forum.opennet.ru - "Выпуск пакетного фильтра nftables 1.0.8" (37)

"Выпуск пакетного фильтра nftables 1.0.8"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск пакетного фильтра nftables 1.0.8"	+/–
Сообщение от opennews (??), 15-Июл-23, 13:04
Опубликован выпуск пакетного фильтра nftables 1.0.8, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59444
Ответить \| Правка \| Cообщить модератору

Оглавление

Нормально, JSON для автогенераций, счётчики для биллинга в облаках , Роман (??), 13:04 , 15-Июл-23, (1) +1
Ничему их история успеха флэша не научила, всё тянут свои виртуальные машины с ж, Аноним (2), 13:05 , 15-Июл-23, (2) +2

Надо на webassebly 8212 он универсален , Тот_Самый_Анонимус__ (?), 13:43 , 15-Июл-23, (3) –1

Что лучше использовать для изучения сетей nftables или pf , Всадник Апокалипсиса (?), 14:46 , 15-Июл-23, (4)

лучше пару лет потерпеть и сразу учить пакетный фильтр будущего, вместо этих кус, Аноним (5), 15:08 , 15-Июл-23, (5) +1

Что это ещё за пакетный фильтр будущего , Всадник Апокалипсиса (?), 15:26 , 15-Июл-23, (6) –1

достаточно одной команды deny, Госпидя (?), 18:24 , 16-Июл-23, (31) +1

Cisco, leap42 (ok), 15:30 , 15-Июл-23, (7) +3

Он попросил для изучения, а не мучения, Аноним (8), 15:36 , 15-Июл-23, (8) +4

я бы сказал vendor имения , Аноним (26), 02:34 , 16-Июл-23, (26)

А если на это нет денег , Иваня (?), 15:37 , 15-Июл-23, (9)
Ушла, Аноним (21), 20:16 , 15-Июл-23, (21) –1

Ну, а фильтрацию по string, как в iptables --match string не завезли до сих пор , lucentcode (ok), 17:24 , 15-Июл-23, (10) +1

Если вас не устраивает nftables, зачем на него переезжать Оставайтесь с iptables, Аноим (?), 17:54 , 15-Июл-23, (11)

из rhel 9 iptables выпилен, Андрей04091977 (ok), 17:59 , 15-Июл-23, (13) +2

Кто вам такое сказал iptables-legacy на месте, мы допустим на nftables не перее, Tron is Whistling (?), 20:44 , 15-Июл-23, (24)

Айпишник - это не строка Это 32 бита в случае с IPv4 Фильтруются по префиксу П, Аноним (15), 18:50 , 15-Июл-23, (15) +5

Собирается впарить в пользовательские браузеры корпоратиный безопастный сертефик, Аноним (21), 20:19 , 15-Июл-23, (22)
В DNS-запросах например можно строку поискать , Tron is Whistling (?), 20:45 , 15-Июл-23, (25) +1

Можно, и даже изредка нужно Но чаще всё равно приходится пользоваться отдельным, Аноним (32), 18:50 , 16-Июл-23, (32)

А кто говорил, что IP 8212 это строка Я, выше, подобного нигде не писал Сам, lucentcode (ok), 13:18 , 31-Июл-23, (41)

Даже Red Hat офигел от вида этих правил и написал к ним фронтенд - firewalld По, Аноним (14), 18:00 , 15-Июл-23, (14) +4

Выпуск пакетного фильтра nftables 1.0.8, Пушок (?), 19:10 , 15-Июл-23, (17) +2
Не дац боженька такого счастья Уд лучше алкоголиком , Аноним (19), 20:03 , 15-Июл-23, (19)

писал выпимши , Аноним (19), 20:04 , 15-Июл-23, (20)

В firewalld я стараюсь берег не терять из виду, там тоже можно утонуть Хорошо, , Аноним (23), 20:28 , 15-Июл-23, (23) +1
Так-то все совсем наоборот, firewalld нарисован чтобы можно было на плоских порт, Аноним (27), 05:06 , 16-Июл-23, (27) –1
однако json лучше чем yaml, а то ещё пропустишь пробел пока редактируешь в nano, Аноним (5), 06:55 , 16-Июл-23, (28)
А как я много лет пользовался firewalld ДО появления nftables тогда Вообще fire, Аноним (29), 07:07 , 16-Июл-23, (29)

Всё просто до появления nftables firewalld был фронтом для itables Т е для те, jeyson (?), 20:03 , 16-Июл-23, (34)

наоборот Эти невменяемые простыни с фигурными скобочками, непригодные для управ, пох. (?), 09:57 , 16-Июл-23, (30) +1

Так хорошо же Наконец-то делают удобно А когда неудобно, всегда можно собствен, Аноним (32), 18:52 , 16-Июл-23, (33) –1

Кому удобно Мне было вполне удобно с iptables Не без косяков которые не могли, пох. (?), 21:44 , 16-Июл-23, (36)

Мне удобно Ну и ещё пару ребят знаю, им тоже нравится как оно в продах топ500 р, Аноним (32), 17:33 , 17-Июл-23, (37)

ок Вот такой линoops Паре ребят сделали щастье потому что за ними платиновый , пох. (?), 18:22 , 17-Июл-23, (38)

Кто девушку ужинает, тот её и танцует Ты вроде взрослый мужик, уже стыдно думат, Аноним (32), 23:03 , 18-Июл-23, (39)

Я пишу без фигурных скобочек за исключением минималистичной части - объявляения, Легивон (?), 21:33 , 21-Июл-23, (40)

Сообщения [Сортировка по времени | RSS]

1. "Выпуск пакетного фильтра nftables 1.0.8" +1 +/–

Сообщение от Роман (??), 15-Июл-23, 13:04

Нормально, JSON для автогенераций, счётчики для биллинга в "облаках"

Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск пакетного фильтра nftables 1.0.8" +2 +/–

Сообщение от Аноним (2), 15-Июл-23, 13:05

Ничему их история успеха флэша не научила, всё тянут свои виртуальные машины с житами.

Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск пакетного фильтра nftables 1.0.8" –1 +/–

Сообщение от Тот_Самый_Анонимус__ (?), 15-Июл-23, 13:43

Надо на webassebly — он универсален.

Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от Всадник Апокалипсиса (?), 15-Июл-23, 14:46

Что лучше использовать для изучения сетей: nftables или pf?

Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск пакетного фильтра nftables 1.0.8" +1 +/–

Сообщение от Аноним (5), 15-Июл-23, 15:08

лучше пару лет потерпеть и сразу учить пакетный фильтр будущего, вместо этих кусков г.

Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск пакетного фильтра nftables 1.0.8" –1 +/–

Сообщение от Всадник Апокалипсиса (?), 15-Июл-23, 15:26

Что это ещё за пакетный фильтр будущего?

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск пакетного фильтра nftables 1.0.8" +1 +/–

Сообщение от Госпидя (?), 16-Июл-23, 18:24

достаточно одной команды deny

Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск пакетного фильтра nftables 1.0.8" +3 +/–

Сообщение от leap42 (ok), 15-Июл-23, 15:30

> Что лучше использовать для изучения сетей: nftables или pf?
Cisco

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

8. "Выпуск пакетного фильтра nftables 1.0.8" +4 +/–

Сообщение от Аноним (8), 15-Июл-23, 15:36

Он попросил для изучения, а не мучения

Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от Аноним (26), 16-Июл-23, 02:34

я бы сказал vendor"имения"

Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от Иваня (?), 15-Июл-23, 15:37

А если на это нет денег?

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

21. "Выпуск пакетного фильтра nftables 1.0.8" –1 +/–

Сообщение от Аноним (21), 15-Июл-23, 20:16

Ушла

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

10. "Выпуск пакетного фильтра nftables 1.0.8" +1 +/–

Сообщение от lucentcode (ok), 15-Июл-23, 17:24

Ну, а фильтрацию по string, как в iptables --match string не завезли до сих пор? Уже не один год простейшее(модуль string) завести не могут. Нет, я конечно понимаю, что можно перевести строку в байты, и по байтам фильтровать пакеты, но делать это вручную жутко не удобно. То ли дело фичи модуля string, с ними дело идёт куда веселей.

Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от Аноим (?), 15-Июл-23, 17:54

Если вас не устраивает nftables, зачем на него переезжать?
Оставайтесь с iptables

Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск пакетного фильтра nftables 1.0.8" +2 +/–

Сообщение от Андрей04091977 (ok), 15-Июл-23, 17:59

из rhel 9 iptables выпилен

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от Tron is Whistling (?), 15-Июл-23, 20:44

Кто вам такое сказал? iptables-legacy на месте, мы допустим на nftables не переехали ещё.

Ответить | Правка | Наверх | Cообщить модератору

15. "Выпуск пакетного фильтра nftables 1.0.8" +5 +/–

Сообщение от Аноним (15), 15-Июл-23, 18:50

Айпишник - это не строка. Это 32 бита в случае с IPv4. Фильтруются по префиксу.
Пакет - это тоже не строка. Это не UTF-8 строка, это не ASCII-строка, это не еще-черт-знает-в-какой-кодировке строка. Это набор байт, причем потенциально зашифрованных в случае с TLS. Что ты там собрался фильтровать по строке - остается загадкой блдь.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

22. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от Аноним (21), 15-Июл-23, 20:19

Собирается впарить в пользовательские браузеры корпоратиный безопастный сертефикат.

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск пакетного фильтра nftables 1.0.8" +1 +/–

Сообщение от Tron is Whistling (?), 15-Июл-23, 20:45

В DNS-запросах например можно строку поискать.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

32. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от Аноним (32), 16-Июл-23, 18:50

Можно, и даже изредка нужно. Но чаще всё равно приходится пользоваться отдельным AF типа Knot resolver, потому что строку поискать мало, надо ещё с результатом что-то сделать, и чаще нетривиальное.

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от lucentcode (ok), 31-Июл-23, 13:18

> Айпишник - это не строка. Это 32 бита в случае с IPv4. Фильтруются по префиксу.
А кто говорил, что IP — это строка? Я, выше, подобного нигде не писал. Сами за меня придумали тезис, сами его опровергли? Как это похоже на школьника🤣
> Пакет - это тоже не строка. Это не UTF-8 строка, это не ASCII-строка, это не еще-черт-знает-в-какой-кодировке строка.
О великий гуру! Спасибо за твоё наставление(на самом деле — нет, не спасибо). Все в курсе, что пакет — это набор байт, представляете? Как и про то, что некоторые наборы байт можно сопоставить с другими наборами байт, и если они матчатся, правило может дропнуть пакеты, где обнаружило такое совпадение. Прикольно, правда? Бьюсь об заклад, что вам подобное в голову даже не приходило, мало работаете с сетевыми сервисами, верно?
Теперь по существу:
С помощью модуля string можно резать на серваке с веб-сервером запросы к определённому домену
```
iptables -I INPUT -p tcp --dport 80 -m string --string "Host: example.com" --algo kmp -j DROP
```
фильтрация идёт по пакетам, составляющим строку с hostname заголовка Host:. Очень удобное решение, когда у вас на серваке пара десятков сайтов, и на один из них валит HTTP FLOOD, а сайт не стоит того, чтобы его уводить на защиту L7 от DDoS, при этом остальные сайты должны продолжать нормально работать. Да, трюк с такой блокировкой можно обойти, и я даже могу подсказать как, чтобы серверу опять поплохело, но большинство атакующих такие ламеры, что про такие нюансы просто не знают, а потому в 99.99% этот трюк просто работает. И да, заблокировать доступ к виртуальному хосту в конфиге сервера на время, пока сайт заблокирован, ради очень редких случаев обхода подобной блокировки можно, но до этого админу сервачка с недо-сайтами ещё додуматься надо. А порезать трафик правилом, что указано выше, легко, как два пальца об асфальт.
Режем трафик к конкретной странице
```
iptables -I INPUT -p tcp --dport 80 -m string --string "Host: example.com" --algo kmp -m
string --string "GET /admin" --algo kmp -j DROP
```
тоже просто, верно?
Да, последний кейсы будет работать только с HTTP, на HTTPS не сработает. А предыдущий, блокирующий весь домен, отлично работает и с HTTPS со SNI.
А почему работает? Потому что модуль string отлично знает, строка преобразовывается в байты, и умеет сопоставлять байты из трафика с фрагментом строки, переданным ему в качестве образца.
Можно ли сделать то же самое, тупо передав в параметрах фильтрующего правила уже перекодированную в байты подстроку? Естественно. И nftables это умеет, представляете? Но, это не удобно, так как нужно специальным скриптом, или вручную, перекодировать строку в байты. И если правил таких у вас несколько, при просмотре правил, и удалении уже не актуальных, вам нужно каждый раз вспоминать, как выглядит набор байт(к примеру в шестнадцатеричной кодировке), сопоставимых с вашей строкой. Одна беда, nftables умеет фильровать пакеты по содержимому байт только если известно, на смещении от начала пакета находятся байты, что нужно сравнивать с вашим образцом. iptables же такие низкоуровневые подробности не требует, он и в этом пока ложит nftables на лопатки.
Про DNS выше комрады уже писали. Тоже кейс вполне себе часто встречающийся, когда нужно сделать что-то с трафиком, упоминающим какую-то строку. Но, для udp-запросов режем пакеты по набору байт, так как в случае с udp запросами к dns домен выглядит не так, как в строке(точки заменяются на нули, к примеру), такое сопоставление требует -m string --hex-string.
Но, nftables не умеет делать даже это нормально, у его встроенного режима сопоставления байт по набору их содержимого в шестнадцатеричном виде есть ограничения на длину одного набора байт, сопоставляемых с трафиком, и другие не приятные нюансы. Но, судя по тому, что вы о таких нюансах даже не знаете, вам просто никогда не приходилось использовать подобные запросы. Вероятно вы диванный теоретик, а не реально работающий админ, верно?

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

14. "Выпуск пакетного фильтра nftables 1.0.8" +4 +/–

Сообщение от Аноним (14), 15-Июл-23, 18:00

Даже Red Hat офигел от вида этих правил и написал к ним фронтенд - firewalld. Потому что знали, что иначе саппорт утонет в вопросас от тех, кому не посчастливилось родиться гиком и кто не в состоянии вникнуть в эту мешанину фигурных скобок...

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск пакетного фильтра nftables 1.0.8" +2 +/–

Сообщение от Пушок (?), 15-Июл-23, 19:10

>Даже Red Hat офигел от вида этих правил и написал к ним фронтенд - firewalld. Потому что знали, что всё меньше остаётся желающих тратить жизнь на мешанину фигурных скобок...

Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от Аноним (19), 15-Июл-23, 20:03

> посчастливилось родиться гиком
Не дац боженька такого счастья. Уд лучше алкоголиком.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

20. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от Аноним (19), 15-Июл-23, 20:04

(писал выпимши)

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск пакетного фильтра nftables 1.0.8" +1 +/–

Сообщение от Аноним (23), 15-Июл-23, 20:28

В firewalld я стараюсь берег не терять из виду, там тоже можно утонуть. Хорошо, что 99% задач на поверхности. А если от скуки заглянуть поглубже в кроличью нору, получаешь по ЧСВ нокаутирующий удар.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

27. "Выпуск пакетного фильтра nftables 1.0.8" –1 +/–

Сообщение от Аноним (27), 16-Июл-23, 05:06

Так-то все совсем наоборот, firewalld нарисован чтобы можно было на плоских портянках iptables соорудить что-то удобоваримое.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

28. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от Аноним (5), 16-Июл-23, 06:55

однако json лучше чем yaml, а то ещё пропустишь пробел пока редактируешь в nano

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

29. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от Аноним (29), 16-Июл-23, 07:07

А как я много лет пользовался firewalld ДО появления nftables тогда? Вообще firewalld лишь недавно портировали для работы с nftables (и то в связи с депрекацией iptables).

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

34. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от jeyson (?), 16-Июл-23, 20:03

Всё просто: до появления nftables firewalld был фронтом для itables. Т.е. для тех, кто умел только firewalld пользоваться, переход состоялся вобще незаметно. Круто же

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск пакетного фильтра nftables 1.0.8" +1 +/–

Сообщение от пох. (?), 16-Июл-23, 09:57

> Даже Red Hat офигел от вида этих правил и написал к ним фронтенд - firewalld.
наоборот. Эти невменяемые простыни с фигурными скобочками, непригодные для управления из командной строки и чтения человеком - как раз и придуманы чтобы упростить написание firewalld и гомощельных интерфейсов какввенде.
Или ты думал, что формат вывода в нескучном json - это для людей делали?

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

33. "Выпуск пакетного фильтра nftables 1.0.8" –1 +/–

Сообщение от Аноним (32), 16-Июл-23, 18:52

Так хорошо же. Наконец-то делают удобно. А когда неудобно, всегда можно собственный генератор правил написать. Кодить-то хоть умеешь?

Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от пох. (?), 16-Июл-23, 21:44

Кому удобно? Мне было вполне удобно с iptables. Не без косяков (которые не могли исправить годами - эти вот умеющие кодить) но пользоваться было можно.
А какввенде у меня уже есть - в венде. И кодить не надо.

Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от Аноним (32), 17-Июл-23, 17:33

Мне удобно. Ну и ещё пару ребят знаю, им тоже нравится как оно в продах топ500 работает. Если тебе не подходит, ну что ж сделаешь? Не пользуйся, накодь своё.

Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от пох. (?), 17-Июл-23, 18:22

> Мне удобно. Ну и ещё пару ребят знаю, им тоже нравится как
> оно в продах топ500 работает.
ок. Вот такой линoops. Паре ребят сделали щастье (потому что за ними платиновый спонсор, зато сэкономивший на сетевом железе за их счет), остальным устроили п-ц. А потом такие "пачиму вы нас не любите".
> Если тебе не подходит, ну что ж сделаешь? Не пользуйся, накодь своё.
ты уже много накодил-то?
Не пользуюсь, линoops пошел нахрен со всех моих сетевых фильтров. Доживает свой век в паре совсем древних систем, естественно, с iptables и древним-древним ведром без вредных улучшизмов додолбавших их таки в хлам. Либо ng-fw, либо уж хрен с ним, древний цискин аплайанс. По сравнению с iptables чудовищно уродливо (но спасает трассировщик которого у вас нет и не будет) по сравнению с этим фигурноскобчатым невменозом - просто само совершенство.

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от Аноним (32), 18-Июл-23, 23:03

> Паре ребят сделали щастье (потому что за ними платиновый спонсор
Кто девушку ужинает, тот её и танцует. Ты вроде взрослый мужик, уже стыдно думать в твоём возрасте что тебе мир что-то должен.
> А потом такие "пачиму вы нас не любите".
Это тебе кажется. Вряд ли кто-то так спрашивает на самом деле. Отчасти потому, что в гнавшихся три дня, чтобы сказать как им безразличен линукс в интернете никогда не было недостатка, отчасти потому, что без разницы кто там кого любит или не любит. Любить или не любить можно человека. А линукс — просто инструмент для зарабатывания денег. Если ты не можешь на нём зарабатывать, чьи это проблемы?
> ты уже много накодил-то?
Сегодня прям дохера, часа три код писал не отрываясь. А ты?
> линoops пошел нахрен со всех моих сетевых фильтров
КИСА ТЫ ОБИДЕЛАС?

Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск пакетного фильтра nftables 1.0.8" +/–

Сообщение от Легивон (?), 21-Июл-23, 21:33

Я пишу без фигурных скобочек (за исключением минималистичной части - объявляения таблиц/чейнов/хуков, которые я забил 1 раз в плейбук и больше о них не вспоминал) и у меня все работает. И от iptables отличается лишь синтаксисом (в iptables короткие аргументы с тире, а в nftables слова, но соотвествие по сути 1:1, переучиваться не надо).
За это небольшое неудобство я получаю дичайшую киллер фитчу - бесшовное обновление МЭ находу и ipsets встроеные в фаервол! Только за это можно смело сказать: nftables - NUJNO, хорошо сделали.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Выпуск пакетного фильтра nftables 1.0.8"	+1 +/–
Сообщение от Роман (??), 15-Июл-23, 13:04
Нормально, JSON для автогенераций, счётчики для биллинга в "облаках"
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Выпуск пакетного фильтра nftables 1.0.8"	+2 +/–
Сообщение от Аноним (2), 15-Июл-23, 13:05
Ничему их история успеха флэша не научила, всё тянут свои виртуальные машины с житами.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Выпуск пакетного фильтра nftables 1.0.8"	–1 +/–
	Сообщение от Тот_Самый_Анонимус__ (?), 15-Июл-23, 13:43
	Надо на webassebly — он универсален.
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Выпуск пакетного фильтра nftables 1.0.8"	+/–
Сообщение от Всадник Апокалипсиса (?), 15-Июл-23, 14:46
Что лучше использовать для изучения сетей: nftables или pf?
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Выпуск пакетного фильтра nftables 1.0.8"	+1 +/–
	Сообщение от Аноним (5), 15-Июл-23, 15:08
	лучше пару лет потерпеть и сразу учить пакетный фильтр будущего, вместо этих кусков г.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Выпуск пакетного фильтра nftables 1.0.8"	–1 +/–
	Сообщение от Всадник Апокалипсиса (?), 15-Июл-23, 15:26
	Что это ещё за пакетный фильтр будущего?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Выпуск пакетного фильтра nftables 1.0.8"	+1 +/–
	Сообщение от Госпидя (?), 16-Июл-23, 18:24
	достаточно одной команды deny
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Выпуск пакетного фильтра nftables 1.0.8"	+3 +/–
	Сообщение от leap42 (ok), 15-Июл-23, 15:30
	> Что лучше использовать для изучения сетей: nftables или pf? Cisco
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	8. "Выпуск пакетного фильтра nftables 1.0.8"	+4 +/–
	Сообщение от Аноним (8), 15-Июл-23, 15:36
	Он попросил для изучения, а не мучения
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Выпуск пакетного фильтра nftables 1.0.8"	+/–
	Сообщение от Аноним (26), 16-Июл-23, 02:34
	я бы сказал vendor"имения"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Выпуск пакетного фильтра nftables 1.0.8"	+/–
	Сообщение от Иваня (?), 15-Июл-23, 15:37
	А если на это нет денег?
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	21. "Выпуск пакетного фильтра nftables 1.0.8"	–1 +/–
	Сообщение от Аноним (21), 15-Июл-23, 20:16
	Ушла
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору

10. "Выпуск пакетного фильтра nftables 1.0.8"	+1 +/–
Сообщение от lucentcode (ok), 15-Июл-23, 17:24
Ну, а фильтрацию по string, как в iptables --match string не завезли до сих пор? Уже не один год простейшее(модуль string) завести не могут. Нет, я конечно понимаю, что можно перевести строку в байты, и по байтам фильтровать пакеты, но делать это вручную жутко не удобно. То ли дело фичи модуля string, с ними дело идёт куда веселей.
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Выпуск пакетного фильтра nftables 1.0.8"	+/–
	Сообщение от Аноим (?), 15-Июл-23, 17:54
	Если вас не устраивает nftables, зачем на него переезжать? Оставайтесь с iptables
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Выпуск пакетного фильтра nftables 1.0.8"	+2 +/–
	Сообщение от Андрей04091977 (ok), 15-Июл-23, 17:59
	из rhel 9 iptables выпилен
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Выпуск пакетного фильтра nftables 1.0.8"	+/–
	Сообщение от Tron is Whistling (?), 15-Июл-23, 20:44
	Кто вам такое сказал? iptables-legacy на месте, мы допустим на nftables не переехали ещё.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Выпуск пакетного фильтра nftables 1.0.8"	+5 +/–
	Сообщение от Аноним (15), 15-Июл-23, 18:50
	Айпишник - это не строка. Это 32 бита в случае с IPv4. Фильтруются по префиксу. Пакет - это тоже не строка. Это не UTF-8 строка, это не ASCII-строка, это не еще-черт-знает-в-какой-кодировке строка. Это набор байт, причем потенциально зашифрованных в случае с TLS. Что ты там собрался фильтровать по строке - остается загадкой блдь.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	22. "Выпуск пакетного фильтра nftables 1.0.8"	+/–
	Сообщение от Аноним (21), 15-Июл-23, 20:19
	Собирается впарить в пользовательские браузеры корпоратиный безопастный сертефикат.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Выпуск пакетного фильтра nftables 1.0.8"	+1 +/–
	Сообщение от Tron is Whistling (?), 15-Июл-23, 20:45
	В DNS-запросах например можно строку поискать.
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	32. "Выпуск пакетного фильтра nftables 1.0.8"	+/–
	Сообщение от Аноним (32), 16-Июл-23, 18:50
	Можно, и даже изредка нужно. Но чаще всё равно приходится пользоваться отдельным AF типа Knot resolver, потому что строку поискать мало, надо ещё с результатом что-то сделать, и чаще нетривиальное.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Выпуск пакетного фильтра nftables 1.0.8"	+/–
	Сообщение от lucentcode (ok), 31-Июл-23, 13:18
	> Айпишник - это не строка. Это 32 бита в случае с IPv4. Фильтруются по префиксу. А кто говорил, что IP — это строка? Я, выше, подобного нигде не писал. Сами за меня придумали тезис, сами его опровергли? Как это похоже на школьника🤣 > Пакет - это тоже не строка. Это не UTF-8 строка, это не ASCII-строка, это не еще-черт-знает-в-какой-кодировке строка. О великий гуру! Спасибо за твоё наставление(на самом деле — нет, не спасибо). Все в курсе, что пакет — это набор байт, представляете? Как и про то, что некоторые наборы байт можно сопоставить с другими наборами байт, и если они матчатся, правило может дропнуть пакеты, где обнаружило такое совпадение. Прикольно, правда? Бьюсь об заклад, что вам подобное в голову даже не приходило, мало работаете с сетевыми сервисами, верно? Теперь по существу: С помощью модуля string можно резать на серваке с веб-сервером запросы к определённому домену ``` iptables -I INPUT -p tcp --dport 80 -m string --string "Host: example.com" --algo kmp -j DROP ``` фильтрация идёт по пакетам, составляющим строку с hostname заголовка Host:. Очень удобное решение, когда у вас на серваке пара десятков сайтов, и на один из них валит HTTP FLOOD, а сайт не стоит того, чтобы его уводить на защиту L7 от DDoS, при этом остальные сайты должны продолжать нормально работать. Да, трюк с такой блокировкой можно обойти, и я даже могу подсказать как, чтобы серверу опять поплохело, но большинство атакующих такие ламеры, что про такие нюансы просто не знают, а потому в 99.99% этот трюк просто работает. И да, заблокировать доступ к виртуальному хосту в конфиге сервера на время, пока сайт заблокирован, ради очень редких случаев обхода подобной блокировки можно, но до этого админу сервачка с недо-сайтами ещё додуматься надо. А порезать трафик правилом, что указано выше, легко, как два пальца об асфальт. Режем трафик к конкретной странице ``` iptables -I INPUT -p tcp --dport 80 -m string --string "Host: example.com" --algo kmp -m string --string "GET /admin" --algo kmp -j DROP ``` тоже просто, верно? Да, последний кейсы будет работать только с HTTP, на HTTPS не сработает. А предыдущий, блокирующий весь домен, отлично работает и с HTTPS со SNI. А почему работает? Потому что модуль string отлично знает, строка преобразовывается в байты, и умеет сопоставлять байты из трафика с фрагментом строки, переданным ему в качестве образца. Можно ли сделать то же самое, тупо передав в параметрах фильтрующего правила уже перекодированную в байты подстроку? Естественно. И nftables это умеет, представляете? Но, это не удобно, так как нужно специальным скриптом, или вручную, перекодировать строку в байты. И если правил таких у вас несколько, при просмотре правил, и удалении уже не актуальных, вам нужно каждый раз вспоминать, как выглядит набор байт(к примеру в шестнадцатеричной кодировке), сопоставимых с вашей строкой. Одна беда, nftables умеет фильровать пакеты по содержимому байт только если известно, на смещении от начала пакета находятся байты, что нужно сравнивать с вашим образцом. iptables же такие низкоуровневые подробности не требует, он и в этом пока ложит nftables на лопатки. Про DNS выше комрады уже писали. Тоже кейс вполне себе часто встречающийся, когда нужно сделать что-то с трафиком, упоминающим какую-то строку. Но, для udp-запросов режем пакеты по набору байт, так как в случае с udp запросами к dns домен выглядит не так, как в строке(точки заменяются на нули, к примеру), такое сопоставление требует -m string --hex-string. Но, nftables не умеет делать даже это нормально, у его встроенного режима сопоставления байт по набору их содержимого в шестнадцатеричном виде есть ограничения на длину одного набора байт, сопоставляемых с трафиком, и другие не приятные нюансы. Но, судя по тому, что вы о таких нюансах даже не знаете, вам просто никогда не приходилось использовать подобные запросы. Вероятно вы диванный теоретик, а не реально работающий админ, верно?
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору

14. "Выпуск пакетного фильтра nftables 1.0.8"	+4 +/–
Сообщение от Аноним (14), 15-Июл-23, 18:00
Даже Red Hat офигел от вида этих правил и написал к ним фронтенд - firewalld. Потому что знали, что иначе саппорт утонет в вопросас от тех, кому не посчастливилось родиться гиком и кто не в состоянии вникнуть в эту мешанину фигурных скобок...
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Выпуск пакетного фильтра nftables 1.0.8"	+2 +/–
	Сообщение от Пушок (?), 15-Июл-23, 19:10
	>Даже Red Hat офигел от вида этих правил и написал к ним фронтенд - firewalld. Потому что знали, что всё меньше остаётся желающих тратить жизнь на мешанину фигурных скобок...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Выпуск пакетного фильтра nftables 1.0.8"	+/–
	Сообщение от Аноним (19), 15-Июл-23, 20:03
	> посчастливилось родиться гиком Не дац боженька такого счастья. Уд лучше алкоголиком.
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	20. "Выпуск пакетного фильтра nftables 1.0.8"	+/–
	Сообщение от Аноним (19), 15-Июл-23, 20:04
	(писал выпимши)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Выпуск пакетного фильтра nftables 1.0.8"	+1 +/–
	Сообщение от Аноним (23), 15-Июл-23, 20:28
	В firewalld я стараюсь берег не терять из виду, там тоже можно утонуть. Хорошо, что 99% задач на поверхности. А если от скуки заглянуть поглубже в кроличью нору, получаешь по ЧСВ нокаутирующий удар.
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	27. "Выпуск пакетного фильтра nftables 1.0.8"	–1 +/–
	Сообщение от Аноним (27), 16-Июл-23, 05:06
	Так-то все совсем наоборот, firewalld нарисован чтобы можно было на плоских портянках iptables соорудить что-то удобоваримое.
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	28. "Выпуск пакетного фильтра nftables 1.0.8"	+/–
	Сообщение от Аноним (5), 16-Июл-23, 06:55
	однако json лучше чем yaml, а то ещё пропустишь пробел пока редактируешь в nano
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	29. "Выпуск пакетного фильтра nftables 1.0.8"	+/–
	Сообщение от Аноним (29), 16-Июл-23, 07:07
	А как я много лет пользовался firewalld ДО появления nftables тогда? Вообще firewalld лишь недавно портировали для работы с nftables (и то в связи с депрекацией iptables).
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	34. "Выпуск пакетного фильтра nftables 1.0.8"	+/–
	Сообщение от jeyson (?), 16-Июл-23, 20:03
	Всё просто: до появления nftables firewalld был фронтом для itables. Т.е. для тех, кто умел только firewalld пользоваться, переход состоялся вобще незаметно. Круто же
	Ответить \| Правка \| Наверх \| Cообщить модератору