The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск пакетного фильтра nftables 0.9.9

26.05.2021 10:13

Опубликован выпуск пакетного фильтра nftables 0.9.9, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Одновременно опубликован выпуск сопутствующей библиотеки libnftnl 1.2.0, предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables. Необходимые для работы выпуска nftables 0.9.9 изменения включены в состав ядра Linux 5.13-rc1.

В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком.

Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Основные новшества:

  • Реализована возможность выноса обработки flowtable на сторону сетевого адаптера, включаемая при помощи флага 'offload'. Flowtable представляет собой механизм оптимизации пути перенаправления пакетов, при котором полное прохождение всех цепочек обработки правил применяется только для первого пакета, а все остальные пакеты в потоке пробрасывать напрямую.
    
        table ip global {
                flowtable f {
                        hook ingress priority filter + 1
                        devices = { lan3, lan0, wan }
                        flags offload
                }
    
                chain forward {
                        type filter hook forward priority filter; policy accept;
                        ip protocol { tcp, udp } flow add @f
                }
    
                chain post {
                        type nat hook postrouting priority filter; policy accept;
                        oifname "wan" masquerade
                }
        }
    
  • Добавлена поддержка прикрепления к таблице флага для привязки к владельцу, который позволяет обеспечить эксклюзивное использование таблицы процессом. При завершении процесса привязанная к нему таблица автоматически удаляется. Информация о процессе отображается в дампе правил в форме комментария:
    
        table ip x { # progname nft
                flags owner
    
                chain y {
                        type filter hook input priority filter; policy accept;
                        counter packets 1 bytes 309
                }
        }
    
  • Добавлена поддержка спецификации IEEE 802.1ad (VLAN stacking или QinQ), определяющей средства для подстановки нескольких тегов VLAN в один кадр Ethernet. Например, для проверки типа внешнего Ethernet-кадра 8021ad и vlan id=342 можно использовать конструкцию
    
       ... ether type 802.1ad vlan id 342
    
    для проверки внешнего типа Ethernet-кадра 8021ad/vlan id=1, вложенного 802.1q/vlan id=2 и дальнейшей инкапсуляции IP-пакета:
    
       ... ether type 8021ad vlan id 1 vlan type 8021q vlan id 2 vlan type ip counter
    
  • Добавлена поддержка управления ресурсами при помощи унифицированной иерархии cgroups v2. Ключевым отличием cgroups v2 от v1 является применение общей иерархии cgroups для всех видов ресурсов, вместо раздельных иерархий для распределения ресурсов CPU, для регулирования потребления памяти и для ввода/вывода. Например, для проверки соответствует ли предок сокета на первом уровне cgroupv2 маске "system.slice" можно использовать констукцию:
    
       ... socket cgroupv2 level 1 "system.slice"
    
  • Добавлена возможность проверки составных частей пакетов SCTP (необходимая для работы функциональность появится в ядре Linux 5.14). Например, для проверки наличия в пакете chunk-а с типом 'data' и полем 'type':
    
      ... sctp chunk data exists
      ... sctp chunk data type 0
    
  • Примерно в два раза ускорено выполнение операции загрузки правил при помощи флага "-f". Также ускорен вывода списка правил.
  • Предоставлена компактная форма проверки установки битов в флагах. Например, для проверки, что биты состояния snat и dnat не установлены можно указывать:
    
       ... ct status ! snat,dnat
    
    для проверки, что бит syn установлен в битовой маске syn,ack:
    
       ... tcp flags syn / syn,ack
    
    для проверки, что биты fin и rst не установлены в битовой маске syn,ack,fin,rst:
    
       ... tcp flags != fin,rst / syn,ack,fin,rst
    
  • Разрешено использование ключевого слова "verdict" в определениях typeof для set/map:
    
        add map x m { typeof iifname . ip protocol . th dport : verdict ;}
    


  1. Главная ссылка к новости (https://www.mail-archive.com/n...)
  2. OpenNews: Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7
  3. OpenNews: В состав ядра 4.18 одобрено включение нового пакетного фильтра bpfilter
  4. OpenNews: Разработчики Netfilter официально объявили инструментарий iptables устаревшим
  5. OpenNews: Релиз iptables 1.8.0
  6. OpenNews: В Debian 11 предлагается по умолчанию задействовать nftables и firewalld
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/55214-nftables
Ключевые слова: nftables, firewall
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (75) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, llolik (ok), 10:38, 26/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Пункт 2 - это, фактически, индивидуальные фильтры для приложений? Как говорится, двадцать лет ждали.
     
     
  • 2.2, crypt (ok), 10:42, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    если по UID, то уже давно было. совсем бесполезно, вот ты и не знал. привязка к конкретной группе процессов имела бы смысл.
     
     
  • 3.8, Аноним (8), 10:46, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > привязка к конкретной группе процессов имела бы смысл.

    Еще со времен iptables было.

     
     
  • 4.19, crypt (ok), 12:49, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    да? где?
     
     
  • 5.22, Аноним (8), 13:09, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    man iptables-extensions
    /cgroup
     
  • 3.13, llolik (ok), 10:56, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > совсем бесполезно, вот ты и не знал

    Да знать-то знал, но это всё-таки немного не то и, согласен с утверждением, что в общем случае это бесполезно чуть менее чем совсем.

     
     
  • 4.36, Аноним (36), 15:27, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > что в общем случае это бесполезно чуть менее чем совсем.

    "старый, но не бесполезный!" (С) Терминатор Генезис

     
  • 4.37, Валик (?), 15:31, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    а если ты знал
    > Как говорится, двадцать лет ждали.

    то чего ж ты тогда ждал?
    уж молчал бы лучше, ждун., а то чем дальше - тем все глубже получается...
    > в общем случае это бесполезно чуть менее чем совсем.

    а дай-ка я угадаю чего ты ждал и что для тебя "полезно". ты ждал чего-то, а-ля виндовенький аутпост-фаерволл, так ведь?
    боюсь что в этом случае для тебя тоже плохие (или хорошие- это смотря как посмотреть, но в любом случае весьма неожиданные) новости - подобный функционал легко скриптовался в самом начале бородатых нулевых с помощью AppArmor, нескольких консольных команд и такой-то матери в лице unix-way.

     
     
  • 5.40, llolik (ok), 15:49, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а-ля виндовенький аутпост-фаерволлю так ведь

    Не только.

    > подобный функционал легко скриптовался в самом начале бородатых нулевых с помощью AppArmor, нескольких консольных команд и такой-то матери в лице unix-way.

    А давай я тебе скажу, юный саркастичный друг, что многим нужны не только правила в стиле "Пущать"/"Не пущать" (deny network, deny capabilty *), а гораздо более гибкие.

     
     
  • 6.63, Sw00p aka Jerom (?), 23:40, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >не только правила в стиле "Пущать"/"Не пущать"

    но и постирать, приготовить, убрать, спать уложить :)

     
  • 4.86, Аноним (86), 13:11, 01/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Фильтрация по пользователям необходима для DAC это необходимо и очень удобно. Например разрешить пользователю tor ходить в инет, а остальным нет.

    Есть таблица security и возможность привязки к MAC...

    Мне лично необходима фича добавления и удаления правил при добавлении/удалении интерфейса и она уже есть давно.

     
  • 3.28, Аноним (28), 14:16, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет, это совсем бесполезно. Вот правила для конкретного файла на диске это очень полезно.
     
     
  • 4.35, Аноним (8), 15:24, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да, нефиг файлу ~/.xsession-errors в интернет лазить.
     
     
  • 5.38, Аноним (28), 15:39, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Именно, в венде давно файлы в интернет по белому списку выпускают (ещё и логируют все соединения файла и их можно в реальном времени наблюдать).
     
     
  • 6.39, Аноним (28), 15:40, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя конечно в венде запущенный файл не удалить. Но и в линуксе можно залочить удаление пока запущен.
     
  • 4.65, Аноним (65), 00:15, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > правила для конкретного файла

    А как же inodes/хардлинки и симлинки?

     
     
  • 5.67, Аноним (28), 00:27, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А как же inodes/хардлинки и симлинки?

    Пока они ссылаются на тот же файл всё в порядке (в теории). Но можно и отдельно, а заодно и хэш файла записать, чтобы не подменили.

     
     
  • 6.77, Аноним (77), 15:39, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Пока они ссылаются на тот же файл всё в порядке (в теории).

    На самом деле симлинки/хардлинки - это только первая и очевидная проблема, понятная любому линукс-нубу. Потом всплывает проблема, что процесс (исполняемый код) вообще-то с файлом на диске не сильно связан (например, динамические библиотеки вообще отношения к ядру не имеют - ld.so живёт в userspace и ядру о себе не рассказывает).

     
     
  • 7.78, Аноним (28), 17:54, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вроде и не линукс-нуб, а всё ещё не вижу в чём тут проблема даже после указания на первую и очевидную проблему. Может быть потому что она только линукс-нубу и видна? Кого там обманывать, ядро? По остальному, если бинарник, с которого процесс запущен, уже имеет все права, то он может делать что угодно дальше. Интересует только "хозяин" и не зависимости, и противодействовать паразитированию на процессе с правами надо отдельно.
     
  • 2.4, Аноним (4), 10:44, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Уже 5.13 используете? Камикадзе? :)
     
     
  • 3.6, Аноним (6), 10:45, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Некоторые и -next юзают и ничего.
     
     
  • 4.16, Аноним (36), 11:58, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Лучшая смерть воина - в бою, пожарного - в огне, альпиниста - в горах,...
    ... линуксоида - в kernel panic.
     
     
  • 5.17, Annoynymous (ok), 12:34, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Хороший альпинист — старый альпинист.
     
     
  • 6.21, Аноним (21), 12:58, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Хороший пожарник — старый пожарник.
    Хороший воин — старый воин.
    ...
    Хороший X — старый X.
     
     
  • 7.23, Ононон (?), 13:26, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Хороший Хрыч - Старый Хрыч.
     
  • 7.29, Аноним (36), 14:46, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Хороший нуб или юзер умирает в постели в собственном г.
    ... или умудряется подорваться на Debian stable.
    ... подорваться на Ubuntu простительно даже джедаю при условии хотя бы элементарных скиллов регенерации конечностей.
     
  • 5.26, нах.. (?), 13:54, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    При этом воин в посмертии отправляется в Вальгаллу (правда, ненадолго), пожарный в ад, альпинист танцевать на гребне с горными чертями, а линуксоид в то самое место где "здесь же, но системным администратором".

    /поправляет молот тора на шее.

     
     
  • 6.30, Аноним (36), 14:48, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > /поправляет молот тора на шее.

    че с Тором сделал?

     
     
  • 7.43, нах.. (?), 16:29, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> /поправляет молот тора на шее.
    > че с Тором сделал?

    принес ему в жертву пару лап4@-х, а ты думал? Такие штуки без кровавой жертвы не выдают.


     
     
  • 8.54, Аноним (28), 18:47, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Почему не пару бзунов с ведной Специально до полюса плавал Скорее всего, ты ош... текст свёрнут, показать
     
     
  • 9.60, нах.. (?), 22:16, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    The Gods DON T CARE about your sacrifice патамушта Да не, зачем так далеко - в... текст свёрнут, показать
     
  • 9.62, Аноним (-), 23:37, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что бзуны с ведной только в опеннетном фольклоре остались, а вот лап4 -... текст свёрнут, показать
     
     
  • 10.64, Аноним (8), 00:05, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, BSD уже того На дворе 2021 год, кстати ... текст свёрнут, показать
     
     
  • 11.69, Аноним (-), 03:49, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да, 2021 год на дворе, т е опеннетные лап4 -ые ее уже 21 год хоронят ... текст свёрнут, показать
     
     
  • 12.74, Аноним (8), 15:05, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Еще 15 лет назад захоронили и бетоном залили от греха подальше ... текст свёрнут, показать
     
     
  • 13.79, Аноним (-), 20:19, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Только ритуальные пляски опеннетчиков не особо сказались на реальности машинок ... текст свёрнут, показать
     
     
  • 14.83, Аноним (28), 16:36, 28/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А сколько сотен миллионов, 2 Я слышал только про плойки, и что-то вроде медиа-д... текст свёрнут, показать
     
  • 10.66, Аноним (28), 00:25, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Именно Какой смысл приносить в жертву то, чего как этого самого за баней Это н... текст свёрнут, показать
     
     
  • 11.81, Викинг (??), 13:13, 28/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Завидую воину, у которого СТОЛЬКО врагов ... текст свёрнут, показать
     
  • 3.12, llolik (ok), 10:51, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Уже 5.13 используете? Камикадзе? :)

    Ну в LTS-то оно доползёт ближайшие пару лет.

     
     
  • 4.15, Аноним (8), 11:36, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Не факт, что перед этим его стабилизируют или хотя бы протестируют.
    Одна из причин, почему мы с убунты съехали - под вывеской LTS по факту роллинг ключевых компонентов. Если бы нам был нужен роллинг, мы бы сразу взяли арч.
     
     
  • 5.25, Самый Лучший Гусь (?), 13:39, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вам LTS или ехать?
     
     
  • 6.27, нах.. (?), 13:56, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    им - ехать, а не катиться (под откос)

     
  • 2.5, Аноним (8), 10:45, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, это пункт 4 (впрочем, в systemd уже несколько лет как реализовано на основе eBPF).

    Пункт 2 скорее для всяких firewalld и fail2ban, которым нужно фаерволом рулить.

     
     
  • 3.11, llolik (ok), 10:50, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Понял. Спасибо за разъяснения.
     
  • 3.71, Аноним (71), 08:42, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ненужнод не применяется в реальности в OpenWRT, а именно OpenWRT является наиболее распространенным дистрибутивом в среде маршрутизаторов. В том числе фхорки, включая всяких сяоми с самыми популярными роутерами по причине крайней доступности всякие 3g, 3gv2, R3 Pro и пачки новых.
     
     
  • 4.76, Аноним (8), 15:10, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Среди маршрутизаторов SOHO-сегмента, заметим, где всякие продвинутые фичи не так уж и важны. Они могут до сих пор прекрасно на ядре 2.6.x с iptables 1.4 работать.
     

  • 1.3, acroobat (ok), 10:44, 26/05/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     

     ....ответы скрыты (2)

  • 1.14, Аноним (14), 10:59, 26/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Linux 5.13

    Там еще новый Sandbox (Landlock) обещают... С нетерпением ждём!

     
     
  • 2.31, Аноним (31), 14:57, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    это который на расте чтоли?
     

  • 1.18, Annoynymous (ok), 12:35, 26/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > полное прохождение всех цепочек обработки правил применяется только для первого пакета, а все остальные пакеты в потоке пробрасывать напрямую.

    Потенциальная дырень.

     
     
  • 2.42, Сергей (??), 16:22, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Очень нужная фича в ситуации, когда поток входит в интерфейс и выходит через нег... большой текст свёрнут, показать
     
     
  • 3.44, Сергей (??), 16:29, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Под "позволит гонять больше трафика" - это о ситуации, когда производительность такого роутера ограничена производительностью пакетного фильтра (например - несколько сотен тысяч правил и несколько миллионов записей в таблицах - что вполне реально у типичного провайдера).
     
     
  • 4.47, нах.. (?), 16:36, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Под "позволит гонять больше трафика" - это о ситуации, когда производительность такого
    > роутера ограничена производительностью пакетного фильтра (например - несколько сотен
    > тысяч правил и несколько миллионов записей в таблицах - что вполне
    > реально у типичного провайдера).

    у типичного провайдера типично пакетный фильтр на бордере - из пяти строк - deny 192.168/16 и так далее. От ошибок в маршрутизации у партнеров, в основном. Он - провайдер, ему не полагается ковыряться в чужом траффике.
    А миллионы записей - это у васянов.

     
  • 3.45, нах.. (?), 16:33, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ситуация:
    > - компьютер выполняет роль роутера (Router-on-Stick);
    > - в компьютере только одна сетевая карта с одним портом или с

    не хотелось бы вас огорчать, но г-но на палочке уже не очень модно у _провайдеров_ и владельцев высоконагруженных систем.

    В васян-подвалах еще встречается, конечно.

    А операторское железо так не работает, оно вообще не процессором пакеты разбирает.

    Ну, впрочем, есть еще пейсбук,чтоб денег никому не платить и не такое может. Но я все же полагаю, что не делает.

     
     
  • 4.53, Аноним (53), 18:34, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >А операторское железо так не работает, оно вообще не процессором пакеты разбирает.

    Вон недавно статься была на хабре, как гонять 100 гигабит трафика и делать нат на древних зеонах

     
     
  • 5.61, нах.. (?), 22:19, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну и чего, мало на хабре подвальных, что-ли.

    Ростелек всех не может переварить, как ни старается.

     
  • 3.52, Annoynymous (ok), 17:54, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Очень нужная фича в ситуации

    Я не спорю, что фича нужная. Фича нужная и важная.

     

  • 1.33, КО (?), 15:10, 26/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дайте угадаю, дальше будет как в WoWarships? 0.10.0?
     
     
  • 2.55, Аноним (55), 19:02, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как во всем гейгейминге, а не в одном его продукте.
     

  • 1.34, Umata (?), 15:20, 26/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Жопненький синтаксис
     
     
  • 2.48, нах.. (?), 16:38, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Жопненький синтаксис

    это ж не для людей, это для роботов и рабов пейсбука придумано. Тебе дальше firewalld не понадобится, да и не дадут - доскер сломаешь.

     
  • 2.49, Аноним (49), 16:50, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сишечкоподобный же, со скобочками {}
     
     
  • 3.57, Аноним (8), 20:08, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А кто сказал, что у сишечки хороший синтаксис?
     
     
  • 4.58, анон (?), 20:35, 26/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    я
     
     
  • 5.73, Аноним (8), 15:04, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Недостаточно авторитетный источник.
    Можно ссылку на что-нибудь из Q1 или Q2 Scopus или WoS?
     

  • 1.56, псевдонимус (?), 19:07, 26/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Синтаксис странноватый.
     
     
  • 2.68, Аноним (68), 01:51, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    дегенераты вроде тебя ничего кроме синтаксиса не видят
     

  • 1.70, Аноним (71), 08:35, 27/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А где вопли про комбайн? Синтаксис то аналогичен сравнению ifconfigа с ip. Все равно в OpenWRT еще несколько лет ждать ядра 5.13. А аппаратное ускорение перекладывания пакетов в драйверах уже имеется.
     
     
  • 2.75, Аноним (8), 15:08, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А где вопли про комбайн?

    Зачем, если можно докопаться к синтаксису?
    Вот с systemD не катит, потому что очень сложно доказать, что синтаксис ini-файлов сложен. Поэтому пришлось подводить гуманитарно-философский базис.

     

  • 1.72, OpenEcho (?), 14:21, 27/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А нативного nfttables-apply по анологии с iptables-apply так и не осилили ?
     
     
  • 2.80, Аноним (8), 22:33, 27/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    iptables-apply - это shell-скрипт, и к iptables не приколочен. Там буквально несколько строчек поменять.
     
     
  • 3.82, OpenEcho (?), 13:51, 28/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > iptables-apply - это shell-скрипт, и к iptables не приколочен. Там буквально несколько
    > строчек поменять.

    Угу и сделать это на тысячах машин как два пальца... и так с каждым новым апдайтом.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру