы из юзермо, Аноним, 24-Фев-18, 19:56 (154)
какая свежая идея, бинго, vitalif, 21-Фев-18, 22:25 (2) //
- И почему-то не слышно воплей что бсд не нужен Все аналитики в школе , anonymoused, 22-Фев-18, 16:27 (96) //
  - В Беркли всё ещё химичат с алгоритмами TCP IP, так-как у них актуальны проблемы , Джон Ленин, 23-Фев-18, 11:37 (127)
  - А что, нужен Кому и нахрена Они могут делать хоть что-то лучше других Грантое, Аноним, 24-Фев-18, 20:19 (157)
А как жо Firewalld , Аноним, 21-Фев-18, 22:32 (3) //
- надстройка над Iptables же, Аноним, 21-Фев-18, 22:45 (5) //
  - вот-вот Сразу видна квалификация -d разработчиков только очередную обертку и , Аноним, 22-Фев-18, 07:16 (33) //
    - Кроме оберток и не нужно ничего да и обертка не нужна, впилили бы механизмы заг, Аноним, 22-Фев-18, 10:08 (45)
      - Может пиплам некогда заниматься тестированием, да и рисковано , Аноним, 22-Фев-18, 13:06 (80)
      - Механизмы есть, см как реализовано в redhat Пипл оценил, что в новом фаерволе, anonymoused, 22-Фев-18, 16:32 (98)
    - Блин, httpd - обертка над протоколом http оказывается А что до квалификации, fi, Аноним, 23-Фев-18, 02:26 (118)
  - который в свою очередь надстройка над netfilter, Alex_hha, 22-Фев-18, 13:00 (76)
тык чтоже nftables учить или нет , Аноним, 21-Фев-18, 22:40 (4) //
- systemd-tables учи заранее , EuPhobos, 22-Фев-18, 09:24 (39) //
  - Который будет всего-лишь парсером конфигов с их ивент-активацией Pulse vs, Джон Ленин, 23-Фев-18, 11:55 (129)
  - Эврика, пойду фичреквест на гитхабе закатаю , Аноним, 24-Фев-18, 04:19 (144)
Например, API iptables не предоставляет способа добавления или замены единичног, cat666, 21-Фев-18, 22:58 (7) //
- Не путайте API iptables и утилиту iptables Из FAQ 4 5 Is there an C C API fo, Аноним, 21-Фев-18, 23:18 (9) //
  - Спасибо за грамотный ответ Не думал, что всё так запущено , cat666, 21-Фев-18, 23:20 (10) //
    - Года 4 назад обсуждали тут Обсуждали код, не слова из мануала, а код Логика рабо, ананим.orig, 22-Фев-18, 13:00 (74)
      - Как соблюсти последовательность и логику при добавлении правилаи не запороть , Аноним, 22-Фев-18, 13:09 (81)
        
        Добавляй user define chains на каждый случай , anonymoused, 22-Фев-18, 16:36 (99)
        ну, все операции атомарны и thtrad safeа логику 8212 а вам то за что з п плат, ананим.orig, 22-Фев-18, 23:42 (115)
        Использовать -I CHAIN номер-правила вместо -A CHAIN , XoRe, 24-Фев-18, 16:25 (147)
      - Что, всего половину логики программы iptables надо написать, а не всю Офигитель, Аноним, 23-Фев-18, 02:29 (119)
  - а в чем и зачем там вообще весь api , если правила добавлять он не умеет И кому, пох, 22-Фев-18, 00:28 (14) //
    - простите, что именно используется и где мысль о том, что где-то можно хранить ор, DPDKguy, 22-Фев-18, 11:28 (56)
      - нет, я не идиот Это не оригинальный набор правил , в этом все и дело Если я из, пох, 22-Фев-18, 12:28 (60)
        
        сложно вам, наверное начать можно с того, что просто хранить текущий рулесет в я, DPDKguy, 22-Фев-18, 12:45 (66)
        
        Просто только простейшим Вон амёбы, как выяснили британские учонные Tm - всегд, _, 22-Фев-18, 19:10 (108)
- При добавлении еденичного правила, iptables выгружает через api весь набор прави, Riv1329, 22-Фев-18, 07:10 (32) //
  - Ну дык это блобик загружаемый в ядро И только особо приближенные понимают как, Аноним, 22-Фев-18, 09:17 (38)
  - там есть commit то есть оно почти-атоммарное И внутри оно немножко менее , пох, 22-Фев-18, 12:31 (61) //
    - Ну то-есть ты сам описал предпосылки почему systemd должен стать центральным дис, Аноним, 24-Фев-18, 19:59 (155)
Когда пробую новую конфигурацию добавляю правила по-одному Неужели при этом все , Аноним, 21-Фев-18, 23:25 (11) //
- Да, именно так все и происходит, Аноним, 22-Фев-18, 00:50 (17)
- Да, но пофиг, - реальных проблем с производительностью это не создает, Аноним, 22-Фев-18, 05:23 (27) //
  - Только накопленная статистика слетает, а так ничего , DeadLoco, 22-Фев-18, 09:51 (43) //
    - раньше, вплоть до 2 6 27 не слетала, Аноним, 22-Фев-18, 09:58 (44)
- Тут проблема в чем В том, что многие забывают, что система слегка не однозадач, КО, 26-Фев-18, 10:17 (159)
Опять этот троян Усложненный синтаксис и встроенный троян, сомнительные такие до, EHLO, 21-Фев-18, 23:55 (12) //
- почему троян , АНОНИМ, 22-Фев-18, 13:12 (83) //
  - Самосгенерированный код будет выполняться в режиме ядра и парсить заголовки кажд, EHLO, 22-Фев-18, 17:04 (106) //
    - спасибо за пояснение, АНОНИМ, 22-Фев-18, 18:43 (107)
    - А то, что статические правила существуют сначала в виде текста, и после парсинга, Джон Ленин, 23-Фев-18, 11:52 (128)
      - Бинарник 8800 исполняемый код Текстовые правила в обоих случаях статические , EHLO, 23-Фев-18, 12:45 (132)
        
        Ну согласен же, не говоря о том, что выполняющийся в машине код должен иметь п, Аноним, 23-Фев-18, 16:21 (135)
        Генерящийся код может быть следствием псевдо-ооп, когда ветвящийся процесс обща, Джон Ленин, 23-Фев-18, 22:17 (142)
Потому-что iptables знакомый во всех местах, существует тонна документации, прим, asdasdasd, 22-Фев-18, 00:23 (13) //
- если вы используете генераторы , то вам должно быть глубоко похрен apt-get upgr, пох, 22-Фев-18, 00:40 (15) //
  - Чукча не мыслитель, чукча писатель ГОТОВЫЕ утилки которые генерируют iptables , sadasd, 22-Фев-18, 02:46 (19) //
    - пока ещё - убунопроблемы У меня в демьянах кое где вообще по крону , ., 22-Фев-18, 03:11 (23)
    - я и говорю - своими мозгами вы _даже_ это сгенерировать не можете, вам подавай , пох, 22-Фев-18, 09:04 (36)
      - Вот вот, плохие новости, НО вот оно это но как всегда в самый неподходящий моме, Аноним, 22-Фев-18, 09:31 (40)
        
        конечно А разработчики не любят лишний раз морщить ум свои-то ценные идеи куд, пох, 22-Фев-18, 12:36 (63)
        
        Справедливости ради стоит отметить, что разработчики ведут себя так при явной по, anonymoused, 22-Фев-18, 16:45 (100)
    - Что-то надобие sbin iptables -F sbin iptables -A INPUT -p tcp --tcp-flags ALL N, Аноним, 22-Фев-18, 16:29 (97)
      - Что действительно надо, так это перед типичным для линуксойдов изобретением вело, anonymoused, 22-Фев-18, 16:51 (102)
        
        Что, ты тоже повзрослел до WinXP, как другой гражданин , Аноним, 24-Фев-18, 20:01 (156)
      - gt оверквотинг удален сблеванул ужасно и крайне неэффективно, DPDKguy, 27-Фев-18, 13:53 (162)
- А где ты видел в IT, в последнее время, здравый ум Чем хуже - тем лучше , ., 22-Фев-18, 03:09 (22)
- Леня и его систымДы , Alex_hha, 22-Фев-18, 13:05 (79)
Эй Я еще с iptables на nftables не переучился , Аноним, 22-Фев-18, 00:50 (16)
Самое приятное в этой ситуации, что на основе этого можно сделать порт pf Чтобы, Anonymous Coward, 22-Фев-18, 01:36 (18) //
- Покажи как в pf conf будет выглядить правило делать MIRROR на все UDP пакеты из, pavlinux, 22-Фев-18, 02:54 (21) //
  - А как в iptables Или ты так, для почесать ниже хвоста , ., 22-Фев-18, 03:12 (24) //
    - Ну, если опустить установку и загрузку необходимых для этого модулей, то как то , angra, 22-Фев-18, 03:44 (25)
      - То есть iptables выполняет ф-цию крона А как же unix-way и все такое , Аноним, 22-Фев-18, 05:33 (28)
        
        В каком месте cron это выполнение действия в определенное время, а здесь одно и, angra, 22-Фев-18, 05:53 (29)
        
        Кеонечно не unixway, поскольку вывод списка файлов это частный случай поиска , Агроном, 23-Фев-18, 07:36 (125)
      - Зачем напрямую дёргать ассемблер iptables, если для декларативного описания це, PnDx, 22-Фев-18, 12:36 (62)
        
        действительно, зачем нужна конфигурация из пяти удобочитаемых строк, когда можн, пох, 22-Фев-18, 12:45 (65)
        
        Вот как раз diff прекрасно выгладит Потому что 1 Декларация модульная Нужное , PnDx, 22-Фев-18, 12:57 (70)
        
        Конечно всем учить iptables не нужно И уж тем более ferm не нужно Для этих нев, angra, 22-Фев-18, 21:58 (112)
        А чего в примере скобки разные Это баг или фича Впрочем у блинлайна, мегавони,, Аноним, 24-Фев-18, 04:32 (146)
        
        Это кривая копипаста А вы таки хотели, чтобы я слил для иллюстрации чуть мень, PnDx, 26-Фев-18, 12:23 (161)
        
        Жжуть,опять маны читать надо , pavlinux, 23-Фев-18, 03:15 (121)
        
        gt оверквотинг удален этот велосипед примерно так же ужасен, как и неэффективе, DPDKguy, 27-Фев-18, 13:55 (164)
      - что за модули , ЫЫЫыыЫЫЫ, 24-Фев-18, 17:15 (149)
        
        поищи extra iptables modules, наноним, 12-Окт-23, 14:51 (171)
    - слив засчитан , pavlinux, 23-Фев-18, 03:05 (120)
      - Слив в чём В том что чел не знал что в иптаблах есть работа с таймстампом В БСД, _, 23-Фев-18, 20:27 (138)
        
        С фига ли Пакеты можно по PID фильтровать Разумеется только для локальных проц, Аноним, 24-Фев-18, 04:23 (145)
        Нет, в Линуксе для этого системы мандатного управления доступом, а не пакетный ф, EHLO, 24-Фев-18, 17:59 (151)
        
        Или просто namespaces То же самое но в 20 раз проше , Аноним, 24-Фев-18, 19:16 (153)
  - что-то наподобие pass quick in proto udp from geoip-cn to any port 0 1023 mi, Аноним, 22-Фев-18, 11:33 (58) //
    - а можно ли показать то же самое, но для трафика внутри gre-туннеля который бегае, DPDKguy, 27-Фев-18, 13:58 (165)
  - Гм Как-то так etc pf conf table geoip-china persist file etc geoip chi, A. Stahl Is Gay, 22-Фев-18, 16:49 (101) //
    - А вот аноним выше уверен, что может При таких разногласиях выходит, что не тако, angra, 22-Фев-18, 22:05 (113)
      - Мб он плохо man прочитал Эта опция там для scrub Почему же , Anonymous Coward, 22-Фев-18, 22:30 (114)
        
        Всё может быть Я pf не знаю и мне не особо интересно, кто из них прав Меня в п, angra, 23-Фев-18, 00:00 (117)
  - Ты злодей , ПавелС, 23-Фев-18, 18:18 (136)
- чтобы ради ftp держать user-space демон, а протоколы посложнее вообще не работал, пох, 22-Фев-18, 09:16 (37) //
  - А демон для ftp тут причем o0Ась gt оверквотинг удален У iptables нет конфига, A. Stahl Is Gay, 22-Фев-18, 16:59 (104) //
    - Аха Что Никогда не понимал таких чудаков Именно это и надо использовать Тольк, Аноним, 27-Фев-18, 16:38 (168)
  - gt оверквотинг удален У меня дак все понятно Я используюсь dns имена и службы, ПавелС, 23-Фев-18, 18:22 (137)
- вы можете прямо сейчас взять nftables и писать в подобном стиле , DPDKguy, 27-Фев-18, 13:54 (163)
Руки прям чешутся всё пихать в ядро , pavlinux, 22-Фев-18, 02:51 (20) //
- Ну прям таки всё Компилять правила в байткод предлается вне ядра Или ты прелае, Аноним, 22-Фев-18, 10:29 (50) //
  - У многих железяк есть схемы PCI - DMA - CPU и обратно , pavlinux, 23-Фев-18, 03:31 (122)
- Если они все сделают по-человечески, кода в ядре станет меньше, потому что все д, A. Stahl Is Gay, 22-Фев-18, 17:01 (105)
Noooo В бытность сетевиком всякие файерволы доводилось настраивать, страшнее ip, leap42, 22-Фев-18, 04:58 (26) //
- я надеюсь, тебя уволили и больше ты к сетевому оборудованию не подходишь Справка, пох, 22-Фев-18, 09:44 (41) //
  - плюсую разделение на таблицы и цепочки, а также модульность сделали iptables ст, Аноним, 22-Фев-18, 10:12 (46) //
    - ipchains, на самом деле iptables скопировал идею, уже годами отлаженную, к сожа, пох, 22-Фев-18, 12:56 (69)
  - gt оверквотинг удален Да, гибкость и возможности всяких тонких настроек в , Аноним, 22-Фев-18, 10:16 (48)
  - То есть с zbfw ты разобраться так и не смог Да и если ты путаешь в одну кучу zb, Pofigist, 22-Фев-18, 10:45 (53)
  - ну-ну давайте изобразите одним правилом разный набор действий на 4 src ip , DPDKguy, 22-Фев-18, 12:26 (59) //
    - угу сэкономим несколько строк в конфиге и получим нечитаемое месиво , Аноним, 22-Фев-18, 12:38 (64)
      - отлично ваш вариант напомню, что у нас 4к адресов ок, префиксов и для каждого, DPDKguy, 22-Фев-18, 12:48 (67)
        
        покажите Я хочу эту образцовую глупость увидеть адреса не показывайте, не хочу, пох, 22-Фев-18, 12:59 (73)
        
        Ну на самом деле может быть 4к _разных_ инспектов Но таки да - глупость ра, Pofigist, 22-Фев-18, 13:03 (77)
        https wiki nftables org wiki-nftables index php Dictionaries, DPDKguy, 27-Фев-18, 14:00 (166)
        можно начать с простого 4k адресов из какой-нибудь 10 8 и такое же количество п, DPDKguy, 27-Фев-18, 14:15 (167)
        
        Ну расскажи по 4к разных action Не умете структурировать задачу Ваши проблемы, Pofigist, 22-Фев-18, 13:00 (75)
  - увольняют и не подпускают к сетевому оборудованию клоунов, которые isr к фаервол, juniper рулит, 22-Фев-18, 12:50 (68) //
    - Стандартный компонент isr - zbfw, рассказать как расшифровывается сия аббревиату, Pofigist, 22-Фев-18, 12:58 (71)
      - а банальнейший nbar мы как iptables ами будем имитировать - цепочку u32 на кажды, пох, 22-Фев-18, 13:04 (78)
        
        Формально nbar - абсолютно отдельная фича, никак не привязанная к ipfw, что разу, Pofigist, 22-Фев-18, 13:18 (84)
  - Бро, дай я тебя обниму Вынуждено приходится настраивать кучу легаси на ipfw с 1, Аноним, 24-Фев-18, 02:05 (143)
- Какой нахрен ты сетевик, если даже примитивный iptables ниасилил D От настрой, pavlinux, 23-Фев-18, 03:40 (123)
Какую задачу решает bpfilter, заменяя iptables и используя правила iptables Щоб, Аноним, 22-Фев-18, 08:30 (34) //
- Там же написано у вас нет гемора с iptables, будет , An, 22-Фев-18, 08:35 (35) //
  - Потому что будет гемор с bpfilter Логично , Аноним, 22-Фев-18, 12:59 (72)
- нет, щоб пропихнуть в ведро эту поделку, а потом радостно клепать интуитивноприя, пох, 22-Фев-18, 09:50 (42)
ух ты, есть же, кто думает пр ообратную совместимость Аргумент весомый, однако Р, Аноним, 22-Фев-18, 10:16 (49)
А что мешает сейчас дополнить этот API соответстующими возможностями , Аноним, 22-Фев-18, 10:40 (52)
И стоило переводить это 1 Со времён 2 4 iptables модули сетевых фильтров могут , Ne01eX, 22-Фев-18, 11:01 (54) //
- стоило - надо ж заранее готовить запасной аэродром э типа, в 2 2 вообще-то бы, пох, 22-Фев-18, 13:09 (82) //
  - емнип, в 2 2 для ipchains были nat-хелперы, но не полноценные модули, как у ipta, Аноним, 22-Фев-18, 13:38 (85) //
    - да и ipchains так себе был - очень мало функционала даже tcp режектить не умел , Аноним, 22-Фев-18, 13:39 (87)
  - Типовая задача - некая IDS обнаруживает аномалиb и дает FW команду блокировать а, Pofigist, 22-Фев-18, 13:39 (86) //
    - ipset, Аноним, 22-Фев-18, 13:47 (88)
      - Разумеется IDS и FW работают на разных машинах И не на одной , Pofigist, 22-Фев-18, 14:24 (91)
        
        ну напиши себе мега-api, которое будет через libastral передавать эту информацию, пох, 22-Фев-18, 20:58 (111)
        
        Я ждал этого ответа Еще раз - там не 2 сарвера, один с IDS, другой с FW - там и, Pofigist, 23-Фев-18, 11:10 (126)
        
        Пока ты выглядишь как диванный аналитик копипастивший тролльные фразочки Вчера б, pavlinux, 23-Фев-18, 12:53 (133)
        
        Нда у всех гордых админов локалоста есть сугубо неправильное мнение что самая, Pofigist, 23-Фев-18, 13:59 (134)
        
        Не, ну конечно с Российским филиалом Horns and hooves Inc тут никто не сравнится, _, 23-Фев-18, 20:38 (139)
        
        Можно логировать пакеты не попавшие в правила Юзерспейсная программа вполне сп, ПавелС, 24-Фев-18, 17:31 (150)
        
        ping -c1 -p 0xdeadbeef 192 168 0 FW Надеюсь обработчик ICMP меток осилишь напис, pavlinux, 23-Фев-18, 03:55 (124)
        
        Злой ты Хотя тяпница и праздник, когда галифе пропей, но , _, 23-Фев-18, 20:39 (140)
        
        Му-ха-ха, с-оптимизировал продай в сразу - пропей , _, 23-Фев-18, 20:41 (141)
      - вероятно, да, один из немногих хороших способов применения этой фигни Хотя я, к, пох, 22-Фев-18, 20:50 (110)
        
        Не бывает хороших хостов - кругом враги До-да - любой хост можно скомпрометиров, Pofigist, 23-Фев-18, 11:57 (130)
Вот Нужен просто компилятор привычных правил iptables nft в bpf плюс возможност, amonymous, 22-Фев-18, 11:32 (57)
2018, а фаерволлы до сих пор не умеют в правила per file и per process без косты, Аноним, 22-Фев-18, 14:11 (89) //
- не осилил - так и скажи, Аноним, 22-Фев-18, 14:20 (90) //
  - если Вы осилили - примеры в студию пожалуйста Единственный способ оградить отде, Аноним, 22-Фев-18, 14:40 (93) //
    - Дали им неймспесы сетевые 8212 нет, не хотим Хотим страдать Ну страдайте, ч, Аноним, 22-Фев-18, 23:57 (116)
      - еще раз - как это решает проблему с запуском гуевого софта от пользователя , Аноним, 23-Фев-18, 12:21 (131)
        
        Так напиши свою запускалку, чтоб запускала файл в определенном неймспейсе И пус, КО, 26-Фев-18, 11:07 (160)
  - Честно пытался, но нишмог, да Меня даже не удивляет, что воз и ныне там В IT во, Аноним, 22-Фев-18, 15:25 (95)
- потому что как в 78м не было в ip пакете, нипаверишь, ну никаких указаний какому , пох, 22-Фев-18, 20:39 (109) //
  - gt оверквотинг удален Входящие соединения конечно анонимны, но для этого тогда, ПавелС, 24-Фев-18, 18:14 (152)
Во времена systemd звучит прямо как фантастика, прямо даже удивительно что ещё г, Аноним, 22-Фев-18, 14:46 (94)
Не знал, что все так запущено , XoRe, 24-Фев-18, 16:27 (148)
Всё было просто замечательно пока я не дочитал до строчки Харальд Вельте По, mumu, 04-Мрт-18, 03:45 (170)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру