The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Разработчики Netfilter представили замену iptables "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Разработчики Netfilter представили замену iptables "  +/
Сообщение от opennews on 20-Мрт-09, 17:00 
Вниманию общественности представлен (http://marc.info/?l=linux-netdev&m=123735060618579&w=2) первый публичный выпуск проекта nftables, новой реализации пакетного фильтра для Linux, идущего на смену iptables, как в свое время iptables пришел на смену ipchains, а ipchains заменил собой ipfwadm. Главным отличием nftables, является  не только изменившийся синтаксис задания правил, но и совершенно новый подход в их трансляции: определенные пользователем правила теперь преобразуются в специальный объектный код, который используется для принятия решения по дальнейшим действиям с пакетом внутри ядра.

Для формирования правил фильтрации в nftables представлена утилита nft , которая проверяет корректность правил и транслирует их в псевдокод. Правила теперь могут добавляться не только инкрементально, но и загружаться атомарно целиком из файла на диске, как это сделано, например, в пакетном фильтре PF.


По заявлению разработчиков, код nftables еще находится на стадии альфа тестирования и ...

URL: http://marc.info/?l=linux-netdev&m=123735060618579&w=2
Новость: https://www.opennet.ru/opennews/art.shtml?num=20843

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от chemtech on 20-Мрт-09, 17:00 
Ну сейчас начнется: PF против nftables... ))))))))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Разработчики Netfilter представили замену iptables "  –1 +/
Сообщение от aim email(??) on 20-Мрт-09, 17:20 
судя по всему pf опять вырулит по-простоте синтаксиса как минимум
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

28. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от junker on 20-Мрт-09, 22:42 
кстати не факт!
с учётом вот этого: "и фронтэнда, работающего на уровне пользователя"
фронтэнд можно приделать какой угодно, наверное даже и с синтаксисом, идентичным PF
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

52. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от dry on 23-Мрт-09, 12:43 
не вижу прорыва.
заменили одну хорошую реализацию на другую (надеюсь не менее хорошую).
смысл такой переработки?
лучше бы замену tc написали, вот там действительно стоило бы пересмотреть
подход к конфигурации. потому что динамически изменять правила в этом
говнище крайне геморройно.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

6. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от abigor email on 20-Мрт-09, 17:31 
Даешь холливар!
pf vs nftables!!!
А вообще, честно, я не понимаю эту разницу в фаерволах, почему не сделать единый фаер для всех систем! чтоб не запоминать кучу спрок синтаксиса для разных ОС ( читать для linux и unix ) Я конечно понимаю что различия в архитектуре ядер. НО я думаю если захотеть, можно прийти к единому решинию. Кажется мне, что дело в разных лицензиях. На этом уполкаю, я то еще разведу войну GPLv* vs BSD
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Nick email(??) on 20-Мрт-09, 17:34 
>Даешь холливар!
>....я то еще разведу войну
>GPLv* vs BSD

разведи-разведи :)

особенно о психологическом аспекте договорённости об едином интерфейсе
универсального фаервола...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Andrew (??) on 20-Мрт-09, 17:42 
> А вообще, честно, я не понимаю эту разницу в фаерволах, почему не сделать единый фаер для всех систем! чтоб не запоминать кучу спрок синтаксиса для разных ОС ( читать для linux и unix )

IPFilter

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

20. "Разработчики Netfilter представили замену iptables "  +1 +/
Сообщение от User294 (ok) on 20-Мрт-09, 20:24 
>А вообще, честно, я не понимаю эту разницу в фаерволах, почему не
>сделать единый фаер для всех систем!

Можно продолжить идею: а почему бы не сделать единую модель авто, похоронив все остальные?!Водителям было бы удобно - в любом авто как у себя дома.Ремонтерам было бы удобно.Любое авто ремонтируется одинаково.Заправщикам тоже было бы удобно.Магазин запчастей мог бы стать размерами с киоск :) И т.д. и т.п. :)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

38. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от . on 21-Мрт-09, 04:13 
>чтоб не запоминать кучу спрок синтаксиса для разных ОС
>
>Можно продолжить идею: а почему бы не сделать единую модель авто
>Водителям было бы удобно

рули, педали и ПДД одинаковые

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

41. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Michael Shigorin email(ok) on 21-Мрт-09, 13:13 
Угу --- левые и правые, две и три, теоретические и практические... а так да, конечно.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

43. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от User294 (??) on 21-Мрт-09, 13:51 
Да, конечно, в какойнить тойоте руль ну совсем как у копейки, никто и не сомневался :).И чего никто на копейке ездить не хочет?Все почему-то иномарки предпочитают купить.Вот прям копия :)
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

2. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от User294 (ok) on 20-Мрт-09, 17:18 
>    include "ipv4-filter"

А я думал - stdio.h =)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от User294 (ok) on 20-Мрт-09, 17:19 
> создавать переменные, выполнять математические операции

А тормозить все это не будет?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Sem (??) on 20-Мрт-09, 17:53 
Я думаю, что все операции будут происходить в момент загрузки правил. С чего ему тормозить? Вот работать быстрее iptables будет точно.

Мне вот интересно, как будет реализован ipq? Не хотелось бы наработки переписывать.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

22. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от User294 (ok) on 20-Мрт-09, 20:33 
>Я думаю, что все операции будут происходить в момент загрузки правил.

Если так - было б гут.А то есть области где каждый лишний такт проца-как нож в спину.Например мелкие роутеры с не особо каким процом айпитаблесом натят и файрволят например.И это стоит понимать.

>С чего ему тормозить?

Ну, могу себе представить реализацию где переменные на ходу заполняются и т.п., это ессно будет не шибко быстро.

>Вот работать быстрее iptables будет точно.

Мне пофиг на работу самой по себе айпитаблес-морды к нетфильтру, но не пофиг на скорость файрволинга по итоговому набору правил нетфильтром.Не имеет оно права проц грузить и должно много выжимать даже на хилом проце :).Надеюсь что оно и правда будет не хуже.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Knuckles email(ok) on 20-Мрт-09, 21:23 
Так написано же, что будет парситься и перемалываться в псевдокод. Я так понимаю, что синтаксис правил удобен для пользователя, а псевдокод удобен (в плане скорости в т.ч.) для фильтра.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

9. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Аноним (??) on 20-Мрт-09, 17:44 
Напоминиет миграцию от комбайнеров к шейдерам в OpenGL.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Аноним (??) on 20-Мрт-09, 17:48 
Интересно, синтаксис iptables ужасен, новый nftables мне нравится, хотя лучше pf-а ещё нечего не видел, для конечно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Аноним (??) on 21-Мрт-09, 19:49 
>Интересно, синтаксис iptables ужасен, новый nftables мне нравится, хотя лучше pf-а ещё
>нечего не видел, для конечно.

Наоборот, синтаксис iptables устраивает полностью.
А пример из текста новости совершено не читабелен.

Неужели Вам ЭТО понятнее правил iptables?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

54. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Осторожный (ok) on 24-Мрт-09, 07:28 
>>Интересно, синтаксис iptables ужасен, новый nftables мне нравится, хотя лучше pf-а ещё
>>нечего не видел, для конечно.
>
>Наоборот, синтаксис iptables устраивает полностью.
>А пример из текста новости совершено не читабелен.
>
>Неужели Вам ЭТО понятнее правил iptables?

Давай более простой вопрос.
Ты вообще видел и использовал pf ?
Если нет, тогда собственно и разговаривать не о чем.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

12. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Аноним (??) on 20-Мрт-09, 18:01 
Ну хоть не XML
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от СуперАноним on 21-Мрт-09, 12:16 
А почему бы и не на XML правила записывать? Транслятор соответствующий мог бы их в тот же самый байт-код перегонять.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Аноним (??) on 20-Мрт-09, 18:14 
покороче нельзя было название придумать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от spamtrap (??) on 20-Мрт-09, 18:58 
>определенные пользователем правила теперь преобразуются в специальный упрощенный псевдокод, который используется для принятия решения

слабаки! нада было сразу в машинный код транслировать. а так придётся потом этот псевдокод интерпретировать, и получится, что файлвол - интерпретатор собственного байт-кода в режиме ядра

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от User294 (ok) on 20-Мрт-09, 22:22 
>слабаки! нада было сразу в машинный код транслировать.

А что с портабельностью делать?Генерилка кода для всех поддерживаемых платформ - монстрик типа gcc всунутый в ядро? :)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

44. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Аноним (??) on 21-Мрт-09, 16:16 
Здесь может помочь llvm
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

19. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от o.k. on 20-Мрт-09, 19:59 
главное, чтоб списки адресов наконец реализовали ..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Аноним (??) on 20-Мрт-09, 20:30 
ip daddr { 192.168.0.0/24 => drop, 192.168.0.100 => accept}
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

23. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от bill (??) on 20-Мрт-09, 20:43 
>ip daddr { 192.168.0.0/24 => drop, 192.168.0.100 => accept}

Эт не то, если я правильно понял. В ipfw есть таблицы, очень удобная фича.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

35. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от o.k. on 21-Мрт-09, 01:20 
угу .. именно, только в ipfw ими я не пользовался, а вот в pf юзал постоянно
table <users> { 192.168.2.8, 192.168.1.5, 192.168.3.0/24 }
pass in from <users> to any
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

37. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от sky (??) on 21-Мрт-09, 01:49 
>главное, чтоб списки адресов наконец реализовали ..

Реализация давно есть, но ее не включили в ядро. http://ipset.netfilter.org/

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от geekkoo (ok) on 20-Мрт-09, 20:45 
Когда ж они наконец успокоятся? Сначала был ipfwadm, потом ipchains, затем долгое время iptables, который даже при переезде на 2.6.0 не сломали. Но покой нам только снится ... Это было обманчивое затишье.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Michael Shigorin email(ok) on 21-Мрт-09, 13:16 
>Когда ж они наконец успокоятся? Сначала был ipfwadm, потом ipchains, затем долгое
>время iptables, который даже при переезде на 2.6.0 не сломали. Но
>покой нам только снится ... Это было обманчивое затишье.

iptables оказался весьма good enough, чтоб мотивация по замене копилась небыстро.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от СуперАноним on 20-Мрт-09, 21:31 
Так и Layer7 фильтрацию наконец бы в него ванильно включили
http://l7-filter.sourceforge.net/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от zed (??) on 20-Мрт-09, 22:51 
а разве pf не кроссплатформенный? он вроде везде работает
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от o.k. on 21-Мрт-09, 01:22 
в BSD только... в linux к сожалению нет.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

55. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Осторожный (ok) on 24-Мрт-09, 07:30 
>в BSD только... в linux к сожалению нет.

Вроде как есть порт pf в Windows

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

31. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Touch (ok) on 20-Мрт-09, 23:30 
PF PF ..  Layer 2 он умеет ?.. нет .. прохождение всего списка правил снова после попадания в altq например ?.. нет .. равномерное распределение пропускной способности по типу pipe с weight ?.. нет .. вобщем ipfw+dummynet .. хоть закидайте меня помидорами по самую макушку :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Touch (ok) on 20-Мрт-09, 23:32 
да, забыл про forward и divert совместно с несколькими одновременно работающими natd .. :)
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от iZEN email(ok) on 21-Мрт-09, 00:33 
>PF PF ..  Layer 2 он умеет ?.. нет .. прохождение
>всего списка правил снова после попадания в altq например ?.. нет
>.. равномерное распределение пропускной способности по типу pipe с weight ?..
>нет .. вобщем ipfw+dummynet .. хоть закидайте меня помидорами по самую
>макушку :)

Видимо, давно man 5 pf.conf не смотрел. :)
На, почитай: http://www.freebsd.org/cgi/man.cgi?query=pf.conf&sektion=5

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

47. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Touch (ok) on 21-Мрт-09, 19:12 
$ man 5 pf.conf | col -b | grep -i mac | grep -vi macro | grep -vi machin
$

$ man 5 pf.conf | col -b | grep -i layer
     their layer 3 (see ip(4) and ip6(4)) and layer 4 (see icmp(4), icmp6(4),
     Due to a lock order reversal (LOR) with the socket layer, the use of the
$

"Оказывается, что pf+altq нельзя настроить так, что бы умел поделить поровну трафик на каждого подключенного юзера. Один товарищ попытался извратнуться ( http://developer.co.ua/posts/view/shljuz_s_avtorizatsiej_i_d... ). Смелый и инженерный такой подход у него. А ведь хочется что бы кнопочку, ну максимум две, нажать - и шо б все заработало как надо. Ан нет. "
Взято отсюда: http://nexus.org.ua/weblog/message/878/

Ещё поспорим ?.. :)

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

48. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Touch (ok) on 21-Мрт-09, 19:18 
кстати по ссылке человек выбрал pf потому что видно не прочёл man natd, который поверьте более объёмен чем секция "Translation" в man pf.conf.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

51. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от o.k. on 22-Мрт-09, 10:25 
>кстати по ссылке человек выбрал pf потому что видно не прочёл man
>natd, который поверьте более объёмен чем секция "Translation" в man pf.conf.
>

ну не смешите =)
и binat там несомненно есть ))))

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

33. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от nuclight email(ok) on 20-Мрт-09, 23:47 
>Для формирования правил фильтрации в nftables представлена утилита nft , которая проверяет
>корректность правил и транслирует их в псевдокод.

Байт-код? То есть в линуксе наконец-то изобрели ipfw2 ? Поздравляю!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от chodorenko on 21-Мрт-09, 11:47 
вообще както странно, неужели нельзя отделить написание правил от конкретного типа фаервола ? ну не пофигу ли вам во что преобразуется iptables -s $localnet -j Accept ? главное чтобы транслятор мог правильно преобразовать и скорость работы была нормальной. A вообщето опять начинается изобретение велосипеда как и с буфером обмена
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Аноним (??) on 22-Мрт-09, 05:00 
Ну из плюсов очевидно подедржка обоих протоколов v4/v6 и бриджинг ну и соответственно наборы (sets), когда можно одним правилом решить то на что раньше нужно было городить тучу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Осторожный (ok) on 23-Мрт-09, 17:30 
Похоже что разработчики iptables наконец-то прочитали faq по pf и наконец-то увидели, как они были не правы.
Решили срочно исправиться и все переделать ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "Разработчики Netfilter представили замену iptables "  +/
Сообщение от Аноним email(??) on 26-Янв-18, 15:18 
Как же вы любите Херами помериться. Я не знаю на чем основан фаервол в микротиках(учитывая что он на ядре линукс) но реализация мне там очень нравится. так же надеялся что в NFTCLI сделают что то вроде интерактива с табуляцией и динамической справкой. Ну и подсветка синтаксиса не помешала бы. В общем пока в OSourse -е  "Лебедь, рак и щука" есть хорошие идеи но реализовать их качественно не получается, а жаль. Внедряют что то новое не доработав старое(в частности не к IPTables) и каждый режет свое.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру