The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Разработчики Netfilter официально объявили инструментарий iptables устаревшим

21.06.2018 14:18

На прошедшей в конце прошлой недели в Берлине конференции Netfilter workshop, объединившей разработчиков Linux-подсистемы фильтрации и модификации пакетов Netfilter, было принято решение о переводе семейства программ iptables (включая ip6tables, arptables и ebtables) в разряд устаревших, что отразится в именах соответствующих бинарных файлов:

  • /sbin/iptables-legacy
  • /sbin/iptables-legacy-save
  • /sbin/iptables-legacy-restore
  • /sbin/ip6tables-legacy
  • /sbin/ip6tables-legacy-save
  • /sbin/ip6tables-legacy-restore
  • /sbin/arptables-legacy
  • /sbin/ebtables-legacy

Место оригинальных исполняемых файлов займут программы, ранее именовавшиеся "compat" (например, iptables-compat): они имеют такой же синтаксис командной строки, однако транслируют полученные правила не в блобы ip_tables, а в байткод nf_tables, выполняемый в виртуальной машине. Таким образом, будет осуществлён прозрачный переход с iptables на nftables, оставляющий возможность использования legacy-инструментов в случае каких-либо проблем. Тем не менее, пользователям настоятельно рекомендуется мигрировать на штатный формат правил nftables. Для этого они могут воспользоваться автоматическими трансляторами, в частности, iptables-translate.

Разработчики Netfilter уже достигли договоренности об отражении соответствующих изменений в дистрибутивах RedHat, Fedora, CentOS, SUSE, Debian и производных от них. Кроме того, поддержка nftables уже реализована в firewalld, что упростит процесс миграции для пользователей этого инструмента.

  1. Главная ссылка к новости (http://ral-arturo.org/2018/06/...)
  2. OpenNews: Выпуск пакетного фильтра nftables 0.4, идущего на смену iptables
  3. OpenNews: Первый пригодный для пользователей релиз пакетного фильтра Nftables
  4. OpenNews: Для ядра Linux предложен новый пакетный фильтр bpfilter
  5. OpenNews: Релиз iptables 1.6.0
  6. OpenNews: В состав ядра 4.18 одобрено включение нового пакетного фильтра bpfilter
Автор новости: Fyjybv755
Тип: К сведению
Ключевые слова: iptables, linux, kernel, netfilter
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (149) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 15:07, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +25 +/
    Замечательно, nftables ещё до версии 1.0 не доросло, а iptables уже устарело.
     
     
  • 2.3, Аноним (3), 15:09, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    это Линукс детка - стабильное API no sence и все такое.
    Можешь сам продолжать поддерживать iptables.
     
     
  • 3.11, нах (?), 15:43, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > это Линукс детка - стабильное API no sence и все такое.
    > Можешь сам продолжать поддерживать iptables.

    не сможет - через неделю поломают апи так, что нужно будет переписать пол-ядра.

    Конец эпохи, единственное, что, казалось, в линуксе еще не испоганили полностью - ip стек.

     
     
  • 4.53, Pofigist (?), 17:41, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • –12 +/
    > Конец эпохи, единственное, что, казалось, в линуксе еще не испоганили полностью - ip стек.

    Да он изначально был... как бы это сказать помягче... А уж iptables - образцово-показательный пример на тему "как не надо делать фаерволы".
    Netfilter кстати - офигенный шаг вперед, до классики типа zbfw ему конечно еше очень далеко, но... может лет через 20 и в линаксе появится полноценный фаервол.

     
     
  • 5.63, Аноним (63), 18:22, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +11 +/
    «Все файрволы что не cisco — плохие», очень аргументировано конечно, спасибо, но нет.
     
  • 5.127, дуайт эйзенхауэр (?), 00:47, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Не надо песен, iptables - норм приблуда, ты еще ipchains не видел.
     
     
  • 6.149, Pofigist (?), 14:37, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Видел. То же г-но. Ни разу не сетевой фаервол.
     
  • 6.170, Аноним (170), 15:24, 02/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Норм приблуда только для мамкиного аналитика.
    Для промышленного использования без патчей ядра - не годится.
     
  • 5.146, Аноним (146), 14:11, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты что несёшь? iptables - это и есть инструмент для управления нетфильтром.
     
  • 5.157, mickvav (?), 16:31, 23/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Аргументы? Нет, не слышал.
     
  • 3.105, irinat (ok), 22:19, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    nonsense относится только к *внутренним* API ядра. Внешнее API, как то: системные вызовы, формат сообщений, посылаемых через netlink-сокеты, и тому подобное — обратно-совместимы. Например, вызов fork сейчас не используется, вместо него fork() из glibc вызывает clone. Но ядро всё ещё поддерживает fork, поэтому старые программы будут работать на новом ядре.
     
  • 2.144, RotarenegeD (?), 13:10, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    по тестам работает достаточно стабильно и беспроблемно поэтому всё хорошо.
     

  • 1.2, нах (?), 15:09, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –20 +/
    пц.
    Управляемый руками и читаемый глазами пакетный фильтр - вычеркиваем из редеющего списка преимуществ линyпса. Его уже (тоже) нет.

    "поддержка интегрирована в firewalld" - очередной yблюдочный монстр, который за вас будет думать, какие пакеты пропускать, а какие необязательно. Вот им и пользуйтесь.

    Какое счастье, что по сумме, в общем-то, случайных совпадений и личных глюков я месяц назад выбрал asa вместо "а ну ее нахрен, запилим на линуксе очередной недо-файрвол, пакетного фильтра/ната тут на десять лет хватит, а больше и не надо"

     
     
  • 2.4, Аноним (3), 15:10, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > пц.
    > Управляемый руками и читаемый глазами пакетный фильтр - вычеркиваем из редеющего списка
    > преимуществ линyпса. Его уже (тоже) нет.
    > "поддержка интегрирована в firewalld" - очередной yблюдочный монстр, который за вас будет
    > думать, какие пакеты пропускать, а какие необязательно. Вот им и пользуйтесь.
    > Какое счастье, что по сумме, в общем-то, случайных совпадений и личных глюков
    > я месяц назад выбрал asa вместо "а ну ее нахрен, запилим
    > на линуксе очередной недо-файрвол, пакетного фильтра/ната тут на десять лет хватит,
    > а больше и не надо"

    а чего не на ng_ipfw ?

     
     
  • 3.8, нах (?), 15:38, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Барон не любит, чтоб потруднее Мне был нужен простой, удобочитаемый и без особы... текст свёрнут, показать
     
  • 3.49, Аноним (49), 17:18, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >на ng_ipfw

    занчение знаешь?

     
  • 2.6, Аноним (6), 15:20, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Воь же нытики. Ты по прежнему можешь использовать синтаксис iptables для настройки фаервола. Но весь твой синтаксис будет транислроваться в  nf_tables в ядре системы. Для тебя никакой разницы -- для разработчиков минус одно легаси апи от которого уже десяток лет пытаются уйти.
     
     
  • 3.9, нах (?), 15:41, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • –9 +/
    > Воь же нытики. Ты по прежнему можешь использовать синтаксис iptables для настройки
    > фаервола. Но весь твой синтаксис будет транислроваться в  nf_tables в
    > ядре системы.

    и ты в результате видишь список своих правил, не имеющих ни малейшего отношения к тому, во что они понатранслировались.

    > Для тебя никакой разницы -- для разработчиков минус одно

    это для разработчиков, ни разу в жизни не видевших сложных правил "никакой разницы". Да и тот десяток что видели, за них докер понасоздавал.

    > легаси апи от которого уже десяток лет пытаются уйти.

    я бы предпочел минус все модные-современные апи. Их и без вас хватает.

     
     
  • 4.18, Anonymous_ (?), 16:09, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > не имеющих ни малейшего отношения к тому, во что они понатранслировались.

    Да ладно тебе. iptables ужастен, IMO.
    ipfw лично мне всегда больше нравился.

    Может у тебя вообще синдром утёнка?
    Т.е. твоим первым файерволом был iptables и поэтому ты его любишь?

     
     
  • 5.22, нах (?), 16:23, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    нет. Потому что задача "быстро разобраться в сложной конструкции с натами, резервными каналами, ipsec поверх всего этого, когда что-то пошло не так"  в случае ipfw нерешаема в принципе. Полагаю, если кто-то построит нечто подобное на nft, результат будет даже хуже, но никто уже, наверное, и не построит.
    Я точно мараться не буду - "вам нужен файрвол? Вооон там вход в отдел ИБ".

    > Т.е. твоим первым файерволом был iptables и поэтому ты его любишь?

    моим первым файрволлом был ipfwadm.  он г-но.

    Мы были вполне счастливы, когда его заменили ipchains. Часть того функционала (как модулей, так и cli) не воспроизведена _по_сей_день_ - генитальным разработчикам некогда, они придумывают транслятор в json.

     
     
  • 6.171, Аноним (170), 15:29, 02/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Все познается в сравнении.

    Пока лучше pf с его anchors ничего не придумали.

     
  • 5.140, Пользователь Debian (?), 12:33, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Может у тебя вообще синдром утёнка?

    Написали бы сразу "импринтинг" — вроде и умнее и менее обидно для оппонента что-ли.

     
  • 4.28, AnonPlus (?), 16:30, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> и ты в результате видишь список своих правил, не имеющих ни малейшего отношения к тому, во что они понатранслировались.

    Когда ты пишешь на высокоуровневом языке программирования, ты тоже видишь свой код, не имеющим никакого отношения к машинным командам, в которые он трансформируется при компиляции.

     
     
  • 5.37, нах (?), 17:00, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    да В результате - ни реверс чужого решения, ни отладка своего вне пределов, пре... текст свёрнут, показать
     
  • 5.137, A (?), 10:47, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Когда ты пишешь на высокоуровневом языке программирования, ты тоже видишь свой код,
    > не имеющим никакого отношения к машинным командам, в которые он трансформируется
    > при компиляции.

    У всех компиляторов C/C++ был замечательный ключик - компилировать в ASM. Прогоняешь один и тот же текст с разными ключами уровня оптимизации и вполне себе смотришь "что он там наоптимизировал" на критичных к быстродействию участках кода. Что, сейчас это уже "отменили"?

     
     
  • 6.139, Anonymoustus (ok), 11:58, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > У всех компиляторов C/C++ был замечательный ключик - компилировать в ASM. Прогоняешь
    > один и тот же текст с разными ключами уровня оптимизации и
    > вполне себе смотришь "что он там наоптимизировал" на критичных к быстродействию
    > участках кода. Что, сейчас это уже "отменили"?

    А может ли такое заинтересовать людей, для которых скорость компиляции важнее всех прочих вещей?

     
  • 4.43, Аноним (43), 17:10, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Воь же нытики. Ты по прежнему можешь использовать синтаксис iptables для настройки
    >> фаервола. Но весь твой синтаксис будет транислроваться в  nf_tables в
    >> ядре системы.
    > и ты в результате видишь список своих правил, не имеющих ни малейшего
    > отношения к тому, во что они понатранслировались.

    Трансляция iptables-compat обратима.

    Слив засчитан.

     
     
  • 5.102, пох (?), 22:16, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  Трансляция iptables-compat обратима.
    >   Слив засчитан.

    сюсипуси взрослым дядям засчитывают слив? Твоя "трансляция" не справилась не то что с нетривиальным файрволом, о которых была речь, а с банальным фильтром на локалхосте.

    Обратима, да - те правила, что не поняла, их и оборачивать не придется, а те полтора, что асилила - да, обратима, наверное.

     
  • 4.106, irinat (ok), 22:23, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > и ты в результате видишь список своих правил, не имеющих ни малейшего
    > отношения к тому, во что они понатранслировались.

    Ты и раньше не знал, во что они транслировались. Но почему-то раньше тебе было достаточно видеть текстовое представление, из которого создавались реальные правила, а теперь почему-то нет.

     
  • 4.129, Netmapguy (?), 01:15, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/

    > и ты в результате видишь список своих правил, не имеющих ни малейшего
    > отношения к тому, во что они понатранслировались.

    нет, это не так. трансляции обратимы.

    > это для разработчиков, ни разу в жизни не видевших сложных правил "никакой
    > разницы". Да и тот десяток что видели, за них докер понасоздавал.

    разработчики как раз видели правила побольше и получше вашего.

    ровной по той причине есть такая штука в nftables как verdict maps.



     
  • 2.7, wi1fu1 (?), 15:23, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Ну вы явно утрируете, никто не заставляет пользоваться firewalld (я лично даже не пробовал его, мне достаточно было глянуть как он работает). nftables гораздо более удобный формат, как для чтения, так и понимания (например, как в iptables смотреть длинные цепочки в разных таблицах). Думаю хороший инструмент получился, может и побыстрее.
     
     
  • 3.14, нах (?), 15:51, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    серьезно Вот эту развисистую лапшу, требующую полтора экрана вместо одной строк... текст свёрнут, показать
     
     
  • 4.39, Аноним (43), 17:04, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    "Удобочитаемый" формат, который можно прочитать только грепом? Вы стебeтесь, да?
     
     
  • 5.58, нах (?), 18:10, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > "Удобочитаемый" формат, который можно прочитать только грепом? Вы стебeтесь, да?

    разница в том, что подeлие на nft _даже_ грепом прочитать - нельзя.
    Счастье разглядывать длинные псевдо-структурированные простыни или парсить на коленке модный json - бесценно.

    И да, я предпочитаю грепом выцепить одну нужную строчку, а вы можете и дальше искать ее глазами среди сотен (особенно интересно - если ее там как раз нет). Зато красиво раскрашенных и отформатированных модным-стильным-молодежным софтом.


     
     
  • 6.65, Харитон (?), 18:30, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не упирайтесь! пришло время освоить sed!
    sudo nft list table inet filter | sed -n '/chain input {/,/}/p'
     
  • 6.69, Аноним (69), 18:58, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > парсить на коленке модный json

    man jq

     
     
  • 7.75, Аноним (75), 19:32, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а чо сразу не xml? man xmlstarlet
     
     
  • 8.101, Anon1 (?), 22:12, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Лёне идейку подкиньте, он с радостью вам бинарный формат запилит импортируемый о... текст свёрнут, показать
     
     
  • 9.103, пох (?), 22:18, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    вы не поняли - они _уже_ запилили, Лёня не понадобился И да, у них есть экспорт... текст свёрнут, показать
     
  • 5.156, Алкоголик А. (?), 16:17, 23/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > "Удобочитаемый" формат, который можно прочитать только грепом? Вы стебeтесь, да?

    Называется мразина не умеющая читать каким-то чудом пишет...

     
  • 3.51, Аноним (51), 17:24, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >как в iptables смотреть длинные цепочки в разных таблицах

    { iptables -L цепочка1; iptables -L цепочка1 -t mangle; iptables -L цепочка1 -t nat; } | less

    можно еще алиас на iptables -L сделать чтобы меньше писать.
    вообще, печально за ИТ спецов, их всякие редхаты и гуглы отучают думать головой, а они и рады :)

     
  • 3.66, Аноним (63), 18:33, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > nftables гораздо более удобный формат, как для чтения, так и понимания

    Видимо поэтому его за 4 года никто так и не захотел использовать, потому что он удобный и понятный, да?

     
     
  • 4.125, sage (??), 00:07, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Многие программы управления межсетевым экраном поддерживают его. Я ждал, пока в firewalld поддержку добавят, и, вот, дождался.
    Нужно было добавлять много правил типа -j DNAT в iptables программно, из-за чего нужно было вручную следить за количеством правил в таблице, чтобы iptables не тормозил. С nftables же автоматически используются хешированные таблицы, в которые можно добавлять данные независимо от самого описания правила.
     
  • 2.10, ананим.orig (?), 15:41, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > ... firewalld" - очередной yблюдочный монстр, который за вас будет думать ...
    > ...
    > Какое счастье, что по сумме, в общем-то, случайных совпадений и личных глюков я месяц назад выбрал asa ...

    да не переживай ты так.
    всегда можешь найти себе оправдание.
    (Типа один раз не.. и тд.):D

     
  • 2.20, commiethebeastie (ok), 16:10, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    После джунипера от твоего удобного пакетного фильтра вытекают глаза.
     
     
  • 3.25, нах (?), 16:25, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > После джунипера от твоего удобного пакетного фильтра вытекают глаза.

    покажите свой сложный (не на одну страничку в 25 строк) набор правил. Фильтрация, нат/pat, сложные протоколы, ipsec без default permit.

     
  • 3.31, Аноним (31), 16:48, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что же бздуны не пользуются своими системами xBSD для фильтрации трафика? ;)
     
     
  • 4.126, Аноним (126), 00:30, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А что же бздуны не пользуются своими системами xBSD для фильтрации трафика? ;)

    Ох уж эти знатоки с гордо задранной гузкой:
    > однако транслируют полученные правила не в блобы ip_tables, а в BPF-программы nf_tables.
    > BPF

    BPF Berkeley Packet Filter
    BSD Berkeley Software Distribution

    % man bpf
    > HISTORY
    >     The Enet packet filter was created in 1980 by Mike Accetta and Rick
    >     Rashid at Carnegie-Mellon University.  Jeffrey Mogul, at Stanford, ported
    >     the code to BSD and continued its development from 1983 on.  Since then,
    >     it has evolved into the Ultrix Packet Filter at DEC, a STREAMS NIT module
    >     under SunOS 4.1, and BPF.
    >

     
  • 2.82, Аноним (82), 19:58, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Управляемый руками

    Хорошо, когда у тебя 1 сервер, да и тот localhost с LA 0.0. Уже забыл, когда руками iptables вызывал в проде…

     
     
  • 3.121, нах (?), 23:30, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    хорошо когда прод , ответственность успешно переложена на никого и т д А дыр... текст свёрнут, показать
     
  • 2.153, Pofigist (?), 17:27, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > пц.
    > Управляемый руками и читаемый глазами пакетный фильтр - вычеркиваем из редеющего списка
    > преимуществ линyпса. Его уже (тоже) нет.

    Фигню написал.
    Было - iptables -t filter -A OUTPUT -j DROP -d 1.2.3.4
    Стало - nft add rule ip filter output ip daddr 1.2.3.4 drop
    Стало гораздо более читаемо имхо. До нормального синтаксиса конечно еще далеко, один daddr чего стоит, но гораздо лучше чем всякие -t, -A, -j, -d и прочий краснoглазый сленг.

     
     
  • 3.160, angra (ok), 22:40, 23/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Стало гораздо более читаемо имхо.

    Для знакомого с iptables стало хуже читаться, не намного, правило то простое, но хуже. Что будет на сложном, страшно представить.

    > но гораздо лучше чем всякие -t, -A, -j, -d и прочий краснoглазый сленг.

    Если ты видишь эти ключи раз в несколько лет, то возможно 'add rule' лучше чем '-A', но если ты с этим работаешь регулярно, то однозначно хуже.


     
     
  • 4.163, Pofigist (?), 14:08, 24/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема нормального сетевого оборудования и заключается в том что ты в худшем случае правишь его конфиги раз в несколько месяцев, а обычно - поставил и оно годами работает, не требуя ручного вмешательства. И когда ты залезаешь на железку через несколько месяцев - тебе необходим удобочитаемый и самодокументированный конфиг. В тех же кошках нет ничего "волшебного" - обычная кетайская железка с индусским кодом... кроме ее конфигов, который открываешь через пару лет - и тебе сразу все понятно. Ну и понятное дело - документация, она просто великолепно. Только формат конфигов и документация - все остальное на твердую троечку.
     
     
  • 5.164, нах (?), 12:02, 25/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    твоя лавка уже банкрот или еще готовится проблема нормального сетевого оборуд... текст свёрнут, показать
     
     
  • 6.165, Pofigist (?), 17:06, 25/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ты знаешь - нормально спроектированная сеть практически не требует вмешательства в уже установленное оборудование при подключении нового. Внезапно да?
    В тех же кошках, если немного пошамать с инфой, доступной по sh ver, обнаруживается стандартная кетайская железка. Внезапно, ога? Правда собрать самому - проблема в разы более сложная, это вам не писюк. Да и если соберешь - софт хоть и индусский, но в опенсорце с его аналогами наблюдается проблема - факт.

    > а люди все фейлят и фейлят ccie practical exam за полтора косаря. "сразу все понятно", ага.

    В конфиге - сразу все понятно. Разумеется если ты знаешь те протоколы, которые там используются. А вот с этим-то обычно и возникает проблема - со знанием протокола. :)

     

     ....большая нить свёрнута, показать (42)

  • 1.5, Аноняша (?), 15:18, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    nftables же вроде уже хоронили, после выпуска bpfilter.
     
     
  • 2.33, Аноним (43), 16:57, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хоронили какие-то левые люди, не имеющие отношения к Netfilter core team.
    И bpfilter так и остался на стадии прототипа.
     
     
  • 3.54, DPDKguy (?), 17:43, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Хоронили какие-то левые люди, не имеющие отношения к Netfilter core team.
    > И bpfilter так и остался на стадии прототипа.

    Да, он в альфе, но уже в 4.18 будет

    Важно понимать, что дальше просто заменят одну vm(nftables) на другую(ebpf).

     
  • 2.46, прототип (?), 17:12, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://lwn.net/Articles/747551/
     

  • 1.12, А (??), 15:48, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Кроме того, поддержка nftables уже реализована в firewalld, что упростит процесс миграции для пользователей этого инструмента.

    Вот счастье-то привалило...

     
     
  • 2.59, Аноним (-), 18:10, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Радоваться или плакать?
     
     
  • 3.77, псевдонимус (?), 19:46, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "фаерволД"-конечно плакать
     

  • 1.15, demimurych (ok), 15:59, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, а что большинство анонимусов не знают что iptables это всего лишь один из интерфейсов к нетфильтру? Грубо говоря языком описания правил. И что под капотом у nftables тоже самое что и у iptables. И что nftabes делает почти та же команда что и iptables
     
     
  • 2.16, нах (?), 16:05, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > И что nftabes делает почти та же команда что и iptables

    и сколько в "почти той же" осталось авторов изначального iptables ? Дайте угадаю - их там и не было никогда.


     
     
  • 3.38, Аноним (43), 17:01, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > и сколько в "почти той же" осталось авторов изначального iptables ? Дайте
    > угадаю - их там и не было никогда.

    Да их и в команде разработчиков iptables уже лет двадцать как нет. Так что не показатель.

     
     
  • 4.87, Еще_один_аноним (?), 20:27, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Да их и в команде разработчиков iptables уже лет двадцать как нет.

    Вот только iptables, который появился в ядре 2.4 нет 20 лет. Упс.

     
  • 2.35, evilman (?), 16:58, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Интересно, а что большинство анонимусов не знают что iptables это всего лишь один из интерфейсов к нетфильтру?
    > Грубо говоря языком описания правил. И что под капотом у nftables тоже самое что и у iptables.

    Нетфильтр предоставляет набор хуков и управление списками функций обратного вызова, привязанных к этим хукам. А вот вся работа по анализу и фильтрации трафика осуществляется внутри этих колбеков, которые и являются "мозгом" iptables (на самом деле, оно xtables называется) и nftables. И вот эти мозги xtables и nftables построены на разных принципах, и работают иначе.

     
     
  • 3.147, Аноним (146), 14:25, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Нетфильтр предоставляет набор хуков и управление списками функций обратного вызова, привязанных
    > к этим хукам. А вот вся работа по анализу и фильтрации
    > трафика осуществляется внутри этих колбеков, которые и являются "мозгом" iptables (на
    > самом деле, оно xtables называется) и nftables. И вот эти мозги
    > xtables и nftables построены на разных принципах, и работают иначе.

    Хуки...
    А почему у вас такой скудный словарный запас, что не смогли подобрать подходящее русскоязычное обозначение?

     

  • 1.17, Аноним (17), 16:08, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    КАК??? А как же это https://www.opennet.ru/opennews/art.shtml?num=48117 ???
     
     
  • 2.23, Аноним (23), 16:23, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > КАК??? А как же это https://www.opennet.ru/opennews/art.shtml?num=48117 ???

    Ну как, как, сначала переедут на nf_tables, а когда оно таки хоть как-то заработает и устаканится - будут переходить на bpfilter.
    Что ты хочешь от современных смузи-хлёбов? Они как юные троцкисты - сначала все снести, а потом, а потом, а потом может что-то как-то само заработает.
    Или нет. В общем неважно. Главное это снести все работающее. Это модно и молодежно.

     
     
  • 3.36, Аноним (43), 16:59, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну как, как, сначала переедут на nf_tables, а когда оно таки хоть
    > как-то заработает и устаканится - будут переходить на bpfilter.

    Смузи-стартап bpfilter не взлетел, не парьтесь.

     
  • 2.24, aim (ok), 16:23, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну потом будет другой переезд. потом - это потом.
     
  • 2.27, нах (?), 16:27, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > КАК??? А как же это https://www.opennet.ru/opennews/art.shtml?num=48117 ???

    все норм, как только тебе удастся починить сложные системы после перехода на nft, они как раз его тоже объявят устаревшим, можешь начинать заново.


     
     
  • 3.34, Аноним (31), 16:58, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • –5 +/
    И это тоже работа админов. А если ничего не будет менятся, всё будет продолжать работать , как бы, само собой, то работодатели начнут задумываться, а нужны ли вообще админы.
     
     
  • 4.45, Michael Shigorin (ok), 17:12, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И это тоже работа админов. А если ничего не будет менятся, всё
    > будет продолжать работать , как бы, само собой, то работодатели начнут
    > задумываться, а нужны ли вообще админы.

    Работодатели тоже не нужны, всё же и так работает.

    Для мальчиков, симулирующих деятельность, "шоб не выгнали": вменяемое начальство платит вменяемым админам именно за то, чтоб работало.  Их не волнует, будет он при этом серверы руками держать или автоматом разворачивать.

     
  • 3.44, Michael Shigorin (ok), 17:10, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > все норм, как только тебе удастся починить сложные системы после перехода на
    > nft, они как раз его тоже объявят устаревшим, можешь начинать заново.

    По-моему, эта болячка у шляпы началась самое позднее с apache2...

     
  • 2.48, Аноним (43), 17:17, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > КАК??? А как же это https://www.opennet.ru/opennews/art.shtml?num=48117 ???

    Патчи bpfilter были подготовлены для ядра Linux 4.18, однако, по итогам дискуссии, были признаны не готовыми для включения в данный выпуск. На этом пыл разработчиков как-то угас. Скорее всего, про bpfilter просто забудут.

     
     
  • 3.55, DPDKguy (?), 17:49, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> КАК??? А как же это https://www.opennet.ru/opennews/art.shtml?num=48117 ???
    > Патчи bpfilter были подготовлены для ядра Linux 4.18, однако, по итогам дискуссии,
    > были признаны не готовыми для включения в данный выпуск. На этом
    > пыл разработчиков как-то угас. Скорее всего, про bpfilter просто забудут.

    патчи живут уже в net-next, а в bpfilter заинтересованы многие. одна из причин - это возможность оффлоада ebpf в сетевые карточки.

     
     
  • 4.83, Аноним (83), 20:06, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если брать не только тусовку дпдк-шников, у которых есть карточки нетронома, то получаются далеко не многие.
     
     
  • 5.128, Netmapguy (?), 01:08, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Если брать не только тусовку дпдк-шников, у которых есть карточки нетронома, то
    > получаются далеко не многие.

    это вопрос времени. ebpf дизайнился довольно просто: взяли общее среднее от популярных на рынке ISA(amd64/arm64/s390/etc..) и на их основе сделали байткод ebpf. Потому большая часть инструкций ebpf маппится 1 в 1 на инструкции процессора.


     

  • 1.26, Аноним (26), 16:27, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > Кроме того, поддержка nftables уже реализована в firewalld, что упростит процесс миграции для пользователей этого инструмента.
    > The workshop was sponsorized by vmware, zevenet, **redhat**, intra2net, oisf, stamus networks, and suricata.

    Опять шапка гадит.

     
     
  • 2.29, Аноним (-), 16:38, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Кроме того, поддержка nftables уже реализована в firewalld, что упростит процесс миграции для пользователей этого инструмента.
    >> The workshop was sponsorized by vmware, zevenet, **redhat**, intra2net, oisf, stamus networks, and suricata.
    > Опять шапка гадит.

    Ничего личного, just business.

     

  • 1.32, Аноним (31), 16:52, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Какой-такой firewalld? Должно быть systemd-firewalld.
     
     
  • 2.40, Аноним (43), 17:05, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Какой-такой firewalld? Должно быть systemd-firewalld.

    В systemd фаерволом рулит systemd-networkd.

     
     
  • 3.52, Anonymoustus (ok), 17:36, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Какой-такой firewalld? Должно быть systemd-firewalld.
    > В systemd фаерволом рулит systemd-networkd.

    Слишком просто. Надо systemd-networkd-firewalld.

     

  • 1.50, eRIC (ok), 17:23, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Таким образом, будет осуществлён прозрачный переход с iptables на nftables, >оставляющий возможность использования legacy-инструментов в случае каких-либо >проблем. Тем не менее, пользователям настоятельно рекомендуется мигрировать на >штатный формат правил nftables.

    Так в итоге в ядре будет использоваться новый bpfilter (https://www.opennet.ru/opennews/art.shtml?num=48117) или же не ставший популярный nftables?

     
  • 1.56, Нанобот (ok), 17:55, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Интересно, какие-то упорышы уже планируют выпуск дистрибутива "без nftables"?
     
     
  • 2.57, Аноняша (?), 18:03, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Docker, k8s не умеют и не будут уметь. AWS тоже.
     
     
  • 3.122, пох (?), 23:33, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Docker, k8s не умеют и не будут уметь. AWS тоже.

    да ну, что вы. Они как раз любят пользоваться послезавтрашними фичами ядра, еще не написанными.
    Следующая версия разучится iptables.

     
  • 2.68, Аноним (63), 18:42, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно, какие-то упорышы уже планируют выпуск дистрибутива "без nftables"?

    Если удалят /sbin/iptables-legacy то почему нет? Непонятно только зачем вы незнакомых вам людей называете «упорышы»?

     

  • 1.60, Новичок (??), 18:13, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Всем здрям! Я новичок в линуксе. Подскажите, решил изучить iptables, а тут получается что он уже устарел? Если у меня Ubuntu 18.04 - есть ли там iptables по умолчанию, или уже что-то новое стоит и надо изучать?
     
     
  • 2.61, null (??), 18:17, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кстати да, интересный вопрос - что там щас в текущей LTS *buntu? firewalld?
     
     
  • 3.97, Аноним (97), 21:27, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    firewalld - RHEL based
    ufw - ubuntu based
     
  • 2.62, evilman (?), 18:18, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Всем здрям! Я новичок в линуксе. Подскажите, решил изучить iptables, а тут
    > получается что он уже устарел? Если у меня Ubuntu 18.04 -
    > есть ли там iptables по умолчанию, или уже что-то новое стоит
    > и надо изучать?

    Есть и будет. В ближайшие несколько лет никто на nftables не перейдёт. То, что iptables объявлены устаревшими проявляется лишь в том, что переименовали несколько файлов. На этом вся движуха и заглохнет.

     
     
  • 3.71, An (??), 19:14, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    К тому же ещё nftables пока не поддерживает весь функционал iptables. Плюс ещё много кто пользуется сторонними модулями для iptables с которыми тоже что-то придется решать.          
     
  • 2.67, Глеб (?), 18:38, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Блин, та же проблема) у меня есть книжка 2010 года про Linux, там сотни команд и есть глава про iptables. Придется покупать новую?((
     
     
  • 3.74, А (??), 19:26, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Сначала эту прочти. Я вообще учил iptables по книжкам, где ipchains описывался. Полет нормальный.
     
  • 3.107, Anon1 (?), 22:29, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Блин, та же проблема) у меня есть книжка 2010 года про Linux,
    > там сотни команд и есть глава про iptables. Придется покупать новую?((

    За 8-10 лет могли много чего поломать/добавить (теперь ещё и бинарники переименуют).
    Читайте актуальную документацию в интернетах, смотрите код, примеры, рассылки, багтрэкер.
    Вообще забейте на покупку книжек в IT. Во первых там часто булшит (если это не классика от авторов языка/протокола/программы)
    во-вторых, пока один пишет книгу, например про API (хорошая книга не пишется за неделю) - остальные этот API меняют.

     

  • 1.64, Жирный Бобер (?), 18:22, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Попробовал запустить в виртуалке nftables на Ubuntu 18.04 LTS:

    > ~$ nftables
    > nftables: команда не найдена

    Как команда то называется?

     
     
  • 2.72, Аноним (72), 19:19, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    nft
     
  • 2.73, аноним_ (?), 19:19, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    apt-get unstall nftables
     
  • 2.99, KonstantinB (ok), 21:45, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А зачем вам? Если вы не можете за 5 секунд самостоятельно выяснить, как называется команда, как вы будете разбираться, как ей пользоваться?
     

  • 1.70, Аноним (70), 19:02, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Разработчики Netfilter уже достигли договоренности об отражении соответствующих изменений в дистрибутивах RedHat, Fedora, CentOS, SUSE, Debian и производных от них.

    То есть все основные дистры, что ж будем готовиться к сюрпризам =D

     
  • 1.76, Nikolai WTF (?), 19:42, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Видимо я совсем пропащий слоупок, но недавно мне сказали что ifconfig тоже ВСЁ. Запустил свою UBUNTU 18.04 и вот что она мне сказала:

    Command 'ifconfig' not found, but can be installed with:

    sudo apt install net-tools

    Что вообще происходит в этом мире? Я только год назад овладел этой командой и научился кое-как настраивать сети. Теперь мне начинать все сначала? А через год появится еще десяток новых команд для настройки сетей? Кто вообще форсит эти метаморфозы? Есть ли хоть какое-то ПОСТОЯНСТВО в Linux, или админ должен страдать? Кто теперь вместо ifconfig? Где официальная инфа? :(

     
     
  • 2.78, An (??), 19:47, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Кто теперь вместо ifconfig?

    ip

     
     
  • 3.80, Nikolai WTF (?), 19:52, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Но почему? Кому это все надо? Где преимущества?

    Только что я ввел команду ip link и вместо четкого ровненького вывода ifconfig - получил какую-то мешанину из интерфейсов, совершенно нечитаемую.

     
     
  • 4.86, Аноним (83), 20:14, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Но почему? Кому это все надо? Где преимущества?

    ifconfig плохо показывает конфигурацию с несколькими адресами на интерфейсе, ограничение в используемом API ядра, которое без слома обратной совместимости не поменять.
    Это лишь один из примеров, а так все новые фичи делаются в netlink API и в пакете iproute, соответственно.

    Вообще, ifconfig депрекейтнут года эдак с 2000-го. То, что ты обмазывался несвежими туториалами с лиссяры - это твои личные проблемы.
    > Только что я ввел команду ip link и вместо четкого ровненького вывода
    > ifconfig - получил какую-то мешанину из интерфейсов, совершенно нечитаемую.

     
     
  • 5.143, Аноним (143), 13:01, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > ifconfig плохо показывает конфигурацию с несколькими адресами на интерфейсе

    А в чём эта плохость выражается?

    Запустил тут ifconfig, он мне 3 адреса показал, 1 IPv4 и 2 IPv6. Типа вот такого выдал:

    wlp4s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
            inet 192.168.x.x  netmask 255.255.255.0  broadcast 192.168.x.x
            inet6 fe80::xxxx  prefixlen 64  scopeid 0x20<link>
            inet6 xxxx  prefixlen 64  scopeid 0x0<global>

    Выглядит вроде неплохо.

     
  • 4.151, qwert (??), 16:09, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    alias ip='ip -c -d -h'
     
     
  • 5.159, Аноним (-), 18:42, 23/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не работает. Нет таких опций.
     
  • 2.79, Аноним (72), 19:51, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Пёттеринг as a Sergice.
     
  • 2.81, псевдонимус (?), 19:54, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    айпироут или айпироут2
     
  • 2.94, Аноним (94), 21:10, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так надо было не ubuntu ставить а Arch, тогда был бы на гребне волны и писал что у вас этого ещё не завезли.
     
  • 2.100, KonstantinB (ok), 21:46, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Что вообще происходит в этом мире? Я только год назад овладел этой
    > командой и научился кое-как настраивать сети.

    Год назад она уже была давно объявлена устаревшей. Как и 5 лет назад. Вообще с 2009 года.

     
     
  • 3.109, пох (?), 22:34, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    c 2000го Или осени 99го даже - где -то именно тогда ank мне писал это кривой в... текст свёрнут, показать
     
  • 2.130, yukra (ok), 06:47, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > недавно мне сказали что ifconfig тоже ВСЁ

    https://habr.com/post/320278/


    > Есть ли хоть какое-то ПОСТОЯНСТВО в Linux, или админ должен страдать?

    Патрик - бог! Остальное временно.

     
     
  • 3.142, Аноним (-), 12:58, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ого, за ссылку спасибо, ну очень круто объяснено!
     

  • 1.84, Аноним (84), 20:09, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вопрос не в том стоит ли послать линукс подальше после всех новвоведений как это было в свое время сделанно с бсд, вопрос на что перейти, чтобы не шыло на мыло менять.
     
     
  • 2.85, Аноним (85), 20:11, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Переходи на виндоус! Индус не предаст)
     
     
  • 3.88, Аноним (84), 20:32, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так с него лет 20 назад и перешел с начала на бсд потом на линукс...
     
  • 3.95, Аноним (94), 21:13, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Переходи на виндоус! Индус не предаст)

    После семёрки они там тоже стали вносить новенькое

     
  • 2.114, Anon1 (?), 22:43, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вопрос не в том стоит ли послать линукс подальше после всех новвоведений
    > как это было в свое время сделанно с бсд, вопрос на
    > что перейти, чтобы не шыло на мыло менять.

    стоит потратить некоторое время на изучение нововведений, либо свалить в манагеры.
    можно ещё центось поставить и обновлять её раз в 10 лет. лучше конечно подучиться.

     
     
  • 3.155, Алкоголик А. (?), 15:31, 23/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > лучше конечно подучиться.

    Это и был вопрос по подучиванию - на что перейти...

     
  • 2.131, пох (?), 07:24, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > вопрос на что перейти, чтобы не шыло на мыло менять.

    на божественную десяточку. Работой ее админы, владельцы сокровенного знания, будут обеспечены еще много-премного лет (интуитивно-приятная управлялка виртуальными машинами не умеет до сих пор даже склонировать vm из снапшота - хотя из ps все возможно)

    И сильно переучиваться не придется - все те же бинарные логи с супер интерфейсом (и да, можно через cli, и grep ненужно), те же автомагические "сервисы" (впрочем, умеющие "Deferred startup", ссустемда не научилась, как и не запускать до настройки), те же привычки у устанавливаемого софта разом понапихаться в кучу неудобоудаляемых мест в системе, не спрашивая у тебя, надо ли, прекрасный неуправляемый файрвол, умеющий высовывать дурацкие окошки под руку (мечта авторов firewalld, пока, увы, мелькающая только в туманной дали)

    и даже родной vim с putty. Правда, первым нечего редактировать, а вторым разьве что на виртуалку с линуксом ходить. Для "своих"-то есть msctc, который умеет все то, чему X'ы уже никогда не научатся, некому, а вяленый тем более (тем некогда, они его на го будут переписывать, если еще не)

     
     
  • 3.135, yukra (ok), 10:03, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > впрочем, умеющие "Deferred startup", ссустемда не научилась

    Отложенный запуск юнита можно организовать через "ExecStartPre=/bin/sleep 3", через запуск юнита по таймеру с типом OnBootSec. Так же можно организовать запуск через сокет, если софт это умеет. Но зачем? Линукс в отличии от винды не шуршит диском 5 минут после загрузки что бы точку восстановления сделать (или чем там винда занимается), можно просто зависимости расставить так, что бы нужные сервис оказался в конце очереди на запуск.


    > как и не запускать до настройки

    Во первых это вопрос к менеджеру пакетов, а не к systemd. В Centos yum ничего не запускает после установки. Во вторых решается просто: "RUNLEVEL=1 apt install -y PKG_NAME".

     
  • 3.136, Аноним (84), 10:07, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну эти двое и так видно что уже на финишную прямую вышли, вопрос не в этом.
     

  • 1.89, Аноним (89), 20:50, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    nftables не на BPF работает, там свой формат
    eBPF там конечно есть но как идин из модулей
     
  • 1.91, user90 (?), 21:04, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Сколько кипежа на пустом месте. Как стая бакланов, в самом деле)) firewalld это не часть системдэ, а только по звучанию схоже - и ладно, б-г с ним тогда.
     
     
  • 2.118, Аноним (118), 23:13, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    б-г=о?
     

  • 1.92, user90 (?), 21:08, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вон по слухам SuSEfirewall2 тоже заменяют на firewalld - это имхо куда больший повод для обсуждения и выкриков с места =) Хотя мне уже пофиг, я с Сусе давно убрался.
     
     
  • 2.111, пох (?), 22:36, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Вон по слухам SuSEfirewall2 тоже заменяют на firewalld

    те кто ими пользуются - не заметят разницы (потому что на самом деле не знают, что они ими пользуются).

    Те кому все равно сносить и ставить свои вменяемые скрипты - тоже, в общем, на один сервис меньше удалять будут, и ладушки.


     

  • 1.93, Аноним (93), 21:09, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зачем притягивать nftables, когда он уже и сам legacy и ему на смену идёт bpfilter на основе штатного eBPF?
     
     
  • 2.110, Anon1 (?), 22:35, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем притягивать nftables, когда он уже и сам legacy и ему на
    > смену идёт bpfilter на основе штатного eBPF?

    Больше костылей богу костылей!!!! =))))
    bpfilter ещё 10 лет будет "идти", энтерпрайз он такой.

     

  • 1.104, Аноним (-), 22:19, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Чем отличаются "не в блобы ip_tables, а в байткод nf_tables", друг от друга? Кто нибудь может пояснить?
     
     
  • 2.108, Аноним (93), 22:32, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Чем отличаются "не в блобы ip_tables, а в байткод nf_tables", друг от
    > друга? Кто нибудь может пояснить?

    блобы ip_tables - это по сути библиотека функций, которая выполняется на уровне ядра.
    байткод nf_tables - похожие на BPF отдельные программы, запускаемые в виртуальной машине в ядре, но собираемые и обслуживанием на пользовательском уровне.

     
     
  • 3.123, пох (?), 23:37, 21/06/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Чем отличаются "не в блобы ip_tables, а в байткод nf_tables", друг от
    > блобы ip_tables - это по сути библиотека функций, которая выполняется на уровне

    и это немодно.

    > байткод nf_tables - похожие на BPF отдельные программы, запускаемые в виртуальной машине

    и это круто.

    Чо неясно-то? "виртуальная машина", "bpf", менеджеры писают кипятком, гранты оформляются с небывалой щедростью и быстротой.

    А на packet tracer грант никто не даст.

     

  • 1.141, Аноним (143), 12:42, 22/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что? Я ж ещё с ipchains на iptables не перешёл!
     
     
  • 2.148, Аноним (148), 14:28, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >The ipchains software was superseded by the iptables system in Linux kernel 2.4 and above.

    Ну и ретроград вы, батенька!

     
  • 2.150, Ананас (?), 15:46, 22/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я - тоже, да и не собираюсь - дождусь пока не вернутся к Цепочкам.
     

  • 1.145, iCat (ok), 13:14, 22/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это они улучшают улучшаемость, или увеличивают увеличиваемость?
    Мне, как эксплуатационщику, хотелось бы, чтобы инструменты были удобными, простыми и надёжными...
     
  • 1.152, Аноним (152), 16:41, 22/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    что то у меня вики nft.org вообще не открывается...хотя я юзаю firewalld + nftables в убунту...

    даже попробовал что то конвертировать, как nft сделать чтобы показало таблицы? по моему нифига он не сконвертировал, оставлю все так, по ману лень шерстить..., а вики их по миграции не пашет, да и сайт не открывается кстати.

     
  • 1.154, Аноним (154), 18:28, 22/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то на LKML про это ничего нет.
     
  • 1.158, anon1111 (?), 17:51, 23/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    я что то в убунту не видел в упор никакого iptables-translate, только iptables-restore-translate + ip6tables-restore-translate, первый отрабатывает нормально, а второй из-за firewalld кидает ошибки какие то по синтаксису одного ICMP правила.
     
  • 1.161, Аноним (161), 07:55, 24/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Как обычно сборище нытиков с ЛОРа набежало. Так же было с ненужносистемд, пшшшшш-аудио и много ещё чего. Как будто кто-то запрешает использовать старые инструменты, которые много лет просто работали.
     
     
  • 2.172, Аноним (170), 19:29, 02/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе как аналитику локалхоста невдомёк, что одни программные продукты зависят от других и ты радостно призываешь всех недовольных системд стать маинтейнрами и маинтейнить свой дистрибутив. Показательно, что вместо того, чтобы спросить или погуглить ты тут начинаешь выдавать претензии к виртуальным набежавшим лоровцам. Скажи, мы это должны от тебя будем терпеть все твои каникулы?
     

  • 1.162, Саша (??), 12:58, 24/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пришлось ставить и настраивать firewalld на Kali Linux Light и Parrot...
     
  • 1.166, Я не понимаю (?), 14:50, 26/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    ОБЪЯСНИТЕ ПЛЗ!!! Который день пытаюсь понять.

    Есть в линуксе файрвол - netfilter.

    Есть 2 морды для него: iptables и nftables.

    Есть ufw - убунтушная морда для морды iptables...

    Какое место во всем этом винегрете файрволов и морд занимает firewalld?

    1. В вики написано что он является мордой над iptables (типа как ufw).

    2. В официальной документации вот такая схема:

    https://firewalld.org/documentation/concepts.html

    Если верить схеме, он может быть мордой и над nftables.

    3. Но тогда какого xрена в зависимостях жесткое требование именно iptables?

    > Зависит: iptables

    Что такое firewalld и какого его место в иерархии всего этого???

     
     
  • 2.168, Аноним (168), 08:33, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://ru.m.wikipedia.org/wiki/Nftables
    Он же на замену приходит а значит какое то время будут оба для совместимости
     

  • 1.167, Аноним (168), 08:28, 05/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Так глядиш и лог будет бинарный как в PF ;)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру