forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Выпуск пакетного фильтра nftables 0.9.9, opennews (ok), 26-Май-21, (0) [смотреть все]

Пункт 2 - это, фактически, индивидуальные фильтры для приложений Как говорится,, llolik (ok), 10:38 , 26-Май-21, (1) +4 //

если по UID, то уже давно было совсем бесполезно, вот ты и не знал привязка к , crypt (ok), 10:42 , 26-Май-21, (2) +5 //

Еще со времен iptables было , Аноним (8), 10:46 , 26-Май-21, (8) +1 //

да где , crypt (ok), 12:49 , 26-Май-21, (19)

man iptables-extensions cgroup, Аноним (8), 13:09 , 26-Май-21, (22) +1

Да знать-то знал, но это всё-таки немного не то и, согласен с утверждением, что , llolik (ok), 10:56 , 26-Май-21, (13) +2 //

старый, но не бесполезный С Терминатор Генезис, Аноним (36), 15:27 , 26-Май-21, (36) –1
а если ты зналто чего ж ты тогда ждал уж молчал бы лучше, ждун , а то чем дальше, Валик (?), 15:31 , 26-Май-21, (37) –3

Не только А давай я тебе скажу, юный саркастичный друг, что многим нужны не толь, llolik (ok), 15:49 , 26-Май-21, (40) +2

но и постирать, приготовить, убрать, спать уложить , Sw00p aka Jerom (?), 23:40 , 26-Май-21, (63)

Фильтрация по пользователям необходима для DAC это необходимо и очень удобно На, Аноним (86), 13:11 , 01-Июн-21, (86)

Нет, это совсем бесполезно Вот правила для конкретного файла на диске это очень, Аноним (28), 14:16 , 26-Май-21, (28) +2 //

Да, нефиг файлу xsession-errors в интернет лазить , Аноним (8), 15:24 , 26-Май-21, (35)

Именно, в венде давно файлы в интернет по белому списку выпускают ещё и логирую, Аноним (28), 15:39 , 26-Май-21, (38) +1

Хотя конечно в венде запущенный файл не удалить Но и в линуксе можно залочить у, Аноним (28), 15:40 , 26-Май-21, (39)

А как же inodes хардлинки и симлинки , Аноним (65), 00:15 , 27-Май-21, (65)

Пока они ссылаются на тот же файл всё в порядке в теории Но можно и отдельно,, Аноним (28), 00:27 , 27-Май-21, (67)

На самом деле симлинки хардлинки - это только первая и очевидная проблема, понят, Аноним (77), 15:39 , 27-Май-21, (77)

Вроде и не линукс-нуб, а всё ещё не вижу в чём тут проблема даже после указания , Аноним (28), 17:54 , 27-Май-21, (78) +1

Уже 5 13 используете Камикадзе , Аноним (4), 10:44 , 26-Май-21, (4) –3 //

Некоторые и -next юзают и ничего , Аноним (6), 10:45 , 26-Май-21, (6) +2 //

Лучшая смерть воина - в бою, пожарного - в огне, альпиниста - в горах, лин, Аноним (36), 11:58 , 26-Май-21, (16) +5

Хороший альпинист 8212 старый альпинист , Annoynymous (ok), 12:34 , 26-Май-21, (17) +2

Хороший пожарник 8212 старый пожарник Хороший воин 8212 старый воин Хор, Аноним (21), 12:58 , 26-Май-21, (21) +2

Хороший Хрыч - Старый Хрыч , Ононон (?), 13:26 , 26-Май-21, (23) +6
Хороший нуб или юзер умирает в постели в собственном г или умудряется подорв, Аноним (36), 14:46 , 26-Май-21, (29)

При этом воин в посмертии отправляется в Вальгаллу правда, ненадолго , пожарный, нах.. (?), 13:54 , 26-Май-21, (26) –2

че с Тором сделал , Аноним (36), 14:48 , 26-Май-21, (30) +2

принес ему в жертву пару лап4 -х, а ты думал Такие штуки без кровавой жертвы не, нах.. (?), 16:29 , 26-Май-21, (43)

Почему не пару бзунов с ведной Специально до полюса плавал Скорее всего, ты ош, Аноним (28), 18:47 , 26-Май-21, (54)

The Gods DON T CARE about your sacrifice патамушта Да не, зачем так далеко - в б, нах.. (?), 22:16 , 26-Май-21, (60)
Потому что бзуны с ведной только в опеннетном фольклоре остались, а вот лап4 -, Аноним (-), 23:37 , 26-Май-21, (62)

Да, BSD уже того На дворе 2021 год, кстати , Аноним (8), 00:05 , 27-Май-21, (64) –1

Да, 2021 год на дворе, т е опеннетные лап4 -ые ее уже 21 год хоронят , Аноним (-), 03:49 , 27-Май-21, (69)

Еще 15 лет назад захоронили и бетоном залили от греха подальше , Аноним (8), 15:05 , 27-Май-21, (74)
Только ритуальные пляски опеннетчиков не особо сказались на реальности машинок , Аноним (-), 20:19 , 27-Май-21, (79) +1
А сколько сотен миллионов, 2 Я слышал только про плойки, и что-то вроде медиа-д, Аноним (28), 16:36 , 28-Май-21, (83) –1

Именно Какой смысл приносить в жертву то, чего как этого самого за баней Это н, Аноним (28), 00:25 , 27-Май-21, (66)

Завидую воину, у которого СТОЛЬКО врагов , Викинг (??), 13:13 , 28-Май-21, (81)

Ну в LTS-то оно доползёт ближайшие пару лет , llolik (ok), 10:51 , 26-Май-21, (12) //

Не факт, что перед этим его стабилизируют или хотя бы протестируют Одна из причи, Аноним (8), 11:36 , 26-Май-21, (15) +4

Вам LTS или ехать , Самый Лучший Гусь (?), 13:39 , 26-Май-21, (25)

им - ехать, а не катиться под откос , нах.. (?), 13:56 , 26-Май-21, (27) +1

Нет, это пункт 4 впрочем, в systemd уже несколько лет как реализовано на основе, Аноним (8), 10:45 , 26-Май-21, (5) +1 //

Понял Спасибо за разъяснения , llolik (ok), 10:50 , 26-Май-21, (11) +1
Ненужнод не применяется в реальности в OpenWRT, а именно OpenWRT является наибол, Аноним (71), 08:42 , 27-Май-21, (71) –1 //

Среди маршрутизаторов SOHO-сегмента, заметим, где всякие продвинутые фичи не так, Аноним (8), 15:10 , 27-Май-21, (76)

Скрыто модератором, acroobat (ok), 10:44 , 26-Май-21, (3) –2 //

Скрыто модератором, Аноним (4), 10:46 , 26-Май-21, (7) //

Скрыто модератором, Аноним (8), 10:47 , 26-Май-21, (9) +2

Там еще новый Sandbox Landlock обещают С нетерпением ждём , Аноним (14), 10:59 , 26-Май-21, (14) +1 //

это который на расте чтоли , Аноним (31), 14:57 , 26-Май-21, (31)

Потенциальная дырень , Annoynymous (ok), 12:35 , 26-Май-21, (18) +2 //

Очень нужная фича в ситуации, когда поток входит в интерфейс и выходит через нег, Сергей (??), 16:22 , 26-Май-21, (42) +2 //

Под позволит гонять больше трафика - это о ситуации, когда производительность , Сергей (??), 16:29 , 26-Май-21, (44) //

у типичного провайдера типично пакетный фильтр на бордере - из пяти строк - deny, нах.. (?), 16:36 , 26-Май-21, (47) –3

не хотелось бы вас огорчать, но г-но на палочке уже не очень модно у _провайдеро, нах.. (?), 16:33 , 26-Май-21, (45) –1 //

Вон недавно статься была на хабре, как гонять 100 гигабит трафика и делать нат н, Аноним (53), 18:34 , 26-Май-21, (53)

Ну и чего, мало на хабре подвальных, что-ли Ростелек всех не может переварить, к, нах.. (?), 22:19 , 26-Май-21, (61) –1

Я не спорю, что фича нужная Фича нужная и важная , Annoynymous (ok), 17:54 , 26-Май-21, (52)

Дайте угадаю, дальше будет как в WoWarships 0 10 0 , КО (?), 15:10 , 26-Май-21, (33) //

Как во всем гейгейминге, а не в одном его продукте , Аноним (55), 19:02 , 26-Май-21, (55)

Жопненький синтаксис, Umata (?), 15:20 , 26-Май-21, (34) –1 //

это ж не для людей, это для роботов и рабов пейсбука придумано Тебе дальше fire, нах.. (?), 16:38 , 26-Май-21, (48) –1
Сишечкоподобный же, со скобочками , Аноним (49), 16:50 , 26-Май-21, (49) +1 //

А кто сказал, что у сишечки хороший синтаксис , Аноним (8), 20:08 , 26-Май-21, (57) //

я, анон (?), 20:35 , 26-Май-21, (58)

Недостаточно авторитетный источник Можно ссылку на что-нибудь из Q1 или Q2 Scopu, Аноним (8), 15:04 , 27-Май-21, (73)

Синтаксис странноватый , псевдонимус (?), 19:07 , 26-Май-21, (56) //

дегенераты вроде тебя ничего кроме синтаксиса не видят, Аноним (68), 01:51 , 27-Май-21, (68) –1

А где вопли про комбайн Синтаксис то аналогичен сравнению ifconfigа с ip Все р, Аноним (71), 08:35 , 27-Май-21, (70) //

Зачем, если можно докопаться к синтаксису Вот с systemD не катит, потому что оче, Аноним (8), 15:08 , 27-Май-21, (75)

А нативного nfttables-apply по анологии с iptables-apply так и не осилили , OpenEcho (?), 14:21 , 27-Май-21, (72) //

iptables-apply - это shell-скрипт, и к iptables не приколочен Там буквально нес, Аноним (8), 22:33 , 27-Май-21, (80) //

Угу и сделать это на тысячах машин как два пальца и так с каждым новым апдайт, OpenEcho (?), 13:51 , 28-Май-21, (82)

Сообщения [Сортировка по времени | RSS]

42. "Выпуск пакетного фильтра nftables 0.9.9" +2 +/–

Сообщение от Сергей (??), 26-Май-21, 16:22

Очень нужная фича в ситуации, когда поток входит в интерфейс и выходит через него же.
Ситуация:
- компьютер выполняет роль роутера (Router-on-Stick);
- в компьютере только одна сетевая карта с одним портом или с несколькими портами, управляемыми одним чипом коммутации;
Типичный пример - бордеры (серверы провайдеров, через которые трафик клиентов ходит в интернет).
Обычно пакет проходит через несколько стадий:
1) Копирование пакета из сетевухи в систему.
Чтобы пакет попал в пакетный фильтр системы, этот пакет должен быть вначале скопирован с из чипа сетевухи в оперативную память компьютера.
2) Анализ пакета пакетным фильтром.
Первый входящий пакет проходит через сотни-тысячи правил, а иногда и через сотни тысяч правил.
На прохождение пакета через пакетный фильтр из большого набора правил необходимо существенное время.
3) Манипуляции над пакетом (изменение содержимого заголовков пакета).
В пакетном фильтре система определяет, что пакет необходимо отправить через тот же интерфейс, по которому пакет пришел в систему.
Система производит манипуляции над заголовком пакета (меняет адреса получателя, если там NAT - то ещё адрес отправителя и порты отправителя/получателя, и ещё кое-какие манипуляции по мелочи).
4) Копирование пакета из системы в сетевуху.
Чтобы пакет попал на выход сетевухи, этот пакет необходимо скопировать из оперативки компьютера в сетевуху.
Системе ни разу не интересно гонять пакеты вхолостую из сетевухи в систему и обратно, если уже по первому пакету понятно, что эти пакеты и дальше будут гоняться по тому же пути, да ещё и тратить на это драгоценные миллисекунды (на высоконагруженной системе важны даже микросекунды).
Чтобы устранить задержки на безтолковый анализ, система просто пнёт сетевуху командой "пропускай дальнейшие входящие пакеты вот этого потока в том же направлении, в котором ушёл первый исходящий пакет", а для сетевухи это будет значить примерно "входящий пакет принять, ни разу не отправлять пакет в хост-систему, с заголовком пакета провернуть некоторые манипуляции прямо в чипе сетевухи и выплюнуть пакет как исходящий в обратную сторону".
Для бытового компа фича не актуальна, а для высоконагруженных систем - очень даже нужна, важна, желаема и обожаема потому, что на том же железе можно будет гонять трафика в несколько раз больше (а может даже и в несколько десятков раз больше).

Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск пакетного фильтра nftables 0.9.9" +/–

Сообщение от Сергей (??), 26-Май-21, 16:29

Под "позволит гонять больше трафика" - это о ситуации, когда производительность такого роутера ограничена производительностью пакетного фильтра (например - несколько сотен тысяч правил и несколько миллионов записей в таблицах - что вполне реально у типичного провайдера).

Ответить | Правка | Наверх | Cообщить модератору

47. "Выпуск пакетного фильтра nftables 0.9.9" –3 +/–

Сообщение от нах.. (?), 26-Май-21, 16:36

> Под "позволит гонять больше трафика" - это о ситуации, когда производительность такого
> роутера ограничена производительностью пакетного фильтра (например - несколько сотен
> тысяч правил и несколько миллионов записей в таблицах - что вполне
> реально у типичного провайдера).
у типичного провайдера типично пакетный фильтр на бордере - из пяти строк - deny 192.168/16 и так далее. От ошибок в маршрутизации у партнеров, в основном. Он - провайдер, ему не полагается ковыряться в чужом траффике.
А миллионы записей - это у васянов.

Ответить | Правка | Наверх | Cообщить модератору

45. "Выпуск пакетного фильтра nftables 0.9.9" –1 +/–

Сообщение от нах.. (?), 26-Май-21, 16:33

> Ситуация:
> - компьютер выполняет роль роутера (Router-on-Stick);
> - в компьютере только одна сетевая карта с одним портом или с
не хотелось бы вас огорчать, но г-но на палочке уже не очень модно у _провайдеров_ и владельцев высоконагруженных систем.
В васян-подвалах еще встречается, конечно.
А операторское железо так не работает, оно вообще не процессором пакеты разбирает.
Ну, впрочем, есть еще пейсбук,чтоб денег никому не платить и не такое может. Но я все же полагаю, что не делает.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

53. "Выпуск пакетного фильтра nftables 0.9.9" +/–

Сообщение от Аноним (53), 26-Май-21, 18:34

>А операторское железо так не работает, оно вообще не процессором пакеты разбирает.
Вон недавно статься была на хабре, как гонять 100 гигабит трафика и делать нат на древних зеонах

Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск пакетного фильтра nftables 0.9.9" –1 +/–

Сообщение от нах.. (?), 26-Май-21, 22:19

Ну и чего, мало на хабре подвальных, что-ли.
Ростелек всех не может переварить, как ни старается.

Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск пакетного фильтра nftables 0.9.9" +/–

Сообщение от Annoynymous (ok), 26-Май-21, 17:54

> Очень нужная фича в ситуации
Я не спорю, что фича нужная. Фича нужная и важная.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	42. "Выпуск пакетного фильтра nftables 0.9.9"	+2 +/–
	Сообщение от Сергей (??), 26-Май-21, 16:22
	Очень нужная фича в ситуации, когда поток входит в интерфейс и выходит через него же. Ситуация: - компьютер выполняет роль роутера (Router-on-Stick); - в компьютере только одна сетевая карта с одним портом или с несколькими портами, управляемыми одним чипом коммутации; Типичный пример - бордеры (серверы провайдеров, через которые трафик клиентов ходит в интернет). Обычно пакет проходит через несколько стадий: 1) Копирование пакета из сетевухи в систему. Чтобы пакет попал в пакетный фильтр системы, этот пакет должен быть вначале скопирован с из чипа сетевухи в оперативную память компьютера. 2) Анализ пакета пакетным фильтром. Первый входящий пакет проходит через сотни-тысячи правил, а иногда и через сотни тысяч правил. На прохождение пакета через пакетный фильтр из большого набора правил необходимо существенное время. 3) Манипуляции над пакетом (изменение содержимого заголовков пакета). В пакетном фильтре система определяет, что пакет необходимо отправить через тот же интерфейс, по которому пакет пришел в систему. Система производит манипуляции над заголовком пакета (меняет адреса получателя, если там NAT - то ещё адрес отправителя и порты отправителя/получателя, и ещё кое-какие манипуляции по мелочи). 4) Копирование пакета из системы в сетевуху. Чтобы пакет попал на выход сетевухи, этот пакет необходимо скопировать из оперативки компьютера в сетевуху. Системе ни разу не интересно гонять пакеты вхолостую из сетевухи в систему и обратно, если уже по первому пакету понятно, что эти пакеты и дальше будут гоняться по тому же пути, да ещё и тратить на это драгоценные миллисекунды (на высоконагруженной системе важны даже микросекунды). Чтобы устранить задержки на безтолковый анализ, система просто пнёт сетевуху командой "пропускай дальнейшие входящие пакеты вот этого потока в том же направлении, в котором ушёл первый исходящий пакет", а для сетевухи это будет значить примерно "входящий пакет принять, ни разу не отправлять пакет в хост-систему, с заголовком пакета провернуть некоторые манипуляции прямо в чипе сетевухи и выплюнуть пакет как исходящий в обратную сторону". Для бытового компа фича не актуальна, а для высоконагруженных систем - очень даже нужна, важна, желаема и обожаема потому, что на том же железе можно будет гонять трафика в несколько раз больше (а может даже и в несколько десятков раз больше).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Выпуск пакетного фильтра nftables 0.9.9"	+/–
	Сообщение от Сергей (??), 26-Май-21, 16:29
	Под "позволит гонять больше трафика" - это о ситуации, когда производительность такого роутера ограничена производительностью пакетного фильтра (например - несколько сотен тысяч правил и несколько миллионов записей в таблицах - что вполне реально у типичного провайдера).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Выпуск пакетного фильтра nftables 0.9.9"	–3 +/–
	Сообщение от нах.. (?), 26-Май-21, 16:36
	> Под "позволит гонять больше трафика" - это о ситуации, когда производительность такого > роутера ограничена производительностью пакетного фильтра (например - несколько сотен > тысяч правил и несколько миллионов записей в таблицах - что вполне > реально у типичного провайдера). у типичного провайдера типично пакетный фильтр на бордере - из пяти строк - deny 192.168/16 и так далее. От ошибок в маршрутизации у партнеров, в основном. Он - провайдер, ему не полагается ковыряться в чужом траффике. А миллионы записей - это у васянов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Выпуск пакетного фильтра nftables 0.9.9"	–1 +/–
	Сообщение от нах.. (?), 26-Май-21, 16:33
	> Ситуация: > - компьютер выполняет роль роутера (Router-on-Stick); > - в компьютере только одна сетевая карта с одним портом или с не хотелось бы вас огорчать, но г-но на палочке уже не очень модно у _провайдеров_ и владельцев высоконагруженных систем. В васян-подвалах еще встречается, конечно. А операторское железо так не работает, оно вообще не процессором пакеты разбирает. Ну, впрочем, есть еще пейсбук,чтоб денег никому не платить и не такое может. Но я все же полагаю, что не делает.
	Ответить \| Правка \| К родителю #42 \| Наверх \| Cообщить модератору


	53. "Выпуск пакетного фильтра nftables 0.9.9"	+/–
	Сообщение от Аноним (53), 26-Май-21, 18:34
	>А операторское железо так не работает, оно вообще не процессором пакеты разбирает. Вон недавно статься была на хабре, как гонять 100 гигабит трафика и делать нат на древних зеонах
	Ответить \| Правка \| Наверх \| Cообщить модератору


	61. "Выпуск пакетного фильтра nftables 0.9.9"	–1 +/–
	Сообщение от нах.. (?), 26-Май-21, 22:19
	Ну и чего, мало на хабре подвальных, что-ли. Ростелек всех не может переварить, как ни старается.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Выпуск пакетного фильтра nftables 0.9.9"	+/–
	Сообщение от Annoynymous (ok), 26-Май-21, 17:54
	> Очень нужная фича в ситуации Я не спорю, что фича нужная. Фича нужная и важная.
	Ответить \| Правка \| К родителю #42 \| Наверх \| Cообщить модератору