The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от opennews (?), 16-Янв-21, 18:37 
Опубликован выпуск пакетного фильтра nftables 0.9.8, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.8 изменения включены в состав ядра Linux 5.11-rc1...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54419

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –10 +/
Сообщение от Антонимм (?), 16-Янв-21, 18:37 
Помню был такой "agnitum outpost firewall" на окнах.Вот такой же на linux надо.Удобный понятный наглядный прост в использовании умных знаний не требовал.  
Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –3 +/
Сообщение от пох. (?), 16-Янв-21, 19:25 
Вам надо просто поставить окна.
Где все как вы любите - удобно, наглядно, и no user-servicable parts inside.

Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +2 +/
Сообщение от анон45 (?), 16-Янв-21, 19:30 
а чо вы его минусуете? Он прав так-то
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

17. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +8 +/
Сообщение от пох. (?), 16-Янв-21, 20:01 
У нас УЖЕ есть одна винда. И в ней - почти нормальный и почти application firewall, все как он любит.

А вот тем кому надо было _управляемый_ а не "мышом покликать он сам разберется лучше тебя" - куды теперь бечь?

Ответить | Правка | Наверх | Cообщить модератору

57. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +2 +/
Сообщение от КО (?), 17-Янв-21, 05:51 
"он сам разберется лучше тебя"
Обернуть те же функции в гуй? Не, не линукс-вэй...
Ответить | Правка | Наверх | Cообщить модератору

99. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +1 +/
Сообщение от псевдонимус (?), 17-Янв-21, 15:37 
>обернуть те же функции в гуй

Оно либо примитивное донельзя выйдет, либо толком неуправляемое без справочника перед глазами. Даёшь 10000 кнопок! И все равно может не хватить.

Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –2 +/
Сообщение от Аноним (-), 17-Янв-21, 08:46 
А чего вы так ополчились на мышь?
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

91. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +1 +/
Сообщение от crypt (ok), 17-Янв-21, 15:14 
> куды теперь бечь?

да)) это точно)) на линуксе переписали конфиг в стиле json и будут переписывать каждую среду. а на *bsd он залип на уровне basic'a (ipfw) и реплик старых версий fw от openbsd и solaris.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

156. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +2 +/
Сообщение от Azudim (??), 18-Янв-21, 11:41 
>> bsd он залип на уровне basic'a (ipfw)

Про pf слышали?

Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +5 +/
Сообщение от Аноним (10), 16-Янв-21, 19:42 
Так сделай интерфейс, пришли патч, кто мешает? Это опенсорс, детка.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

16. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –3 +/
Сообщение от пох. (?), 16-Янв-21, 19:59 
А эту невероятную херню кто делал? Аааа, ну да, ну да - sponsored by facebook. Это впопенсос детка.

Что пейсбук оплатил - то и жрете с лопаты. А чего не оплатил - ждете патчей, потом будете ждать ебилдов.

Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Аноним (18), 16-Янв-21, 20:48 
Не поверишь, у меня он сейчас стоит)
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

28. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Космозавр (?), 16-Янв-21, 23:01 
а куда он, кстати, делся?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

136. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от mikhailnov (ok), 17-Янв-21, 22:52 
Яндекс купил Агнитум, потом закрыл его.
Ответить | Правка | Наверх | Cообщить модератору

47. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –3 +/
Сообщение от Пох (?), 17-Янв-21, 01:48 
Или как в Comodo, а то достало, одно выучишь, как его дропнули и заменили другим. Нет, ну правда, настраивать фаервол в консоли?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

48. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Old man (?), 17-Янв-21, 02:38 
> Помню был такой "agnitum outpost firewall" на окнах.Вот такой же на linux надо.Удобный понятный наглядный прост в использовании умных знаний не требовал.  

Есть fwbuilder.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

59. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Антонимм (?), 17-Янв-21, 06:26 
Да есть есть еще gufw.ИМХО не дотягивают они даже близко до agnitum по удобству и понятливости.  
Ответить | Правка | Наверх | Cообщить модератору

81. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +2 +/
Сообщение от Аноним (81), 17-Янв-21, 12:55 
Хотелось бы что-нибудь типа tinywall, чтобы исходящий траф разрешать только определённым приложениям (ну входящий настраивать это бонусом), но это придётся bpf бинари от юзера загружать в ядро постоянно. А там тебе и жит, и всё остальное -- такой-то вектор для атак. И ещё бы добавить в ksysguard просмотр исходящих/входящих соединений процесса. Эх, мечты, вот файрвол у венды годный (особенно для десктопа), тут не поспоришь.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

134. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Роман (??), 17-Янв-21, 22:15 
как вы думаете, по какой цене могли бы продавать авторы такого продукта, чтобы его еще как-то массово покупали пользователи Linux? Какие дистрибутивы должны поддерживаться?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

185. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Cololo (?), 25-Янв-21, 02:11 
Посмотрите Open Snitch.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от leap42 (ok), 16-Янв-21, 18:51 
cat /etc/sysconfig/nftables.conf

table inet filter {
  chain input {
    type filter hook input priority 0; policy drop;
    ct state established,related accept comment "Accept traffic originated from us"

    iif lo accept comment "Accept all loopback connections"

    ip protocol icmp accept comment "Accept ICMP"
    ip6 nexthdr icmpv6 accept comment "Accept ICMPv6"

    udp dport 5353 counter accept comment "Accept mDNS/UDP (resolved)"

    udp dport 5060 counter accept comment "Accept SIP/UDP (Baresip)"
    tcp dport { 5060, 5061 } counter accept comment "Accept SIP/TCP (Baresip)"
    udp dport { 16384-16389 } counter accept comment "Accept RTP (Baresip)"

    tcp dport 9881 counter accept comment "Accept Torrent/TCP (Transmission)"
    udp dport 9881 counter accept comment "Accept Torrent/UDP (Transmission)"

    counter comment "Count any other traffic"
  }

  chain forward {
    type filter hook forward priority 0; policy drop;
  }

  chain output {
    type filter hook output priority 0; policy accept;
  }
}

^^^ вот это разве непонятно? по-моему проще чем что-то по менюшкам натыкивать...

Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –3 +/
Сообщение от Аноним (4), 16-Янв-21, 18:56 
Зачем ipv6, или не отключили примочку в ядре для одинаковости (ц) правил с ipv4?
Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –3 +/
Сообщение от пох. (?), 16-Янв-21, 19:50 
просто клиент при копипасте со стека забыл удалить ненужное.

Ибо синтаксис г-но и эта простыня совершенно нечитаема даже при том что полезного не умеет ровно вот ничего (хоть ssh от сканов бы прикрыл). Ну ладно хоть icmp не зобанил, как у них принято. Хотя лишние тоже невредно бы и пофильтровать.

Теперь смотрим на не особо сложный гнороутер под столом - пяток сеток, две терминируются не на нем и нужно пробрасывать туннели через нат, пригоршня разных сервисов доступных в разных комбинациях с разных направлений (потому что незачем в сторону стораджа пускать виндовые машины, пусть и trusted сегмента, все равно им там делать нечего), прикидываем как ЭТА простыня в нескучном синтаксисе будет выглядеть и как будешь добавлять еще один хост через пол-года, когда уже подзабудешь что и зачем тут было... плюемся, идем узнавать, сколько стоит бу циско asa 5520. Ну оок - в штатах от 70, но если спалишься на таможне - отберут. В дефаултсити от 15000, краденые. В целом, и недорого. Одна даже с ssm, бесполезен без подписки, зато можно поиграться.

Потому что линyпсь - всьо даже в качестве гуанороутеров. Доломали и это.

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –2 +/
Сообщение от СеменСеменыч777 (?), 16-Янв-21, 21:17 
все очень просто. нужен генератор правил типа firehol.
пусть он делает неоптимально, зато все понятно и не надо учить очередной собачий язык.

> незачем в сторону стораджа пускать виндовые машины, пусть и trusted сегмента, все равно им там делать нечего

проблемы "уровня приложения" решаем на "сетевом уровне" ? ай молодца казахский хакер.

ps: в цисках невозможен недорогой апгрейд. циски могут быть протроянены либо с завода, либо в "черном кабинете" перевозчика (например US Post). IOS для цисок пишут чурки^Wиндусы.

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –2 +/
Сообщение от slepnoga (ok), 16-Янв-21, 21:35 
Сема, в asa линукса на бекплейне. ))
Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –2 +/
Сообщение от пох. (?), 16-Янв-21, 22:10 
они там используются для сугубо специфической цели - кое-как прочитать с флэшки единственный бинарник по имени asa. ВСЬО.

Ни сетевой стек, ни б-же упаси, фиревал от этого линукса не используется. Только фича чтения бинарника и привязки к адресам. А, планировщик тоже не используется, до недавнего времени этот бинарник был строго single thread, потом, правда, _ssl_vpn_ и только он стал многотредовым, догадайся, почему так. Ну а до того тот же самый бинарник им qnx загружал, просто помер тот дедуля, который умел его готовить.

У ssm10 - там полноценный линyпсь (то есть внутри асы есть еще одна железка с еще одним линyпсом) и в нем, собственно, что-то донельзя похожее на древние версии snort, но с совершенно другими и управлением, и особенностями работы. Главное, впрочем, сохранено - без коммерческой подписки на правила бесполезен феерично.

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от slepnoga (ok), 16-Янв-21, 23:04 
так я и написал - на бекплейне. Не Микроштык же.
Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от пох. (?), 16-Янв-21, 23:16 
> так я и написал - на бекплейне. Не Микроштык же.

Ну вон у ios-xr тоже типа на бэкплейне (кто бы понял где у этой штуки бэкплейн), но там вполне себе полноценный линукс, даже с rpm в 6ой серии. И оно реально и пачку демонов там держит, и еще хз что и сбоку бантик, и в шелл можно вывалиться, только непонятно что там делать, и даже top запустить (только еще меньше понятно для чего).

А тут просто лоадер, чтоб не трахаться, тот бинарник по физическим адресам вручную размещать.

Ответить | Правка | Наверх | Cообщить модератору

72. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Онаним (?), 17-Янв-21, 11:48 
В XR QNX на <6.0. Linux только в 6.0 появился. И не на бекплейне, а на RSP и процессорах плат.
У XE Linux на подложке, под ним в виртуалке крутится IOS.

Но насчёт ASA - нет, увы. Там именно что сетевой стек используется от линуксов, и файрволит тоже какой-то драйвер в них. Из железного - только акселерация VPN, всё остальное софт.

Ответить | Правка | Наверх | Cообщить модератору

84. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от пох. (?), 17-Янв-21, 13:22 
> Но насчёт ASA - нет, увы. Там именно что сетевой стек используется от линуксов

не используется. Я, в отличие от некоторых, запускал. Единственное, что там от того стека - интеловские драйвера сетевух, и то не факт что не патченные чтоб поменьше лезли куда не надо. А дальше байтики идут мимо штатных поделок.

Да, софт, только не лап4тый.

Твой линoops умеет при отказе подхватить траффик (_включая_ ipsec, и, разумеется, сохраняя состояния файрвола для открытых соединений) соседним ящиком прозрачно для окружающих?

А эта вот конструкция - умеет. Причем еще со времен pix где линyпсятиной и не пахло.


Ответить | Правка | Наверх | Cообщить модератору

110. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Онаним (?), 17-Янв-21, 18:25 
Состояние файрвола через мониторинг conntrackd я передавал, да, нужно костылять, но по факту работает.
Ответить | Правка | Наверх | Cообщить модератору

71. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Онаним (?), 17-Янв-21, 11:45 
ASA дерьмо, так-то. Всё тот же linux с нескучным синтаксисом конфига, в котором даже два IP на один интерфейс не повесить.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

94. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от crypt (ok), 17-Янв-21, 15:19 
> Ибо синтаксис г-но и эта простыня совершенно нечитаема ... Доломали и это.

ППКС:( индусские менеджеры из RH мля просто угробить линукс решили.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

27. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –3 +/
Сообщение от Анонимemail (27), 16-Янв-21, 22:58 
А теперь запрети конкретному приложению доступ в сеть на лету, после запуска оного, для тестов, что именно у него сеть отвалилась. И так сто раз за час пока дебажишь.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

34. Скрыто модератором  –1 +/
Сообщение от пох. (?), 16-Янв-21, 23:18 
Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +1 +/
Сообщение от Аноним (38), 16-Янв-21, 23:24 
Конечно виндопользователям проще по 10 раз кликать для включение и отключение правила, но я не вижу никаких сложностей сделать это с nft. Ищу пид процесса, а потом по пиду хоть дроп, хоть реджект делаю НА ЛЕТУ. Да хоть tc ему наверну, если нужно посмотреть как с плохим интернетом работать будет. Ну и конечно же написать скрипт, который это делает - 10 минут, если в первый раз. А потом этот скрипт могу и в тесты добавить, ведь я же не мышко-кликательный холоп, чтобы на каждый билд вручную тестить отсутствие интернета.
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

44. Скрыто модератором  +1 +/
Сообщение от пох. (?), 17-Янв-21, 01:02 
Ответить | Правка | Наверх | Cообщить модератору

51. Скрыто модератором  +5 +/
Сообщение от Аноним (38), 17-Янв-21, 03:41 
Ответить | Правка | Наверх | Cообщить модератору

67. Скрыто модератором  +1 +/
Сообщение от пох. (?), 17-Янв-21, 10:40 
Ответить | Правка | Наверх | Cообщить модератору

102. Скрыто модератором  –2 +/
Сообщение от псевдонимус (?), 17-Янв-21, 16:44 
Ответить | Правка | Наверх | Cообщить модератору

105. Скрыто модератором  –1 +/
Сообщение от пох. (?), 17-Янв-21, 18:04 
Ответить | Правка | Наверх | Cообщить модератору

111. Скрыто модератором  –1 +/
Сообщение от псевдонимус (?), 17-Янв-21, 18:27 
Ответить | Правка | Наверх | Cообщить модератору

123. Скрыто модератором  –1 +/
Сообщение от пох. (?), 17-Янв-21, 19:15 
Ответить | Правка | Наверх | Cообщить модератору

112. Скрыто модератором  –1 +/
Сообщение от псевдонимус (?), 17-Янв-21, 18:36 
Ответить | Правка | К родителю #105 | Наверх | Cообщить модератору

113. Скрыто модератором  –1 +/
Сообщение от псевдонимус (?), 17-Янв-21, 18:41 
Ответить | Правка | К родителю #105 | Наверх | Cообщить модератору

116. Скрыто модератором  –1 +/
Сообщение от пох. (?), 17-Янв-21, 18:49 
Ответить | Правка | Наверх | Cообщить модератору

132. Скрыто модератором  +/
Сообщение от псевдонимус (?), 17-Янв-21, 21:48 
Ответить | Правка | Наверх | Cообщить модератору

145. Скрыто модератором  +/
Сообщение от пох. (?), 18-Янв-21, 01:38 
Ответить | Правка | Наверх | Cообщить модератору

53. Скрыто модератором  +/
Сообщение от СеменСеменыч777 (?), 17-Янв-21, 05:03 
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

66. Скрыто модератором  +1 +/
Сообщение от пох. (?), 17-Янв-21, 10:25 
Ответить | Правка | Наверх | Cообщить модератору

56. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +1 +/
Сообщение от Tifereth (ok), 17-Янв-21, 05:50 
Ай, молодец какой - нашёл единственного ответившего, прочёл в его словах то, чего там отродясь не было и гордо экстраполировал на всех пользователей Линукс. Бурные продолжительные аплодисменты.

Нормальный админ *вначале* всё планирует и соответственно настраивает конфигурацию. А уж кто натыкивать горазд, а кто в консоли предпочитает - это уже спор о вкусе фломастеров. То есть бессмысленный по определению.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

88. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от InuYasha (??), 17-Янв-21, 14:40 
Каким "нормальным" бы админ ни был, если он приходит работать в "зоопарк", где всё уже "спланировано" лет 10 назад, ни о каком планировании кроме "а вот хорошо бы через пару лет обновить цынтос до 7го на роторе и почтовике" речи нет. )
Ответить | Правка | Наверх | Cообщить модератору

106. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –2 +/
Сообщение от пох. (?), 17-Янв-21, 18:07 
> Каким "нормальным" бы админ ни был, если он приходит работать в "зоопарк",
> где всё уже "спланировано" лет 10 назад, ни о каком планировании
> кроме "а вот хорошо бы через пару лет обновить цынтос до
> 7го на роторе и почтовике" речи нет. )

зависит от должности и от масштаба (бардака в) компании. Бывало что и приглашали зоопарк разогнать по вольерам, и переделать чтоб работало надежно.
Хотя, если роутер на центос, можно смело идти дальше сразу же, не тратя время.


Ответить | Правка | Наверх | Cообщить модератору

147. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Tifereth (ok), 18-Янв-21, 02:16 
И это не всегда так. Конторы иногда переезжают, расширяют офис и т.д. и т.п.

Вот в таких случаях и представляется иногда возможность уменьшить долю хаоса. Помимо соблюдения основной директивы "не чини то, что работает".

Раз тут упомянут CentOS (который с конца этого года прикажет долго работать), один чёрт придётся менять эту операционку - опять же повод внести чуть больше порядка (в понимании конкретного админа, конечно).

Всякое бывает.

Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

62. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от barmaglot (??), 17-Янв-21, 08:35 
Берёте дефолтный раымный конфиг для декстопа:

# nft --handle --numeric list table inet filter


table inet filter { # handle 7
    chain input { # handle 1
        type filter hook input priority 0; policy drop;
        ct state 0x1 counter packets 1940 bytes 86636 drop comment "early drop of invalid packets" # handle 5
        ct state { 0x2, 0x4 } counter packets 2236693022 bytes 230372893649 accept comment "accept all connections related to connections made by us" # handle 6
        iif "lo" accept comment "accept loopback" # handle 7
        iif != "lo" ip daddr 127.0.0.0/8 counter packets 0 bytes 0 drop comment "drop connections to loopback not coming from loopback" # handle 8
        iif != "lo" ip6 daddr ::1 counter packets 0 bytes 0 drop comment "drop connections to loopback not coming from loopback" # handle 9
        tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x0 counter packets 0 bytes 0 drop # handle 10
        tcp flags & (0x1 | 0x2) == 0x1 | 0x2 counter packets 0 bytes 0 drop # handle 11
        tcp flags & (0x2 | 0x4) == 0x2 | 0x4 counter packets 0 bytes 0 drop # handle 12
        tcp flags & (0x1 | 0x2) == 0x1 | 0x2 counter packets 0 bytes 0 drop # handle 13
        tcp flags & (0x1 | 0x4) == 0x1 | 0x4 counter packets 0 bytes 0 drop # handle 14
        tcp flags & (0x1 | 0x10) == 0x1 counter packets 0 bytes 0 drop # handle 15
        tcp flags & (0x10 | 0x20) == 0x20 counter packets 0 bytes 0 drop # handle 16
        tcp flags & (0x1 | 0x10) == 0x1 counter packets 0 bytes 0 drop # handle 17
        tcp flags & (0x8 | 0x10) == 0x8 counter packets 0 bytes 0 drop # handle 18
        tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20 counter packets 0 bytes 0 drop # handle 19
        tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x0 counter packets 0 bytes 0 drop # handle 20
        tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x1 | 0x8 | 0x20 counter packets 0 bytes 0 drop # handle 21
        tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x1 | 0x2 | 0x8 | 0x20 counter packets 0 bytes 0 drop # handle 22
        tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x1 | 0x2 | 0x4 | 0x10 | 0x20 counter packets 0 bytes 0 drop # handle 23
        ct state 0x2,0x4 counter packets 0 bytes 0 accept # handle 24
    }

    chain forward { # handle 2
        type filter hook forward priority 0; policy drop;
    }

    chain output { # handle 3
        type filter hook output priority 0; policy accept;
    }
}

Потом с помощью lsof -p <pid> у вашего приложения смотрите, куда оно ломится. И всё что не нравится в chain output добавляете. всё. И ничего дебажить не нужно.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

68. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +1 +/
Сообщение от пох. (?), 17-Янв-21, 10:43 
> Берёте дефолтный раымный конфиг для декстопа:

это разумный? Вот этот вот фееричный бред?!

> Потом с помощью lsof -p <pid> у вашего приложения смотрите, куда оно
> ломится. И всё что не нравится в chain output добавляете. всё.

c помощью lsof... все понятно. "Специалисты" на марше.

> И ничего дебажить не нужно.

Угу, угу.

Ответить | Правка | Наверх | Cообщить модератору

100. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от Sw00p aka Jerom (?), 17-Янв-21, 15:39 
>>c помощью lsof... все понятно.

tcpdump уже не в моде :)

Ответить | Правка | Наверх | Cообщить модератору

107. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от пох. (?), 17-Янв-21, 18:11 
>>>c помощью lsof... все понятно.
> tcpdump уже не в моде :)

Уж хотя бы strace, если мы танцуем от процесса (линукс, чай, опять же). А то окажется там банальный protobuf - и что ви таки хотели увидеть тем lsof'ом?

Ответить | Правка | Наверх | Cообщить модератору

74. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Онаним (?), 17-Янв-21, 11:50 
Вот это вот дефолтное удолбище - одна из причин, по которой nf так до сих пор и не взлетел массово, хотя он крут.
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

85. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 17-Янв-21, 13:30 
> Вот это вот дефолтное удолбище - одна из причин,

вовсе нет. Хотя за такое, конечно, отдельно надо кастрировать.

Дефолтный susefirewall скажем, тоже был нужен только чтоб было что сразу выбросить (ладно бы "как в венде", но еще и неимоверно засорял dmesg совершенно ненужной информацией). А чего-то вменяемого, хотя бы аккуратно заранее разобранного по разным веткам, в дефолтах не было ни у кого.
Величайшего прогресса в этой области достигла redhat, которая хотя бы умела без ручного вмешательства сохранять твои правки при шатдауне и восстанавливать при загрузке.
Это ничуть не помешало делать на iptables весьма нетривиальные и при том удобоуправляемые конструкции.

на nft так не получится. там только нанимать фейсбучного макака, чтоб он наговнякал каких-нибудь чудо-скриптов, которые, кстати, есть тоже за тебя будут. Оно просто не предназначено для ручного управления, by design.

"Подсветочка в mcedit" - это только в совсем тривиальных случаях спасет.

Ответить | Правка | Наверх | Cообщить модератору

89. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от InuYasha (??), 17-Янв-21, 14:46 
Справедливости ради, "Подсветочка в mcedit" регулярно ломается и на баш-скриптах ) Фаерволлам нужен интерактивный IDE с дебаггером.

ЗЫ: а вообще для каждого конфига в прынуксе нужен свой IDE (размером с MS Casual Studio чтоб было больнее), раз так ненавидят идею реестра а-ля Вандовс.

Ответить | Правка | Наверх | Cообщить модератору

139. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от flkghdfgklh (?), 17-Янв-21, 23:51 
> Величайшего прогресса в этой области достигла redhat, которая хотя бы умела без ручного вмешательства сохранять твои правки при шатдауне и восстанавливать при загрузке.

Мнэ. А почему у меня это всегда в Debian/Ubuntu было? Пакет iptables-persistent

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

140. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 18-Янв-21, 00:33 
И вот какого х-я его нет по умолчанию в любой установленной системе, и надо пойти найти то, незнамочто, для тривиальнейшей операции? (ufw в убунте тоже, разумеется, нет пока не поставишь вручную - откуда-то предварительно надо еще о его существовании узнать)

А я тебе скажу, какого: ты просто родиться опоздал. Выпекли это чудо лет всего десять назад, и, разумеется, все страдавшие де6иллианом, к тому времени давным-давно выработали "полезную" привычку пихать хуки в interfaces.

Ну вот такое всегда у де6иллианоидов - память как у рыбки, "всегда было".

У редхата - да, "всегда было". Примерно с версии 6, когда в ядре завелись iptables. У suse еще раньше. И у обоих, что характерно - изначально с политикой DROP.

Результат на лицо - 90% зомби-ботов - де6иллианчики и бубунточки. Потому что чтоб на кого еще попасть ssh'ем с паролем test/test - надо б было не забыть его вручную открыть. А у вас - все настежь.

Ответить | Правка | Наверх | Cообщить модератору

167. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от PnD (??), 18-Янв-21, 15:36 
> У редхата - да, "всегда было". Примерно с версии 6, когда в ядре завелись iptables.

С RHEL-5 AFAIR. И не забыть "service iptables save" в конце (если ещё от консоли не отвалился). Прямо как в цисках.
Правда, в 5-м нужно было ещё "руками" (в sysconfig/iptables кажись) хэлперы втыкать. Чтобы всякие там sip работали.

Ответить | Правка | Наверх | Cообщить модератору

178. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 19-Янв-21, 18:03 
>> У редхата - да, "всегда было". Примерно с версии 6, когда в ядре завелись iptables.
> С RHEL-5 AFAIR. И не забыть "service iptables save" в конце (если
> ещё от консоли не отвалился). Прямо как в цисках.

если отвалился - после ребута привалится обратно, в том и смысл был.

> Правда, в 5-м нужно было ещё "руками" (в sysconfig/iptables кажись) хэлперы втыкать.
> Чтобы всякие там sip работали.

я даже не поленился открыть то что тут чувак "с сорокалетним опытом дро4ки дерьмианов" толкает, чтобы убедиться - ТАДАМ, ты не поверишь - они там модули грузить до сих пор не научились. Так что sip (мне больше tftp, правда) по прежнему только у rh.

Ответить | Правка | Наверх | Cообщить модератору

179. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 19-Янв-21, 18:06 
>> У редхата - да, "всегда было". Примерно с версии 6, когда в ядре завелись iptables.
> С RHEL-5 AFAIR.

упс, не заметил. Чувак, твой "rhel5" - это 2010й.
"версия 6" - это на десять лет раньше. Да, там уже до этого мегасложного откровения додумались.

Ответить | Правка | К родителю #167 | Наверх | Cообщить модератору

176. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от flkghdfgklh (?), 19-Янв-21, 12:07 
Малыш, мне 40 лет. Я использую Debian с 2001 года. Ты в то время еще не родился. Продолжай дальше писать глупости про «еще не родился, ко-ко-ко»
Ответить | Правка | К родителю #140 | Наверх | Cообщить модератору

180. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 19-Янв-21, 18:09 
> Малыш, мне 40 лет.

ну и зачем ты тут разговариваешь со своим "малышом"?

> Я использую Debian с 2001 года. Ты в

А я его выбросил окончательно в 1998м. Решив что настолько горбатую поделку даже могила не исправит. Не ошибся, что характерно.

Но ты продолжай про "always have been". А то ж взять да и посмотреть историю этого недоделка, это ж "пользующим с 2001 года" непосильная магия.

Ответить | Правка | Наверх | Cообщить модератору

143. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 18-Янв-21, 01:03 
Упс, а что, оно за те десять лет модули-то грузить так и не научилось?
Видимо, этим недоделком вообще никто кроме тебя и не пользуется никогда.

Или просто нужен еще один чудо-пакет с еще одним тривиальным скриптом из двух строчек?

Ответить | Правка | К родителю #139 | Наверх | Cообщить модератору

78. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Аноним (78), 17-Янв-21, 12:19 
Если с этим pid другое приложение запустилось?
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

103. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от псевдонимус (?), 17-Янв-21, 16:47 
>разумный конфигурацию.

Разумный-то он разумный.... Вот читать такое и врагу не пожелаешь.

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

118. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 17-Янв-21, 18:53 
>>разумный конфигурацию.
> Разумный-то он разумный.... Вот читать такое и врагу не пожелаешь.

Читать-то пожалуйста, заметить что в 16й строчке вместо 0x10 написано 1 - вот это попробуй.

Чуждый разум это понапроектировал.

Ответить | Правка | Наверх | Cообщить модератору

172. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от Аноним (172), 18-Янв-21, 18:02 
> А теперь запрети конкретному приложению доступ в сеть на лету

Для твоей задачи подходят cgroups, или заморачивайся с connection mark (если ты реально Ъ-джедай).

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

31. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –2 +/
Сообщение от Random (??), 16-Янв-21, 23:14 
На таком уровне всё элементарно.
Но это конечный ПК, с одним инетом, без форварда, без динамических афроамериканских списков, полностью открытый на выход.
А вот если посложнее - там начинается.
Документация неполная и в разных местах иногда противоречит сама себе.
Продукт очень сырой, то и дело натыкаешься на "особенности".
Но потенциально не так всё плохо, если до ума доведут, много вкусностей.
Потихоньку дополняю себе файл подсветки синтаксиса для mcedit - гораздо понятнее и удобнее становится.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

46. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –3 +/
Сообщение от murmur (?), 17-Янв-21, 01:37 
Ну и зачем тебе файрвол не на сервере? Или у тебя запущены какие-то службы на внешнем интерфейсе, к которым ты не хочешь, чтобы коннектились? Может в консерватории что-то подправить?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

61. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от leap42 (ok), 17-Янв-21, 08:03 
> Ну и зачем тебе файрвол не на сервере? Или у тебя запущены какие-то службы на внешнем интерфейсе, к которым ты не хочешь, чтобы коннектились? Может в консерватории что-то подправить?

я ip-телефонией занимаюсь, у меня, как можно заметить по правилам, часто запущен SIP клиент, и мне можно позвонить напрямую, без серверов вообще (по работе надо для тестов), потому upnp/nat-pmp, потому нужен firewall

Ответить | Правка | Наверх | Cообщить модератору

70. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от пох. (?), 17-Янв-21, 11:14 
> я ip-телефонией занимаюсь, у меня, как можно заметить по правилам, часто запущен
> SIP клиент, и мне можно позвонить напрямую, без серверов вообще (по
> работе надо для тестов), потому upnp/nat-pmp, потому нужен firewall

и именно по этой причине единственный на васян-десктопе, в общем-то, опасный протокол - у тебя торчит во весь мир, включая китайские ботофермы. А conntrack_sip - не, не наш метод.

Ну да, ну да, модные современные именно так все настраивают.

Ответить | Правка | Наверх | Cообщить модератору

96. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от leap42 (ok), 17-Янв-21, 15:29 
>> я ip-телефонией занимаюсь, у меня, как можно заметить по правилам, часто запущен
>> SIP клиент, и мне можно позвонить напрямую, без серверов вообще (по
>> работе надо для тестов), потому upnp/nat-pmp, потому нужен firewall
> и именно по этой причине единственный на васян-десктопе, в общем-то, опасный протокол
> - у тебя торчит во весь мир, включая китайские ботофермы. А
> conntrack_sip - не, не наш метод.
> Ну да, ну да, модные современные именно так все настраивают.

опасный протокол это что? у вас во дворе придумали, да? ещё раз: там торчит клиент, на который я сам себе звоню ради тестов, иногда коллеги или друзья. никаких PBX/SBC, интересных ботам, там нет и в помине.

conntrack_sip - нерабочее г*в*о, телефонисты выключают это первым делом (оно толком не может в SIP и неправильно подменяет ip, от чего звонки часто перестают проходить, настроек нет)

Ответить | Правка | Наверх | Cообщить модератору

108. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от пох. (?), 17-Янв-21, 18:20 
> опасный протокол это что? у вас во дворе придумали, да? ещё раз:

Телефонисты придумали. И, самое главное - клиентов понаписали.
Лучше б уж - во дворе, у тамошних пацанов меньше мозги набекрень.

> conntrack_sip - нерабочее г*в*о, телефонисты выключают это первым делом (оно толком не
> может в SIP и неправильно подменяет ip, от чего звонки часто

conntrack вообще ничего не подменяет. Он обеспечивает попадание в related rtp пакетов.
> перестают проходить, настроек нет)

Это для nat, а не conntrack. Проблема не в том что неправильно подменяет, а в том что не угадаешь как с точки зрения порождений телефонистов "правильно" и не подменят ли те еще разок, для надежности.
Настройка есть, называется iptables. Но ты, похоже, не умеешь, раз даже nat от conntrack не отличаешь.

Ответить | Правка | Наверх | Cообщить модератору

73. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –2 +/
Сообщение от mumu (ok), 17-Янв-21, 11:48 
Этот порт открыт для всего интернета.
Файрвол у тебя закрывает все КРОМЕ этого порта. Ещё раз поясни свою стратегию защиты: что и от чего защищается?
Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

83. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 17-Янв-21, 13:14 
> Этот порт открыт для всего интернета.

он там и ждет весь интернет.

> Файрвол у тебя закрывает все КРОМЕ этого порта. Ещё раз поясни свою

потому что это "десктоп", там логично так сделать, а исключения описать правилами.

Другое дело, что надо очень верить в надежность своего sip-софтфона, чтоб вот именно так это настроить. Ну или не держать на том "десктопе" лишнего. (Не в смысле нечего прикрывать, а в смысле - поломают, откачу снапшот vm)

> стратегию защиты: что и от чего защищается?

да в общем, как-бы, умеющему - понятно, а неумеющему не поможет.

Ответить | Правка | Наверх | Cообщить модератору

98. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от leap42 (ok), 17-Янв-21, 15:34 
> Этот порт открыт для всего интернета.
> Файрвол у тебя закрывает все КРОМЕ этого порта. Ещё раз поясни свою
> стратегию защиты: что и от чего защищается?

ещё раз: роутер с upnp, он без вопросов прокидывает любые порты любому софту (и это именно то, чего я хочу), любому устройству из локалки (у меня их семь)

на тачке должна торчать в инет только телефония (нужна для работы), вот и вся стратегия

Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

60. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от Антонимм (?), 17-Янв-21, 06:30 
Для админа да проще.А для пользователя нет.Что и тормозит использование linux.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

69. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от пох. (?), 17-Янв-21, 10:46 
> Для админа да проще.А для пользователя нет.Что и тормозит использование linux.

А у пользователя есть уже целых ДВЕ операционные системы, не считая ведроида, где сделали ему как проще. Тому аутпосту - 20 лет! И было бы хорошо затормозить скатывание линукса в "еще более удобно еще более т-ым пользователям", чтобы они его обходили десятой дорогой, и вместе с ними подобные "разработчики" свалили нахрен.

Тогда, может быть, снова придут те, кому надо не для т-го пользователя и совсем т-го разработчика, а для админа "проще".

Хотя, конечно, уже не придут никогда.

Ответить | Правка | Наверх | Cообщить модератору

92. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +2 +/
Сообщение от crypt (ok), 17-Янв-21, 15:17 
> вот это разве непонятно?

да не, "counter accept comment" - счетчик принял коммент! че тут непонятного-то. отлично все.

type filter hook input priority foo bar bar foo bar foo foo bar bar foo foo foo 0; - да зашибись!

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

101. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от псевдонимус (?), 17-Янв-21, 15:41 
Ну страшненькая ведь простынка :-(
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от Аноним (4), 16-Янв-21, 18:52 
Тот без антивируса еще который был? Знатная вещь.
Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от Аноним (-), 16-Янв-21, 18:59 
Когда уже 1.0 будет? Надоела эта вечная бета.
Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от псевдонимус (?), 16-Янв-21, 19:06 
Если не нравится вечная бэтп, то большая часть бесплатных гнулинукс не для тебя.
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 16-Янв-21, 19:55 
о, инвестор нарисовался!
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

32. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Random (??), 16-Янв-21, 23:15 
Там ещё дофига фиксить и допиливать.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

79. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от Аноним (78), 17-Янв-21, 12:23 
Ну и на фига его тогда везде насовали и заменили работающему iptables.
Ответить | Правка | Наверх | Cообщить модератору

97. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от псевдонимус (?), 17-Янв-21, 15:32 
Тестировать-то надо. И желательно бесплатно.
Ответить | Правка | Наверх | Cообщить модератору

119. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от пох. (?), 17-Янв-21, 18:55 
> Тестировать-то надо. И желательно бесплатно.

Я полагаю, платиновому спонсору в общем-то наплевать. Сам потестирует.
Вот угнаться за бесконечными stable api nonsense ему тоже не под силу, поэтому - пропихнуто в мэйнлайн, так проще.

Ответить | Правка | Наверх | Cообщить модератору

130. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от псевдонимус (?), 17-Янв-21, 20:50 
Ну и выбросят этот "инносенс". Уже приступили, не смотри на медленное запрягание.
Ответить | Правка | Наверх | Cообщить модератору

109. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –2 +/
Сообщение от пох. (?), 17-Янв-21, 18:24 
> Ну и на фига его тогда везде насовали и заменили работающему iptables.

во-первых, по прежнему полу-работающему. Только он уже deprecated, поэтоу ураааа, можно ничего не чинить!

во-вторых, не нафига, а на денежки платинового спонсора. Он как раз и не собирался руками эти простыни редактировать.

С тобой софтом не поделится, да и нахер тебе фейсбук дома?

Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

9. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Аноним (-), 16-Янв-21, 19:40 
С цацкой все ясно. А что в iptables-1.8.7 то поменяли ? Вообще непонятно новость какбы упоминает iptables в заголовке..
Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +5 +/
Сообщение от Аноним (11), 16-Янв-21, 19:47 
Сломали все, раньше было лучше
Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 16-Янв-21, 19:54 
> С цацкой все ясно. А что в iptables-1.8.7 то поменяли ?

Написано ж - еще более улучшили кривовраппер, и он теперь позволяет хотя бы выводить правила в том же порядке, в котором вводили. Еще через пару лет будет и исполнять в нем же, а не рандомом.

Все что надо знать о современном состоянии iptables, не так ли?

А ты думал - ipsec sa match починят? Может, тебе еще и gre nat починить, совсем оборзел?!
За двадцать гребаных лет переписывания переписанного ниасилен даже чекер. который в новой-модной-bpf-помойке невозможен в принципе.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

41. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Аноним (41), 17-Янв-21, 00:37 
Ну и славненько. А за двадцать лет то что должно было произойти ? Эта фигня была по фану написана
и впринципе то всех все утстраивает. Кому надо - либо сами не могут даже сформулировать что им надо, а кто может - не хватит денег и сил это реализовать. Так что улыбаемся и машем.
Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –2 +/
Сообщение от пох. (?), 17-Янв-21, 00:57 
> Ну и славненько. А за двадцать лет то что должно было произойти ?

Хотя бы то что Рыжий обещал "как только, так сразу". И нап-дел, как обычно.

> Эта фигня была по фану написана

До этой фигни была другая фигня - которая, в отличие от нее, хотя бы умела человеческим образом сказать, проходит через нее пакет с такими вот параметрами, или нет. Ну там еще много чего попереломали, кажется, как раз gre в том числе, но может и казаться (в смысле, может он и там не работал уже/еще). Про другие поломанные модули Рыжий точно кричал что это мелочи и как только, так непременно. А потом просто исчез.

> Так что улыбаемся и машем.

В смысле, бежим хватать ту краденую циску за пятнарик, пока другие не утащили? Я до понедельника подумаю, да. За ssm это хорошая цена (хотя, конечно, нах не нужен и только жрать электричество будет).
Интересно, работает ли по сей день генератор лицензий...


Ответить | Правка | Наверх | Cообщить модератору

104. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –2 +/
Сообщение от Аноним (-), 17-Янв-21, 17:17 
> В смысле, бежим хватать ту краденую циску за пятнарик,

Быдлопровайдинг это побочный эффект. Жаловаться на то что таких не обращают внимание и не фиксят "нужды" - просто глупо.

Ответить | Правка | Наверх | Cообщить модератору

114. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –2 +/
Сообщение от пох. (?), 17-Янв-21, 18:42 
>> В смысле, бежим хватать ту краденую циску за пятнарик,
> Быдлопровайдинг это побочный эффект.

мальчик, ты совсем дурак? Я ее себе под стол поставлю, вместо линуксного ненужно. Которое во-первых сил уже нет поддерживать, во-вторых, у этой штуки 4 гигабитных ethernet и 400 (ну ок, в реале около 200) мегабит ipsec сквозь них. Подобное под столом будет стоить дороже, а не дешевле, и сетевухи, и процессор понадобятся приличные. У этой внутри, кстати, какой-то чуть ли не селерон3. (такой у десятой, а у этой не помню уже что, чуть помощнее - ей хватает)

У провайдера совсем другие железки и он не покупает краденое. Это кастрюля для энтерпрайзов - устаревшая, с технологиями 200х, но вашему линуксонедофиреволу и это недоступно. Краденые pa7000 к сожалению бесполезны без подписок, а их не украдешь. ("технология" 201x в виде индусских рабов, да уж)

> Жаловаться на то что таких не обращают внимание и не фиксят "нужды" - просто глупо.

То ли дело пейсбук и другие платиновые спонсоры! Шва6одка. Жрите с лопаты что они соизволят вам отсыпать.

Ответить | Правка | Наверх | Cообщить модератору

149. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Sw00p aka Jerom (?), 18-Янв-21, 03:38 
> Краденые pa7000

чур меня чур, даже даром не нужно как и всякие ЧП (собратья пальто) со своими ЭнДжи.


Ответить | Правка | Наверх | Cообщить модератору

164. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 18-Янв-21, 13:27 
>> Краденые pa7000
> чур меня чур, даже даром не нужно как и всякие ЧП (собратья

ну да, ну да - лучше ковырять дома вот тот п-ц с tcp flags 0x10...

А я бы вот был вполне счастлив написать что-нибудь вроде deny application googleanal
без лишних телодвижений.


Ответить | Правка | Наверх | Cообщить модератору

170. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Sw00p aka Jerom (?), 18-Янв-21, 16:23 
> А я бы вот был вполне счастлив написать что-нибудь вроде deny application
> googleanal
> без лишних телодвижений.

я только за, но "больно" очень, ибо лучше чтобы не было вовсе, чем есть и через Ж. В случае с "л и н у п с о м" (МАТ ФИЛЬТР БЛОКИРУЕТ ЭТО СЛОВО :)) можно спокойно все отладить и выявить проблему (именно выявить, не решить), а в случае с "Ы" (Ынтерпрайзным) - придется п*здеть с саппортом индусским, который будет тебя футболить на уровень выше и пройдет минимум месяц пока поймут в чем проблема и остается еще и подождать когда зарелизят, а зарелизят и поди куча других багов сплывет. Короче, больше головной боли с этими ЭнДжи. Лучше уж простой тупой L3 ФВ. А покупать ЭнДжи и юзать в роли L3 - поговорка про курей :)


Ответить | Правка | Наверх | Cообщить модератору

166. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 18-Янв-21, 14:14 
>> Краденые pa7000

и кстати, да, gre nat/conntrack для многих источников-приемников у них тоже работал, это я с особой ненавистью проверял, потому что именно тогда и вляпался.

Впрочем, это неинтересно, он у асы тоже работает.

Ответить | Правка | К родителю #149 | Наверх | Cообщить модератору

24. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +2 +/
Сообщение от Аноним (24), 16-Янв-21, 22:38 
Вангую что через пару лет nftables устареет и на смену ему придет systemd-tables
Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от СеменСеменыч777 (?), 16-Янв-21, 22:43 
systemd-nettablesd
Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +1 +/
Сообщение от Лёня Потный (?), 16-Янв-21, 23:21 
> systemd-nettablesd

он у меня называется -firewalld. Уже давно пришел, уютно устроился и смотрит на вас добрыми-добрыми глазками.
А, не это п-ц пришел. У firewalld глазков нету.

Конечно же мы уже почти совсем поддеживаем в нем и nft.

Ответить | Правка | Наверх | Cообщить модератору

144. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Аноним (24), 18-Янв-21, 01:10 
Глаза Лени не могут быть добрыми ро определению
Ответить | Правка | Наверх | Cообщить модератору

75. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Онаним (?), 17-Янв-21, 11:51 
А вот кстати неплохо бы, да.
Потому что rh'вый firewalld - конченное удолбище, а в рамки системды оно себе вполне ляжет. Например каждый набор правил софта - своим "юнитом".
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

115. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от пох. (?), 17-Янв-21, 18:44 
> себе вполне ляжет. Например каждый набор правил софта - своим "юнитом".

да, представляю какая красота - снова три набора заклинаний-завываний чтобы как-то построить порядок запуска, и снова шибкоумный менеджер всего решит за тебя что можно тут что-то и поулучшать, поэтому правило с allow all однажды запустит раньше чем с deny.

Мечта...

Ответить | Правка | Наверх | Cообщить модератору

117. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от Онаним (?), 17-Янв-21, 18:52 
Да не, чего-чего, а с порядком запуска у системды всё хорошо.
Как раз таки печально не указать пререквизиты правильно - что очень часто встречается, тогда да, запустит как попало.
Ответить | Правка | Наверх | Cообщить модератору

124. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 17-Янв-21, 19:21 
> Да не, чего-чего, а с порядком запуска у системды всё хорошо.

Просто прекрасно. Сколько там у нее заклинаний для этой цели - пять, или больше уже?

А поскольку "Result is RESULT" и нормально отслеживать завершение запуска она не научится никогда - хоть двадцать пять напиши, не поможет. Как там у тебя с systemd-networkd-wait-online.service , все хорошо, да?

Ответить | Правка | Наверх | Cообщить модератору

129. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Онаним (?), 17-Янв-21, 20:47 
А что с ним должно быть не так?
У меня монтирование ряда FS на старт сети завязано, после стартует всё остальное.
Никаких затруднений не испытываю.
Ответить | Правка | Наверх | Cообщить модератору

141. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 18-Янв-21, 00:41 
> А что с ним должно быть не так?

А что с ним может быть "так"? Не работает оно. Как всегда у вас.

> У меня монтирование ряда FS на старт сети завязано

Это _netdev в fstab, небось, у тебя.
Очередной костыль.

Впрочем, он тоже иногда глючит.
Но большинство монтируемого просто виснет до победного результата, поэтому как раз и обеспечивает требуемую задержку для всего остального.

Ответить | Правка | Наверх | Cообщить модератору

152. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Онаним (?), 18-Янв-21, 09:27 
> Но большинство монтируемого просто виснет до победного результата, поэтому как раз и
> обеспечивает требуемую задержку для всего остального.

Ну у меня это в принципе и есть желаемое поведение: если что-то смонтировать не удалось - не стартовать в принципе, иначе возможны эксцессы. Хотя кое-где для некритичных маунтов выкручены вниз таймауты.

Ответить | Правка | Наверх | Cообщить модератору

169. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от PnD (??), 18-Янв-21, 16:17 
> Это _netdev в fstab, небось, у тебя.

А fstab себя сам монтирует? Ой, да это же…
man systemd-fstab-generator

* Раньше магия по-другому называлась, но сам себя fstab никогда не монтировал.

Ответить | Правка | К родителю #141 | Наверх | Cообщить модератору

174. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 19-Янв-21, 11:07 
>> Это _netdev в fstab, небось, у тебя.
> А fstab себя сам монтирует? Ой, да это же…
> man systemd-fstab-generator

ну так и почитай там что такое _netdev. Что, опять не написано, вместо мана билиберда какая-нибудь? Ну даже и не знаю, сгенери и посмотри.

Оно не работает. Точнее, оно работает только потому что виснет в процессе монтирования при недоступной сети.

Когда не виснет - все ломается.

Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –2 +/
Сообщение от Аноним (26), 16-Янв-21, 22:57 
Поддержку ipv4 пора удалять как устаревший протокол. Ну раз i386 и FTP убрали
Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +5 +/
Сообщение от Аноним (30), 16-Янв-21, 23:08 
И к ICMP прикрутить сертификаты, а то совсем не секурно
Ответить | Правка | Наверх | Cообщить модератору

95. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Аноним (95), 17-Янв-21, 15:23 
FTP на уровне ядра и не было никогда.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

40. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от онанимус (?), 16-Янв-21, 23:37 
оно действительно быстрее, чем iptables? есть смысл переезжать, если у меня под десять тысяч строк в iptables-save?
Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 17-Янв-21, 00:49 
очевидно, что это зависит не от количества тысяч строк, а от того, есть у тебя прямо сейчас какие-то проблемы с этим количеством или нет. И не решает ли их просто разнесение по разным веткам, если еще не, или даже переход на ipset (на мой взгляд бесполезен, но на десятке тысяч я не мерял, может и есть какой профит)

Скорее всего - управлять этой махиной тебе станет сильно сложнее чем сейчас. Вон, посмотри на этих героев, которым "подсветка синтаксиса" понадобилась, разбираться что они сами же и наколбасили. Я-то обхожусь grep в основном.

С другой стороны - legacy версию явно скоро не доломают так просто объявят устаревшей и переезжать куда-то все равно придется.

Лично я планирую на промышленные файрволы для периметра, и ufw/firewalld для хостов. Прикрыть пару портов хватит и этого,а ковыряться в кошмарном синтаксисе - пусть пейсбук будет.

Ответить | Правка | Наверх | Cообщить модератору

50. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от Sw00p aka Jerom (?), 17-Янв-21, 02:50 
>Лично я планирую на промышленные файрволы для периметра

промышленный? эт какой-такой промышленный а?

Ответить | Правка | Наверх | Cообщить модератору

54. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от СеменСеменыч777 (?), 17-Янв-21, 05:20 
> промышленный? эт какой-такой промышленный а?

это у которого в рекламе написано "industrial" и "enterprise level".

Ответить | Правка | Наверх | Cообщить модератору

86. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +1 +/
Сообщение от Аноним (86), 17-Янв-21, 13:43 
И чтоб обязательно встроенный бекдор от лучших индусов Бангалора.
Ответить | Правка | Наверх | Cообщить модератору

87. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от Sw00p aka Jerom (?), 17-Янв-21, 14:27 
Туда бы ещё добавить словечко NGFW :)
Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

120. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от пох. (?), 17-Янв-21, 19:01 
> Туда бы ещё добавить словечко NGFW :)

ngfw не украсть - там весь ng в том что где-то в Бангалоре команда из сорока прикованных индусов день и ночь анализирует дампы и лепит новые правила.

Без подписки ценой примерно в стоимость самой коробки (которая тоже не 15 тыщ, причем и не $$ даже) бесполезно, он даже не запустится у тебя.

Внутри, кстати, вполне себе теперь может оказаться линyпс с nft. Почему же нет, для этой цели он вполне пригоден, и не надо ничего самим разрабатывать, кроме той руки, в которой кнут для индусни.

bpf загрузит не в память, а в asic, разьве что.

Ответить | Правка | Наверх | Cообщить модератору

131. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Sw00p aka Jerom (?), 17-Янв-21, 21:23 
>Внутри, кстати, вполне себе теперь может оказаться линyпс с nft.

так и есть

> Почему же нет, для этой цели он вполне пригоден

такое же гамно если честно, при 1M pps валится. устал багрепортить, индусия.

Ответить | Правка | Наверх | Cообщить модератору

154. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от RHEL fan (?), 18-Янв-21, 11:32 
Не, nft нету. Там ядро 2.6, тогда такого еще не придумали.
Ответить | Правка | Наверх | Cообщить модератору

158. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Sw00p aka Jerom (?), 18-Янв-21, 12:26 
>вполне себе теперь может оказаться линyпс с nft.

Это не утверждение, а предположение. Через пару лет вероятней и окажется с nft.

Ответить | Правка | Наверх | Cообщить модератору

165. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 18-Янв-21, 13:31 
>>вполне себе теперь может оказаться линyпс с nft.
> Это не утверждение, а предположение. Через пару лет вероятней и окажется с
> nft.

неисключено, что именно эти ребята и спонсируют.

Сам понимаешь, от обычных iptables  им проку никакого, только лишние тормоза были бы, и пока все приходится делать самим. Они будут неимоверно счастливы ограничиться bpf-загрузчиком.

Ответить | Правка | Наверх | Cообщить модератору

58. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +1 +/
Сообщение от Tifereth (ok), 17-Янв-21, 05:54 
Перенос в ipset, по накопленной статистике, сказывается на производительности уже после пары сотен однотипных правил (ясен пень, что зависит от скорости конкретного железа или его эмуляции).

Помимо того, что элементарно проще разбираться в десятке правил с ipset, чем в жуткой простыне, что была бы вместо него.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

64. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от пох. (?), 17-Янв-21, 10:11 
> Перенос в ipset, по накопленной статистике, сказывается на производительности уже после
> пары сотен однотипных правил (ясен пень, что зависит от скорости конкретного

по "накопленной статистике" не на чем сказываться. Вообще никак эти пары сотен не видны.

> Помимо того, что элементарно проще разбираться в десятке правил с ipset, чем
> в жуткой простыне, что была бы вместо него.

чем простыня ipset отличается в лучшую сторону от точно такой же в виде chain?
Тем, что теперь вместо одного места, надо смотреть в два?

Ответить | Правка | Наверх | Cообщить модератору

153. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от Tifereth (ok), 18-Янв-21, 11:15 
> по "накопленной статистике" не на чем сказываться. Вообще никак эти пары сотен не видны.

У вас это любимое занятие, я погляжу - делать выводы о том, чего в глаза не видели?

> чем простыня ipset отличается в лучшую сторону от точно такой же в виде chain?
> Тем, что теперь вместо одного места, надо смотреть в два?

Тем, что в случае ipset это уже не простыня.

Ответить | Правка | Наверх | Cообщить модератору

162. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 18-Янв-21, 13:18 
>> по "накопленной статистике" не на чем сказываться. Вообще никак эти пары сотен не видны.
> У вас это любимое занятие, я погляжу - делать выводы о том,
> чего в глаза не видели?

да, да, конечно же не видел.

Кончай бредить. Увидеть вшивые сотни правил невозможно НИКАК, разьве что на i386/20.
Скорее ты увидишь разницу между отсутствием и наличием загруженного модуля iptables вообще.
Увидеть можно тысячу - ну увидел, аж целых пара миллисекунд, ужос-ужос, дальше пошел.

>> чем простыня ipset отличается в лучшую сторону от точно такой же в виде chain?
>> Тем, что теперь вместо одного места, надо смотреть в два?
> Тем, что в случае ipset это уже не простыня.

о да, да, конечно же не простыня,это другое.

Ответить | Правка | Наверх | Cообщить модератору

177. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Tifereth (ok), 19-Янв-21, 17:42 
> да, да, конечно же не видел.

Единственное мало-мальски осмысленное среди вороха букв. Понятно, что вы тужились иронизировать, но ответили точно и по существу.

Остальное - белый шум (ну не признаетесь же вы, в самом деле, что могли чего-то не видеть и о чём-то не знать).

Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Аноним (52), 17-Янв-21, 04:03 
на ipset https://www.dbsysnet.com/wp-content/uploads/2016/03/ipset3.png
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

55. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от СеменСеменыч777 (?), 17-Янв-21, 05:25 
> на ipset https://www.dbsysnet.com/wp-content/uploads/2016/03/ipset3.png

1) непонятно, что такое "responce" и "request" в контексте фаерволла.
2) почему-то нет графиков для ipfw и pf.

Ответить | Правка | Наверх | Cообщить модератору

65. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от пох. (?), 17-Янв-21, 10:21 
>> на ipset https://www.dbsysnet.com/wp-content/uploads/2016/03/ipset3.png
> 1) непонятно, что такое "responce" и "request" в контексте фаерволла.

понятно только что до 15000 эффект неразличим приборами (ты правда можешь достоверно хоть в каком сценарии померять 5ms? ) и с моими представлениями это вполне совпадает. Вероятно актуально для косплеящих клаудфлерь на коленке (помнится, qrator очень гордились что у них все именно из г-на и палок) а не для админов.

> 2) почему-то нет графиков для ipfw и pf.

потому что г-но оне. Совершенно нечитаемое, п-цки неудобно управляемое, не полнофункциональное, да еще и тормоз. ipset скосплеен именно с их set/table - именно потому что у них во-первых, не 5ms, во вторых, поскольку оба - плоские убожища 92го года изобретения - даже десяток однотипных правил приходится заводить в виде таблицы, чтобы еще хоть что-то было можно потом понять в этой простыне.

Сравнивать их может только особый талант, который только из дерьма и работать обучен.

Ответить | Правка | Наверх | Cообщить модератору

77. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Онаним (?), 17-Янв-21, 11:53 
Если встаёт вопрос об ipset - лучше сразу таки на nft, потому что одно дело мейнтейнить один конфиг файрвола, другое дело - два оторванных друг от друга.
Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

82. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –2 +/
Сообщение от пох. (?), 17-Янв-21, 13:08 
> Если встаёт вопрос об ipset - лучше сразу таки на nft, потому
> что одно дело мейнтейнить один конфиг файрвола, другое дело - два
> оторванных друг от друга.

наоборот. "майнтейнить" простыню в десять тыщ строк, перемешанную с конфигом файрвола - это для особых любителей на лыжах в гамаке.

Ответить | Правка | Наверх | Cообщить модератору

159. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Random (??), 18-Янв-21, 13:11 
В конфиге файрвола только (например):
define ext1_if = enp1s0.10
define ext2_if = enp1s0.11
define ext_ifs = { $ext1_if, $ext2_if }
add table ip filter
add chain ip filter fin { type filter hook input priority filter; policy drop ; }
# Собственно, вот это:
add set ip filter bad_src_ranges { type ipv4_addr; size 65536; flags interval; }
add rule ip filter fin iif $ext_ifs ip saddr @bad_src_ranges drop

И, по желанию, отдельно или тут же:
nft add element ip filter bad_src_ranges { x1.x2.x3.0/23, y1.y2.y3.y4-y1.y2.y5.y6, z1.z2.z3.z4 }

Ответить | Правка | Наверх | Cообщить модератору

163. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 18-Янв-21, 13:23 
п-ц то какой.

Я сломал глаза, пытаясь эту фигню прочесть.

Ответить | Правка | Наверх | Cообщить модератору

138. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от онанимус (?), 17-Янв-21, 23:42 
у меня именно правила ipset...
предварительно укороченные с помощью aggregate - блокирую больших братьев по AS.
короче, понял - пока не закончится поддержка Centos 7, оставляю iptables.
Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

76. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Онаним (?), 17-Янв-21, 11:52 
Я бы поглядел. Вполне возможно, что удастся сгруппировать в пару сотен.
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

90. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от InuYasha (??), 17-Янв-21, 14:59 
Коллеги (особенно пох :) ), подскажите, у линухе уже можно реализовать мою мечту когда можно в одном месте назначить PORT_SSH=999, IFACE_WAN=enp2s45f968wtf; и потом во всех остальных местах вот эти дефайны использовать? А не так чтобы grep -r /etc каждый раз чтобы найти, где ж ещё этот сраный enp2s45f968wtf используется.
Ответить | Правка | Наверх | Cообщить модератору

122. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –2 +/
Сообщение от пох. (?), 17-Янв-21, 19:09 
> Коллеги (особенно пох :) ), подскажите, у линухе уже можно реализовать мою
> мечту когда можно в одном месте назначить PORT_SSH=999, IFACE_WAN=enp2s45f968wtf; и потом
> во всех остальных местах вот эти дефайны использовать?

Не советую, оно его тебе завтра еще разок переименует - и все сломается.

Можно. Хошь m4 используй, не хошь - cpp.
Собственно, другим способом с новым-модным nft работать и не получится. Только генерить его уродливые конфиги чем-то, что имеет человекочитаемый.

В прошлые-то годы, если мне такого хотелось, я мог просто переименовать eth0 в wan. Но сейчас этим занимается systemd-govnod, и не спрашивает, во что бы я там хотел его переименовать.

Ответить | Правка | Наверх | Cообщить модератору

133. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от InuYasha (??), 17-Янв-21, 21:53 
М-да, не радужно. системду я ещё не изучал на этот предмет. но вообще переимновать сам девайс было бы лучше всего....наверное. Но тот же порт или влан всё равно было бы неплохо где-нибудь обозначить. Вот только конфиг ССШ не умеет же переменные окружения (не умел, пкм).
Ответить | Правка | Наверх | Cообщить модератору

135. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  –1 +/
Сообщение от Sw00p aka Jerom (?), 17-Янв-21, 22:47 
http://manpages.ubuntu.com/manpages/bionic/man5/systemd.link...

может поможет, там примеры есть

Ответить | Правка | Наверх | Cообщить модератору

142. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 18-Янв-21, 00:52 
Отличная диверсия, кстати, спасибо, хер кто потом найдет, почему на этом хосте вместо enp2s45f968wtf оказался wtfenp2s45f968
(Или почему все сломалось нахрен, когда ты заменил сгоревшую карту на такую же.)

Ответить | Правка | Наверх | Cообщить модератору

148. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Sw00p aka Jerom (?), 18-Янв-21, 03:26 
> Или почему все сломалось нахрен, когда ты заменил сгоревшую карту на такую же.

Далеко ходить не надо :)

Device eth0 does not seem to be present, delaying initialization

# rm /etc/udev/rules.d/70-persistent-net.rules


Ответить | Правка | Наверх | Cообщить модератору

155. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от InuYasha (??), 18-Янв-21, 11:41 
Поглядел ман, спасибо. Теоретичеси, половину вопроса решает, возможно
[Link]
Name=МойУютный
А пока ждём когда в линукс завезут глобалы или реестр.
Ответить | Правка | Наверх | Cообщить модератору

160. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 18-Янв-21, 13:12 
> Далеко ходить не надо :)

Не, это у тебя какая-то немодная-устаревшая херня, так было в конце нулевых, где тебя забыли разморозить. Мне даже целый один раз на самом деле пригодилось - попалась специфическая машина, каждый раз инитившая одни и те же сетевухи в разном порядке (ну не чинить же, действительно, само непредсказуемое поведение ведра, что вы, в самом деле).

Нынче этот самый eth0 увидеть - большая редкостная удача, и та доступна _исключительно_ благодаря майнтейнерам убунты, поднявшим шум, когда фичу с отключением переименования во что попало по тихому выпилили из системды. Достаточно громко орали, что ее после нытья про немодность и нотабаг все же запилили взад. Неизвестно, надолго ли.

(Разумеется, в любом случае для этого нужен параметр в командной строке ядра, и другие ужимки и прыжки (в убунте за тебя их уже проделал майнтейнер)

А простым смертным - eno2p42353265wtf - а переименовали его из eth0 или из eth5 - какая, в общем-то, разница?

Ответить | Правка | К родителю #148 | Наверх | Cообщить модератору

171. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Sw00p aka Jerom (?), 18-Янв-21, 16:48 
>Не, это у тебя какая-то немодная-устаревшая херня, так было в конце нулевых

почему же udev и щас живет, пример выше при смене мака происходит, ибо удев правило прописано с матчингом по маку.

> А простым смертным - eno2p42353265wtf - а переименовали его из eth0 или
> из eth5 - какая, в общем-то, разница?

л и н у п с ведь не для простых смертных, а для самоубийц :)


Ответить | Правка | Наверх | Cообщить модератору

181. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +1 +/
Сообщение от пох. (?), 19-Янв-21, 18:20 
>>Не, это у тебя какая-то немодная-устаревшая херня, так было в конце нулевых
> почему же udev и щас живет, пример выше при смене мака происходит,

сейчас удев - интегрированный кусок shittyd. Ничего при смене мака не происходит (чаще всего) потому что он там третьим приоритетом, а первым то ли номер слота, то ли я хз вообще что это.
Еще пока можно кое-как отключить, но это ненадолго да и для здоровья вредно (та помойка, где eth0 каждый раз новый - у меня все еще жива, уж лучше пусть будет ens123456 чем такое). А фиксированный порядок скана слотов умер вместе с 2.4.32, наверное.


> л и н у п с ведь не для простых смертных, а
> для самоубийц :)

для прикованных рабов, просто. Остальные давно сбежали :-(


Ответить | Правка | Наверх | Cообщить модератору

146. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 18-Янв-21, 01:43 
> Но тот же порт

дарю идею - /etc/services
Это будет диверсия похлеще .link - никто вообще нихрена понять не сможет!

Ответить | Правка | К родителю #133 | Наверх | Cообщить модератору

157. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от InuYasha (??), 18-Янв-21, 11:41 
О, это будет круто )
Ответить | Правка | Наверх | Cообщить модератору

173. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от СеменСеменыч777 (?), 18-Янв-21, 21:25 
> Только генерить его уродливые конфиги чем-то, что имеет человекочитаемый.

1) а я о чем писал ?
2) типа у циски конфиги не уродливые.

> Но сейчас этим занимается systemd-govnod

у кого как. у меня не занимается.

Ответить | Правка | К родителю #122 | Наверх | Cообщить модератору

175. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 19-Янв-21, 11:15 
> 2) типа у циски конфиги не уродливые.

они %банутые, но хотя бы -  читаемые, если не использовать совсем кривые практики.
И отлаживаемые наживую, что ценно - можно вместо "пристального вглядывания" в простыни правил  просто позвать packet tracer и посмотреть, на каком конкретно фильтре оно этим пакетом подавилось (причем это не сбоку-кривая-приблуда, а виртуальный пакет реально прогоняется по всей цепочке, даже с поднятием ipsec туннелей если потребуются, это еще ж для людей делали, а не для рабов сцукенберга)

Что позволяет, при большом желании, их вообще не писать руками а генерить чем-то (потому что не придется читать понагенеренное - достаточно посмотреть, где ошибка, и читать уже в компактном и понятном исходнике).

За эти-то деньги - просто даром, считай, четыре таких сетевухи столько же или дороже. И никаких внезапно превращений eno2wtf в wtfeno2 и вообще угадай как его сегодня зовут, ethernet0 был и остается ethernet0.

Ответить | Правка | Наверх | Cообщить модератору

182. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от СеменСеменыч777 (?), 21-Янв-21, 01:24 
подведем итоги. линукс виноват в том что:

1) не выдал забесплатно стандартный генератор правил с визардом (есть 2 нестандартных, 1 из них без визарда, чисто текстовый конфиг).

2) не выдал забесплатно трассировщик пакетов.

3) имеет наглость развиваться куда попало и перетряхивать сетевую подсистему.

по пп.1-2: а вам не кажется, что вы немного ЗАЖРАЛИСЬ ?

Ответить | Правка | Наверх | Cообщить модератору

183. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от пох. (?), 21-Янв-21, 10:57 
> не выдал забесплатно стандартный генератор правил с визардом

мне он нахер не нужен. Мне нужен человекочитаемый конфиг. У вас он был, теперь его нет.

> не выдал забесплатно трассировщик пакетов

как будто у вас за деньги есть способ посмотреть, в каком месте и по какой причине пакет вот с такими src/dst/proto/port ушел не туда или отброшен? Ну же, куда занести 20 тыщ? А то таки продавцам краденых цисок достанутся, я нашел что искал.
Да, ваша поделка этому разучилась. В 98м, как ни смешно - частично умела.

> имеет наглость развиваться куда попало

вовсе не куда попало, а куда рулит пейсбук. А поскольку я не пейсбук - мне от этого развития никакой пользы нет, одни проблемы. Удивительно, да?

> по пп.1-2: а вам не кажется, что вы немного ЗАЖРАЛИСЬ ?

не желаю жрать пейсбучье г-цо с лопаты, зато6ешплатное?! Ага. Могу себе позволить за деньги удобное. И работодателя могу выбрать не настолько феноменально бедного и жадного (мне в зарплату эти деньги все равно не могут заплатить, там совсем другие налоги будут)


Ответить | Правка | Наверх | Cообщить модератору

151. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +3 +/
Сообщение от Аноним (151), 18-Янв-21, 09:03 
Интересно: есть ли хоть кто-то, (кроме марсиан-разарбов) кто в nftables продвинулся дальше написания примитивных правил?
Ответить | Правка | Наверх | Cообщить модератору

161. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +1 +/
Сообщение от пох. (?), 18-Янв-21, 13:13 
Я уверен, что в фейсбуке их полно таких.

Только вот зачем, учитывая что времени и геморроя на отладку (если отлаживать, конечно, а не наваять херню и через день убежать ваять другую херню) банально жалко?

Ответить | Правка | Наверх | Cообщить модератору

168. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от Random (??), 18-Янв-21, 15:45 
Чуть менее примитивное:
работа домашнего роутера через двух провайдеров одновременно, с афроамериканскими списками, в т.ч. динамическими.
Ответить | Правка | К родителю #151 | Наверх | Cообщить модератору

184. "Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"  +/
Сообщение от OpenEcho (?), 21-Янв-21, 15:46 
Пока куцый врапер в iptables не уберут, народ на эту модную реплику пытающуюся стать pf-ом навряд пойдет
Ответить | Правка | К родителю #151 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Ideco
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру