The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

21.06.2018 14:18  Разработчики Netfilter официально объявили инструментарий iptables устаревшим

На прошедшей в конце прошлой недели в Берлине конференции Netfilter workshop, объединившей разработчиков Linux-подсистемы фильтрации и модификации пакетов Netfilter, было принято решение о переводе семейства программ iptables (включая ip6tables, arptables и ebtables) в разряд устаревших, что отразится в именах соответствующих бинарных файлов:

  • /sbin/iptables-legacy
  • /sbin/iptables-legacy-save
  • /sbin/iptables-legacy-restore
  • /sbin/ip6tables-legacy
  • /sbin/ip6tables-legacy-save
  • /sbin/ip6tables-legacy-restore
  • /sbin/arptables-legacy
  • /sbin/ebtables-legacy

Место оригинальных исполняемых файлов займут программы, ранее именовавшиеся "compat" (например, iptables-compat): они имеют такой же синтаксис командной строки, однако транслируют полученные правила не в блобы ip_tables, а в байткод nf_tables, выполняемый в виртуальной машине. Таким образом, будет осуществлён прозрачный переход с iptables на nftables, оставляющий возможность использования legacy-инструментов в случае каких-либо проблем. Тем не менее, пользователям настоятельно рекомендуется мигрировать на штатный формат правил nftables. Для этого они могут воспользоваться автоматическими трансляторами, в частности, iptables-translate.

Разработчики Netfilter уже достигли договоренности об отражении соответствующих изменений в дистрибутивах RedHat, Fedora, CentOS, SUSE, Debian и производных от них. Кроме того, поддержка nftables уже реализована в firewalld, что упростит процесс миграции для пользователей этого инструмента.

  1. Главная ссылка к новости (http://ral-arturo.org/2018/06/...)
  2. OpenNews: Выпуск пакетного фильтра nftables 0.4, идущего на смену iptables
  3. OpenNews: Первый пригодный для пользователей релиз пакетного фильтра Nftables
  4. OpenNews: Для ядра Linux предложен новый пакетный фильтр bpfilter
  5. OpenNews: Релиз iptables 1.6.0
  6. OpenNews: В состав ядра 4.18 одобрено включение нового пакетного фильтра bpfilter
Автор новости: Fyjybv755
Тип: К сведению
Ключевые слова: iptables, linux, kernel, netfilter
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 15:07, 21/06/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +23 +/
    Замечательно, nftables ещё до версии 1.0 не доросло, а iptables уже устарело.
     
     
  • 2.3, Аноним (3), 15:09, 21/06/2018 [^] [ответить]    [к модератору]
  • –1 +/
    это Линукс детка - стабильное API no sence и все такое.
    Можешь сам продолжать поддерживать iptables.
     
     
  • 3.11, нах (?), 15:43, 21/06/2018 [^] [ответить]    [к модератору]
  • +9 +/
    > это Линукс детка - стабильное API no sence и все такое.
    > Можешь сам продолжать поддерживать iptables.

    не сможет - через неделю поломают апи так, что нужно будет переписать пол-ядра.

    Конец эпохи, единственное, что, казалось, в линуксе еще не испоганили полностью - ip стек.

     
     
  • 4.53, Pofigist (?), 17:41, 21/06/2018 [^] [ответить]     [к модератору]
  • –12 +/
    Да он изначально был как бы это сказать помягче А уж iptables - образцово-... весь текст скрыт [показать]
     
     
  • 5.63, Аноним (63), 18:22, 21/06/2018 [^] [ответить]    [к модератору]  
  • +11 +/
    «Все файрволы что не cisco — плохие», очень аргументировано конечно, спасибо, но нет.
     
  • 5.127, дуайт эйзенхауэр (?), 00:47, 22/06/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Не надо песен, iptables - норм приблуда, ты еще ipchains не видел.
     
     
  • 6.149, Pofigist (?), 14:37, 22/06/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Видел. То же г-но. Ни разу не сетевой фаервол.
     
  • 5.146, Аноним (146), 14:11, 22/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Ты что несёшь? iptables - это и есть инструмент для управления нетфильтром.
     
  • 5.157, mickvav (?), 16:31, 23/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Аргументы? Нет, не слышал.
     
  • 3.105, irinat (ok), 22:19, 21/06/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    nonsense относится только к внутренним API ядра Внешнее API, как то системны... весь текст скрыт [показать]
     
  • 2.144, RotarenegeD (?), 13:10, 22/06/2018 [^] [ответить]    [к модератору]  
  • +/
    по тестам работает достаточно стабильно и беспроблемно поэтому всё хорошо.
     
  • 1.2, нах (?), 15:09, 21/06/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –19 +/
    пц Управляемый руками и читаемый глазами пакетный фильтр - вычеркиваем из реде... весь текст скрыт [показать]
     
     
  • 2.4, Аноним (3), 15:10, 21/06/2018 [^] [ответить]     [к модератору]  
  • +/
    а чего не на ng_ipfw ... весь текст скрыт [показать]
     
     
  • 3.8, нах (?), 15:38, 21/06/2018 [^] [ответить]     [к модератору]  
  • –4 +/
    Барон не любит, чтоб потруднее Мне был нужен простой, удобочитаемый и без особы... весь текст скрыт [показать]
     
  • 3.49, Аноним (49), 17:18, 21/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    >на ng_ipfw

    занчение знаешь?

     
  • 2.6, Аноним (6), 15:20, 21/06/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    Воь же нытики Ты по прежнему можешь использовать синтаксис iptables для настрой... весь текст скрыт [показать]
     
     
  • 3.9, нах (?), 15:41, 21/06/2018 [^] [ответить]     [к модератору]  
  • –9 +/
    и ты в результате видишь список своих правил, не имеющих ни малейшего отношения ... весь текст скрыт [показать]
     
     
  • 4.18, Anonymous_ (?), 16:09, 21/06/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    Да ладно тебе iptables ужастен, IMO ipfw лично мне всегда больше нравился Мож... весь текст скрыт [показать]
     
     
  • 5.22, нах (?), 16:23, 21/06/2018 [^] [ответить]     [к модератору]  
  • +/
    нет Потому что задача быстро разобраться в сложной конструкции с натами, резер... весь текст скрыт [показать]
     
  • 5.140, Пользователь Debian (?), 12:33, 22/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Может у тебя вообще синдром утёнка?

    Написали бы сразу "импринтинг" — вроде и умнее и менее обидно для оппонента что-ли.

     
  • 4.28, AnonPlus (?), 16:30, 21/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Когда ты пишешь на высокоуровневом языке программирования, ты тоже видишь свой к... весь текст скрыт [показать]
     
     
  • 5.37, нах (?), 17:00, 21/06/2018 [^] [ответить]     [к модератору]  
  • –3 +/
    да В результате - ни реверс чужого решения, ни отладка своего вне пределов, пре... весь текст скрыт [показать]
     
  • 5.137, A (?), 10:47, 22/06/2018 [^] [ответить]     [к модератору]  
  • +/
    У всех компиляторов C C был замечательный ключик - компилировать в ASM Прогон... весь текст скрыт [показать]
     
     
  • 6.139, Anonymoustus (ok), 11:58, 22/06/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    А может ли такое заинтересовать людей, для которых скорость компиляции важнее вс... весь текст скрыт [показать]
     
  • 4.43, Аноним (43), 17:10, 21/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Трансляция iptables-compat обратима Слив засчитан ... весь текст скрыт [показать]
     
     
  • 5.102, пох (?), 22:16, 21/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    сюсипуси взрослым дядям засчитывают слив Твоя трансляция не справилась не то ... весь текст скрыт [показать]
     
  • 4.106, irinat (ok), 22:23, 21/06/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Ты и раньше не знал, во что они транслировались Но почему-то раньше тебе было д... весь текст скрыт [показать]
     
  • 4.129, Netmapguy (?), 01:15, 22/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    нет, это не так трансляции обратимы разработчики как раз видели правила поболь... весь текст скрыт [показать]
     
  • 2.7, wi1fu1 (?), 15:23, 21/06/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    Ну вы явно утрируете, никто не заставляет пользоваться firewalld (я лично даже не пробовал его, мне достаточно было глянуть как он работает). nftables гораздо более удобный формат, как для чтения, так и понимания (например, как в iptables смотреть длинные цепочки в разных таблицах). Думаю хороший инструмент получился, может и побыстрее.
     
     
  • 3.14, нах (?), 15:51, 21/06/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    серьезно Вот эту развисистую лапшу, требующую полтора экрана вместо одной строк... весь текст скрыт [показать]
     
     
  • 4.39, Аноним (43), 17:04, 21/06/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    "Удобочитаемый" формат, который можно прочитать только грепом? Вы стебeтесь, да?
     
     
  • 5.58, нах (?), 18:10, 21/06/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    разница в том, что подeлие на nft _даже_ грепом прочитать - нельзя Счастье разг... весь текст скрыт [показать]
     
     
  • 6.65, Харитон (?), 18:30, 21/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Не упирайтесь! пришло время освоить sed!
    sudo nft list table inet filter | sed -n '/chain input {/,/}/p'
     
  • 6.69, Аноним (69), 18:58, 21/06/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > парсить на коленке модный json

    man jq

     
     
  • 7.75, Аноним (75), 19:32, 21/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    а чо сразу не xml? man xmlstarlet
     
     
  • 8.101, Anon1 (?), 22:12, 21/06/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Лёне идейку подкиньте, он с радостью вам бинарный формат запилит импортируемый отдельным сервисом в xml, yaml и json.
     
     
  • 9.103, пох (?), 22:18, 21/06/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    вы не поняли - они _уже_ запилили, Лёня не понадобился И да, у них есть экспорт... весь текст скрыт [показать]
     
  • 5.156, Алкоголик А. (?), 16:17, 23/06/2018 [^] [ответить]    [к модератору]  
  • +/
    > "Удобочитаемый" формат, который можно прочитать только грепом? Вы стебeтесь, да?

    Называется мразина не умеющая читать каким-то чудом пишет...

     
  • 3.51, Аноним (51), 17:24, 21/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    iptables -L цепочка1 iptables -L цепочка1 -t mangle iptables -L цепочка1 -t ... весь текст скрыт [показать]
     
  • 3.66, Аноним (63), 18:33, 21/06/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    > nftables гораздо более удобный формат, как для чтения, так и понимания

    Видимо поэтому его за 4 года никто так и не захотел использовать, потому что он удобный и понятный, да?

     
     
  • 4.125, sage (??), 00:07, 22/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Многие программы управления межсетевым экраном поддерживают его Я ждал, пока в ... весь текст скрыт [показать]
     
  • 2.10, ананим.orig (?), 15:41, 21/06/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    да не переживай ты так всегда можешь найти себе оправдание Типа один раз не ... весь текст скрыт [показать]
     
  • 2.20, commiethebeastie (ok), 16:10, 21/06/2018 [^] [ответить]    [к модератору]  
  • +/
    После джунипера от твоего удобного пакетного фильтра вытекают глаза.
     
     
  • 3.25, нах (?), 16:25, 21/06/2018 [^] [ответить]     [к модератору]  
  • +/
    покажите свой сложный не на одну страничку в 25 строк набор правил Фильтрация... весь текст скрыт [показать]
     
  • 3.31, Аноним (31), 16:48, 21/06/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    А что же бздуны не пользуются своими системами xBSD для фильтрации трафика? ;)
     
     
  • 4.126, Аноним (126), 00:30, 22/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Ох уж эти знатоки с гордо задранной гузкой BPF Berkeley Packet Filter BSD Berke... весь текст скрыт [показать]
     
  • 2.82, Аноним (82), 19:58, 21/06/2018 [^] [ответить]    [к модератору]  
  • +/
    > Управляемый руками

    Хорошо, когда у тебя 1 сервер, да и тот localhost с LA 0.0. Уже забыл, когда руками iptables вызывал в проде…

     
     
  • 3.121, нах (?), 23:30, 21/06/2018 [^] [ответить]     [к модератору]  
  • +/
    хорошо когда прод , ответственность успешно переложена на никого и т д А дыр... весь текст скрыт [показать]
     
  • 2.153, Pofigist (?), 17:27, 22/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Фигню написал Было - iptables -t filter -A OUTPUT -j DROP -d 1 2 3 4 Стало - nf... весь текст скрыт [показать]
     
     
  • 3.160, angra (ok), 22:40, 23/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Для знакомого с iptables стало хуже читаться, не намного, правило то простое, но... весь текст скрыт [показать]
     
     
  • 4.163, Pofigist (?), 14:08, 24/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Проблема нормального сетевого оборудования и заключается в том что ты в худшем с... весь текст скрыт [показать]
     
     
  • 5.164, нах (?), 12:02, 25/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    твоя лавка уже банкрот или еще готовится проблема нормального сетевого оборуд... весь текст скрыт [показать]
     
     
  • 6.165, Pofigist (?), 17:06, 25/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Ты знаешь - нормально спроектированная сеть практически не требует вмешательства... весь текст скрыт [показать]
     
     ....нить скрыта, показать (41)

  • 1.5, Аноняша (?), 15:18, 21/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    nftables же вроде уже хоронили, после выпуска bpfilter.
     
     
  • 2.33, Аноним (43), 16:57, 21/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Хоронили какие-то левые люди, не имеющие отношения к Netfilter core team.
    И bpfilter так и остался на стадии прототипа.
     
     
  • 3.54, DPDKguy (?), 17:43, 21/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Да, он в альфе, но уже в 4 18 будет Важно понимать, что дальше просто заменят од... весь текст скрыт [показать]
     
  • 2.46, прототип (?), 17:12, 21/06/2018 [^] [ответить]    [к модератору]  
  • +/
    https://lwn.net/Articles/747551/
     
  • 1.12, А (??), 15:48, 21/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    > Кроме того, поддержка nftables уже реализована в firewalld, что упростит процесс миграции для пользователей этого инструмента.

    Вот счастье-то привалило...

     
     
  • 2.59, Аноним (-), 18:10, 21/06/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Радоваться или плакать?
     
     
  • 3.77, псевдонимус (?), 19:46, 21/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    "фаерволД"-конечно плакать
     
  • 1.15, demimurych (ok), 15:59, 21/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Интересно, а что большинство анонимусов не знают что iptables это всего лишь один из интерфейсов к нетфильтру? Грубо говоря языком описания правил. И что под капотом у nftables тоже самое что и у iptables. И что nftabes делает почти та же команда что и iptables
     
     
  • 2.16, нах (?), 16:05, 21/06/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > И что nftabes делает почти та же команда что и iptables

    и сколько в "почти той же" осталось авторов изначального iptables ? Дайте угадаю - их там и не было никогда.


     
     
  • 3.38, Аноним (43), 17:01, 21/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Да их и в команде разработчиков iptables уже лет двадцать как нет Так что не по... весь текст скрыт [показать]
     
     
  • 4.87, Еще_один_аноним (?), 20:27, 21/06/2018 [^] [ответить]    [к модератору]  
  • +/
    > Да их и в команде разработчиков iptables уже лет двадцать как нет.

    Вот только iptables, который появился в ядре 2.4 нет 20 лет. Упс.

     
  • 2.35, evilman (?), 16:58, 21/06/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    Нетфильтр предоставляет набор хуков и управление списками функций обратного вызо... весь текст скрыт [показать]
     
     
  • 3.147, Аноним (146), 14:25, 22/06/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Хуки А почему у вас такой скудный словарный запас, что не смогли подобрать по... весь текст скрыт [показать]
     
  • 1.17, Аноним (17), 16:08, 21/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    КАК??? А как же это https://www.opennet.ru/opennews/art.shtml?num=48117 ???
     
     
  • 2.23, Аноним (23), 16:23, 21/06/2018 [^] [ответить]    [к модератору]  
  • +7 +/
    > КАК??? А как же это https://www.opennet.ru/opennews/art.shtml?num=48117 ???

    Ну как, как, сначала переедут на nf_tables, а когда оно таки хоть как-то заработает и устаканится - будут переходить на bpfilter.
    Что ты хочешь от современных смузи-хлёбов? Они как юные троцкисты - сначала все снести, а потом, а потом, а потом может что-то как-то само заработает.
    Или нет. В общем неважно. Главное это снести все работающее. Это модно и молодежно.

     
     
  • 3.36, Аноним (43), 16:59, 21/06/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > Ну как, как, сначала переедут на nf_tables, а когда оно таки хоть
    > как-то заработает и устаканится - будут переходить на bpfilter.

    Смузи-стартап bpfilter не взлетел, не парьтесь.

     
  • 2.24, aim (ok), 16:23, 21/06/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    ну потом будет другой переезд. потом - это потом.
     
  • 2.27, нах (?), 16:27, 21/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    все норм, как только тебе удастся починить сложные системы после перехода на nft... весь текст скрыт [показать]
     
     
  • 3.34, Аноним (31), 16:58, 21/06/2018 [^] [ответить]    [к модератору]  
  • –5 +/
    И это тоже работа админов. А если ничего не будет менятся, всё будет продолжать работать , как бы, само собой, то работодатели начнут задумываться, а нужны ли вообще админы.
     
     
  • 4.45, Michael Shigorin (ok), 17:12, 21/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Работодатели тоже не нужны, всё же и так работает Для мальчиков, симулирующих д... весь текст скрыт [показать]
     
  • 3.44, Michael Shigorin (ok), 17:10, 21/06/2018 [^] [ответить]     [к модератору]  
  • +/
    По-моему, эта болячка у шляпы началась самое позднее с apache2 ... весь текст скрыт [показать]
     
  • 2.48, Аноним (43), 17:17, 21/06/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Патчи bpfilter были подготовлены для ядра Linux 4 18, однако, по итогам дискусси... весь текст скрыт [показать]
     
     
  • 3.55, DPDKguy (?), 17:49, 21/06/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    патчи живут уже в net-next, а в bpfilter заинтересованы многие одна из причин -... весь текст скрыт [показать]
     
     
  • 4.83, Аноним (83), 20:06, 21/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Если брать не только тусовку дпдк-шников, у которых есть карточки нетронома, то получаются далеко не многие.
     
     
  • 5.128, Netmapguy (?), 01:08, 22/06/2018 [^] [ответить]     [к модератору]  
  • +/
    это вопрос времени ebpf дизайнился довольно просто взяли общее среднее от попу... весь текст скрыт [показать]
     
     ....нить скрыта, показать (11)

  • 1.26, Аноним (26), 16:27, 21/06/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +5 +/
    Опять шапка гадит ... весь текст скрыт [показать]
     
     
  • 2.29, Аноним (-), 16:38, 21/06/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Ничего личного, just business ... весь текст скрыт [показать]
     
  • 1.32, Аноним (31), 16:52, 21/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Какой-такой firewalld? Должно быть systemd-firewalld.
     
     
  • 2.40, Аноним (43), 17:05, 21/06/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > Какой-такой firewalld? Должно быть systemd-firewalld.

    В systemd фаерволом рулит systemd-networkd.

     
     
  • 3.52, Anonymoustus (ok), 17:36, 21/06/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    >> Какой-такой firewalld? Должно быть systemd-firewalld.
    > В systemd фаерволом рулит systemd-networkd.

    Слишком просто. Надо systemd-networkd-firewalld.

     
  • 1.50, eRIC (ok), 17:23, 21/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >Таким образом, будет осуществлён прозрачный переход с iptables на nftables, >оставляющий возможность использования legacy-инструментов в случае каких-либо >проблем. Тем не менее, пользователям настоятельно рекомендуется мигрировать на >штатный формат правил nftables.

    Так в итоге в ядре будет использоваться новый bpfilter (https://www.opennet.ru/opennews/art.shtml?num=48117) или же не ставший популярный nftables?

     
  • 1.56, Нанобот (ok), 17:55, 21/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Интересно, какие-то упорышы уже планируют выпуск дистрибутива "без nftables"?
     
     
  • 2.57, Аноняша (?), 18:03, 21/06/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Docker, k8s не умеют и не будут уметь. AWS тоже.
     
     
  • 3.122, пох (?), 23:33, 21/06/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > Docker, k8s не умеют и не будут уметь. AWS тоже.

    да ну, что вы. Они как раз любят пользоваться послезавтрашними фичами ядра, еще не написанными.
    Следующая версия разучится iptables.

     
  • 2.68, Аноним (63), 18:42, 21/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Если удалят sbin iptables-legacy то почему нет Непонятно только зачем вы незна... весь текст скрыт [показать]
     
  • 1.60, Новичок (??), 18:13, 21/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Всем здрям! Я новичок в линуксе. Подскажите, решил изучить iptables, а тут получается что он уже устарел? Если у меня Ubuntu 18.04 - есть ли там iptables по умолчанию, или уже что-то новое стоит и надо изучать?
     
     
  • 2.61, null (??), 18:17, 21/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Кстати да, интересный вопрос - что там щас в текущей LTS *buntu? firewalld?
     
     
  • 3.97, Аноним (97), 21:27, 21/06/2018 [^] [ответить]    [к модератору]  
  • +/
    firewalld - RHEL based
    ufw - ubuntu based
     
  • 2.62, evilman (?), 18:18, 21/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Есть и будет В ближайшие несколько лет никто на nftables не перейдёт То, что i... весь текст скрыт [показать]
     
     
  • 3.71, An (??), 19:14, 21/06/2018 [^] [ответить]    [к модератору]  
  • +/
    К тому же ещё nftables пока не поддерживает весь функционал iptables. Плюс ещё много кто пользуется сторонними модулями для iptables с которыми тоже что-то придется решать.          
     
  • 2.67, Глеб (?), 18:38, 21/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Блин, та же проблема) у меня есть книжка 2010 года про Linux, там сотни команд и есть глава про iptables. Придется покупать новую?((
     
     
  • 3.74, А (??), 19:26, 21/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Сначала эту прочти. Я вообще учил iptables по книжкам, где ipchains описывался. Полет нормальный.
     
  • 3.107, Anon1 (?), 22:29, 21/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    За 8-10 лет могли много чего поломать добавить теперь ещё и бинарники переимену... весь текст скрыт [показать]
     
  • 1.64, Жирный Бобер (?), 18:22, 21/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Попробовал запустить в виртуалке nftables на Ubuntu 18.04 LTS:

    > ~$ nftables
    > nftables: команда не найдена

    Как команда то называется?

     
     
  • 2.72, Аноним (72), 19:19, 21/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    nft
     
  • 2.73, аноним_ (?), 19:19, 21/06/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    apt-get unstall nftables
     
  • 2.99, KonstantinB (ok), 21:45, 21/06/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    А зачем вам? Если вы не можете за 5 секунд самостоятельно выяснить, как называется команда, как вы будете разбираться, как ей пользоваться?
     
  • 1.70, Аноним (70), 19:02, 21/06/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    Разработчики Netfilter уже достигли договоренности об отражении соответствующих ... весь текст скрыт [показать]
     
  • 1.76, Nikolai WTF (?), 19:42, 21/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +11 +/
    Видимо я совсем пропащий слоупок, но недавно мне сказали что ifconfig тоже ВСЁ. Запустил свою UBUNTU 18.04 и вот что она мне сказала:

    Command 'ifconfig' not found, but can be installed with:

    sudo apt install net-tools

    Что вообще происходит в этом мире? Я только год назад овладел этой командой и научился кое-как настраивать сети. Теперь мне начинать все сначала? А через год появится еще десяток новых команд для настройки сетей? Кто вообще форсит эти метаморфозы? Есть ли хоть какое-то ПОСТОЯНСТВО в Linux, или админ должен страдать? Кто теперь вместо ifconfig? Где официальная инфа? :(

     
     
  • 2.78, An (??), 19:47, 21/06/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    > Кто теперь вместо ifconfig?

    ip

     
     
  • 3.80, Nikolai WTF (?), 19:52, 21/06/2018 [^] [ответить]    [к модератору]  
  • +10 +/
    Но почему? Кому это все надо? Где преимущества?

    Только что я ввел команду ip link и вместо четкого ровненького вывода ifconfig - получил какую-то мешанину из интерфейсов, совершенно нечитаемую.

     
     
  • 4.86, Аноним (83), 20:14, 21/06/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    ifconfig плохо показывает конфигурацию с несколькими адресами на интерфейсе, огр... весь текст скрыт [показать]
     
     
  • 5.143, Аноним (143), 13:01, 22/06/2018 [^] [ответить]     [к модератору]  
  • +/
    А в чём эта плохость выражается Запустил тут ifconfig, он мне 3 адреса показал,... весь текст скрыт [показать]
     
  • 4.151, qwert (??), 16:09, 22/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    alias ip='ip -c -d -h'
     
     
  • 5.159, Аноним (-), 18:42, 23/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Не работает. Нет таких опций.
     
  • 2.79, Аноним (72), 19:51, 21/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Пёттеринг as a Sergice.
     
  • 2.81, псевдонимус (?), 19:54, 21/06/2018 [^] [ответить]    [к модератору]  
  • +/
    айпироут или айпироут2
     
  • 2.94, Аноним (94), 21:10, 21/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Так надо было не ubuntu ставить а Arch, тогда был бы на гребне волны и писал что у вас этого ещё не завезли.
     
  • 2.100, KonstantinB (ok), 21:46, 21/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Год назад она уже была давно объявлена устаревшей Как и 5 лет назад Вообще с 2... весь текст скрыт [показать]
     
     
  • 3.109, пох (?), 22:34, 21/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    c 2000го Или осени 99го даже - где -то именно тогда ank мне писал это кривой в... весь текст скрыт [показать]
     
  • 2.130, yukra (ok), 06:47, 22/06/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    > недавно мне сказали что ifconfig тоже ВСЁ

    https://habr.com/post/320278/


    > Есть ли хоть какое-то ПОСТОЯНСТВО в Linux, или админ должен страдать?

    Патрик - бог! Остальное временно.

     
     
  • 3.142, Аноним (-), 12:58, 22/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Ого, за ссылку спасибо, ну очень круто объяснено!
     
  • 1.84, Аноним (84), 20:09, 21/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Вопрос не в том стоит ли послать линукс подальше после всех новвоведений как это было в свое время сделанно с бсд, вопрос на что перейти, чтобы не шыло на мыло менять.
     
     
  • 2.85, Аноним (85), 20:11, 21/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Переходи на виндоус! Индус не предаст)
     
     
  • 3.88, Аноним (84), 20:32, 21/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Так с него лет 20 назад и перешел с начала на бсд потом на линукс...
     
  • 3.95, Аноним (94), 21:13, 21/06/2018 [^] [ответить]    [к модератору]  
  • +/
    > Переходи на виндоус! Индус не предаст)

    После семёрки они там тоже стали вносить новенькое

     
  • 2.114, Anon1 (?), 22:43, 21/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    стоит потратить некоторое время на изучение нововведений, либо свалить в манагер... весь текст скрыт [показать]
     
     
  • 3.155, Алкоголик А. (?), 15:31, 23/06/2018 [^] [ответить]    [к модератору]  
  • +/
    > лучше конечно подучиться.

    Это и был вопрос по подучиванию - на что перейти...

     
  • 2.131, пох (?), 07:24, 22/06/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    на божественную десяточку Работой ее админы, владельцы сокровенного знания, буд... весь текст скрыт [показать]
     
     
  • 3.135, yukra (ok), 10:03, 22/06/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Отложенный запуск юнита можно организовать через ExecStartPre bin sleep 3 , че... весь текст скрыт [показать]
     
  • 3.136, Аноним (84), 10:07, 22/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну эти двое и так видно что уже на финишную прямую вышли, вопрос не в этом.
     
  • 1.89, Аноним (89), 20:50, 21/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    nftables не на BPF работает, там свой формат
    eBPF там конечно есть но как идин из модулей
     
  • 1.91, user90 (?), 21:04, 21/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Сколько кипежа на пустом месте. Как стая бакланов, в самом деле)) firewalld это не часть системдэ, а только по звучанию схоже - и ладно, б-г с ним тогда.
     
     
  • 2.118, Аноним (118), 23:13, 21/06/2018 [^] [ответить]    [к модератору]  
  • +/
    б-г=о?
     
  • 1.92, user90 (?), 21:08, 21/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Вон по слухам SuSEfirewall2 тоже заменяют на firewalld - это имхо куда больший повод для обсуждения и выкриков с места =) Хотя мне уже пофиг, я с Сусе давно убрался.
     
     
  • 2.111, пох (?), 22:36, 21/06/2018 [^] [ответить]     [к модератору]  
  • +/
    те кто ими пользуются - не заметят разницы потому что на самом деле не знают, ч... весь текст скрыт [показать]
     
  • 1.93, Аноним (93), 21:09, 21/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Зачем притягивать nftables, когда он уже и сам legacy и ему на смену идёт bpfilter на основе штатного eBPF?
     
     
  • 2.110, Anon1 (?), 22:35, 21/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Больше костылей богу костылей bpfilter ещё 10 лет будет идти , энтерп... весь текст скрыт [показать]
     
  • 1.104, Аноним (-), 22:19, 21/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Чем отличаются "не в блобы ip_tables, а в байткод nf_tables", друг от друга? Кто нибудь может пояснить?
     
     
  • 2.108, Аноним (93), 22:32, 21/06/2018 [^] [ответить]     [к модератору]  
  • +/
    блобы ip_tables - это по сути библиотека функций, которая выполняется на уровне ... весь текст скрыт [показать]
     
     
  • 3.123, пох (?), 23:37, 21/06/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    и это немодно и это круто Чо неясно-то виртуальная машина , bpf , менеджеры... весь текст скрыт [показать]
     
  • 1.141, Аноним (143), 12:42, 22/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Что? Я ж ещё с ipchains на iptables не перешёл!
     
     
  • 2.148, Аноним (148), 14:28, 22/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    >The ipchains software was superseded by the iptables system in Linux kernel 2.4 and above.

    Ну и ретроград вы, батенька!

     
  • 2.150, Ананас (?), 15:46, 22/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Я - тоже, да и не собираюсь - дождусь пока не вернутся к Цепочкам.
     
  • 1.145, iCat (ok), 13:14, 22/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Это они улучшают улучшаемость, или увеличивают увеличиваемость?
    Мне, как эксплуатационщику, хотелось бы, чтобы инструменты были удобными, простыми и надёжными...
     
  • 1.152, Аноним (152), 16:41, 22/06/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    что то у меня вики nft org вообще не открывается хотя я юзаю firewalld nftab... весь текст скрыт [показать]
     
  • 1.154, Аноним (154), 18:28, 22/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Что-то на LKML про это ничего нет.
     
  • 1.158, anon1111 (?), 17:51, 23/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    я что то в убунту не видел в упор никакого iptables-translate, только iptables-restore-translate + ip6tables-restore-translate, первый отрабатывает нормально, а второй из-за firewalld кидает ошибки какие то по синтаксису одного ICMP правила.
     
  • 1.161, Аноним (161), 07:55, 24/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Как обычно сборище нытиков с ЛОРа набежало. Так же было с ненужносистемд, пшшшшш-аудио и много ещё чего. Как будто кто-то запрешает использовать старые инструменты, которые много лет просто работали.
     
  • 1.162, Саша (??), 12:58, 24/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Пришлось ставить и настраивать firewalld на Kali Linux Light и Parrot...
     
  • 1.166, Я не понимаю (?), 14:50, 26/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    ОБЪЯСНИТЕ ПЛЗ!!! Который день пытаюсь понять.

    Есть в линуксе файрвол - netfilter.

    Есть 2 морды для него: iptables и nftables.

    Есть ufw - убунтушная морда для морды iptables...

    Какое место во всем этом винегрете файрволов и морд занимает firewalld?

    1. В вики написано что он является мордой над iptables (типа как ufw).

    2. В официальной документации вот такая схема:

    https://firewalld.org/documentation/concepts.html

    Если верить схеме, он может быть мордой и над nftables.

    3. Но тогда какого xрена в зависимостях жесткое требование именно iptables?

    > Зависит: iptables

    Что такое firewalld и какого его место в иерархии всего этого???

     
     
  • 2.168, Аноним (168), 08:33, 05/07/2018 [^] [ответить]    [к модератору]  
  • +/
    https://ru.m.wikipedia.org/wiki/Nftables
    Он же на замену приходит а значит какое то время будут оба для совместимости
     
  • 1.167, Аноним (168), 08:28, 05/07/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Так глядиш и лог будет бинарный как в PF ;)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor