forum.opennet.ru

"Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"	+/–
Сообщение от пох. (?), 17-Янв-21, 00:49
очевидно, что это зависит не от количества тысяч строк, а от того, есть у тебя прямо сейчас какие-то проблемы с этим количеством или нет. И не решает ли их просто разнесение по разным веткам, если еще не, или даже переход на ipset (на мой взгляд бесполезен, но на десятке тысяч я не мерял, может и есть какой профит) Скорее всего - управлять этой махиной тебе станет сильно сложнее чем сейчас. Вон, посмотри на этих героев, которым "подсветка синтаксиса" понадобилась, разбираться что они сами же и наколбасили. Я-то обхожусь grep в основном. С другой стороны - legacy версию явно скоро не доломают так просто объявят устаревшей и переезжать куда-то все равно придется. Лично я планирую на промышленные файрволы для периметра, и ufw/firewalld для хостов. Прикрыть пару портов хватит и этого,а ковыряться в кошмарном синтаксисе - пусть пейсбук будет.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7, opennews, 16-Янв-21, 18:37 [смотреть все]

Помню был такой agnitum outpost firewall на окнах Вот такой же на linux надо У, Антонимм, 16-Янв-21, 18:37 (1) //
- Вам надо просто поставить окна Где все как вы любите - удобно, наглядно, и no us, пох., 16-Янв-21, 19:25 (7)
- а чо вы его минусуете Он прав так-то, анон45, 16-Янв-21, 19:30 (8) //
  - У нас УЖЕ есть одна винда И в ней - почти нормальный и почти application firewa, пох., 16-Янв-21, 20:01 (17) //
    - он сам разберется лучше тебя Обернуть те же функции в гуй Не, не линукс-вэй , КО, 17-Янв-21, 05:51 (57)
      - Оно либо примитивное донельзя выйдет, либо толком неуправляемое без справочника , псевдонимус, 17-Янв-21, 15:37 (99)
    - А чего вы так ополчились на мышь , Аноним, 17-Янв-21, 08:46 (63)
    - да это точно на линуксе переписали конфиг в стиле json и будут переписывать , crypt, 17-Янв-21, 15:14 (91)
      - Про pf слышали , Azudim, 18-Янв-21, 11:41 (156)
- Так сделай интерфейс, пришли патч, кто мешает Это опенсорс, детка , Аноним, 16-Янв-21, 19:42 (10) //
  - А эту невероятную херню кто делал Аааа, ну да, ну да - sponsored by facebook Э, пох., 16-Янв-21, 19:59 (16)
- Не поверишь, у меня он сейчас стоит , Аноним, 16-Янв-21, 20:48 (18)
- а куда он, кстати, делся , Космозавр, 16-Янв-21, 23:01 (28) //
  - Яндекс купил Агнитум, потом закрыл его , mikhailnov, 17-Янв-21, 22:52 (136)
- Или как в Comodo, а то достало, одно выучишь, как его дропнули и заменили другим, Пох, 17-Янв-21, 01:48 (47)
- Есть fwbuilder , Old man, 17-Янв-21, 02:38 (48) //
  - Да есть есть еще gufw ИМХО не дотягивают они даже близко до agnitum по удобству , Антонимм, 17-Янв-21, 06:26 (59)
- Хотелось бы что-нибудь типа tinywall, чтобы исходящий траф разрешать только опре, Аноним, 17-Янв-21, 12:55 (81)
- как вы думаете, по какой цене могли бы продавать авторы такого продукта, чтобы е, Роман, 17-Янв-21, 22:15 (134)
- Посмотрите Open Snitch , Cololo, 25-Янв-21, 02:11 (185)
cat etc sysconfig nftables conf table inet filter chain input type filt, leap42, 16-Янв-21, 18:51 (2) //
- Зачем ipv6, или не отключили примочку в ядре для одинаковости ц правил с ipv4 , Аноним, 16-Янв-21, 18:56 (4) //
  - просто клиент при копипасте со стека забыл удалить ненужное Ибо синтаксис г-но и, пох., 16-Янв-21, 19:50 (12) //
    - все очень просто нужен генератор правил типа firehol пусть он делает неоптималь, СеменСеменыч777, 16-Янв-21, 21:17 (20)
      - Сема, в asa линукса на бекплейне , slepnoga, 16-Янв-21, 21:35 (21)
        
        они там используются для сугубо специфической цели - кое-как прочитать с флэшки , пох., 16-Янв-21, 22:10 (22)
        
        так я и написал - на бекплейне Не Микроштык же , slepnoga, 16-Янв-21, 23:04 (29)
        
        Ну вон у ios-xr тоже типа на бэкплейне кто бы понял где у этой штуки бэкплейн ,, пох., 16-Янв-21, 23:16 (33)
        
        В XR QNX на 6 0 Linux только в 6 0 появился И не на бекплейне, а на RSP и про, Онаним, 17-Янв-21, 11:48 (72)
        
        не используется Я, в отличие от некоторых, запускал Единственное, что там от т, пох., 17-Янв-21, 13:22 (84)
        
        Состояние файрвола через мониторинг conntrackd я передавал, да, нужно костылять,, Онаним, 17-Янв-21, 18:25 (110)
    - ASA дерьмо, так-то Всё тот же linux с нескучным синтаксисом конфига, в котором , Онаним, 17-Янв-21, 11:45 (71)
    - ППКС индусские менеджеры из RH мля просто угробить линукс решили , crypt, 17-Янв-21, 15:19 (94)
- А теперь запрети конкретному приложению доступ в сеть на лету, после запуска оно, Аноним, 16-Янв-21, 22:58 (27) //
  - ну брателла, эт тебе в wsl - Там вендофиревалл все это умеет А у этих, л п4 , пох., 16-Янв-21, 23:18 (34)
  - Конечно виндопользователям проще по 10 раз кликать для включение и отключение пр, Аноним, 16-Янв-21, 23:24 (38) //
    - а процесс уже отправил в базу запрос delete from без where Ну, ок, ищи дальше , пох., 17-Янв-21, 01:02 (44)
      - Если ты запускаешь процесс, цель которого дропнуть базу, а ты должен успеть запр, Аноним, 17-Янв-21, 03:41 (51)
        
        цель, вероятно, в чем-то другом, а это специфическая особенность кода, и мы сейч, пох., 17-Янв-21, 10:40 (67)
        
        Как в Винде такая фича реализована , псевдонимус, 17-Янв-21, 16:44 (102)
        
        полное имя - часть контекста процесса, и может быть проверено Для сервисов, где , пох., 17-Янв-21, 18:04 (105)
        
        Мне не совсем ясно, что мешает это реализовать в Лине Т е ядро всегда знает, ка, псевдонимус, 17-Янв-21, 18:27 (111)
        
        вообще-то да, при discard надо же ж снова откуда-то прочитать его код суметь Но , пох., 17-Янв-21, 19:15 (123)
        
        И это получается с помощью системда это должно быть несложно реализовать Н, псевдонимус, 17-Янв-21, 18:36 (112)
        И самое интересное как это должен уметь обработать пакетный фильтр Либо он тол, псевдонимус, 17-Янв-21, 18:41 (113)
        
        только часть Но в принципе, кто тебе в линуксе мешал В контекст процесса мы чи, пох., 17-Янв-21, 18:49 (116)
        
        gt оверквотинг удален В 90-е ч гонял на велике, купался в речьке и стрелял из, псевдонимус, 17-Янв-21, 21:48 (132)
        
        иппать ты лох Ну в смысле - ну в 90е-то легко было промахнуться в выборе та вин, пох., 18-Янв-21, 01:38 (145)
      - надоел man iptables-extensions 124 grep -i uidкак запустить программу или , СеменСеменыч777, 17-Янв-21, 05:03 (53)
        
        взаимно Почему вы такие т-пые и упертые, и не можете признать ни одного недоста, пох., 17-Янв-21, 10:25 (66)
      - Ай, молодец какой - нашёл единственного ответившего, прочёл в его словах то, чег, Tifereth, 17-Янв-21, 05:50 (56)
        
        Каким нормальным бы админ ни был, если он приходит работать в зоопарк , где в, InuYasha, 17-Янв-21, 14:40 (88)
        
        зависит от должности и от масштаба бардака в компании Бывало что и приглашали, пох., 17-Янв-21, 18:07 (106)
        И это не всегда так Конторы иногда переезжают, расширяют офис и т д и т п Вот , Tifereth, 18-Янв-21, 02:16 (147)
  - Берёте дефолтный раымный конфиг для декстопа nft --handle --numeric list table, barmaglot, 17-Янв-21, 08:35 (62) //
    - это разумный Вот этот вот фееричный бред c помощью lsof все понятно Специ, пох., 17-Янв-21, 10:43 (68)
      - tcpdump уже не в моде , Sw00p aka Jerom, 17-Янв-21, 15:39 (100)
        
        Уж хотя бы strace, если мы танцуем от процесса линукс, чай, опять же А то ока, пох., 17-Янв-21, 18:11 (107)
    - Вот это вот дефолтное удолбище - одна из причин, по которой nf так до сих пор и , Онаним, 17-Янв-21, 11:50 (74)
      - вовсе нет Хотя за такое, конечно, отдельно надо кастрировать Дефолтный susefire, пох., 17-Янв-21, 13:30 (85)
        
        Справедливости ради, Подсветочка в mcedit регулярно ломается и на баш-скриптах, InuYasha, 17-Янв-21, 14:46 (89)
        Мнэ А почему у меня это всегда в Debian Ubuntu было Пакет iptables-persistent, flkghdfgklh, 17-Янв-21, 23:51 (139)
        
        И вот какого х-я его нет по умолчанию в любой установленной системе, и надо пойт, пох., 18-Янв-21, 00:33 (140)
        
        С RHEL-5 AFAIR И не забыть service iptables save в конце если ещё от консоли, PnD, 18-Янв-21, 15:36 (167)
        
        если отвалился - после ребута привалится обратно, в том и смысл был я даже не по, пох., 19-Янв-21, 18:03 (178)
        упс, не заметил Чувак, твой rhel5 - это 2010й версия 6 - это на десять лет, пох., 19-Янв-21, 18:06 (179)
        
        Малыш, мне 40 лет Я использую Debian с 2001 года Ты в то время еще не родился , flkghdfgklh, 19-Янв-21, 12:07 (176)
        
        ну и зачем ты тут разговариваешь со своим малышом А я его выбросил окончательн, пох., 19-Янв-21, 18:09 (180)
        
        Упс, а что, оно за те десять лет модули-то грузить так и не научилось Видимо, эт, пох., 18-Янв-21, 01:03 (143)
    - Если с этим pid другое приложение запустилось , Аноним, 17-Янв-21, 12:19 (78)
    - Разумный-то он разумный Вот читать такое и врагу не пожелаешь , псевдонимус, 17-Янв-21, 16:47 (103)
      - Читать-то пожалуйста, заметить что в 16й строчке вместо 0x10 написано 1 - вот эт, пох., 17-Янв-21, 18:53 (118)
  - Для твоей задачи подходят cgroups, или заморачивайся с connection mark если ты , Аноним, 18-Янв-21, 18:02 (172)
- На таком уровне всё элементарно Но это конечный ПК, с одним инетом, без форварда, Random, 16-Янв-21, 23:14 (31)
- Ну и зачем тебе файрвол не на сервере Или у тебя запущены какие-то службы на вн, murmur, 17-Янв-21, 01:37 (46) //
  - я ip-телефонией занимаюсь, у меня, как можно заметить по правилам, часто запущен, leap42, 17-Янв-21, 08:03 (61) //
    - и именно по этой причине единственный на васян-десктопе, в общем-то, опасный про, пох., 17-Янв-21, 11:14 (70)
      - опасный протокол это что у вас во дворе придумали, да ещё раз там торчит клие, leap42, 17-Янв-21, 15:29 (96)
        
        Телефонисты придумали И, самое главное - клиентов понаписали Лучше б уж - во дв, пох., 17-Янв-21, 18:20 (108)
    - Этот порт открыт для всего интернета Файрвол у тебя закрывает все КРОМЕ этого по, mumu, 17-Янв-21, 11:48 (73)
      - он там и ждет весь интернет потому что это десктоп , там логично так сделать, а, пох., 17-Янв-21, 13:14 (83)
      - ещё раз роутер с upnp, он без вопросов прокидывает любые порты любому софту и , leap42, 17-Янв-21, 15:34 (98)
- Для админа да проще А для пользователя нет Что и тормозит использование linux , Антонимм, 17-Янв-21, 06:30 (60) //
  - А у пользователя есть уже целых ДВЕ операционные системы, не считая ведроида, гд, пох., 17-Янв-21, 10:46 (69)
- да не, counter accept comment - счетчик принял коммент че тут непонятного-то , crypt, 17-Янв-21, 15:17 (92)
- Ну страшненькая ведь простынка - , псевдонимус, 17-Янв-21, 15:41 (101)
Тот без антивируса еще который был Знатная вещь , Аноним, 16-Янв-21, 18:52 (3)
Когда уже 1 0 будет Надоела эта вечная бета , Аноним, 16-Янв-21, 18:59 (5) //
- Если не нравится вечная бэтп, то большая часть бесплатных гнулинукс не для тебя , псевдонимус, 16-Янв-21, 19:06 (6)
- о, инвестор нарисовался , пох., 16-Янв-21, 19:55 (14)
- Там ещё дофига фиксить и допиливать , Random, 16-Янв-21, 23:15 (32) //
  - Ну и на фига его тогда везде насовали и заменили работающему iptables , Аноним, 17-Янв-21, 12:23 (79) //
    - Тестировать-то надо И желательно бесплатно , псевдонимус, 17-Янв-21, 15:32 (97)
      - Я полагаю, платиновому спонсору в общем-то наплевать Сам потестирует Вот угнать, пох., 17-Янв-21, 18:55 (119)
        
        Ну и выбросят этот инносенс Уже приступили, не смотри на медленное запрягание, псевдонимус, 17-Янв-21, 20:50 (130)
    - во-первых, по прежнему полу-работающему Только он уже deprecated, поэтоу ураааа, пох., 17-Янв-21, 18:24 (109)
С цацкой все ясно А что в iptables-1 8 7 то поменяли Вообще непонятно новость, Аноним, 16-Янв-21, 19:40 (9) //
- Сломали все, раньше было лучше, Аноним, 16-Янв-21, 19:47 (11)
- Написано ж - еще более улучшили кривовраппер, и он теперь позволяет хотя бы выво, пох., 16-Янв-21, 19:54 (13) //
  - Ну и славненько А за двадцать лет то что должно было произойти Эта фигня была, Аноним, 17-Янв-21, 00:37 (41) //
    - Хотя бы то что Рыжий обещал как только, так сразу И нап-дел, как обычно До эт, пох., 17-Янв-21, 00:57 (43)
      - Быдлопровайдинг это побочный эффект Жаловаться на то что таких не обращают вним, Аноним, 17-Янв-21, 17:17 (104)
        
        мальчик, ты совсем дурак Я ее себе под стол поставлю, вместо линуксного ненужно, пох., 17-Янв-21, 18:42 (114)
        
        чур меня чур, даже даром не нужно как и всякие ЧП собратья пальто со своими Эн, Sw00p aka Jerom, 18-Янв-21, 03:38 (149)
        
        ну да, ну да - лучше ковырять дома вот тот п-ц с tcp flags 0x10 А я бы вот был, пох., 18-Янв-21, 13:27 (164)
        
        я только за, но больно очень, ибо лучше чтобы не было вовсе, чем есть и через , Sw00p aka Jerom, 18-Янв-21, 16:23 (170)
        
        и кстати, да, gre nat conntrack для многих источников-приемников у них тоже рабо, пох., 18-Янв-21, 14:14 (166)
Вангую что через пару лет nftables устареет и на смену ему придет systemd-tables, Аноним, 16-Янв-21, 22:38 (24) //
- systemd-nettablesd, СеменСеменыч777, 16-Янв-21, 22:43 (25) //
  - он у меня называется -firewalld Уже давно пришел, уютно устроился и смотрит на , Лёня Потный, 16-Янв-21, 23:21 (37) //
    - Глаза Лени не могут быть добрыми ро определению, Аноним, 18-Янв-21, 01:10 (144)
- А вот кстати неплохо бы, да Потому что rh вый firewalld - конченное удолбище, а , Онаним, 17-Янв-21, 11:51 (75) //
  - да, представляю какая красота - снова три набора заклинаний-завываний чтобы как-, пох., 17-Янв-21, 18:44 (115) //
    - Да не, чего-чего, а с порядком запуска у системды всё хорошо Как раз таки печаль, Онаним, 17-Янв-21, 18:52 (117)
      - Просто прекрасно Сколько там у нее заклинаний для этой цели - пять, или больше , пох., 17-Янв-21, 19:21 (124)
        
        А что с ним должно быть не так У меня монтирование ряда FS на старт сети завязан, Онаним, 17-Янв-21, 20:47 (129)
        
        А что с ним может быть так Не работает оно Как всегда у вас Это _netdev в fs, пох., 18-Янв-21, 00:41 (141)
        
        Ну у меня это в принципе и есть желаемое поведение если что-то смонтировать не , Онаним, 18-Янв-21, 09:27 (152)
        А fstab себя сам монтирует Ой, да это же 8230 man systemd-fstab-generator Ран, PnD, 18-Янв-21, 16:17 (169)
        
        ну так и почитай там что такое _netdev Что, опять не написано, вместо мана били, пох., 19-Янв-21, 11:07 (174)
Поддержку ipv4 пора удалять как устаревший протокол Ну раз i386 и FTP убрали, Аноним, 16-Янв-21, 22:57 (26) //
- И к ICMP прикрутить сертификаты, а то совсем не секурно, Аноним, 16-Янв-21, 23:08 (30)
- FTP на уровне ядра и не было никогда , Аноним, 17-Янв-21, 15:23 (95)
оно действительно быстрее, чем iptables есть смысл переезжать, если у меня под , онанимус, 16-Янв-21, 23:37 (40) //
- очевидно, что это зависит не от количества тысяч строк, а от того, есть у тебя п , пох., 17-Янв-21, 00:49 (42) //
  - промышленный эт какой-такой промышленный а , Sw00p aka Jerom, 17-Янв-21, 02:50 (50) //
    - это у которого в рекламе написано industrial и enterprise level , СеменСеменыч777, 17-Янв-21, 05:20 (54)
      - И чтоб обязательно встроенный бекдор от лучших индусов Бангалора , Аноним, 17-Янв-21, 13:43 (86)
      - Туда бы ещё добавить словечко NGFW , Sw00p aka Jerom, 17-Янв-21, 14:27 (87)
        
        ngfw не украсть - там весь ng в том что где-то в Бангалоре команда из сорока при, пох., 17-Янв-21, 19:01 (120)
        
        так и естьтакое же гамно если честно, при 1M pps валится устал багрепортить, ин, Sw00p aka Jerom, 17-Янв-21, 21:23 (131)
        
        Не, nft нету Там ядро 2 6, тогда такого еще не придумали , RHEL fan, 18-Янв-21, 11:32 (154)
        
        Это не утверждение, а предположение Через пару лет вероятней и окажется с nft , Sw00p aka Jerom, 18-Янв-21, 12:26 (158)
        
        неисключено, что именно эти ребята и спонсируют Сам понимаешь, от обычных iptabl, пох., 18-Янв-21, 13:31 (165)
  - Перенос в ipset, по накопленной статистике, сказывается на производительности уж, Tifereth, 17-Янв-21, 05:54 (58) //
    - по накопленной статистике не на чем сказываться Вообще никак эти пары сотен н, пох., 17-Янв-21, 10:11 (64)
      - У вас это любимое занятие, я погляжу - делать выводы о том, чего в глаза не виде, Tifereth, 18-Янв-21, 11:15 (153)
        
        да, да, конечно же не видел Кончай бредить Увидеть вшивые сотни правил невозмож, пох., 18-Янв-21, 13:18 (162)
        
        Единственное мало-мальски осмысленное среди вороха букв Понятно, что вы тужилис, Tifereth, 19-Янв-21, 17:42 (177)
- на ipset https www dbsysnet com wp-content uploads 2016 03 ipset3 png, Аноним, 17-Янв-21, 04:03 (52) //
  - 1 непонятно, что такое responce и request в контексте фаерволла 2 почему-т, СеменСеменыч777, 17-Янв-21, 05:25 (55) //
    - понятно только что до 15000 эффект неразличим приборами ты правда можешь достов, пох., 17-Янв-21, 10:21 (65)
  - Если встаёт вопрос об ipset - лучше сразу таки на nft, потому что одно дело мейн, Онаним, 17-Янв-21, 11:53 (77) //
    - наоборот майнтейнить простыню в десять тыщ строк, перемешанную с конфигом фай, пох., 17-Янв-21, 13:08 (82)
      - В конфиге файрвола только например define ext1_if enp1s0 10define ext2_if , Random, 18-Янв-21, 13:11 (159)
        
        п-ц то какой Я сломал глаза, пытаясь эту фигню прочесть , пох., 18-Янв-21, 13:23 (163)
  - у меня именно правила ipset предварительно укороченные с помощью aggregate - б, онанимус, 17-Янв-21, 23:42 (138)
- Я бы поглядел Вполне возможно, что удастся сгруппировать в пару сотен , Онаним, 17-Янв-21, 11:52 (76)
Коллеги особенно пох , подскажите, у линухе уже можно реализовать мою мечту, InuYasha, 17-Янв-21, 14:59 (90) //
- Не советую, оно его тебе завтра еще разок переименует - и все сломается Можно , пох., 17-Янв-21, 19:09 (122) //
  - М-да, не радужно системду я ещё не изучал на этот предмет но вообще переимнова, InuYasha, 17-Янв-21, 21:53 (133) //
    - http manpages ubuntu com manpages bionic man5 systemd link 5 htmlможет поможет, Sw00p aka Jerom, 17-Янв-21, 22:47 (135)
      - Отличная диверсия, кстати, спасибо, хер кто потом найдет, почему на этом хосте в, пох., 18-Янв-21, 00:52 (142)
        
        Далеко ходить не надо Device eth0 does not seem to be present, delaying initia, Sw00p aka Jerom, 18-Янв-21, 03:26 (148)
        
        Поглядел ман, спасибо Теоретичеси, половину вопроса решает, возможно Link Name , InuYasha, 18-Янв-21, 11:41 (155)
        Не, это у тебя какая-то немодная-устаревшая херня, так было в конце нулевых, где, пох., 18-Янв-21, 13:12 (160)
        
        почему же udev и щас живет, пример выше при смене мака происходит, ибо удев прав, Sw00p aka Jerom, 18-Янв-21, 16:48 (171)
        
        сейчас удев - интегрированный кусок shittyd Ничего при смене мака не происходит, пох., 19-Янв-21, 18:20 (181)
    - дарю идею - etc servicesЭто будет диверсия похлеще link - никто вообще нихрена, пох., 18-Янв-21, 01:43 (146)
      - О, это будет круто , InuYasha, 18-Янв-21, 11:41 (157)
  - 1 а я о чем писал 2 типа у циски конфиги не уродливые у кого как у меня не з, СеменСеменыч777, 18-Янв-21, 21:25 (173) //
    - они банутые, но хотя бы - читаемые, если не использовать совсем кривые практик, пох., 19-Янв-21, 11:15 (175)
      - подведем итоги линукс виноват в том что 1 не выдал забесплатно стандартный ген, СеменСеменыч777, 21-Янв-21, 01:24 (182)
        
        мне он нахер не нужен Мне нужен человекочитаемый конфиг У вас он был, теперь е, пох., 21-Янв-21, 10:57 (183)
Интересно есть ли хоть кто-то, кроме марсиан-разарбов кто в nftables продвину, Аноним, 18-Янв-21, 09:03 (151) //
- Я уверен, что в фейсбуке их полно таких Только вот зачем, учитывая что времени и, пох., 18-Янв-21, 13:13 (161)
- Чуть менее примитивное работа домашнего роутера через двух провайдеров одновреме, Random, 18-Янв-21, 15:45 (168)
- Пока куцый врапер в iptables не уберут, народ на эту модную реплику пытающуюся с, OpenEcho, 21-Янв-21, 15:46 (184)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру