forum.opennet.ru - "Выпуск пакетного фильтра nftables 0.9.2" (45)

"Выпуск пакетного фильтра nftables 0.9.2"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск пакетного фильтра nftables 0.9.2"	+/–
Сообщение от opennews (?), 19-Авг-19, 23:22
Состоялся (https://marc.info/?l=netfilter&m=156621590113089&w=2) релиз пакетного фильтра nftables 0.9.2 (https://netfilter.org/projects/nftables/), развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.2 изменения включения в состав ядра Linux 5.3. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя. Основные новшества: - Возможность проверки номера порта из заголовка пакета транспортного уровня независимо от типа протокола 4 уровня: add rule x y ip protocol { tcp, udp } th dport 53 - Поддержка восстановления времени жизни набора элементов: add element ip x y { 1.1.1.1 timeout 30s expires 15s } - Возможность проверки отдельных опций (lsrr, rr, ssrr и ra) из пакетов IPv4: add rule x y ip option rr exists drop Для опций маршрутизации возможна проверка полей type, ptr, length и addr: add rule x y ip option rr type 1 drop - В выражениях теперь допустимо указание сетевых префиксов и диапазонов адресов: iifname ens3 snat to 10.0.0.0/28 iifname ens3 snat to 10.0.0.1-10.0.0.15 - Поддержка использования переменных в определениях цепочек: define default_policy = accept add chain ip foo bar { type filter hook input priority filter; policy $default_policy } - Указание приоритета цепочки теперь может производиться как в числовом, таки символьном виде: define prio = filter define prionum = 10 define prioffset = "filter - 150" add table ip foo add chain ip foo bar { type filter hook input priority $prio; } add chain ip foo ber { type filter hook input priority $prionum; } add chain ip foo bor { type filter hook input priority $prioffset; } - Реализована поддержка модуля synproxy. Например, для размещения TCP-порта 8888 под защитой synproxy можно использовать набор правил: table ip x { chain y { type filter hook prerouting priority raw; policy accept; tcp dport 8888 tcp flags syn notrack } chain z { type filter hook forward priority filter; policy accept; tcp dport 8888 ct state invalid,untracked synproxy mss 1460 \\ wscale 7 timestamp sack-perm ct state invalid drop } } - Для определения в таблице conntrack связанных с текущим соединением ожидаемых дополнительных соединений, которые применяются в требующих установки нескольких соединений сложных протоколах, таких как FTP, SIP и H.323, теперь можно определять политики через штатные наборы правил. Например, для определения ожидаемых после соединений к TCP порту 5432 последующих соединений к порту 8888 можно указать следующие правила: table x { ct expectation myexpect { protocol tcp dport 5432 timeout 1h size 12 l3proto ip } chain input { type filter hook input priority 0; ct state new tcp dport 8888 ct expectation set myexpect ct state established,related counter accept } } URL: https://marc.info/?l=netfilter&m=156621590113089&w=2 Новость: https://www.opennet.ru/opennews/art.shtml?num=51312
Ответить \| Правка \| Cообщить модератору

Оглавление

осталось подождать когда на eBPF портируют , адмирал третьего флота очевидность (?), 23:22 , 19-Авг-19, (1) –5
Правильно говорить файрволл , Аноним (-), 01:45 , 20-Авг-19, (2) +8

Ага, брандмауер, Аноним (3), 03:10 , 20-Авг-19, (3) +5

https www opennet ru openforum vsluhforumID3 38585 html 11, Andrey Mitrofanov_N0 (??), 08:55 , 20-Авг-19, (7)
http gramota ru slovari dic word D0 B1 D1 80 D0 B0 D0 BD D0 B4 D0 BC D0 B0 D, Sgt. Gram (?), 16:25 , 20-Авг-19, (25) –1

не-a, - Огненная Стена ОгнеCтен то бишь , OpenEcho (?), 06:00 , 20-Авг-19, (5) –1
сетекран сетевой экран , Ю.Т. (?), 08:27 , 20-Авг-19, (6) +6
Пофигизм в воспитании детей , Аноним (23), 12:53 , 20-Авг-19, (23)

Вот это интересно, в таблесах нет такого вроде , Аноним (3), 03:12 , 20-Авг-19, (4)

Есть https duckduckgo com q conntrack iptables t ffnt ia web cd lib modu, Andrey Mitrofanov_N0 (??), 09:01 , 20-Авг-19, (8)

Так для iptables только набор готовых модулей, а тут можно прямо в конфиге новый, граммарнаци (?), 10:20 , 20-Авг-19, (18)

поправил, не благодари добавь туда таким образом да вот хоть sip раз уж ft, пох. (?), 11:00 , 20-Авг-19, (21) –3

Кто то им реально пользуется Так вроде и просто выглядит, и одновременно сложно, привет (?), 09:06 , 20-Авг-19, (9) +1

А там уже другие железки со своим фаерволом , Аноним (10), 09:34 , 20-Авг-19, (10)
Многие, причём даже не зная об этом , Аноним (12), 09:49 , 20-Авг-19, (12)
firewalld и прочие нескучные десктоп-перделки сириозные конфигурации на этом н, пох. (?), 09:51 , 20-Авг-19, (13) –5

Ну я имел ввиду - попытка сделать что то серьезноена чем то несерьезном, но ты п, привет (?), 10:30 , 20-Авг-19, (19) +1

как это то есть не уберут Они ее уже объявили deprecated Что у нас в ведре слу, пох. (?), 10:40 , 20-Авг-19, (20) –1

Серьезный сетевик конечно же купит отдельную железку для stateful firewall, да К, size_t (?), 11:29 , 21-Авг-19, (38)

ну а куда деваться-то Если последний условно-вменяемый пакетный фильтр десять л, пох. (?), 12:16 , 21-Авг-19, (39)

кстати, вот тривиальнейшее место - это нормальный nat conntrack для gre туннелей, пох. (?), 12:18 , 21-Авг-19, (40)

Угу, я использую за ради поиграться на парочке машин Количество косяков и грабл, sabitov (ok), 10:15 , 20-Авг-19, (17) +1
В последнем debian он, вроде как, дефолтный Правда там есть пока возможность ст, AlexYeCu_not_logged (?), 11:48 , 20-Авг-19, (22) +1

если бы еще и работали Ну нет, в тех пределах, в которых ими умеет пользоватьс, пох. (?), 16:53 , 20-Авг-19, (28)

Я пользуюсь, благодаря новым возможностям nftables получилось оптимизировать пра, Аноним (30), 19:04 , 20-Авг-19, (30)

Ничеси,какой суксесс стори Детали и бенчи будут , Анонимный селебрити (?), 23:17 , 20-Авг-19, (34) +1

Этого не умел Так теперь чтобы данный функционал появился в стабильных дистрибу, Аноним (10), 09:37 , 20-Авг-19, (11)

это нынче такой модный подход - объявить уже почти совсем окончательно готовым, , пох. (?), 09:53 , 20-Авг-19, (14)

1 0 Девопусы vs сисадминыдевопусы iptables не знали, а теперь он и не нужен а а, лютый жабист__ (?), 09:54 , 20-Авг-19, (15) +3

так им и не надо было - за них доскер все делает сам, интуитивно-приятным образо, пох. (?), 10:06 , 20-Авг-19, (16) –3

Файервол На гипервизоре Ох Если оно пилится под аренду по виртуалке на рыло, PnDx (ok), 13:16 , 20-Авг-19, (24)

ну да, у гипервизора, внезапно, сильно не одно вымя, за которое его могут попыта, пох. (?), 16:51 , 20-Авг-19, (27) +1

У них оба адреса были изначально Кстати, от твари они постепенно уходят, мне на, Мертвые_опята (?), 21:23 , 20-Авг-19, (33)

изначально на com не перенаправляло Пацаны явно растут, и уже поняли, что it , пох. (?), 10:24 , 21-Авг-19, (37)

Расскажите как это В каких случаях использовать Звучит интересно, но пока не о, mumu (ok), 16:39 , 20-Авг-19, (26)

Например, для работы современного DNS надо отрывать и 53udp и 53tcp Раньше тебе, sabitov (ok), 18:56 , 20-Авг-19, (29) +2

А можно пожалуйста пример как выглядит такое правило , Igor (??), 20:47 , 20-Авг-19, (31)

На ручнике что то я сегодня, вот же оно это правиломинус в том что если надо ука, Igor (??), 21:04 , 20-Авг-19, (32)
ipset create allowed_in bitmap port range 0-10240 countersipset add allowed_in 5, evilman (?), 09:47 , 21-Авг-19, (35) +1

А то же самое одновременно для IPv4 и IPv6 , Аноним (41), 15:27 , 21-Авг-19, (41)

Одним правилом через netfilter невозможно сделать Нужно одно правило в iptables, evilman (?), 20:23 , 21-Авг-19, (42)

https wiki nftables org wiki-nftables index php Main_differences_with_iptables, Аноним (30), 21:58 , 22-Авг-19, (43)

Спасибо Вспомнил, что действительно по два правила раньше писал для tcp и udp , mumu (ok), 10:18 , 21-Авг-19, (36) –1

Так что там с заменой ipset Будет не , Аноним (44), 13:34 , 23-Авг-19, (44)

https wiki nftables org wiki-nftables index php Sets, Аноним (41), 14:59 , 23-Авг-19, (45)

Сообщения [Сортировка по времени | RSS]

1. "Выпуск пакетного фильтра nftables 0.9.2" –5 +/–

Сообщение от адмирал третьего флота очевидность (?), 19-Авг-19, 23:22

осталось подождать когда на eBPF портируют..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выпуск пакетного фильтра nftables 0.9.2" +8 +/–

Сообщение от Аноним (-), 20-Авг-19, 01:45

> пакетного фильтра
Правильно говорить файрволл.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Выпуск пакетного фильтра nftables 0.9.2" +5 +/–

Сообщение от Аноним (3), 20-Авг-19, 03:10

Ага, брандмауер

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "переводится с немецкого на английский как" +/–

Сообщение от Andrey Mitrofanov_N0 (??), 20-Авг-19, 08:55

> Ага, брандмауер
https://www.opennet.ru/openforum/vsluhforumID3/38585.html#11

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

25. "Выпуск пакетного фильтра nftables 0.9.2" –1 +/–

Сообщение от Sgt. Gram (?), 20-Авг-19, 16:25

> Ага, брандмауер
http://gramota.ru/slovari/dic/?word=%D0%B1%D1...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Выпуск пакетного фильтра nftables 0.9.2" –1 +/–

Сообщение от OpenEcho (?), 20-Авг-19, 06:00

не-a, - Огненная Стена (ОгнеCтен то бишь :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Выпуск пакетного фильтра nftables 0.9.2" +6 +/–

Сообщение от Ю.Т. (?), 20-Авг-19, 08:27

сетекран
(сетевой экран)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

23. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от Аноним (23), 20-Авг-19, 12:53

Пофигизм в воспитании детей.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от Аноним (3), 20-Авг-19, 03:12

> Для определения в таблице conntrack связанных с текущим соединением ожидаемых дополнительных соединений
Вот это интересно, в таблесах нет такого вроде.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от Andrey Mitrofanov_N0 (??), 20-Авг-19, 09:01

>>в таблице conntrack связанных с текущим соединением ожидаемых дополнительных соединений
>в таблесах нет такого вроде.
Есть. https://duckduckgo.com/?q=conntrack+iptables&t=ffnt&ia=web
$ ( cd /lib/modules/$(uname -r) && find -name '*conntrack*' )
./kernel/net/ipv4/netfilter/nf_conntrack_ipv4.ko
./kernel/net/ipv6/netfilter/nf_conntrack_ipv6.ko
./kernel/net/netfilter/nf_conntrack_amanda.ko
./kernel/net/netfilter/nf_conntrack_broadcast.ko
./kernel/net/netfilter/nf_conntrack_ftp.ko
./kernel/net/netfilter/nf_conntrack_h323.ko
./kernel/net/netfilter/nf_conntrack_irc.ko
./kernel/net/netfilter/nf_conntrack_netbios_ns.ko
./kernel/net/netfilter/nf_conntrack_netlink.ko
./kernel/net/netfilter/nf_conntrack_pptp.ko
./kernel/net/netfilter/nf_conntrack_proto_dccp.ko
./kernel/net/netfilter/nf_conntrack_proto_gre.ko
./kernel/net/netfilter/nf_conntrack_proto_sctp.ko
./kernel/net/netfilter/nf_conntrack_proto_udplite.ko
./kernel/net/netfilter/nf_conntrack_sane.ko
./kernel/net/netfilter/nf_conntrack_sip.ko
./kernel/net/netfilter/nf_conntrack_snmp.ko
./kernel/net/netfilter/nf_conntrack_tftp.ko
./kernel/net/netfilter/xt_conntrack.ko
./kernel/net/netfilter/nf_conntrack.ko
$ _

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

18. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от граммарнаци (?), 20-Авг-19, 10:20

Так для iptables только набор готовых модулей, а тут можно прямо в конфиге новый протокол добавить

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

21. "Выпуск пакетного фильтра nftables 0.9.2" –3 +/–

Сообщение от пох. (?), 20-Авг-19, 11:00

> Так для iptables только набор готовых модулей, а тут можно прямо в конфиге новый ненужный
> протокол добавить
поправил, не благодари.
добавь туда таким образом... да вот хоть sip ? (раз уж ftp по мнению местных хомячков нинужна и вообще устаревший и плохой, плохой)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

9. "Выпуск пакетного фильтра nftables 0.9.2" +1 +/–

Сообщение от привет (?), 20-Авг-19, 09:06

Кто то им реально пользуется? Так вроде и просто выглядит, и одновременно сложно, из мэ замутили скриптовый язык. Понимаю есть, конечно, серьезные конфигурации , но это вроде больше к сетевикам..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от Аноним (10), 20-Авг-19, 09:34

А там уже другие железки со своим фаерволом.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от Аноним (12), 20-Авг-19, 09:49

Многие, причём даже не зная об этом.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Выпуск пакетного фильтра nftables 0.9.2" –5 +/–

Сообщение от пох. (?), 20-Авг-19, 09:51

> Кто то им реально пользуется?
firewalld и прочие нескучные десктоп-перделки.
> Понимаю есть, конечно, серьезные конфигурации
"сириозные конфигурации" на этом нечитаемом трэшаке невозможны. Это я тебе как сетевик говорю.
Потому что как раз для них нужна удобочитаемость и возможность поменять конкретное правило, не разбираясь в сотнях строк соседних.
А на этом будут только автогенеренные поделки и васянские суперсекьюрные разработки, которые, после (или даже до) ухода васяна только выбросить целиком получится.
Ну ничего, зато циска и палоальта продадут больше коробок. (там внутри тоже будет линух, но ни разу не его сетевой стек)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

19. "Выпуск пакетного фильтра nftables 0.9.2" +1 +/–

Сообщение от привет (?), 20-Авг-19, 10:30

Ну я имел ввиду - попытка сделать что то серьезное
на чем то несерьезном, но ты прав, это - фейл.
Остается только надеятся что в один прекрасный
момент прослойку с таблесами не уберут.. :)
Да уж лучше пусть продают коробки :)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Выпуск пакетного фильтра nftables 0.9.2" –1 +/–

Сообщение от пох. (?), 20-Авг-19, 10:40

как это то есть не уберут? Они ее уже объявили deprecated. Что у нас в ведре случается с таким кодом, надо объяснять?
Да ладно, было бы по чему плакать... это был проект, как обычно "подававший большие надежды", и в принципе-то и выглядел неплохо на фоне конкурентов, но не доделанный в ста местах.
Ну будем теперь вместо поделок на линухе использовать краденую asaV. Там хоть packet tracer нормальный. Линейные acl'и - ну как-нибудь переживем.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

38. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от size_t (?), 21-Авг-19, 11:29

> "сириозные конфигурации" на этом нечитаемом трэшаке невозможны. Это я тебе как сетевик говорю.
Серьезный сетевик конечно же купит отдельную железку для stateful firewall, да?
Как, кстати, на серьезных железках будет выглядеть правило, фильтрующее upd/53 внутри gre-туннеля?
Да, туннель транзитный.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

39. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от пох. (?), 21-Авг-19, 12:16

>> "сириозные конфигурации" на этом нечитаемом трэшаке невозможны. Это я тебе как сетевик говорю.
> Серьезный сетевик конечно же купит отдельную железку для stateful firewall, да?
ну а куда деваться-то? Если последний условно-вменяемый пакетный фильтр десять лет не чинили в десяти тривиальных и нескольких нетривиальных местах, а потом просто притащили вместо него неработающий мартышачий кал, а его объявили устаревшим и неправильным?
> Как, кстати, на серьезных железках будет выглядеть правило, фильтрующее upd/53 внутри gre-
> туннеля?
на серьезных железках такой херней не занимаются.
Правило будет выглядеть совершенно иначе - что-нибудь типа "allow dns from vpn clients to google and cloudflare"
Без уточнения айпишников и того что второй - DoH, и без детальных описаний всех возможных оберток.
Минус, что в этом полуестественном интеллекте, у тебя только видимость контроля. А реальный - у индуса где-то в горах. Но никакие другие варианты в общем-то уже давно не имеют смысла (ты все равно хуже индуса, да и не очень хочется за него месить навоз). Кроме васянхостовых, а с теми и firewalld справится.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от пох. (?), 21-Авг-19, 12:18

> ну а куда деваться-то? Если последний условно-вменяемый пакетный фильтр десять лет не
> чинили в десяти тривиальных и нескольких нетривиальных местах, а потом просто
кстати, вот тривиальнейшее место - это нормальный nat/conntrack для gre туннелей.
Нет, никогда не работал, и не мог - и в код лучше даже вообще не смотрите, это п-ц.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

17. "Выпуск пакетного фильтра nftables 0.9.2" +1 +/–

Сообщение от sabitov (ok), 20-Авг-19, 10:15

Угу, я использую за ради поиграться на парочке машин. Количество косяков и граблей зашкаливает. 092 еще не пробовал ничего не скажу, но 07-091 -- те ещё наборы для нескучных развлечений.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

22. "Выпуск пакетного фильтра nftables 0.9.2" +1 +/–

Сообщение от AlexYeCu_not_logged (?), 20-Авг-19, 11:48

>Кто то им реально пользуется?
В последнем debian он, вроде как, дефолтный. Правда там есть пока возможность старые правила с iptable-овским синтаксисом использовать.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

28. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от пох. (?), 20-Авг-19, 16:53

"если бы еще и работали".
Ну нет, в тех пределах, в которых ими умеет пользоваться доскер - работают, да.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

30. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от Аноним (30), 20-Авг-19, 19:04

Я пользуюсь, благодаря новым возможностям nftables получилось оптимизировать правила и снизить нагрузку на процессор в 2 раза по сравнению с iptables.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

34. "Выпуск пакетного фильтра nftables 0.9.2" +1 +/–

Сообщение от Анонимный селебрити (?), 20-Авг-19, 23:17

Ничеси,какой суксесс стори? Детали и бенчи будут?

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

11. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от Аноним (10), 20-Авг-19, 09:37

>В выражениях теперь допустимо указание сетевых префиксов и диапазонов адресов:
Этого не умел? Так теперь чтобы данный функционал появился в стабильных дистрибутивах минимум года три надо будет ждать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от пох. (?), 20-Авг-19, 09:53

это нынче такой модный подход - объявить уже почти совсем окончательно готовым, предыдущее работающее решение поломать и выкинуть, а потом доделывать базовые тривиальные вещи, патамушта альтернативно-одаренному разработчику они вообще в голову не приходили - там смузи бродит.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Выпуск пакетного фильтра nftables 0.9.2" +3 +/–

Сообщение от лютый жабист__ (?), 20-Авг-19, 09:54

1:0 Девопусы vs сисадмины
девопусы iptables не знали, а теперь он и не нужен. а админам опять страдать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Выпуск пакетного фильтра nftables 0.9.2" –3 +/–

Сообщение от пох. (?), 20-Авг-19, 10:06

> девопусы iptables не знали
так им и не надо было - за них доскер все делает сам, интуитивно-приятным образом. Не особо-то и оставляя возможность вмешиваться вручную.
Кстати, у него, кажется, возникли какие-то сложности с nft - официальной поддержки по сей день нет, только кривые васян-скрипты.
Впрочем, через враппер, наверное, кое-как работает.
> а админам опять страдать.
админы ненужно и должны страдать, выбрав линух в качестве специализации.
Вон админы вмвари ни разу не страдают - да, фиревал убогонький, но вполне заточен под ручное управление в тех пределах, в которых надо.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

24. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от PnDx (ok), 20-Авг-19, 13:16

Файервол. На гипервизоре. Ох.
* Если оно пилится под аренду "по виртуалке на рыло", вмварь весь профит съест. И вообще непонятно как фронтэнд отдавать. RHEV тогда уж.
* Если арендаторы "внутренние", 802.1q vlan'ы наружу и там на нормальном оборудовании расписывать.
** Если в проекте нет денег, там и трафик вряд ли есть. До ≈200kpps можно непринуждённо таскать через виртуальный "маршрутизатор". Цена вопроса — в пределах 4xCPU, включая NAT. Появятся деньги — меньше проблем вывести маршрутизацию наружу.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

27. "Выпуск пакетного фильтра nftables 0.9.2" +1 +/–

Сообщение от пох. (?), 20-Авг-19, 16:51

> Файервол. На гипервизоре.
ну да, у гипервизора, внезапно, сильно не одно вымя, за которое его могут попытаться потрогать.
(нет, файрвол не защищает виртуалки, они у вмвари вообще в физически отдельной сети будут, если все делать по инструкции, а не как подешевле-попроще)
> Если оно пилится под аренду "по виртуалке на рыло", вмварь весь профит съест.
расскажи это вооон тем ребятам: https://www.arubacloud.com/ - а то мне они не верят.
(смотрю, уже не скромное .it, а вполне себе com? хехехе - видать не все вмварь съела)
> И вообще непонятно как фронтэнд отдавать.
ну вот эти - справились.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

33. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от Мертвые_опята (?), 20-Авг-19, 21:23

> смотрю, уже не скромное .it, а вполне себе com
У них оба адреса были изначально. Кстати, от твари они постепенно уходят, мне на одной из виртуалок в IT1 предложили нажать кнопку для миграции на KVM, прислали письмо, что начали миграцию и если я хочу, то могу нажать кнопочку, что бы встать в очередь на миграцию(а если не хочу то могу пока сидеть внутри твари)

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

37. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от пох. (?), 21-Авг-19, 10:24

изначально на .com не перенаправляло. Пацаны явно растут, и уже поняли, что .it - плохая марка за пределами родной Италии.
> Кстати, от твари они постепенно уходят, мне на одной из виртуалок в IT1 предложили нажать кнопку
мне пока ничего не предлагают, может, я их меньше затрахал? ;-)
При том что это пресловутые одноевровые виртуалки, для меня в общем загадка, каково экономическое оправдание этого бизнеса.
Деньги мафии отмывать, разьве что?

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

26. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от mumu (ok), 20-Авг-19, 16:39

> Возможность проверки номера порта из заголовка пакета транспортного уровня независимо от типа протокола 4 уровня
Расскажите как это? В каких случаях использовать? Звучит интересно, но пока не очень понятно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Выпуск пакетного фильтра nftables 0.9.2" +2 +/–

Сообщение от sabitov (ok), 20-Авг-19, 18:56

Например, для работы современного DNS надо отрывать и 53udp и 53tcp. Раньше тебе надо было 2 правила для этого. Сейчас -- одно.
Правда жизни состоит в том, что это можно было и раньше решить одним правилом в iptables + ipset.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от Igor (??), 20-Авг-19, 20:47

> Правда жизни состоит в том, что это можно было и раньше решить одним правилом в iptables + ipset
А можно пожалуйста пример как выглядит такое правило?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

32. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от Igor (??), 20-Авг-19, 21:04

На ручнике что то я сегодня, вот же оно это правило
> iptables -A INPUT -m set --match-set dropips src -j DROP
минус в том что если надо указывать порт то и протокол требуется установить.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

35. "Выпуск пакетного фильтра nftables 0.9.2" +1 +/–

Сообщение от evilman (?), 21-Авг-19, 09:47

ipset create allowed_in bitmap:port range 0-10240 counters
ipset add allowed_in 53
iptables -A INPUT -m conntrack --ctstate NEW -m set --match-set allowed_in -j ACCEPT

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

41. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от Аноним (41), 21-Авг-19, 15:27

А то же самое одновременно для IPv4 и IPv6?

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

42. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от evilman (?), 21-Авг-19, 20:23

Одним правилом через netfilter невозможно сделать. Нужно одно правило в iptables, а второе - в ip6tables. Теоретически можно извернуться через ingress queue, классификатором ipset и tc action. Но зачем?

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

43. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от Аноним (30), 22-Авг-19, 21:58

> Simplified dual stack IPv4/IPv6 administration, through the new inet family which allows you to register base chains that see both IPv4 and IPv6 traffic. Thus, you don't need to rely on scripts to duplicate your ruleset anymore.
https://wiki.nftables.org/wiki-nftables/index.php/Main_diffe...

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

36. "Выпуск пакетного фильтра nftables 0.9.2" –1 +/–

Сообщение от mumu (ok), 21-Авг-19, 10:18

Спасибо. Вспомнил, что действительно по два правила раньше писал для tcp и udp. RDP сюда же или openvpn, например.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

44. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от Аноним (44), 23-Авг-19, 13:34

Так что там с заменой ipset? Будет не?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Выпуск пакетного фильтра nftables 0.9.2" +/–

Сообщение от Аноним (41), 23-Авг-19, 14:59

https://wiki.nftables.org/wiki-nftables/index.php/Sets

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Выпуск пакетного фильтра nftables 0.9.2"	–5 +/–
Сообщение от адмирал третьего флота очевидность (?), 19-Авг-19, 23:22
осталось подождать когда на eBPF портируют..
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Выпуск пакетного фильтра nftables 0.9.2"	+8 +/–
Сообщение от Аноним (-), 20-Авг-19, 01:45
> пакетного фильтра Правильно говорить файрволл.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Выпуск пакетного фильтра nftables 0.9.2"	+5 +/–
	Сообщение от Аноним (3), 20-Авг-19, 03:10
	Ага, брандмауер
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	7. "переводится с немецкого на английский как"	+/–
	Сообщение от Andrey Mitrofanov_N0 (??), 20-Авг-19, 08:55
	> Ага, брандмауер https://www.opennet.ru/openforum/vsluhforumID3/38585.html#11
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	25. "Выпуск пакетного фильтра nftables 0.9.2"	–1 +/–
	Сообщение от Sgt. Gram (?), 20-Авг-19, 16:25
	> Ага, брандмауер http://gramota.ru/slovari/dic/?word=%D0%B1%D1...
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Выпуск пакетного фильтра nftables 0.9.2"	–1 +/–
	Сообщение от OpenEcho (?), 20-Авг-19, 06:00
	не-a, - Огненная Стена (ОгнеCтен то бишь :)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	6. "Выпуск пакетного фильтра nftables 0.9.2"	+6 +/–
	Сообщение от Ю.Т. (?), 20-Авг-19, 08:27
	сетекран (сетевой экран)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	23. "Выпуск пакетного фильтра nftables 0.9.2"	+/–
	Сообщение от Аноним (23), 20-Авг-19, 12:53
	Пофигизм в воспитании детей.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

4. "Выпуск пакетного фильтра nftables 0.9.2"	+/–
Сообщение от Аноним (3), 20-Авг-19, 03:12
> Для определения в таблице conntrack связанных с текущим соединением ожидаемых дополнительных соединений Вот это интересно, в таблесах нет такого вроде.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	8. "Выпуск пакетного фильтра nftables 0.9.2"	+/–
	Сообщение от Andrey Mitrofanov_N0 (??), 20-Авг-19, 09:01
	>>в таблице conntrack связанных с текущим соединением ожидаемых дополнительных соединений >в таблесах нет такого вроде. Есть. https://duckduckgo.com/?q=conntrack+iptables&t=ffnt&ia=web $ ( cd /lib/modules/$(uname -r) && find -name 'conntrack' ) ./kernel/net/ipv4/netfilter/nf_conntrack_ipv4.ko ./kernel/net/ipv6/netfilter/nf_conntrack_ipv6.ko ./kernel/net/netfilter/nf_conntrack_amanda.ko ./kernel/net/netfilter/nf_conntrack_broadcast.ko ./kernel/net/netfilter/nf_conntrack_ftp.ko ./kernel/net/netfilter/nf_conntrack_h323.ko ./kernel/net/netfilter/nf_conntrack_irc.ko ./kernel/net/netfilter/nf_conntrack_netbios_ns.ko ./kernel/net/netfilter/nf_conntrack_netlink.ko ./kernel/net/netfilter/nf_conntrack_pptp.ko ./kernel/net/netfilter/nf_conntrack_proto_dccp.ko ./kernel/net/netfilter/nf_conntrack_proto_gre.ko ./kernel/net/netfilter/nf_conntrack_proto_sctp.ko ./kernel/net/netfilter/nf_conntrack_proto_udplite.ko ./kernel/net/netfilter/nf_conntrack_sane.ko ./kernel/net/netfilter/nf_conntrack_sip.ko ./kernel/net/netfilter/nf_conntrack_snmp.ko ./kernel/net/netfilter/nf_conntrack_tftp.ko ./kernel/net/netfilter/xt_conntrack.ko ./kernel/net/netfilter/nf_conntrack.ko $ _
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	18. "Выпуск пакетного фильтра nftables 0.9.2"	+/–
	Сообщение от граммарнаци (?), 20-Авг-19, 10:20
	Так для iptables только набор готовых модулей, а тут можно прямо в конфиге новый протокол добавить
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	21. "Выпуск пакетного фильтра nftables 0.9.2"	–3 +/–
	Сообщение от пох. (?), 20-Авг-19, 11:00
	> Так для iptables только набор готовых модулей, а тут можно прямо в конфиге новый ненужный > протокол добавить поправил, не благодари. добавь туда таким образом... да вот хоть sip ? (раз уж ftp по мнению местных хомячков нинужна и вообще устаревший и плохой, плохой)
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору

9. "Выпуск пакетного фильтра nftables 0.9.2"	+1 +/–
Сообщение от привет (?), 20-Авг-19, 09:06
Кто то им реально пользуется? Так вроде и просто выглядит, и одновременно сложно, из мэ замутили скриптовый язык. Понимаю есть, конечно, серьезные конфигурации , но это вроде больше к сетевикам..
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	10. "Выпуск пакетного фильтра nftables 0.9.2"	+/–
	Сообщение от Аноним (10), 20-Авг-19, 09:34
	А там уже другие железки со своим фаерволом.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	12. "Выпуск пакетного фильтра nftables 0.9.2"	+/–
	Сообщение от Аноним (12), 20-Авг-19, 09:49
	Многие, причём даже не зная об этом.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	13. "Выпуск пакетного фильтра nftables 0.9.2"	–5 +/–
	Сообщение от пох. (?), 20-Авг-19, 09:51
	> Кто то им реально пользуется? firewalld и прочие нескучные десктоп-перделки. > Понимаю есть, конечно, серьезные конфигурации "сириозные конфигурации" на этом нечитаемом трэшаке невозможны. Это я тебе как сетевик говорю. Потому что как раз для них нужна удобочитаемость и возможность поменять конкретное правило, не разбираясь в сотнях строк соседних. А на этом будут только автогенеренные поделки и васянские суперсекьюрные разработки, которые, после (или даже до) ухода васяна только выбросить целиком получится. Ну ничего, зато циска и палоальта продадут больше коробок. (там внутри тоже будет линух, но ни разу не его сетевой стек)
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	19. "Выпуск пакетного фильтра nftables 0.9.2"	+1 +/–
	Сообщение от привет (?), 20-Авг-19, 10:30
	Ну я имел ввиду - попытка сделать что то серьезное на чем то несерьезном, но ты прав, это - фейл. Остается только надеятся что в один прекрасный момент прослойку с таблесами не уберут.. :) Да уж лучше пусть продают коробки :)
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	20. "Выпуск пакетного фильтра nftables 0.9.2"	–1 +/–
	Сообщение от пох. (?), 20-Авг-19, 10:40
	как это то есть не уберут? Они ее уже объявили deprecated. Что у нас в ведре случается с таким кодом, надо объяснять? Да ладно, было бы по чему плакать... это был проект, как обычно "подававший большие надежды", и в принципе-то и выглядел неплохо на фоне конкурентов, но не доделанный в ста местах. Ну будем теперь вместо поделок на линухе использовать краденую asaV. Там хоть packet tracer нормальный. Линейные acl'и - ну как-нибудь переживем.
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	38. "Выпуск пакетного фильтра nftables 0.9.2"	+/–
	Сообщение от size_t (?), 21-Авг-19, 11:29
	> "сириозные конфигурации" на этом нечитаемом трэшаке невозможны. Это я тебе как сетевик говорю. Серьезный сетевик конечно же купит отдельную железку для stateful firewall, да? Как, кстати, на серьезных железках будет выглядеть правило, фильтрующее upd/53 внутри gre-туннеля? Да, туннель транзитный.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	39. "Выпуск пакетного фильтра nftables 0.9.2"	+/–
	Сообщение от пох. (?), 21-Авг-19, 12:16
	>> "сириозные конфигурации" на этом нечитаемом трэшаке невозможны. Это я тебе как сетевик говорю. > Серьезный сетевик конечно же купит отдельную железку для stateful firewall, да? ну а куда деваться-то? Если последний условно-вменяемый пакетный фильтр десять лет не чинили в десяти тривиальных и нескольких нетривиальных местах, а потом просто притащили вместо него неработающий мартышачий кал, а его объявили устаревшим и неправильным? > Как, кстати, на серьезных железках будет выглядеть правило, фильтрующее upd/53 внутри gre- > туннеля? на серьезных железках такой херней не занимаются. Правило будет выглядеть совершенно иначе - что-нибудь типа "allow dns from vpn clients to google and cloudflare" Без уточнения айпишников и того что второй - DoH, и без детальных описаний всех возможных оберток. Минус, что в этом полуестественном интеллекте, у тебя только видимость контроля. А реальный - у индуса где-то в горах. Но никакие другие варианты в общем-то уже давно не имеют смысла (ты все равно хуже индуса, да и не очень хочется за него месить навоз). Кроме васянхостовых, а с теми и firewalld справится.
	Ответить \| Правка \| ^ к родителю #38 \| Наверх \| Cообщить модератору


	40. "Выпуск пакетного фильтра nftables 0.9.2"	+/–
	Сообщение от пох. (?), 21-Авг-19, 12:18
	> ну а куда деваться-то? Если последний условно-вменяемый пакетный фильтр десять лет не > чинили в десяти тривиальных и нескольких нетривиальных местах, а потом просто кстати, вот тривиальнейшее место - это нормальный nat/conntrack для gre туннелей. Нет, никогда не работал, и не мог - и в код лучше даже вообще не смотрите, это п-ц.
	Ответить \| Правка \| ^ к родителю #39 \| Наверх \| Cообщить модератору


	17. "Выпуск пакетного фильтра nftables 0.9.2"	+1 +/–
	Сообщение от sabitov (ok), 20-Авг-19, 10:15
	Угу, я использую за ради поиграться на парочке машин. Количество косяков и граблей зашкаливает. 092 еще не пробовал ничего не скажу, но 07-091 -- те ещё наборы для нескучных развлечений.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	22. "Выпуск пакетного фильтра nftables 0.9.2"	+1 +/–
	Сообщение от AlexYeCu_not_logged (?), 20-Авг-19, 11:48
	>Кто то им реально пользуется? В последнем debian он, вроде как, дефолтный. Правда там есть пока возможность старые правила с iptable-овским синтаксисом использовать.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	28. "Выпуск пакетного фильтра nftables 0.9.2"	+/–
	Сообщение от пох. (?), 20-Авг-19, 16:53
	"если бы еще и работали". Ну нет, в тех пределах, в которых ими умеет пользоваться доскер - работают, да.
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	30. "Выпуск пакетного фильтра nftables 0.9.2"	+/–
	Сообщение от Аноним (30), 20-Авг-19, 19:04
	Я пользуюсь, благодаря новым возможностям nftables получилось оптимизировать правила и снизить нагрузку на процессор в 2 раза по сравнению с iptables.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	34. "Выпуск пакетного фильтра nftables 0.9.2"	+1 +/–
	Сообщение от Анонимный селебрити (?), 20-Авг-19, 23:17
	Ничеси,какой суксесс стори? Детали и бенчи будут?
	Ответить \| Правка \| ^ к родителю #30 \| Наверх \| Cообщить модератору

11. "Выпуск пакетного фильтра nftables 0.9.2"	+/–
Сообщение от Аноним (10), 20-Авг-19, 09:37
>В выражениях теперь допустимо указание сетевых префиксов и диапазонов адресов: Этого не умел? Так теперь чтобы данный функционал появился в стабильных дистрибутивах минимум года три надо будет ждать.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	14. "Выпуск пакетного фильтра nftables 0.9.2"	+/–
	Сообщение от пох. (?), 20-Авг-19, 09:53
	это нынче такой модный подход - объявить уже почти совсем окончательно готовым, предыдущее работающее решение поломать и выкинуть, а потом доделывать базовые тривиальные вещи, патамушта альтернативно-одаренному разработчику они вообще в голову не приходили - там смузи бродит.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору

15. "Выпуск пакетного фильтра nftables 0.9.2"	+3 +/–
Сообщение от лютый жабист__ (?), 20-Авг-19, 09:54
1:0 Девопусы vs сисадмины девопусы iptables не знали, а теперь он и не нужен. а админам опять страдать.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	16. "Выпуск пакетного фильтра nftables 0.9.2"	–3 +/–
	Сообщение от пох. (?), 20-Авг-19, 10:06
	> девопусы iptables не знали так им и не надо было - за них доскер все делает сам, интуитивно-приятным образом. Не особо-то и оставляя возможность вмешиваться вручную. Кстати, у него, кажется, возникли какие-то сложности с nft - официальной поддержки по сей день нет, только кривые васян-скрипты. Впрочем, через враппер, наверное, кое-как работает. > а админам опять страдать. админы ненужно и должны страдать, выбрав линух в качестве специализации. Вон админы вмвари ни разу не страдают - да, фиревал убогонький, но вполне заточен под ручное управление в тех пределах, в которых надо.
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору