The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

21.02.2018 20:55  Для ядра Linux предложен новый пакетный фильтр bpfilter

Разработчики подсистемы NetFilter выставили на обсуждение патчи с начальной реализацией нового пакетного фильтра bpfilter, который со временем может заменить ныне поддерживаемые механизмы фильтрации пакетов nftables и iptables. Несмотря на все свои достоинства интенсивность внедрения механизма Nftables оставляет желать лучшего и iptables до сих пор остаётся более востребован и не желает повторять судьбу ipchains и ipfwadm.

В nftables логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). При этом последние годы в ядре Linux поставляется универсальная встроенная виртуальная машина BPF с JIT, для которой активно ведётся работа по улучшению производительности, функциональности и безопасности. Чтобы не поддерживать две разные виртуальные машины, выполняющие сходные задачи, и для достижения более высокой производительности у разработчиков возникла идея построения пакетного фильтра на основе штатного BPF-движка ядра Linux.

В итоге был подготовлен прототип нового пакетного фильтра bpfilter, иллюстрирующий идею применения BPF для фильтрации пакетов. Наиболее важным решением в предложенном прототипе стало желание обеспечить полную совместимость с наборами правил iptables, т.е. bpfilter сможет выступить в роли прозрачной замены iptables, полностью совместимой со всеми существующими конфигурациями (администраторам не придётся изучать новый синтаксис правил). Для достижения данной задачи планируется обеспечить совместимость на уровне API, который использует утилита iptables для взаимодействия с ядром (штатную утилиту можно будет пересобрать с реализацией API на базе bpfilter).

Bpfilter обрабатывает запросы API iptables и транслирует их в программы BPF, привязываемые к различным подсистемам. Например, при помощи XDP (eXpress Data Path) можно запустить BPF-программу на уровне сетевого драйвера, с возможностью прямого доступа к DMA-буферу пакетов для высокопроизводительной обработки. Трансляция правил выполняется целиком в пространстве пользователя, что упрощает отладку и повышает безопасность. Для повышения производительности также может применяться JIT-компиляция BPF в машинные инструкции для архитектур x86_64, arm64, ppc64, sparc64, mips64, s390x и arm32, или задействование аппаратных механизмов выполнения BPF на уровне сетевого адаптера (например, Netronome NFP SmartNIC).

Харальд Вельте (Harald Welte), один из основных разработчиков netfilter/iptables, поставил под сомнение идею полной эмуляции API iptables через BPF для обеспечения прозрачной замены iptables, так как полностью повторить поведение iptables будет слишком трудно, а наличие различий при обработке существующих наборов правил iptables может привести к возникновению неожиданных проблем с безопасностью.

К тому же некоторые элементы дизайна iptables нельзя назвать удачными и повторение API iptables в bpfilter может привести к тому, что допущенные 18 лет назад ошибки проектирования iptables закрепятся ещё на 10 лет. Например, API iptables не предоставляет способа добавления/замены единичного правила или небольшого набора правил, а может только целиком очистить и перезагрузить всю конфигурацию. Данная особенность делает внесение изменений в межсетевой экран неудобным и существенно усложняет координацию одновременного внесения изменений несколькими обработчиками. Недовольство также вызывает необходимость разделения наборов правил для IPv4 и IPv6.

Вельте предложил не фокусироваться только на повторении iptables, а реализовать в bpfilter эмуляцию nftables API, который спроектирован с учётом недостатков iptables и больше соответствует современным реалиям. Возможность использования API nftables позволит поддержать тех, кто уже перешёл на nftables, а для остающихся на iptables будет стимулировать миграцию.

Дэвид Миллер (David Miller), мэйнтейнер сетевой подсистемы ядра, возразил, что iptables до сих пор существенно более распространён и реализация его интерфейса позволит достичь широкого охвата при тестировании. Вельте парировал тем, что в наиболее крупных областях применения, таких как Docker и Kubernetes, используются утилиты командной строки, а не iptables API, поэтому нет смысла в эмуляции API как такового для проведения тестирования в подобных системах.

Миллер также обратил внимание на то, что nftables так и не решил проблемы с производительностью подсистемы фильтрации пакетов, сместив вместо этого внимание на сетевые технологии в пространстве пользователя. Nftables может стать одним из тех экспериментов, которые позволяют разобраться в некоторой проблемной области, но никогда не получают распространения в реальной практике. При этом, bpfilter ещё очень далеко до интеграции в ядро, так как представления о его производительности пока носят лишь теоретический характер, код достаточно сырой, отсутствуют многие возможности, а некоторые функции не могут быть реализованы через BPF и требуют дополнительной поддержки в ядре (например, отслеживание соединений).

  1. Главная ссылка к новости (https://lwn.net/SubscriberLink...)
  2. OpenNews: Несколько релизов в рамках проекта Netfilter
  3. OpenNews: Разработчики Netfilter представили замену iptables
  4. OpenNews: Google представил Cilium, сетевую систему для Linux-контейнеров, основанную на BPF
  5. OpenNews: Критические уязвимости в подсистеме eBPF ядра Linux
  6. OpenNews: Выпуск пакетного фильтра nftables 0.4, идущего на смену iptables
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: bpfilter, netfilter, firewall
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, mimocrocodile (?), 22:16, 21/02/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +31 +/
    Какая у них интеллектуальная дискуссия, а был бы Линус обозвал бы всех макаками
     
     
  • 2.92, Аноним (-), 14:36, 22/02/2018 [^] [ответить]    [к модератору]
  • +2 +/
    Если б они сказали "Мы запилили новый bpfilter, с новой версией все старые iptables и nftables правила перестанут работать", то конечно назвал бы, и весьма заслуженно.
     
     
  • 3.154, Аноним (-), 19:56, 24/02/2018 [^] [ответить]     [к модератору]
  • +1 +/
    Да их и сейчас не лишне назвать Потому что если вгружать мутные блобы из юзермо... весь текст скрыт [показать]
     
  • 1.2, vitalif (ok), 22:25, 21/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +13 +/
    > идею применения Berkeley Packet Filter для фильтрации пакетов

    какая свежая идея, бинго

     
     
  • 2.96, anonymoused (?), 16:27, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    И почему-то не слышно воплей что бсд не нужен.
    Все аналитики в школе?
     
     
  • 3.127, Джон Ленин (?), 11:37, 23/02/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    В Беркли всё ещё химичат с алгоритмами TCP IP, так-как у них актуальны проблемы ... весь текст скрыт [показать]
     
  • 3.157, Аноним (-), 20:19, 24/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > И почему-то не слышно воплей что бсд не нужен.

    А что, нужен? Кому и нахрена? Они могут делать хоть что-то лучше других? Грантоедство чур не считается.

     
  • 1.3, Аноним (-), 22:32, 21/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –7 +/
    А как жо Firewalld?..
     
     
  • 2.5, Аноним (-), 22:45, 21/02/2018 [^] [ответить]    [к модератору]  
  • +7 +/
    надстройка над Iptables же
     
     
  • 3.33, Аноним (-), 07:16, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    вот-вот. Сразу видна квалификация *-d разработчиков: только очередную обертку и могут сделать
     
     
  • 4.45, Аноним (-), 10:08, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Кроме оберток и не нужно ничего да и обертка не нужна, впилили бы механизмы заг... весь текст скрыт [показать]
     
     
  • 5.80, Аноним (-), 13:06, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Может пиплам некогда заниматься тестированием, да и рисковано!
     
  • 5.98, anonymoused (?), 16:32, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Механизмы есть, см как реализовано в redhat Пипл оценил, что в новом фаерволе... весь текст скрыт [показать]
     
  • 4.118, Аноним (-), 02:26, 23/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Блин, httpd - обертка над протоколом http оказывается А что до квалификации, fi... весь текст скрыт [показать]
     
  • 3.76, Alex_hha (?), 13:00, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > надстройка над Iptables же

    который в свою очередь надстройка над netfilter

     
  • 1.4, Аноним (-), 22:40, 21/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +12 +/
    тык чтоже?: nftables учить или нет?
     
     
  • 2.39, EuPhobos (ok), 09:24, 22/02/2018 [^] [ответить]    [к модератору]  
  • +16 +/
    systemd-tables учи заранее..
     
     
  • 3.129, Джон Ленин (?), 11:55, 23/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > systemd-tables учи заранее..

    ...Который будет всего-лишь парсером конфигов с их ивент-активацией... "Pulse vs ALSA"

     
  • 3.144, Аноним (-), 04:19, 24/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Эврика, пойду фичреквест на гитхабе закатаю!
     
  • 1.7, cat666 (ok), 22:58, 21/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    "Например, API iptables не предоставляет способа добавления или замены единичного правила или небольшого набора правил...." - Вельте бредит?
     
     
  • 2.9, Аноним (-), 23:18, 21/02/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Не путайте API iptables и утилиту iptables Из FAQ 4 5 Is there an C C API ... весь текст скрыт [показать]
     
     
  • 3.10, cat666 (ok), 23:20, 21/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Спасибо за грамотный ответ Не думал, что всё так запущено ... весь текст скрыт [показать]
     
     
  • 4.74, ананим.orig (?), 13:00, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Года 4 назад обсуждали тут Обсуждали код, не слова из мануала, а код Логика ра... весь текст скрыт [показать]
     
     
  • 5.81, Аноним (-), 13:09, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Как соблюсти последовательность и логику при добавлении правила
    и не запороть?
     
     
  • 6.99, anonymoused (?), 16:36, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > Как соблюсти последовательность и логику при добавлении правила
    > и не запороть?Д

    Добавляй user define chains на каждый случай.

     
  • 6.115, ананим.orig (?), 23:42, 22/02/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    ну, все операции атомарны и thtrad safe а логику 8212 а вам то за что з п пла... весь текст скрыт [показать]
     
  • 6.147, XoRe (ok), 16:25, 24/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > Как соблюсти последовательность и логику при добавлении правила
    > и не запороть?

    Использовать "-I CHAIN номер-правила" вместо "-A CHAIN".

     
  • 5.119, Аноним (-), 02:29, 23/02/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Что, всего половину логики программы iptables надо написать, а не всю Офигитель... весь текст скрыт [показать]
     
  • 3.14, пох (?), 00:28, 22/02/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    а в чем и зачем там вообще весь api , если правила добавлять он не умеет И ком... весь текст скрыт [показать]
     
     
  • 4.56, DPDKguy (?), 11:28, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    простите, что именно используется и где мысль о том, что где-то можно хранить о... весь текст скрыт [показать]
     
     
  • 5.60, пох (?), 12:28, 22/02/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    нет, я не идиот Это не оригинальный набор правил , в этом все и дело Если я и... весь текст скрыт [показать]
     
     
  • 6.66, DPDKguy (?), 12:45, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    сложно вам, наверное начать можно с того, что просто хранить текущий рулесет в ... весь текст скрыт [показать]
     
     
  • 7.108, _ (??), 19:10, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Просто только простейшим Вон амёбы, как выяснили британские учонные Tm - всегд... весь текст скрыт [показать]
     
  • 2.32, Riv1329 (?), 07:10, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    При добавлении еденичного правила, iptables выгружает через api весь набор прави... весь текст скрыт [показать]
     
     
  • 3.38, Аноним (-), 09:17, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну дык это блобик загружаемый в ядро И только особо приближенные понимают как... весь текст скрыт [показать]
     
  • 3.61, пох (?), 12:31, 22/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    там есть commit то есть оно почти-атоммарное И внутри оно немножко менее ... весь текст скрыт [показать]
     
     
  • 4.155, Аноним (-), 19:59, 24/02/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Ну то-есть ты сам описал предпосылки почему systemd должен стать центральным диспетчером фаера. Так и запишем! :)
     
     ....нить скрыта, показать (17)

  • 1.11, Аноним (-), 23:25, 21/02/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Когда пробую новую конфигурацию добавляю правила по-одному Неужели при этом все... весь текст скрыт [показать]
     
     
  • 2.17, Аноним (-), 00:50, 22/02/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Да, именно так все и происходит
     
  • 2.27, Аноним (-), 05:23, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Да, но пофиг, - реальных проблем с производительностью это не создает
     
     
  • 3.43, DeadLoco (ok), 09:51, 22/02/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Только накопленная статистика слетает, а так ничего.
     
     
  • 4.44, Аноним (-), 09:58, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    раньше, вплоть до 2.6.27 не слетала
     
  • 2.159, КО (?), 10:17, 26/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Тут проблема в чем В том, что многие забывают, что система слегка не однозадач... весь текст скрыт [показать]
     
  • 1.12, EHLO (?), 23:55, 21/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters)

    Опять этот троян.

    >Несмотря на все свои достоинства интенсивность внедрения механизма Nftables оставляет желать лучшего

    Усложненный синтаксис и встроенный троян, сомнительные такие достоинства.

     
     
  • 2.83, АНОНИМ (?), 13:12, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    почему троян?
     
     
  • 3.106, EHLO (?), 17:04, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Самосгенерированный код будет выполняться в режиме ядра и парсить заголовки кажд... весь текст скрыт [показать]
     
     
  • 4.107, АНОНИМ (?), 18:43, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    спасибо за пояснение
     
  • 4.128, Джон Ленин (?), 11:52, 23/02/2018 [^] [ответить]     [к модератору]  
  • +/
    А то, что статические правила существуют сначала в виде текста, и после парсинга... весь текст скрыт [показать]
     
     
  • 5.132, EHLO (?), 12:45, 23/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Бинарник 8800 исполняемый код Текстовые правила в обоих случаях статические ... весь текст скрыт [показать]
     
     
  • 6.135, Аноним (-), 16:21, 23/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну согласен же, не говоря о том, что выполняющийся в машине код должен иметь п... весь текст скрыт [показать]
     
  • 6.142, Джон Ленин (?), 22:17, 23/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Генерящийся код может быть следствием псевдо-ооп, когда ветвящийся процесс обща... весь текст скрыт [показать]
     
  • 1.13, asdasdasd (?), 00:23, 22/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    > интенсивность внедрения механизма Nftables оставляет желать лучшего и iptables до сих пор остаётся более востребован

    Потому-что iptables знакомый во всех местах, существует тонна документации, примеров и генераторов правил (тот-же Firewall Builder), не говоря уже о том, что такие вещи востребованы на серверах, а кто в здравом уме будет переводить что-то рабочее, на что-то другое и ловить кучу косяков, которые фиг отследишь?

     
     
  • 2.15, пох (?), 00:40, 22/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    если вы используете генераторы , то вам должно быть глубоко похрен apt-get upg... весь текст скрыт [показать]
     
     
  • 3.19, sadasd (?), 02:46, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Чукча не мыслитель, чукча писатель ГОТОВЫЕ утилки которые генерируют iptables ... весь текст скрыт [показать]
     
     
  • 4.23, . (?), 03:11, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    >Хотя apt-get даже на локалхосте запускать осторожно нужно, а то из-за кривых зависимостей пол-системы снесет.

    [пока ещё] - убунопроблемы! У меня в демьянах кое где вообще по крону...

     
  • 4.36, пох (?), 09:04, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    я и говорю - своими мозгами вы _даже_ это сгенерировать не можете, вам подавай ... весь текст скрыт [показать]
     
     
  • 5.40, Аноним (-), 09:31, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Вот вот, плохие новости, НО вот оно это но как всегда в самый неподходящий моме... весь текст скрыт [показать]
     
     
  • 6.63, пох (?), 12:36, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    конечно А разработчики не любят лишний раз морщить ум свои-то ценные идеи куд... весь текст скрыт [показать]
     
     
  • 7.100, anonymoused (?), 16:45, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Справедливости ради стоит отметить, что разработчики ведут себя так при явной поддержке корпораций и молчаливого одобрения потребителей.
     
  • 4.97, Аноним (-), 16:29, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Что-то надобие sbin iptables -F sbin iptables -A INPUT -p tcp --tcp-flags ALL... весь текст скрыт [показать]
     
     
  • 5.102, anonymoused (?), 16:51, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Что действительно надо, так это перед типичным для линуксойдов изобретением вело... весь текст скрыт [показать]
     
     
  • 6.156, Аноним (-), 20:01, 24/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Что, ты тоже повзрослел до WinXP, как другой гражданин?
     
  • 5.162, DPDKguy (?), 13:53, 27/02/2018 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален сблеванул ужасно и крайне неэффективно ... весь текст скрыт [показать]
     
  • 2.22, . (?), 03:09, 22/02/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    > кто в здравом уме будет переводить что-то рабочее, на что-то другое и ловить кучу косяков, которые фиг отследишь?

    А где ты видел в IT, в последнее время, здравый ум?!
    Чем хуже - тем лучше!

     
  • 2.79, Alex_hha (?), 13:05, 22/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > а кто в здравом уме будет переводить что-то рабочее, на что-то другое и ловить кучу косяков, которые фиг отследишь?

    Леня и его систымДы?

     
     ....нить скрыта, показать (13)

  • 1.16, Аноним (-), 00:50, 22/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Эй! Я еще с iptables на nftables не переучился!
     
  • 1.18, Anonymous Coward (?), 01:36, 22/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Самое приятное в этой ситуации, что на основе этого можно сделать порт pf. Чтобы наконец-то можно было просто написать человекочитаемый pf.conf вместо этого ада с правилами iptables через шеллскрипты.
     
     
  • 2.21, pavlinux (ok), 02:54, 22/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Покажи как в pf.conf будет выглядить правило: делать MIRROR на все UDP пакеты из Китая ниже 1024 порта с TTL меньше 50, с 23:00 до 08:00
     
     
  • 3.24, . (?), 03:12, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    А как в iptables? Или ты так, для почесать ниже хвоста?
     
     
  • 4.25, angra (ok), 03:44, 22/02/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    Ну, если опустить установку и загрузку необходимых для этого модулей, то как то так:
    -A INPUT -p udp --sport 1:1023 -m ttl --ttl-lt 50 -m geoip --src-cc CN -m time --timestart 23:00 --timestop 08:00 -j MIRROR
    -A FORWARD -p udp --sport 1:1023 -m ttl --ttl-lt 50 -m geoip --src-cc CN -m time --timestart 23:00 --timestop 08:00 -j MIRROR
     
     
  • 5.28, Аноним (-), 05:33, 22/02/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    То есть iptables выполняет ф-цию крона? А как же unix-way и все такое?
     
     
  • 6.29, angra (ok), 05:53, 22/02/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    В каком месте cron это выполнение действия в определенное время, а здесь одно и... весь текст скрыт [показать]
     
     
  • 7.125, Агроном (?), 07:36, 23/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Кеонечно не unixway, поскольку вывод списка файлов это частный случай поиска ... весь текст скрыт [показать]
     
  • 5.62, PnDx (ok), 12:36, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Зачем напрямую дёргать ассемблер iptables, если для декларативного описания це... весь текст скрыт [показать]
     
     
  • 6.65, пох (?), 12:45, 22/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    действительно, зачем нужна конфигурация из пяти удобочитаемых строк, когда можн... весь текст скрыт [показать]
     
     
  • 7.70, PnDx (ok), 12:57, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Вот как раз diff прекрасно выгладит Потому что 1 Декларация модульная Нужное... весь текст скрыт [показать]
     
     
  • 8.112, angra (ok), 21:58, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Конечно всем учить iptables не нужно И уж тем более ferm не нужно Для этих нев... весь текст скрыт [показать]
     
  • 8.146, Аноним (-), 04:32, 24/02/2018 [^] [ответить]     [к модератору]  
  • +/
    А чего в примере скобки разные Это баг или фича Впрочем у блинлайна, мегавони,... весь текст скрыт [показать]
     
     
  • 9.161, PnDx (ok), 12:23, 26/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Это кривая копипаста А вы таки хотели, чтобы я слил для иллюстрации чуть мень... весь текст скрыт [показать]
     
  • 7.121, pavlinux (ok), 03:15, 23/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > в которой даже просто понять, есть ли там нужное слово - невозможо без геморроя.

    Жжуть,опять маны читать надо.

     
  • 6.164, DPDKguy (?), 13:55, 27/02/2018 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален этот велосипед примерно так же ужасен, как и неэффективе... весь текст скрыт [показать]
     
  • 5.149, ЫЫЫыыЫЫЫ (?), 17:15, 24/02/2018 [^] [ответить]    [к модератору]  
  • +/
    что за модули?
     
  • 4.120, pavlinux (ok), 03:05, 23/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > А как в iptables? Или ты так, для почесать ниже хвоста?

    слив засчитан.

     
     
  • 5.138, _ (??), 20:27, 23/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Слив в чём В том что чел не знал что в иптаблах есть работа с таймстампом В Б... весь текст скрыт [показать]
     
     
  • 6.145, Аноним (-), 04:23, 24/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > А в винде вон - на экзешник правило навесить можно, всё -
    > линукс слил?!! ;-))))

    С фига ли? Пакеты можно по PID фильтровать. Разумеется только для локальных процессов :)

     
  • 6.151, EHLO (?), 17:59, 24/02/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Нет, в Линуксе для этого системы мандатного управления доступом, а не пакетный ф... весь текст скрыт [показать]
     
     
  • 7.153, Аноним (-), 19:16, 24/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > Нет, в Линуксе для этого системы мандатного управления доступом, а не пакетный фильтр.

    Или просто namespaces. То же самое но в 20 раз проше.

     
  • 3.58, Аноним (-), 11:33, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    что-то наподобие pass quick in proto udp from geoip-cn to any port 0 1023 m... весь текст скрыт [показать]
     
     
  • 4.165, DPDKguy (?), 13:58, 27/02/2018 [^] [ответить]     [к модератору]  
  • +/
    а можно ли показать то же самое, но для трафика внутри gre-туннеля который бегае... весь текст скрыт [показать]
     
  • 3.101, A. Stahl Is Gay (?), 16:49, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Гм Как-то так etc pf conf table geoip-china persist file etc geoip c... весь текст скрыт [показать]
     
     
  • 4.113, angra (ok), 22:05, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    А вот аноним выше уверен, что может При таких разногласиях выходит, что не тако... весь текст скрыт [показать]
     
     
  • 5.114, Anonymous Coward (?), 22:30, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > А вот аноним выше уверен, что может.

    Мб он плохо man прочитал. Эта опция там для scrub.

    > Ну и я конечно могу ошибаться, но сдается мне, что dup-to это совсем не MIRROR.

    Почему же?

     
     
  • 6.117, angra (ok), 00:00, 23/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Всё может быть Я pf не знаю и мне не особо интересно, кто из них прав Меня в п... весь текст скрыт [показать]
     
  • 3.136, ПавелС (ok), 18:18, 23/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Ты злодей :)
     
  • 2.37, пох (?), 09:16, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    чтобы ради ftp держать user-space демон, а протоколы посложнее вообще не работал... весь текст скрыт [показать]
     
     
  • 3.104, A. Stahl Is Gay (?), 16:59, 22/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    А демон для ftp тут причем o0 Ась gt оверквотинг удален У iptables нет конфи... весь текст скрыт [показать]
     
     
  • 4.168, Аноним (-), 16:38, 27/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Аха Что Никогда не понимал таких чудаков Именно это и надо использовать Толь... весь текст скрыт [показать]
     
  • 3.137, ПавелС (ok), 18:22, 23/02/2018 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален У меня дак все понятно Я используюсь dns имена и службы... весь текст скрыт [показать]
     
  • 2.163, DPDKguy (?), 13:54, 27/02/2018 [^] [ответить]     [к модератору]  
  • +/
    вы можете прямо сейчас взять nftables и писать в подобном стиле ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (32)

  • 1.20, pavlinux (ok), 02:51, 22/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Руки прям чешутся всё пихать в ядро.
     
     
  • 2.50, Аноним (-), 10:29, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну прям таки всё? Компилять правила в байткод предлается вне ядра. Или ты прелаешь и пакеты вне ядра проверять на соотвествие правилам, тогда с пропускной способностью как быть?
     
     
  • 3.122, pavlinux (ok), 03:31, 23/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Или ты прелаешь и пакеты вне ядра проверять на соотвествие правилам, тогда
    > с пропускной способностью как быть?

    У многих железяк есть схемы PCI -> DMA -> CPU и обратно.

     
  • 2.105, A. Stahl Is Gay (?), 17:01, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Если они все сделают по-человечески, кода в ядре станет меньше, потому что все д... весь текст скрыт [показать]
     
  • 1.26, leap42 (ok), 04:58, 22/02/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –8 +/
    Noooo В бытность сетевиком всякие файерволы доводилось настраивать, страшнее ip... весь текст скрыт [показать]
     
     
  • 2.41, пох (?), 09:44, 22/02/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    я надеюсь, тебя уволили и больше ты к сетевому оборудованию не подходишь Справк... весь текст скрыт [показать]
     
     
  • 3.46, Аноним (-), 10:12, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    плюсую разделение на таблицы и цепочки, а также модульность сделали iptables ст... весь текст скрыт [показать]
     
     
  • 4.69, пох (?), 12:56, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    ipchains, на самом деле iptables скопировал идею, уже годами отлаженную, к сожа... весь текст скрыт [показать]
     
  • 3.48, Аноним (-), 10:16, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален Да, гибкость и возможности всяких тонких настроек в ... весь текст скрыт [показать]
     
  • 3.53, Pofigist (?), 10:45, 22/02/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    То есть с zbfw ты разобраться так и не смог? Да и если ты путаешь в одну кучу zbfw и asa, а ты - путаешь, то надеюсь что ты 20 лет настраиваешь фаерволы исключительно на стендах...
     
  • 3.59, DPDKguy (?), 12:26, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    ну-ну давайте изобразите одним правилом разный набор действий на 4 src ip ... весь текст скрыт [показать]
     
     
  • 4.64, Аноним (-), 12:38, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    угу сэкономим несколько строк в конфиге и получим нечитаемое месиво.
     
     
  • 5.67, DPDKguy (?), 12:48, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > угу сэкономим несколько строк в конфиге и получим нечитаемое месиво.

    отлично. ваш вариант? напомню, что у нас 4к адресов(ок, префиксов) и для каждого свой action

     
     
  • 6.73, пох (?), 12:59, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    покажите Я хочу эту образцовую глупость увидеть адреса не показывайте, не хоч... весь текст скрыт [показать]
     
     
  • 7.77, Pofigist (?), 13:03, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну на самом деле может быть 4к _разных_ инспектов Но таки да - глупость ра... весь текст скрыт [показать]
     
  • 7.166, DPDKguy (?), 14:00, 27/02/2018 [^] [ответить]     [к модератору]  
  • +/
    https wiki nftables org wiki-nftables index php Dictionaries ... весь текст скрыт [показать]
     
  • 7.167, DPDKguy (?), 14:15, 27/02/2018 [^] [ответить]     [к модератору]  
  • +/
    можно начать с простого 4k адресов из какой-нибудь 10 8 и такое же количество ... весь текст скрыт [показать]
     
  • 6.75, Pofigist (?), 13:00, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну расскажи по 4к разных action...
    Не умете структурировать задачу? Ваши проблемы! :)
     
  • 3.68, juniper рулит (?), 12:50, 22/02/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    увольняют и не подпускают к сетевому оборудованию клоунов, которые isr к фаерволам причисляют
     
     
  • 4.71, Pofigist (?), 12:58, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Стандартный компонент isr - zbfw, рассказать как расшифровывается сия аббревиатура?
    И кстати - вполне себе фаерволл. Ну достаточно базовый, не продвинутый... на уровне iptables
     
     
  • 5.78, пох (?), 13:04, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    а банальнейший nbar мы как iptables ами будем имитировать - цепочку u32 на кажды... весь текст скрыт [показать]
     
     
  • 6.84, Pofigist (?), 13:18, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Формально nbar - абсолютно отдельная фича, никак не привязанная к ipfw, что разу... весь текст скрыт [показать]
     
  • 3.143, Аноним (-), 02:05, 24/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Бро, дай я тебя обниму Вынуждено приходится настраивать кучу легаси на ipfw с 1... весь текст скрыт [показать]
     
  • 2.123, pavlinux (ok), 03:40, 23/02/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Какой нахрен ты сетевик, если даже примитивный iptables ниасилил D От настро... весь текст скрыт [показать]
     
     ....нить скрыта, показать (19)

  • 1.34, Аноним (-), 08:30, 22/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Какую задачу решает bpfilter, заменяя iptables и используя правила iptables? Щоб було? Тому що могу?
     
     
  • 2.35, An (??), 08:35, 22/02/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Там же написано "у вас нет гемора с iptables, будет" )
     
     
  • 3.72, Аноним (-), 12:59, 22/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Потому что будет гемор с bpfilter? Логично!
     
  • 2.42, пох (?), 09:50, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    нет, щоб пропихнуть в ведро эту поделку, а потом радостно клепать интуитивноприя... весь текст скрыт [показать]
     
  • 1.49, Аноним (-), 10:16, 22/02/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    ух ты, есть же, кто думает пр ообратную совместимость Аргумент весомый, однако ... весь текст скрыт [показать]
     
  • 1.52, Аноним (-), 10:40, 22/02/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    А что мешает сейчас дополнить этот API соответстующими возможностями ... весь текст скрыт [показать]
     
  • 1.54, Ne01eX (ok), 11:01, 22/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    И стоило переводить это?

    1. Со времён 2.4 iptables модули сетевых фильтров могут быть загружены в ядро во время работы.
    2. Пакет проходит через систему ловушек: NF_IP_PRE_ROUTING/NF_IP_LOCAL_IN/NF_IP_FORWARD/NF_IP_LOCAL_OUT/NF_IP_POST_ROUTING
    3. Дальше определям, что должно случится с пакетом: NF_DROP/NF_ACCEPT/NF_STOLEN/NF_QUEUE/NF_REPEAT.

    На самом деле это всё ещё проще, чем выглядит. iptables обрабатывает пакет на основе трёх правил: INPUT/FORWARD/OUTPUT. Если пакету необходима маршрутизация, то решение о маршрутизации принимается до прохождения остальных ловушек.

    В этом и заключается ключевое отличие iptables ядра Linux от других пакетных фильтров других ядер. Если уж сильно кратко говоря.

    А весь скулёж товарищей с топика треда связан только с тем, что, - видите ли API libiptc нестабилен. Хотя английским по белому сказано, что не стоит пользоваться этой библиотекой вообще, она исключительно для внутреннего пользования. Если уж так нужно, то используйте каналы, они в ядре для этого и предназначены.

    В общем, увидите этих товарищей, - ломайте руки, выкидывайте в шерсть.

     
     
  • 2.82, пох (?), 13:09, 22/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    стоило - надо ж заранее готовить запасной аэродром э типа, в 2 2 вообще-то б... весь текст скрыт [показать]
     
     
  • 3.85, Аноним (-), 13:38, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    емнип, в 2.2 для ipchains были nat-хелперы, но не полноценные модули, как у iptables
     
     
  • 4.87, Аноним (-), 13:39, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    да и ipchains так себе был - очень мало функционала. даже tcp режектить не умел :/
     
  • 3.86, Pofigist (?), 13:39, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Типовая задача - некая IDS обнаруживает аномалиb и дает FW команду блокировать а... весь текст скрыт [показать]
     
     
  • 4.88, Аноним (-), 13:47, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    ipset... весь текст скрыт [показать]
     
     
  • 5.91, Pofigist (?), 14:24, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Разумеется IDS и FW работают на разных машинах И не на одной ... весь текст скрыт [показать]
     
     
  • 6.111, пох (?), 20:58, 22/02/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    ну напиши себе мега-api, которое будет через libastral передавать эту информацию... весь текст скрыт [показать]
     
     
  • 7.126, Pofigist (?), 11:10, 23/02/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Я ждал этого ответа Еще раз - там не 2 сарвера, один с IDS, другой с FW - там и... весь текст скрыт [показать]
     
     
  • 8.133, pavlinux (ok), 12:53, 23/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Пока ты выглядишь как диванный аналитик копипастивший тролльные фразочки Вчера ... весь текст скрыт [показать]
     
     
  • 9.134, Pofigist (?), 13:59, 23/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Нда у всех гордых админов локалоста есть сугубо неправильное мнение что самая... весь текст скрыт [показать]
     
     
  • 10.139, _ (??), 20:38, 23/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Не, ну конечно с Российским филиалом Horns and hooves Inc тут никто не сравнится ...
     
  • 7.150, ПавелС (ok), 17:31, 24/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Можно логировать пакеты не попавшие в правила. Юзерспейсная  программа вполне способна читать логи и добавлять правила в fw. Никаких   libastral не надо.
     
  • 6.124, pavlinux (ok), 03:55, 23/02/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    ping -c1 -p 0xdeadbeef 192 168 0 FW Надеюсь обработчик ICMP меток осилишь напи... весь текст скрыт [показать]
     
     
  • 7.140, _ (??), 20:39, 23/02/2018 [^] [ответить]    [к модератору]  
  • +/
    :)
    Злой ты! Хотя тяпница и праздник, когда галифе пропей, но ...
     
     
  • 8.141, _ (??), 20:41, 23/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > Злой ты! Хотя тяпница и праздник, когда галифе пропей, но ...

    Му-ха-ха, с-оптимизировал "продай" в сразу - "пропей"! :)

     
  • 5.110, пох (?), 20:50, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    вероятно, да, один из немногих хороших способов применения этой фигни Хотя я, к... весь текст скрыт [показать]
     
     
  • 6.130, Pofigist (?), 11:57, 23/02/2018 [^] [ответить]    [к модератору]  
  • +/
    >> ipset
    > не бывает "аномального траффика" с "хороших" хостов

    Не бывает хороших хостов - кругом враги! До-да - любой хост можно скомпрометировать и использовать как бридж для атаки...

     
     ....нить скрыта, показать (17)

  • 1.57, amonymous (?), 11:32, 22/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Вот. Нужен просто компилятор привычных правил iptables/nft в bpf плюс возможность писать свои фильтры на любом IL. Если последней не будет - и это не взлетит.
     
  • 1.89, Аноним (-), 14:11, 22/02/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –2 +/
    2018, а фаерволлы до сих пор не умеют в правила per file и per process без косты... весь текст скрыт [показать]
     
     
  • 2.90, Аноним (-), 14:20, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    не осилил - так и скажи
     
     
  • 3.93, Аноним (-), 14:40, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    если Вы осилили - примеры в студию пожалуйста Единственный способ оградить отд... весь текст скрыт [показать]
     
     
  • 4.116, Аноним (-), 23:57, 22/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Дали им неймспесы сетевые — нет, не хотим. Хотим страдать. Ну страдайте, что ж с вами делать.
     
     
  • 5.131, Аноним (-), 12:21, 23/02/2018 [^] [ответить]    [к модератору]  
  • +/
    еще раз - как это решает проблему с запуском гуевого софта от пользователя?
     
     
  • 6.160, КО (?), 11:07, 26/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Так напиши свою запускалку, чтоб запускала файл в определенном неймспейсе. И пускай только через нее. :)
     
  • 3.95, Аноним (-), 15:25, 22/02/2018 [^] [ответить]     [к модератору]  
  • –4 +/
    Честно пытался, но нишмог, да Меня даже не удивляет, что воз и ныне там В IT в... весь текст скрыт [показать]
     
  • 2.109, пох (?), 20:39, 22/02/2018 [^] [ответить]     [к модератору]  
  • +/
    потому что как в 78м не было в ip пакете, нипаверишь, ну никаких указаний какому... весь текст скрыт [показать]
     
     
  • 3.152, ПавелС (ok), 18:14, 24/02/2018 [^] [ответить]    [к модератору]  
  • +/
    >[оверквотинг удален]
    > так и в 2018м нет.
    > И если при отправке исходящего пакета еще как-то можно привязать к нему
    > метку (в пяти разных местах, потому что есть примерно пять разных
    > способов создать исходящий пакет), то при получении, когда мы даже еще
    > точно не знаем, наш ли это пакет вообще (это решение может
    > определиться тоже аж на трех разных этапах, из-за манглинга, ната и
    > маршрутизации), увы, без тотальной переделки стека с полной деградацией производительности
    > - никак.
    > да и смысла особого уже нет. Будущее за application firewalls, пакетные фильтры
    > свое отжили.

    Входящие соединения конечно анонимны, но для этого тогда же давно был придуман протокол ident ,  можно хотя-бы получить имя пользователя. Не получил ident  ваше право принимать или нет соединение. Причём тут тотальная переделка, можно доработать вспомогательные протоколы. Это просто мало используется.

     
  • 1.94, Аноним (-), 14:46, 22/02/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Во времена systemd звучит прямо как фантастика, прямо даже удивительно что ещё г... весь текст скрыт [показать]
     
  • 1.148, XoRe (ok), 16:27, 24/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > При этом, bpfilter ещё очень далеко до интеграции в ядро, так как представления о его производительности пока носят лишь теоретический характер

    Не знал, что все так запущено.

     
  • 1.170, mumu (ok), 03:45, 04/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Всё было просто замечательно пока я не дочитал до строчки "Харальд Вельте..." После чего мне внезапно захотелось кого-то вздёрнуть не рее.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor