Перейти к содержимому


Фото

iptables rip?

вендекапец ubuntu iptables nftables

  • Чтобы отвечать, сперва войдите на форум
59 ответов в теме

Опрос: nftables (16 пользователей проголосовали)

Как?

  1. Круть, буду использовать (1 голосов [6.25%])

    Процент голосов: 6.25%

  2. Круть, но не буду использовать до последнего (4 голосов [25.00%])

    Процент голосов: 25.00%

  3. Вовсе не круть (1 голосов [6.25%])

    Процент голосов: 6.25%

  4. Кто тут? (10 голосов [62.50%])

    Процент голосов: 62.50%

Голосовать Гости не могут голосовать

#1 Оффлайн   olegus

olegus

    I like I

  • Мембер
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 39 822 Сообщений:
  • Авто:Volvo 440

Опубликовано 20.12.2015 - 12:59

Как-то такая новость осталась незамеченой?
 
В 3.13 появился новый фаервол, призванный заменить привычный всем iptables (nftables is the project that aims to replace the existing {ip,ip6,arp,eb}tables framework aka iptables, если уж говорить полностью). и он имеет другой синтаксис. как говорят западные коллеги: Yes, if you are used to iptables, that’s a shock. Шок не шок, но синтаксис чем-то неуловимо напоминает ipfw :)
 
было
iptables -A FORWARD -p tcp --dport 22 -j LOG 
iptables -A FORWARD -p tcp --dport 22 -j DROP
стало
nft add rule filter forward tcp dport 22 log drop

было
ip6tables -A INPUT -p tcp -m multiport --dports 23,80,443 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
стало
nft add rule ip6 filter input tcp dport {telnet, http, https} accept
nft add rule ip6 filter input icmpv6 type { nd-neighbor-solicit, echo-request, nd-router-advert, nd-neighbor-advert } accept
вместо цепочек появились именованые списки
nft> add set global [b]ipv4_ad[/b] { type ipv4_address;}
nft> add element global ipv4_ad { 192.168.1.4, 192.168.1.5 }
nft> add rule ip global filter ip saddr @ipv4_ad drop
And later when a new bad boy is detected мы можем одной строкой добавить
nft> add element global ipv4_ad { 192.168.3.4 }
чем это лучше отдельной цепочки я пока не понял.

хотя цепочки тоже на месте, но называются Mapping
nft> add map filter jump_map { type ifindex : verdict; }
nft> add element filter jump_map { eth0 : jump low_sec; }
nft> add element filter jump_map { eth1 : jump high_sec; }
nft> add rule filter input iif vmap @jump_map
и при поднятии ppp1
nft> add element filter jump_map { ppp1 : jump low_sec; }
вобщем пока выгоды не очевидны. с одной стороны iptables безусловно перегружены, с другой читаются, имхо, проще.
  • 0
*** Неоднократно уличён в трансляции дезинформации. Каждый высер рекомендуется проверять с лупой ***

#2 Оффлайн   Boss

Boss

    Хорошо информированный оптимист

  • Banned
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 12 154 Сообщений:
  • Авто:Kia Sportage + Kia Cerato

Опубликовано 20.12.2015 - 13:11

Эта муть достойна отдельной темы?


  • 8
<p>Omnia transeunt et id quoque etiam transeat...</p>

#3 Оффлайн   mijgan

mijgan

    Кавалер ордена флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 568 Сообщений:
  • Авто:Красный Форь

Опубликовано 20.12.2015 - 13:37

Я не рад. Только с iptables разберешься более-менее, подоспевает новая фигня. И да, синтаксис похож даже на виндовый netsh firewall / advfirewall


  • 1

#4 Оффлайн   Пам-пам

Пам-пам

    Дважды герой флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 2 269 Сообщений:

Опубликовано 20.12.2015 - 13:50

Я не рад. Только с iptables разберешься более-менее, подоспевает новая фигня.

 

Просто есть категория людей, которой нравится во всем этом ковыряться. Не результат, а процесс.


  • 0

#5 Оффлайн   тов. Сухов

тов. Сухов

    Магистр флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 19 072 Сообщений:
  • Авто:MKZ

Опубликовано 20.12.2015 - 13:52

Эта муть достойна отдельной темы?


Что самое интересное: ТАКАЯ НОВОСТЬ на АВТОфоруме, вдруг осталась незамеченной - как же так?))))
  • 1

Cars from USA

Mustang 18+ от 2.2

F150 / Ram 19+ от 2.5

СБКТС, ГЛОНАСС, ЭПТС


#6 Оффлайн   olegus

olegus

    I like I

  • Мембер
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 39 822 Сообщений:
  • Авто:Volvo 440

Опубликовано 20.12.2015 - 14:01

Эта муть достойна отдельной темы?

на этом работает весь мир.
  • 0
*** Неоднократно уличён в трансляции дезинформации. Каждый высер рекомендуется проверять с лупой ***

#7 Оффлайн   Dimitrius

Dimitrius

    Герой флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 1 726 Сообщений:

Опубликовано 20.12.2015 - 14:01

Что-то поздновато новость появилась, nftables с 2008г. развивается - и уже 5-й год пошел как ими можно пользоваться. А смотреть вообще не в эту сторону лучше, а в агрегаторы типа CSF или например в CentOS 7 новый firewalld, там порт чтобы открыть надо написать:

 

firewall-cmd —permanent —add-port=80/tcp

 

Это и короче и понятнее, чем iptables и nft вместе взятые...


  • 1

#8 Оффлайн   olegus

olegus

    I like I

  • Мембер
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 39 822 Сообщений:
  • Авто:Volvo 440

Опубликовано 20.12.2015 - 14:04

И да, синтаксис похож даже на виндовый netsh firewall / advfirewall

ну если копнуть глубже, то окажется, что виндовый фаервол в своем нынешнем виде ни что иное, как ipfw.

Что-то поздновато новость появилась, nftables с 2008г.

я об этом же. но на 2014 там много чего еще не было реализовано.

а в агрегаторы типа CSF или например в CentOS 7 новый firewalld, там порт чтобы открыть надо написать:

я лично от агрегатаров как раз ушел когда-то. мутняк они генерируют и не все там доступно.

Просто есть категория людей, которой нравится во всем этом ковыряться. Не результат, а процесс.

это как раз результат. причем практический :) и да, он стабильно работает.
  • 0
*** Неоднократно уличён в трансляции дезинформации. Каждый высер рекомендуется проверять с лупой ***

#9 Оффлайн   CyClone

CyClone

    Трижды герой флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 6 427 Сообщений:
  • Авто:Škoda Rapid 1.6 MT

Опубликовано 20.12.2015 - 14:05

Что-то поздновато новость появилась, nftables с 2008г. развивается - и уже 5-й год пошел как ими можно пользоваться. А смотреть вообще не в эту сторону лучше, а в агрегаторы типа CSF или например в CentOS 7 новый firewalld, там порт чтобы открыть надо написать:

 

firewall-cmd —permanent —add-port=80/tcp

 

Это и короче и понятнее, чем iptables и nft вместе взятые...

Для понятнее есть webadmin )) А пока без нареканий работает iptables, зачем что-то менять?


  • 0

За деньги друзей не купишь, зато можно найти врагов поприличнее...


#10 Оффлайн   mijgan

mijgan

    Кавалер ордена флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 568 Сообщений:
  • Авто:Красный Форь

Опубликовано 20.12.2015 - 14:10

Что-то поздновато новость появилась, nftables с 2008г. развивается - и уже 5-й год пошел как ими можно пользоваться. А смотреть вообще не в эту сторону лучше, а в агрегаторы типа CSF или например в CentOS 7 новый firewalld, там порт чтобы открыть надо написать:

 

firewall-cmd —permanent —add-port=80/tcp

 

Это и короче и понятнее, чем iptables и nft вместе взятые...

 

Это задача тривиальная - открыть 80-й порт и думаю не вызовет особых затруднений в любом файрволе.

Хотя в данном конкретном случае не вижу открыть, а вижу "добавить". А куда именно добавить - в accept или drop уже не очень понятно, входящий или исходящий опять же непонятно )))

А вот если нужно что-то чуть сложнее чем "открыть 80-й порт" - опять же надо будет курить мануалы и в firewall-cmd и в iptables.


  • 0

#11 Оффлайн   olegus

olegus

    I like I

  • Мембер
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 39 822 Сообщений:
  • Авто:Volvo 440

Опубликовано 20.12.2015 - 14:20

Это задача тривиальная - открыть 80-й порт и думаю не вызовет особых затруднений в любом файрволе.

агрегаторы они для молодежи, в основном.

как там описывать мою любимую конструкцию
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name sshlimit --update --seconds 60 --hitcount 3 -j REJECT
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name sshlimit --set
нипонятно.
кстати, эта конструкция используется в основном как раз для защиты индуса, торчащего 3389 наружу :)
  • 0
*** Неоднократно уличён в трансляции дезинформации. Каждый высер рекомендуется проверять с лупой ***

#12 Оффлайн   Пам-пам

Пам-пам

    Дважды герой флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 2 269 Сообщений:

Опубликовано 20.12.2015 - 14:32

это как раз результат. причем практический

 

Результат это например когда SQL утвердили 40 лет назад и он не меняется в основе с тех пор. А изучать новый синтаксис для старых задач каждые 5 лет - это онанизм. )


  • 3

#13 Оффлайн   Boss

Boss

    Хорошо информированный оптимист

  • Banned
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 12 154 Сообщений:
  • Авто:Kia Sportage + Kia Cerato

Опубликовано 20.12.2015 - 14:41

Что самое интересное: ТАКАЯ НОВОСТЬ на АВТОфоруме, вдруг осталась незамеченной - как же так?))))

А вот действительно стОящая новость о том, что Гугл выпустит полноценную "десктопную" ось, осталась никем незамеченной...


  • 0
<p>Omnia transeunt et id quoque etiam transeat...</p>

#14 Оффлайн   olegus

olegus

    I like I

  • Мембер
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 39 822 Сообщений:
  • Авто:Volvo 440

Опубликовано 20.12.2015 - 14:45

Результат это например когда SQL утвердили 40 лет назад и он не меняется в основе с тех пор. А изучать новый синтаксис для старых задач каждые 5 лет - это онанизм. )

ты совсем плаваешь в теме. sql утвердили в 86. затем меняли: 89, 92, 99, 03, 06, 08, 11

iptables (на самом деле netfilter) в его нынешнем виде существует с 1999, добавлялись разве что модули.

А вот действительно стОящая новость о том, что Гугл выпустит полноценную "десктопную" ось, осталась никем незамеченной...

да кому он сдался этот десктоп в 2015? сейчас большинство устройств в мире - это андроид, который на базе linux.

Изменено: olegus, 20.12.2015 - 14:45

  • 0
*** Неоднократно уличён в трансляции дезинформации. Каждый высер рекомендуется проверять с лупой ***

#15 Оффлайн   Boss

Boss

    Хорошо информированный оптимист

  • Banned
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 12 154 Сообщений:
  • Авто:Kia Sportage + Kia Cerato

Опубликовано 20.12.2015 - 14:52


да кому он сдался этот десктоп в 2015? сейчас большинство устройств в мире - это андроид, который на базе linux.

Так она и будет представлять собой андроид, оптимизированный под десктопы и ноутбуки.


Стационарная Винда пытается захватить мобильный сегмент, а у Гугла - обратный процесс.


  • 0
<p>Omnia transeunt et id quoque etiam transeat...</p>

#16 Оффлайн   olegus

olegus

    I like I

  • Мембер
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 39 822 Сообщений:
  • Авто:Volvo 440

Опубликовано 20.12.2015 - 14:53

Так она и будет представлять собой андроид, оптимизированный под десктопы и ноутбуки.

этой новости несколько месяцев. я ее выкладывал где-то.
 

Стационарная Винда пытается захватить мобильный сегмент, а у Гугла - обратный процесс.

вот именно, что пытается :) технологически их платформа так и осталась в 80-х.

Изменено: olegus, 20.12.2015 - 14:54

  • 0
*** Неоднократно уличён в трансляции дезинформации. Каждый высер рекомендуется проверять с лупой ***

#17 Оффлайн   Пам-пам

Пам-пам

    Дважды герой флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 2 269 Сообщений:

Опубликовано 20.12.2015 - 15:19

ты совсем плаваешь в теме

 

Да, зато ты адрес Википедии знаешь. В общем кто хотел, тот понял о чем я говорю.


  • 0

#18 Оффлайн   olegus

olegus

    I like I

  • Мембер
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 39 822 Сообщений:
  • Авто:Volvo 440

Опубликовано 20.12.2015 - 15:24

Да, зато ты адрес Википедии знаешь.

насмешил :)
я тебе говорю, что ты не в теме. зачем пытаешься выглядеть умно?
замена iptables назрела с приходом ipv6. просто он мало где еще используется.
и системы, которые развиваются не маркетологами, а профессионалами, меняются эволюционно на системном же уровне.
это как systemd. за ним безусловно будущее, но в промышленность он пойдет только после серьезной обкатки и обсуждений.

Изменено: olegus, 20.12.2015 - 15:27

  • 0
*** Неоднократно уличён в трансляции дезинформации. Каждый высер рекомендуется проверять с лупой ***

#19 Оффлайн   Пам-пам

Пам-пам

    Дважды герой флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 2 269 Сообщений:

Опубликовано 20.12.2015 - 15:32

насмешил


Ты хочешь сказать, что годы изменений стандарта ты написал по памяти? Зачем ты пытаешься выглядеть умно?
  • 0

#20 Оффлайн   olegus

olegus

    I like I

  • Мембер
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 39 822 Сообщений:
  • Авто:Volvo 440

Опубликовано 20.12.2015 - 15:40

Ты хочешь сказать, что годы изменений стандарта ты написал по памяти?

годы не помню. помню что часто. и задалбывало каждый раз смотреть изменения.
хотя тебе врят ли не понять, откуда они берутся. того же upsert в стандарте я не помню.
  • 0
*** Неоднократно уличён в трансляции дезинформации. Каждый высер рекомендуется проверять с лупой ***

#21 Оффлайн   artemandreev

artemandreev

    Кавалер ордена флейма

  • Banned
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 911 Сообщений:
  • Авто:m6

Опубликовано 20.12.2015 - 15:56

 

да кому он сдался этот десктоп в 2015? сейчас большинство устройств в мире - это андроид, который на базе linux.

Смяшно. Что андроид, что линукс - лютое неоптимизированное говно. Андроида большинство, потому что он на самых дешманских устройствах ставится, включая "смартфоны" за 999, которые по сути нормально то и работать с ним не могут, ввиду их маломощности. 


  • 0

#22 Оффлайн   olegus

olegus

    I like I

  • Мембер
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 39 822 Сообщений:
  • Авто:Volvo 440

Опубликовано 20.12.2015 - 16:00

Что андроид, что линукс - лютое неоптимизированное говно.

Смяшно.
оттого этот "неоптимизированый" линукс работает на любых железках и телевизорах :lol:
  • 0
*** Неоднократно уличён в трансляции дезинформации. Каждый высер рекомендуется проверять с лупой ***

#23 Оффлайн   Boss

Boss

    Хорошо информированный оптимист

  • Banned
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 12 154 Сообщений:
  • Авто:Kia Sportage + Kia Cerato

Опубликовано 20.12.2015 - 16:01

Смяшно. Что андроид, что линукс - лютое неоптимизированное говно. Андроида большинство, потому что он на самых дешманских устройствах ставится, включая "смартфоны" за 999, которые по сути нормально то и работать с ним не могут, ввиду их маломощности. 

Ну понятно, модель айфона 5-летней давности за 15999 намного лучше, чем гуглофон за 999, тут спору нет.


  • 0
<p>Omnia transeunt et id quoque etiam transeat...</p>

#24 Оффлайн   mijgan

mijgan

    Кавалер ордена флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 568 Сообщений:
  • Авто:Красный Форь

Опубликовано 20.12.2015 - 16:07

Мы тут все пишем на форуме, который работает на лютом неоптимизированном говне )) Товарищ разжигает )


  • 0

#25 Оффлайн   yrezzz

yrezzz

    Дважды герой флейма

  • Форумец
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 2 813 Сообщений:
  • Авто:Цуцик и Нивасик

Опубликовано 20.12.2015 - 16:19

Ничё не понял,но одобряю!


  • 0





Также с меткой «вендекапец, ubuntu, iptables, nftables»

0 пользователей читают эту тему

0 пользователей, 0 гостей, 0 невидимых

Яндекс.Метрика