forum.opennet.ru

Составление сообщения

Исходное сообщение

"Обновление iptables 1.4.14 и conntrack-tools 1.2"
Отправлено opennews, 27-Май-12 22:41

Доступно (http://lists.netfilter.org/pipermail/netfilter-announce/2012...) обновление iptables 1.4.14 (http://www.iptables.org), набора утилит для управления встроенным в ядро Linux фреймворком фильтрации и преобразования пакетов NetFilter (http://www.netfilter.org/). В новой версии реализована полная совместимость с Linux-ядром 3.4 (http://www.opennet.ru/opennews/art.shtml?num=33888) и исправлено несколько ошибок. В частности, добавлена поддержка появившейся в ядре 3.4 инфраструктуры cttimeout, позволяющая привязать определённые политики использования таймаутов для потока через действие "CT" в iptables.

Для определения политики применения таймаутов следует использовать новую утулиту nfct, которую можно найти в составе новой версии пакета conntrack-tools. Также подготовлена (http://lists.netfilter.org/pipermail/netfilter-announce/2012...) специальная библиотека libnetfilter_cttimeout, предоставляющая программный интерфейс к инфраструктуре cttimeout. В качестве примера создадим политику custom-tcp-policy и привяжем её к трафику, идущему от IP 1.1.1.1 к IP 2.2.2.2:

<font color="#461b7e">
   nfct timeout add custom-tcp-policy1 inet tcp established 200
   iptables -I PREROUTING -t raw -s 1.1.1.1 -d 2.2.2.2 -p tcp \
        -j CT --timeout custom-tcp-policy1
</font>
Одновременно представлен (http://lists.netfilter.org/pipermail/netfilter-announce/2012...) релиз инструментария conntrack-tools 1.2.0 (http://conntrack-tools.netfilter.org/), содержащего набор средств для управления таблицами установленных соединений (conntrack). Кроме утилиты для выполнения таких задач, как просмотр, отслеживание изменений и модификация содержимого conntrack-таблицы, в состав пакета входит фоновый процесс conntrackd, дающий возможность обеспечить централизованное накопление статистики или организовать синхронизацию conntrack-таблиц между несколькими серверами, что может быть использовано для построения кластеров высокой доступности.

В новой версии conntrack-tools добавлена поддержка синхронизации ожидания (http://conntrack-tools.netfilter.org/manual.html#sync-expect) (ExpectationSync)  для обеспечения согласованного отслеживания соединений для протоколов, использующих отдельные потоки для управления и передачи данных (например, FTP, H.323 и SIP). Вторым значительным улучшением, является  утилита nfct.  В настоящее время утилита nfct поддерживает только управление политиками cttimeout, но в будущем функциональность будет расширена и со временем данная утилита полностью заменит собой программу conntrack.

URL: http://lists.netfilter.org/pipermail/netfilter-announce/2012...
Новость: http://www.opennet.ru/opennews/art.shtml?num=33947

Исходное сообщение
"Обновление iptables 1.4.14 и conntrack-tools 1.2" Отправлено opennews, 27-Май-12 22:41
Доступно (http://lists.netfilter.org/pipermail/netfilter-announce/2012...) обновление iptables 1.4.14 (http://www.iptables.org), набора утилит для управления встроенным в ядро Linux фреймворком фильтрации и преобразования пакетов NetFilter (http://www.netfilter.org/). В новой версии реализована полная совместимость с Linux-ядром 3.4 (http://www.opennet.ru/opennews/art.shtml?num=33888) и исправлено несколько ошибок. В частности, добавлена поддержка появившейся в ядре 3.4 инфраструктуры cttimeout, позволяющая привязать определённые политики использования таймаутов для потока через действие "CT" в iptables. Для определения политики применения таймаутов следует использовать новую утулиту nfct, которую можно найти в составе новой версии пакета conntrack-tools. Также подготовлена (http://lists.netfilter.org/pipermail/netfilter-announce/2012...) специальная библиотека libnetfilter_cttimeout, предоставляющая программный интерфейс к инфраструктуре cttimeout. В качестве примера создадим политику custom-tcp-policy и привяжем её к трафику, идущему от IP 1.1.1.1 к IP 2.2.2.2: <font color="#461b7e"> nfct timeout add custom-tcp-policy1 inet tcp established 200 iptables -I PREROUTING -t raw -s 1.1.1.1 -d 2.2.2.2 -p tcp \ -j CT --timeout custom-tcp-policy1 </font> Одновременно представлен (http://lists.netfilter.org/pipermail/netfilter-announce/2012...) релиз инструментария conntrack-tools 1.2.0 (http://conntrack-tools.netfilter.org/), содержащего набор средств для управления таблицами установленных соединений (conntrack). Кроме утилиты для выполнения таких задач, как просмотр, отслеживание изменений и модификация содержимого conntrack-таблицы, в состав пакета входит фоновый процесс conntrackd, дающий возможность обеспечить централизованное накопление статистики или организовать синхронизацию conntrack-таблиц между несколькими серверами, что может быть использовано для построения кластеров высокой доступности. В новой версии conntrack-tools добавлена поддержка синхронизации ожидания (http://conntrack-tools.netfilter.org/manual.html#sync-expect) (ExpectationSync) для обеспечения согласованного отслеживания соединений для протоколов, использующих отдельные потоки для управления и передачи данных (например, FTP, H.323 и SIP). Вторым значительным улучшением, является утилита nfct. В настоящее время утилита nfct поддерживает только управление политиками cttimeout, но в будущем функциональность будет расширена и со временем данная утилита полностью заменит собой программу conntrack. URL: http://lists.netfilter.org/pipermail/netfilter-announce/2012... Новость: http://www.opennet.ru/opennews/art.shtml?num=33947

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Доступно (http://lists.netfilter.org/pipermail/netfilter-announce/2012/000186.html) 
> обновление iptables 1.4.14 (http://www.iptables.org), набора утилит для управления встроенным 
> в ядро Linux фреймворком фильтрации и преобразования пакетов NetFilter (http://www.netfilter.org/). 
> В новой версии реализована полная совместимость с Linux-ядром 3.4 (http://www.opennet.ru/opennews/art.shtml?num=33888) 
> и исправлено несколько ошибок. В частности, добавлена поддержка появившейся в ядре 
> 3.4 инфраструктуры cttimeout, позволяющая привязать определённые политики использования 
> таймаутов для потока через действие "CT" в iptables.

> Для определения политики применения таймаутов следует использовать новую утулиту nfct, 
> которую можно найти в составе новой версии пакета conntrack-tools. Также подготовлена 
> (http://lists.netfilter.org/pipermail/netfilter-announce/2012/000184.html) специальная 
> библиотека libnetfilter_cttimeout, предоставляющая программный интерфейс к инфраструктуре 
> cttimeout. В качестве примера создадим политику custom-tcp-policy и привяжем её к 
> трафику, идущему от IP 1.1.1.1 к IP 2.2.2.2:

> <font color="#461b7e"> 
>    nfct timeout add custom-tcp-policy1 inet tcp established 200 
>    iptables -I PREROUTING -t raw -s 1.1.1.1 -d 2.2.2.2 
> -p tcp \ 
>         -j CT --timeout custom-tcp-policy1 
 
> </font>

> Одновременно представлен (http://lists.netfilter.org/pipermail/netfilter-announce/2012/000185.html) 
> релиз инструментария conntrack-tools 1.2.0 (http://conntrack-tools.netfilter.org/), 
> содержащего набор средств для управления таблицами установленных соединений (conntrack). 
> Кроме утилиты для выполнения таких задач, как просмотр, отслеживание изменений и 
> модификация содержимого conntrack-таблицы, в состав пакета входит фоновый процесс conntrackd, 
> дающий возможность обеспечить централизованное накопление статистики или организовать 
> синхронизацию conntrack-таблиц между несколькими серверами, что может быть использовано 
> для построения кластеров высокой доступности.

> В новой версии conntrack-tools добавлена поддержка синхронизации ожидания (http://conntrack-tools.netfilter.org/manual.html#sync-expect) 
> (ExpectationSync)  для обеспечения согласованного отслеживания соединений для протоколов, 
> использующих отдельные потоки для управления и передачи данных (например, FTP, H.323 
> и SIP). Вторым значительным улучшением, является  утилита nfct.  В 
> настоящее время утилита nfct поддерживает только управление политиками cttimeout, но в 
> будущем функциональность будет расширена и со временем данная утилита полностью заменит 
> собой программу conntrack.

> URL: http://lists.netfilter.org/pipermail/netfilter-announce/2012/000186.html 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=33947

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру