59 ответов в теме

[olegus]

Как-то такая новость осталась незамеченой?
 
В 3.13 появился новый фаервол, призванный заменить привычный всем iptables (nftables is the project that aims to replace the existing {ip,ip6,arp,eb}tables framework aka iptables, если уж говорить полностью). и он имеет другой синтаксис. как говорят западные коллеги: Yes, if you are used to iptables, that’s a shock. Шок не шок, но синтаксис чем-то неуловимо напоминает ipfw
 
было

iptables -A FORWARD -p tcp --dport 22 -j LOG 
iptables -A FORWARD -p tcp --dport 22 -j DROP

стало

nft add rule filter forward tcp dport 22 log drop

было

ip6tables -A INPUT -p tcp -m multiport --dports 23,80,443 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT

стало

nft add rule ip6 filter input tcp dport {telnet, http, https} accept
nft add rule ip6 filter input icmpv6 type { nd-neighbor-solicit, echo-request, nd-router-advert, nd-neighbor-advert } accept

вместо цепочек появились именованые списки

nft> add set global [b]ipv4_ad[/b] { type ipv4_address;}
nft> add element global ipv4_ad { 192.168.1.4, 192.168.1.5 }
nft> add rule ip global filter ip saddr @ipv4_ad drop

And later when a new bad boy is detected мы можем одной строкой добавить

nft> add element global ipv4_ad { 192.168.3.4 }

чем это лучше отдельной цепочки я пока не понял.

хотя цепочки тоже на месте, но называются Mapping

nft> add map filter jump_map { type ifindex : verdict; }
nft> add element filter jump_map { eth0 : jump low_sec; }
nft> add element filter jump_map { eth1 : jump high_sec; }
nft> add rule filter input iif vmap @jump_map

и при поднятии ppp1

nft> add element filter jump_map { ppp1 : jump low_sec; }

вобщем пока выгоды не очевидны. с одной стороны iptables безусловно перегружены, с другой читаются, имхо, проще.

[Boss]

Эта муть достойна отдельной темы?

[mijgan]

Я не рад. Только с iptables разберешься более-менее, подоспевает новая фигня. И да, синтаксис похож даже на виндовый netsh firewall / advfirewall

[Пам-пам]

Я не рад. Только с iptables разберешься более-менее, подоспевает новая фигня.

 

Просто есть категория людей, которой нравится во всем этом ковыряться. Не результат, а процесс.

[тов. Сухов]

Эта муть достойна отдельной темы?

Что самое интересное: ТАКАЯ НОВОСТЬ на АВТОфоруме, вдруг осталась незамеченной - как же так?))))

[olegus]

Эта муть достойна отдельной темы?

на этом работает весь мир.

[Dimitrius]

Что-то поздновато новость появилась, nftables с 2008г. развивается - и уже 5-й год пошел как ими можно пользоваться. А смотреть вообще не в эту сторону лучше, а в агрегаторы типа CSF или например в CentOS 7 новый firewalld, там порт чтобы открыть надо написать:

 

firewall-cmd —permanent —add-port=80/tcp

 

Это и короче и понятнее, чем iptables и nft вместе взятые...

[olegus]

И да, синтаксис похож даже на виндовый netsh firewall / advfirewall

ну если копнуть глубже, то окажется, что виндовый фаервол в своем нынешнем виде ни что иное, как ipfw.

Что-то поздновато новость появилась, nftables с 2008г.

я об этом же. но на 2014 там много чего еще не было реализовано.

а в агрегаторы типа CSF или например в CentOS 7 новый firewalld, там порт чтобы открыть надо написать:

я лично от агрегатаров как раз ушел когда-то. мутняк они генерируют и не все там доступно.

Просто есть категория людей, которой нравится во всем этом ковыряться. Не результат, а процесс.

это как раз результат. причем практический и да, он стабильно работает.

[CyClone]

Что-то поздновато новость появилась, nftables с 2008г. развивается - и уже 5-й год пошел как ими можно пользоваться. А смотреть вообще не в эту сторону лучше, а в агрегаторы типа CSF или например в CentOS 7 новый firewalld, там порт чтобы открыть надо написать:

 

firewall-cmd —permanent —add-port=80/tcp

 

Это и короче и понятнее, чем iptables и nft вместе взятые...

Для понятнее есть webadmin )) А пока без нареканий работает iptables, зачем что-то менять?

[mijgan]

Что-то поздновато новость появилась, nftables с 2008г. развивается - и уже 5-й год пошел как ими можно пользоваться. А смотреть вообще не в эту сторону лучше, а в агрегаторы типа CSF или например в CentOS 7 новый firewalld, там порт чтобы открыть надо написать:

 

firewall-cmd —permanent —add-port=80/tcp

 

Это и короче и понятнее, чем iptables и nft вместе взятые...

 

Это задача тривиальная - открыть 80-й порт и думаю не вызовет особых затруднений в любом файрволе.

Хотя в данном конкретном случае не вижу открыть, а вижу "добавить". А куда именно добавить - в accept или drop уже не очень понятно, входящий или исходящий опять же непонятно )))

А вот если нужно что-то чуть сложнее чем "открыть 80-й порт" - опять же надо будет курить мануалы и в firewall-cmd и в iptables.

[olegus]

Это задача тривиальная - открыть 80-й порт и думаю не вызовет особых затруднений в любом файрволе.

агрегаторы они для молодежи, в основном.

как там описывать мою любимую конструкцию

-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name sshlimit --update --seconds 60 --hitcount 3 -j REJECT
-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name sshlimit --set

нипонятно.
кстати, эта конструкция используется в основном как раз для защиты индуса, торчащего 3389 наружу

[Пам-пам]

это как раз результат. причем практический

 

Результат это например когда SQL утвердили 40 лет назад и он не меняется в основе с тех пор. А изучать новый синтаксис для старых задач каждые 5 лет - это онанизм. )

[Boss]

Что самое интересное: ТАКАЯ НОВОСТЬ на АВТОфоруме, вдруг осталась незамеченной - как же так?))))

А вот действительно стОящая новость о том, что Гугл выпустит полноценную "десктопную" ось, осталась никем незамеченной...

[olegus]

Результат это например когда SQL утвердили 40 лет назад и он не меняется в основе с тех пор. А изучать новый синтаксис для старых задач каждые 5 лет - это онанизм. )

ты совсем плаваешь в теме. sql утвердили в 86. затем меняли: 89, 92, 99, 03, 06, 08, 11

iptables (на самом деле netfilter) в его нынешнем виде существует с 1999, добавлялись разве что модули.

А вот действительно стОящая новость о том, что Гугл выпустит полноценную "десктопную" ось, осталась никем незамеченной...

да кому он сдался этот десктоп в 2015? сейчас большинство устройств в мире - это андроид, который на базе linux.

Изменено: olegus, 20.12.2015 - 14:45

[Boss]

да кому он сдался этот десктоп в 2015? сейчас большинство устройств в мире - это андроид, который на базе linux.

Так она и будет представлять собой андроид, оптимизированный под десктопы и ноутбуки.

Стационарная Винда пытается захватить мобильный сегмент, а у Гугла - обратный процесс.

[olegus]

Так она и будет представлять собой андроид, оптимизированный под десктопы и ноутбуки.

этой новости несколько месяцев. я ее выкладывал где-то.
 

Стационарная Винда пытается захватить мобильный сегмент, а у Гугла - обратный процесс.

вот именно, что пытается технологически их платформа так и осталась в 80-х.

Изменено: olegus, 20.12.2015 - 14:54

[Пам-пам]

ты совсем плаваешь в теме

 

Да, зато ты адрес Википедии знаешь. В общем кто хотел, тот понял о чем я говорю.

[olegus]

Да, зато ты адрес Википедии знаешь.

насмешил
я тебе говорю, что ты не в теме. зачем пытаешься выглядеть умно?
замена iptables назрела с приходом ipv6. просто он мало где еще используется.
и системы, которые развиваются не маркетологами, а профессионалами, меняются эволюционно на системном же уровне.
это как systemd. за ним безусловно будущее, но в промышленность он пойдет только после серьезной обкатки и обсуждений.

Изменено: olegus, 20.12.2015 - 15:27

[Пам-пам]

насмешил

Ты хочешь сказать, что годы изменений стандарта ты написал по памяти? Зачем ты пытаешься выглядеть умно?

[olegus]

Ты хочешь сказать, что годы изменений стандарта ты написал по памяти?

годы не помню. помню что часто. и задалбывало каждый раз смотреть изменения.
хотя тебе врят ли не понять, откуда они берутся. того же upsert в стандарте я не помню.

[artemandreev]

 

да кому он сдался этот десктоп в 2015? сейчас большинство устройств в мире - это андроид, который на базе linux.

Смяшно. Что андроид, что линукс - лютое неоптимизированное говно. Андроида большинство, потому что он на самых дешманских устройствах ставится, включая "смартфоны" за 999, которые по сути нормально то и работать с ним не могут, ввиду их маломощности. 

[olegus]

Что андроид, что линукс - лютое неоптимизированное говно.

Смяшно.
оттого этот "неоптимизированый" линукс работает на любых железках и телевизорах

[Boss]

Смяшно. Что андроид, что линукс - лютое неоптимизированное говно. Андроида большинство, потому что он на самых дешманских устройствах ставится, включая "смартфоны" за 999, которые по сути нормально то и работать с ним не могут, ввиду их маломощности. 

Ну понятно, модель айфона 5-летней давности за 15999 намного лучше, чем гуглофон за 999, тут спору нет.

[mijgan]

Мы тут все пишем на форуме, который работает на лютом неоптимизированном говне )) Товарищ разжигает )

[yrezzz]

Ничё не понял,но одобряю!