The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск пакетного фильтра nftables 1.0.3"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от opennews (ok), 01-Июн-22, 14:08 
Опубликован выпуск пакетного фильтра nftables 1.0.3, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Необходимые для работы выпуска nftables 1.0.3 изменения включены в состав ядра Linux 5.18...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57285

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск пакетного фильтра nftables 1.0.3"  +1 +/
Сообщение от Zenitur (ok), 01-Июн-22, 14:08 
И сюда NFT добралось
Ответить | Правка | Наверх | Cообщить модератору

70. "Выпуск пакетного фильтра nftables 1.0.3"  +1 +/
Сообщение от Robin Hood (?), 04-Июн-22, 13:04 
Соглы, не нужно.
Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск пакетного фильтра nftables 1.0.3"  +4 +/
Сообщение от mumu (ok), 01-Июн-22, 14:13 
> auto-merge во время работы

Полезняшка, особенно если списки часто меняются. Впервые за долгое время что-то практичное, а не безумный синтаксический сахар в духе "а давайте добавим в файрволл Tcl".

Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск пакетного фильтра nftables 1.0.3"  –1 +/
Сообщение от Покойник (?), 01-Июн-22, 14:15 
Тикль крут сам по себе.
Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (7), 01-Июн-22, 16:04 
У вас там.
Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск пакетного фильтра nftables 1.0.3"  –8 +/
Сообщение от Mikk (??), 01-Июн-22, 14:21 
Говняшка. Если что-то добавляется, то расчитываешь, что оно там и будет. Потом грепнешь и удивишься, куда оно пропало. Такие оптимизации должны быть скрыты.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Выпуск пакетного фильтра nftables 1.0.3"  –4 +/
Сообщение от пох. (?), 01-Июн-22, 15:55 
Так там греп бесполезен - это ж неосиляторы юникса изобрели.
Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки, а не загадочные скобочки пятнадцати разновидностей.

Вон, в json выводи и интуитивно-приятно парси его. После этого удивляться что что-то куда-то пропало уже будет и несмешно даже.

А лучше просто учи синтаксис firewalld. Все равно докеры шмокеры там поперек тебя лазят и после них руками уже ничего нормально не исправить.

Все, нет в лиnoopsе нормального пакетного фильтра, для людей, хотели как ввенде - нате вам.

А этот бред из текста новости - все равно ни понять, ни отлаживать не получится.
                   udp length 47-63 @th,160,128
0x0e373135363130333131303735353203 goto nat_dns_dnstc

- ну просто ж прекрасное. Уже и похрен куда его уоптимизирует - его только выкрасить и выбросить можно.

Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (8), 01-Июн-22, 16:20 
Я сейчас использую обратно совместимый вариант. Всё работает без погрешностей. При миграции только имена команд подправил и все взлетело.
Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (10), 01-Июн-22, 16:27 
> Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки

Удачи вам почитать грепом wtmp, блин.

Да и вообще, умилительное зрелище, когда приходит подоконник и начинает учить, как оно на юниксе должно быть, а сам максимум фрю под вмварью видел.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

12. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от 1 (??), 01-Июн-22, 16:43 
> Удачи вам почитать грепом wtmp, блин.

т.е. команду strings ты так и ниасилил ?

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск пакетного фильтра nftables 1.0.3"  –4 +/
Сообщение от пох. (?), 01-Июн-22, 17:44 
>> Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки
> Удачи вам почитать грепом wtmp, блин.

last обеспечивает вполне читаемый грепом вывод, без всякого node.js парсера. Неожиданное открытие?

> Да и вообще, умилительное зрелище, когда приходит подоконник и начинает учить, как
> оно на юниксе должно быть, а сам максимум фрю под вмварью
> видел.

ну вот и не приходи сюда. Со своими привычками "как в венде". Впрочем, поздно уже, конечно. Разработчики стали такие же точно.

Причем и винду тоже не умеют.


Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

19. "Выпуск пакетного фильтра nftables 1.0.3"  +1 +/
Сообщение от john_erohin (?), 01-Июн-22, 17:47 
wtmp пусть читает last.

возможно, когда делали wtmp бинарным, имели в виду "это будет база данных навроде BerkleyDB".

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

23. "Выпуск пакетного фильтра nftables 1.0.3"  –1 +/
Сообщение от Аноним (10), 01-Июн-22, 17:59 
В коммерческих юниксах и логи аудита бинарные.

(Тем более забавно видеть всякие ausearch и aureport в линуксах, где логи аудита всегда были текстовые)

Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (7), 01-Июн-22, 18:11 
>В коммерческих юниксах и логи аудита бинарные.

Казалось бы, при чём здесь Поттеринг, бинарные логи в systemd...

Ответить | Правка | Наверх | Cообщить модератору

50. "Выпуск пакетного фильтра nftables 1.0.3"  +1 +/
Сообщение от Аноним (50), 02-Июн-22, 12:58 
Всё это было появилось в юниксах ещё в 1993.

Поттеринг на самом деле мало чего нового (так, чтобы аналогофнет) предложил в 2010 - просто более или менее довёл линукс до паритета возможностей с коммерческими юниксами.

Тем смешнее была клоунада "защитников старого доброго Unix way", которые этих юниксов в глаза не видели и фич не узнали.

Ответить | Правка | Наверх | Cообщить модератору

71. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от www2 (??), 08-Июн-22, 07:31 
Был дух лабораторного юникс, простого и ортогонального, и были коммерческие юниксы, сложного и избыточного. Коммерческие юниксы никогда не соответствовали духу лабораторного юникса.
Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от пох. (?), 01-Июн-22, 18:33 
> wtmp пусть читает last.
> возможно, когда делали wtmp бинарным, имели в виду "это будет база данных
> навроде BerkleyDB".

оно так и есть, только не keyvalue а специфический стор, причем - sparse file, поскольку хранит не "лог" а состояние "на сейчас".
Не самое удачное изобретение, если честно (его регулярно пытаются переизобрести, но каждый раз получается еще хуже чем было). Но таки да - инструментарий для работы с ним по прежнему укладывается в юникс-парадигму, его писали - давно.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

38. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от User (??), 01-Июн-22, 19:46 
Так и не было никогда.
За вменяемым синтаксисом - в bsd, но там возможностей недоклали, а в последнее время и просто "клали" - костыли. А, ну ещё в какую циску, да. Там конечно "море легаси", но в ем свои плюсы.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

40. "Выпуск пакетного фильтра nftables 1.0.3"  +2 +/
Сообщение от пох. (?), 01-Июн-22, 22:16 
Все нормально было в iptables с синтаксисом. И человекочитаемый, и удобоотлаживаемый, чего не хватало - ну, фейсбуку понятно чего - бабла.

В bsd ничего вменяемого нет - либо простыня ipfw с юзерхелпером (б-же мой, какое у нас тысячелетье-то на дворе) для nat, как только их больше одного - хрен ты уже разберешь кто там на ком стоял. Либо совершенно невменяемый криво-косо и с опозданием на пять лет портированный из openbsd. С юзерхелперами для протоколов сложнее голого udp.

И про циску тоже не надо мне тут:
nat (inside,outside) source static vcenter interface service vcenter-1 vcenter-1
nat (inside,outside) source static vcenter interface service vcenter-web vcenter-web
nat (inside,outside) source static vcenter interface service vcenter-control-web vcenter-control-web
nat (inside,outside) source static vcenter interface service vcenter-console-web vcenter-console-web
nat (inside,outside) source static vcenter interface service https https no-proxy-arp

ШИ-ТО тут написано и почему ОНО так, к лесу в известной позе, а к тебе почему-то передом?! Нет, это работающие правила, static Dnat для доступа ИЗВНЕ. Нет, интерфейс outside там где и должен был бы быть.

Это у меня еще нет синтаксиса через object-groups, тоже задом-наперед, а без пол-банки я тебе его не напишу с первой попытки правильно.

На фоне этого страшилища iptables-то просто откровение дарованное нам с рыжым. Его можно было просто читать (да, не тратя времени на пережевывание и зубреж простыни манов, если тебе не надо было что-то совсем уж экзотического).

Ответить | Правка | Наверх | Cообщить модератору

46. "Выпуск пакетного фильтра nftables 1.0.3"  +2 +/
Сообщение от User (??), 02-Июн-22, 07:51 
Не-не-не, Девид Блейн! Вот смотри: простое правило ipfw add allow proto from to несёт 0 - "ноль" дополнительных уровней абстракции и читается любым человеком даже без знания предметной области. Да, в реальном мире у нас тут же появляются setup keep-state/check-state, но! Это абстракции уровня "предметной области", а не "инструмента". Сравните с ай-пи-табляйс - тут же, на входе - две чисто инструментальных концепции - "таблицы" и "цепочки", которые Никак не кореллируют с предметной областью. Патамучта-патаму. Это даже если не говорить про в доску упоротый синтаксис с мешаниной --\-, больших-маленьких букв (которые опять же, никому без мануала ни о чем не говорят) --и-длинных-слов. Простые вещи должны делаться просто, не?
Да, эта простота провоцирует разростание простыней (плюс куча goto, ой, skip), плюс сколько-нибудь сложные вещи становятся нумнэээ... Такоэ. Ну так сколько ж ему годиков?
Вот в ПФ (опенбсдшного изводу особенно) done right - простые вещи делаются просто, сложные - немного сложнее. правда каких-либо причин делать хоть какие-то вещи на опенбсде я не нахожу (Простые с тем или иным геморроем делаются и другими инструментами, а сложные опенбсдя в общем-то не тянет. Теоретически какбыда, а на практике - нихрена) - но сам инструмент с т.з. пользователя хороший.
Тут ей-ей, файрволлд - шаг в правильном направлении. Большинство простых юзкейсов он покрывает, позволяя при этом решать сложные задачи низкоуровневыми инструментами. Но чисто его по возможностям даже и айпифв сравнивать смишно - чисто линуксовая поизнедоделка, без (nf|ip)tables потребности не покрывает, а они - см. Выше.
Ответить | Правка | Наверх | Cообщить модератору

47. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от пох. (?), 02-Июн-22, 08:06 
> любым человеком даже без знания предметной области.

а на реальный конфиг смотрят такие ТРИ человека со знанием предметной области - и не могут быстро найти где же ошибка в этой адовой простыне и почему сеть сломалась и на какой "skipto" они не попали.

Понятно что ты можешь скопировать эту чушь в iptables (не, не можешь, потому что nat все же отделен от фильтра) и сделать похожую нечитабельную простыню на пять экранов, но первое что сделают при ее разборе, если беглый взгляд не помог найти проблему - аккуратно нарежут на ломтики отдельных цепочек, чтобы каждую было можно охватить взглядом и отлаживать отдельно.

> так сколько ж ему годиков?

ну так в этом и проблема - за эвонсколько годиков (три всего) в линуксе ушли от плоской простыни навсегда, а эти так и остались с ней в обнимку. Теперь там еще и fibers в той же плоской простыне.

Циска на то и ентерпрайс что ей понадобилось всего лишь 20 лет чтобы это понять (в asa v8 сделали таки acl'и работающими с уже оттранслированными адресами как в линухе, до того был "bsd way")

> Тут ей-ей, файрволлд - шаг в правильном направлении.

увы, но ровно под него и прогнулись (это ж редгад, попробуй покривляйся золотому спонсору) - весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей дряни, решающей за тебя как настраивать фильтры. В коде они с удовольствием будут парсить json.
Причем "какввенде" опять почему-то не вышло, место чоль проклято, вышла неудобная неуправляемая фигня. Зато она в rhel поэтому это ваше будущее.

Ответить | Правка | Наверх | Cообщить модератору

51. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от User (??), 02-Июн-22, 13:16 
>а на реальный конфиг смотрят такие ТРИ человека со знанием предметной области

"Порог вхождения", однако. Три человека со знанием ЗАКЛИНАНИЯ -Жи ассепт! Тут ничем не лучше.
>Понятно что ты можешь скопировать эту чушь в iptables

Так не можешь). Если бы "мог" вопросов бы не было - простые вещи просто, сложные - чуть сложнее. А тут тебе сразу на входе куча синтаксического мусора + концепций инструмента. В этом-то и претензия
>ну так в этом и проблема - за эвонсколько годиков

Угу. Проблема. Ну так и не надо в как-там по молодёжному? 2к22? Айпифэвэ насиловать). Есть пф.
>весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей дряни, решающей за тебя как настраивать фильтры

Ну, не знаю как ты - а я распедалить что там в 33 слоя насрано на ноде кубера в сколько-нибудь разумное время вот в принципе не смогу. Всё, лоу-левел не для меня, дайте мне тогда простой инструмент высокого уровня который будет решать _мои_ а не куберодокероштотатам задачи, в идеале - не ломая этот штотатам нафиг. Плевать уже что там под капотом, все равно я туда не полезу. И тут проблема не в том, что firewalld это такой ipfw - а в том, что он "плохой ipfw").

Ответить | Правка | Наверх | Cообщить модератору

53. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от пох. (?), 02-Июн-22, 17:13 
> "Порог вхождения", однако.

пороги там давно были пройдены. Просто оно нечеловекочитаемо.

> Так не можешь).

могу с точностью до синтаксиса - оно ж ничего толком не умеет. Правда скипы придется реализовывать через отдельные цепочки, поэтому все равно читаемей получится чем оригинал плоской простыней.

> Есть пф.

ничем не лучше, увы. Сложные вещи на нем делаются черезмерно запутанно и простые тоже можно ухитриться сделать так что потом хрен разберешься как работало.

>> весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей
>> дряни, решающей за тебя как настраивать фильтры
> Ну, не знаю как ты - а я распедалить что там в 33 слоя насрано на ноде кубера в сколько-нибудь

мущина, ну вам же сказали - это не для вас. для вас firewalldЕ! А это - для роботов, т-поватых но старательных.

> разумное время вот в принципе не смогу.

ну сможешь, допустим (там-то ничего особо сложного нет, только кривое) -  а толку? Все равно же лезть руками туда совершенно бессмысленно, не будешь же ты свою систему управления кодить.  Расслабьтесь, фиреволом в модном современном линoops'е уже управляете не вы.


Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (10), 01-Июн-22, 16:23 
> Потом грепнешь и удивишься, куда оно пропало.

На этой стадии ваш наставник должен дать вам по рукам.
Ну, или если вы не джун - то начальник на дверь указать.

Если человек настолько глуп, чтобы не осилить прочитать ман и найти там nft get element - нечего ему делать в профессии. Небось он grep и вместо ldd использует, нуачо, иногда же срабатывало!

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

16. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от пох. (?), 01-Июн-22, 17:41 
> Если человек настолько глуп, чтобы не осилить прочитать ман и найти там

и зазубрить еще стопиццот бессмысленных заклинаний (безусловно, высокого умища признак)

> nft get element - нечего ему делать в профессии. Небось он

девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован")

Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные инструменты, и экосистему вокруг универсальных инструментов построенную (unix называлась, не, не слышали), а софта, написанного макакерами и требующего читать и зубрить ман для совершенно тривиального действия, отдельно на каждую невменяемую поделку - просто стараются не допускать к использованию.

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск пакетного фильтра nftables 1.0.3"  +2 +/
Сообщение от Аноним (10), 01-Июн-22, 17:53 
> и зазубрить еще стопиццот бессмысленных заклинаний (безусловно, высокого умища признак)

Необязательно зубрить, достаточно уметь читать.

> Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные инструменты

Потому что клиповое мышление не позволяет запомнить более пяти "заклинаний", а самостоятельно читать маны - это девляпство и рокет сайнс.

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск пакетного фильтра nftables 1.0.3"  +1 +/
Сообщение от пох. (?), 01-Июн-22, 18:29 
Безусловно, каждая ерундовая операция требует почитания.

>> Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные
>> инструменты
> Потому что клиповое мышление не позволяет

нет дурачок, это у тебя клиповое мышление, мы родились когда не было клипов - а у нас - юникс-система (была), где не нужно (было) тратить время на чтение ненужного - достаточно было прочитать книжку (а не man), один раз. Именно потому что тривиальные вещи делались тривиально, и удобно автоматизировались - БЕЗ необходимости тратить время на еще один нескучный инструментарий еще одного макакиного выcepa. Который через неделю объявят немодным и изобретут новый не доделав старого.

Именно этим она была - удобна. Тем что инструменты образовывали _систему_.

А теперь даже винда более логична и последовательна со своим "все есть объект, только иногда он почему-то строка".

Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (35), 01-Июн-22, 18:57 
Угу, одна книжка на все юниксы. А как с реальными системами работать начинаешь, так сразу вылазят у юникствари свою игрушки, скотины другие, у чпукса своя атмосферка, а в соплярисе вообще все не как у людей. И уходит та книжка работать подставкой под кофейную кружку.
Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск пакетного фильтра nftables 1.0.3"  –1 +/
Сообщение от пох. (?), 01-Июн-22, 22:19 
> Угу, одна книжка на все юниксы. А как с реальными системами работать
> начинаешь, так сразу вылазят у юникствари свою игрушки

grep, awk и sed у юниксвари были точно такие же (ну ок, были у них специфичные глюки но _админу_ а не кодеру надо было суметь вляпаться)

Если вы этого не понимаете - что именно такие инструменты образовывали юникс-систему, то да, книжка вам подставкой под кружку, и объявляете год линукса на десктопе со своего макбука.


Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от edo (ok), 02-Июн-22, 04:01 
> Именно этим она была - удобна. Тем что инструменты образовывали _систему_.

да не было никакой системы, система явно склеена из разномастных кусков. линуксовый man ps, например, весело читать, половина опций указывается с дефисом, половина — без. а всё потому, что совместимость с этими «системными» юниксами.

другое дело, что, несмотря на всё это, система получилась достаточно удобной — никто не спорит.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

45. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от пох. (?), 02-Июн-22, 07:50 
> да не было никакой системы, система явно склеена из разномастных кусков. линуксовый

аж двух - bsd и sysv - и да, про это тоже написано в книжке 85го года. Но некогда читать, надо девляпать.

> man ps, например, весело читать, половина опций указывается с дефисом, половина

потому что тогда еще пытались в совместимость а не "зубри ман".

Поэтому сделали чтоб работали оба синтаксиса, и даже если ты намешал что-то не попадающее ни в тот, ни в другой - все равно что-то похожее показать.
(получилось так себе потому что у оригинала этот минус как раз есть, с тех самых годов, хотя и optional - что логично для программы у которой нет файловых аргументов и нужды их отличать)


Ответить | Правка | Наверх | Cообщить модератору

57. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (57), 02-Июн-22, 19:44 
Классика ригидного сознания помноженная на магическое мышление.
Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

22. "Выпуск пакетного фильтра nftables 1.0.3"  +1 +/
Сообщение от Аноним (35), 01-Июн-22, 17:57 
> девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован")

Данная вам подсказка работает точно так же, как ipset test. Собственно, эта фича повторяет то, что ipset умел хз сколько лет. В чем причина такой ажитации к ней со стороны ниасиляторов nftables тайна великая есть.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

34. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от пох. (?), 01-Июн-22, 18:39 
>> девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован")
> Данная вам подсказка работает точно так же, как ipset test

get element в мозгах девляпсов переводится как test? Ну ооок...

Чем дальше от ваших поделок, тем более ок.

Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (35), 01-Июн-22, 19:02 
Все же чтобы с апломбом вещать благоглупости, стоило бы с обсуждаемым предметом ознакомиться. Так бы даже до вас дошло, что в семантике nftables get element логичен.
Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск пакетного фильтра nftables 1.0.3"  +1 +/
Сообщение от User (??), 01-Июн-22, 19:41 
Ъ. Даже 2Ъ.
grep - он ОДИН и для ВСЕГО что есть строка. А выяснять, что кому в какой логике и чьей семантике "логично" каждый раз при выполнении однотипных вроде как действий - любил я противоестественным способом такое щастье.
Ответить | Правка | Наверх | Cообщить модератору

58. "Выпуск пакетного фильтра nftables 1.0.3"  +1 +/
Сообщение от Аноним (57), 02-Июн-22, 19:49 
Эх, вот если бы ещё реальность была такая же точно — однотипная, один раз что-то подумал и больше вообще никогда думать не надо. Но вот на тебе — телеги больше не модно, автомобили подавай им. Вёслами деды гребли — надо было какому-то девляпсу парус придумать и опять переучивайся. Не успел парус осилить — паровая машина. А за ней вообще страх что началось, дизели какие-то, атомоходы. Любил я противоестественным способом такое щастье.
Ответить | Правка | Наверх | Cообщить модератору

65. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от User (??), 03-Июн-22, 04:55 
Ну да, ну да. И колесо чот давненько круглое. Добавлю-ка я углов, в этой семантике вроде логично. Или ось к ободу прикреплю... Хм... Дилемма!
Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (35), 01-Июн-22, 17:47 
Разрабы и пользователи ipset смотрят на вас с некоторым удивлением.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

21. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (10), 01-Июн-22, 17:56 
Сейчас прибежит "пох" и скажет, что на его вин^Wюниксе никакого ipset нет, а потому - это девляпсовская смузи-хрень и (в его колхозе) не нужнО.
Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от пох. (?), 01-Июн-22, 18:37 
> Сейчас прибежит "пох" и скажет, что на его вин^Wюниксе никакого ipset нет,
> а потому - это девляпсовская смузи-хрень и (в его колхозе) не
> нужнО.

ну да, костыль же. Причем украденый у фряхи где, в силу родовой травмы, по другому вообще нельзя.
Не знаю что в твоем колхозе такое делают что тебе нужны эти сеты вместо плоской таблицы. В которой хотя бы понятно что зачем и откуда взялось, и да, работает grep.

Ответить | Правка | Наверх | Cообщить модератору

56. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (57), 02-Июн-22, 19:42 
> вместо плоской таблицы

Уборщику из ДЦ невдомёк, что окружения бывают динамическими?

> хотя бы понятно что зачем и откуда взялось

Применить правило X к набору Y — что ж тут непонятного-то?

Ответить | Правка | Наверх | Cообщить модератору

60. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от пох. (?), 02-Июн-22, 22:06 
>> вместо плоской таблицы
> Уборщику из ДЦ невдомёк, что окружения бывают динамическими?

судя по твоим истошным взвизгам - тебя и в уборщики не берут?
Собственно, квалификация такова, что да, тебе явно не судьба, зубрение инструкций все же не заменяет отсутствющих мозгов.

У меня вполне себе динамически добавляются и удаляются правила - как в ipfw, так и в iptables.

>> хотя бы понятно что зачем и откуда взялось
> Применить правило X к набору Y — что ж тут непонятного-то?

То что ты никогда не работал в этой области - уже вполне понятно. Теоретик.

Васянский локалхост где похрену что ты там нафигачил - никого, разумеется, не интересует.

Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (63), 03-Июн-22, 02:01 
Тут ты прав, не берут. Но я и не просился никогда. У меня-то проблемы разобраться с новым инструментарием нет, от того и очередь из кастомеров стоит. Нанял бы пару толковых ребят себе в помощь, да где взять — все в датацентрах полы моют.
Ответить | Правка | Наверх | Cообщить модератору

67. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от пох. (?), 03-Июн-22, 09:19 
> Тут ты прав, не берут. Но я и не просился никогда. У
> меня-то проблемы разобраться с новым инструментарием нет, от того и очередь
> из кастомеров стоит.

угу, все сплошь в очереди - "запили нам что-нить на новейшем еще недоделанном инструментарии - мы сами не знаем, нахрена он нужен, но нам очень надо, для отчета инвестору!"

А как спросишь тебя по предметной области - выясняется что ничего ты не делал и ничего не умеешь.

Проблемы зазубрить еще один нескучный синтаксис у тебя нет? Безусловно, это то за чем выстраиваются в очереди. Сплошь гуглы, пейсбуки и яндексы. И мешки денег несут!

Ответить | Правка | Наверх | Cообщить модератору

64. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (63), 03-Июн-22, 02:02 
> У меня вполне себе динамически добавляются и удаляются правила - как в ipfw, так и в iptables.

Придёшь, когда правил хотя бы 10к будет, пообщаемся.

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

66. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от пох. (?), 03-Июн-22, 09:16 
А зачем мне общаться с подобными м-ками?

Безусловно каждому васяну с локалхостом, вроде тебя, нужны 100k правил, низкоуровнего пакетного фильтра, на минуточку. Которые потом ни контролировать, ни найти почему у пользователя "виснет" соединение", уже, естественно, нереально - так что и действительно уже пох, что оно там на"оптимизирует".

Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (13), 01-Июн-22, 17:11 
> а затем если добавить новые элементы

А если захочешь убавить?

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (35), 01-Июн-22, 18:02 
Отработает и выдаст другой набор элементов, с учетом удаленного.
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (14), 01-Июн-22, 17:38 
> выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters)

Ага, только это не виртуальная машина eBPF, которая тоже есть в Linux. Почему? Никто не знает.

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (7), 01-Июн-22, 18:04 
Была запилена раньше, чем в ядре появилось BPF.
Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от пох. (?), 02-Июн-22, 22:09 
> Была запилена раньше, чем в ядре появилось BPF.

при попытке запилить в ведре что-то хотя бы отдаленно похожее на уже имеющееся - обычно проистекает ведро вони и визгов о запрете дублирования кода, с требованием немедля все переписать для еще более полного его реюза.

Интересно, почему тут этого не произошло (нет, неинтересно - это кого надо нога).

P.S. bpf в ядре "появилось" во времена 1.3, по-моему. Только это не тот bpf.


Ответить | Правка | Наверх | Cообщить модератору

68. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (7), 03-Июн-22, 12:31 
Тоже склоняюсь к мнению, что авторы идеи с BPF - "уважаемые" люди в (около)кернелтусовке.
Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Анончик (?), 01-Июн-22, 20:48 
Так просвети глупцов
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

15. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от andy (??), 01-Июн-22, 17:41 
Исключение двух именованых списков не работает:
iifname $int_ifs ip daddr != { @stormwall, @akamai } meta l4proto tcp redirect to :9051
Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (35), 01-Июн-22, 18:05 
Вложенные списки в принципе обещаны?
Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (7), 01-Июн-22, 18:07 
Кто подскажет, что существенно изменилось при переходе с 0.9.9 на 1.0? Правила, загруженные в 0.9.9, работают как задумывалось. Они же, будучи загруженными в 1.0.x, не пропускают инет с локалку.
Ответить | Правка | Наверх | Cообщить модератору

62. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от пох. (?), 02-Июн-22, 22:11 
> Кто подскажет, что существенно изменилось при переходе с 0.9.9 на 1.0?

ты чего, совсем слепой - девятку от единички отличить не можешь?

> Правила, загруженные в 0.9.9, работают как задумывалось. Они же, будучи загруженными в
> 1.0.x, не пропускают инет с локалку.

Сейчас местные не-уборщицы из ДЦ объяснят тебе как отлаживать правила фильтации.
Я уже открыл попкорн.

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск пакетного фильтра nftables 1.0.3"  –2 +/
Сообщение от Аноним (29), 01-Июн-22, 18:26 
В ansible нет модуля поэтому пока ждём.
Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск пакетного фильтра nftables 1.0.3"  +2 +/
Сообщение от пох. (?), 01-Июн-22, 18:30 
> В ansible нет модуля поэтому пока ждём.

Воистину девляпс!

Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (42), 02-Июн-22, 00:16 
Как запретить  выход в сеть приложениям?

Какой там аналог -m cgroup --path user.slice/firefox -j ACCEPT ??

Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от lockywolf (ok), 02-Июн-22, 06:11 
meta cgroup == 4096 drop

или что-то такое

cgroup'ы в meta модуле есть

Ответить | Правка | Наверх | Cообщить модератору

48. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от test1559 (?), 02-Июн-22, 09:30 
Оно еще не deprecated?
Ответить | Правка | Наверх | Cообщить модератору

49. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (7), 02-Июн-22, 11:33 
Его же не Поттеринг запилил.
Ответить | Правка | Наверх | Cообщить модератору

55. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от поцтеринг (?), 02-Июн-22, 17:21 
> Его же не Поттеринг запилил.

Так мой системный менеджер и не deprecated!


Ответить | Правка | Наверх | Cообщить модератору

69. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (7), 03-Июн-22, 12:34 
Твой аудиосервер депрекейтед.
Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (52), 02-Июн-22, 14:33 
А для не_марсиан ничего нету?

Ну и да: летят года,меняются версии, а документация всё также пребывает в состоянии десятка неактуальных wiki-страниц.

Ответить | Правка | Наверх | Cообщить модератору

54. "Выпуск пакетного фильтра nftables 1.0.3"  +1 +/
Сообщение от пох. (?), 02-Июн-22, 17:20 
> А для не_марсиан ничего нету?

_уже_ нету.

> Ну и да: летят года,меняются версии, а документация всё также пребывает в
> состоянии десятка неактуальных wiki-страниц.

разработчикам и читать-то ее некогда, а ты хочешь чтоб ее писали.

Впрочем, тоже ничего особо нового - еще на автора lartc разработчик наезжал что он все не так понял и это надо срочно переписать (и вообще каззел).  Что не так - разумеется, снисходить до объяснений не собирался.

А ведь человек сделал совершенно титаническую работу, по обрывкам, экспериментами и изучением кода _среверсив_, по сути, как оно должно было работать и как этим теперь пользоваться.

Ответить | Правка | Наверх | Cообщить модератору

59. "Выпуск пакетного фильтра nftables 1.0.3"  +/
Сообщение от Аноним (57), 02-Июн-22, 19:51 
Стыдно на опеннете про документацию жаловаться. Тут же каждый матёрый сишник, пишущий без багов тотально оптимальный код. Прочитай исходники.
Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру