The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Разработчики Netfilter официально объявили инструментарий ip..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от opennews (??), 21-Июн-18, 15:07 
На прошедшей в конце прошлой недели в Берлине конференции Netfilter workshop (https://workshop.netfilter.org/2018/), объединившей разработчиков Linux-подсистемы фильтрации и модификации пакетов Netfilter, было принято решение (http://ral-arturo.org/2018/06/16/nfws2018.html) о переводе семейства программ iptables (включая ip6tables, arptables и ebtables) в разряд устаревших, что отразится в именах соответствующих бинарных файлов:

-  /sbin/iptables-legacy-  /sbin/iptables-legacy-save-  /sbin/iptables-legacy-restore-  /sbin/ip6tables-legacy-  /sbin/ip6tables-legacy-save-  /sbin/ip6tables-legacy-restore-  /sbin/arptables-legacy-  /sbin/ebtables-legacy


Место оригинальных исполняемых файлов займут программы, ранее именовавшиеся "compat" (например, iptables-compat): они имеют такой же синтаксис командной строки, однако транслируют полученные правила не в блобы ip_tables, а в BPF-программы nf_tables. Таким образом, будет осуществлён прозрачный переход с iptables на nftables, оставляющий возможность использования legacy-инструментов в случае каких-либо проблем. Тем не менее, пользователям настоятельно рекомендуется мигрировать на штатный формат правил nftables. Для этого они могут воспользоваться автоматическими трансляторами, в частности, iptables-translate.


Разработчики Netfilter уже достигли договоренности об отражении соответствующих изменений в дистрибутивах RedHat, Fedora, CentOS, SUSE, Debian и производных от них. Кроме того, поддержка nftables уже реализована в firewalld, что упростит процесс миграции для пользователей этого инструмента.

URL: http://ral-arturo.org/2018/06/16/nfws2018.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=48814

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Разработчики Netfilter официально объявили инструментарий ip..."  +23 +/
Сообщение от Аноним (1), 21-Июн-18, 15:07 
Замечательно, nftables ещё до версии 1.0 не доросло, а iptables уже устарело.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Разработчики Netfilter официально объявили инструментарий ip..."  –1 +/
Сообщение от Аноним (3), 21-Июн-18, 15:09 
это Линукс детка - стабильное API no sence и все такое.
Можешь сам продолжать поддерживать iptables.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Разработчики Netfilter официально объявили инструментарий ip..."  +9 +/
Сообщение от нах (?), 21-Июн-18, 15:43 
> это Линукс детка - стабильное API no sence и все такое.
> Можешь сам продолжать поддерживать iptables.

не сможет - через неделю поломают апи так, что нужно будет переписать пол-ядра.

Конец эпохи, единственное, что, казалось, в линуксе еще не испоганили полностью - ip стек.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

53. "Разработчики Netfilter официально объявили инструментарий ip..."  –12 +/
Сообщение от Pofigist (?), 21-Июн-18, 17:41 
> Конец эпохи, единственное, что, казалось, в линуксе еще не испоганили полностью - ip стек.

Да он изначально был... как бы это сказать помягче... А уж iptables - образцово-показательный пример на тему "как не надо делать фаерволы".
Netfilter кстати - офигенный шаг вперед, до классики типа zbfw ему конечно еше очень далеко, но... может лет через 20 и в линаксе появится полноценный фаервол.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

63. "Разработчики Netfilter официально объявили инструментарий ip..."  +11 +/
Сообщение от Аноним (63), 21-Июн-18, 18:22 
«Все файрволы что не cisco — плохие», очень аргументировано конечно, спасибо, но нет.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

127. "Разработчики Netfilter официально объявили инструментарий ip..."  +5 +/
Сообщение от дуайт эйзенхауэр (?), 22-Июн-18, 00:47 
Не надо песен, iptables - норм приблуда, ты еще ipchains не видел.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

149. "Разработчики Netfilter официально объявили инструментарий ip..."  –1 +/
Сообщение от Pofigist (?), 22-Июн-18, 14:37 
Видел. То же г-но. Ни разу не сетевой фаервол.
Ответить | Правка | ^ к родителю #127 | Наверх | Cообщить модератору

146. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от Аноним (146), 22-Июн-18, 14:11 
Ты что несёшь? iptables - это и есть инструмент для управления нетфильтром.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

157. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от mickvav (?), 23-Июн-18, 16:31 
Аргументы? Нет, не слышал.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

105. "Разработчики Netfilter официально объявили инструментарий ip..."  +5 +/
Сообщение от irinat (ok), 21-Июн-18, 22:19 
nonsense относится только к *внутренним* API ядра. Внешнее API, как то: системные вызовы, формат сообщений, посылаемых через netlink-сокеты, и тому подобное — обратно-совместимы. Например, вызов fork сейчас не используется, вместо него fork() из glibc вызывает clone. Но ядро всё ещё поддерживает fork, поэтому старые программы будут работать на новом ядре.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

144. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от RotarenegeD (?), 22-Июн-18, 13:10 
по тестам работает достаточно стабильно и беспроблемно поэтому всё хорошо.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Разработчики Netfilter официально объявили инструментарий ip..."  –19 +/
Сообщение от нах (?), 21-Июн-18, 15:09 
пц.
Управляемый руками и читаемый глазами пакетный фильтр - вычеркиваем из редеющего списка преимуществ линyпса. Его уже (тоже) нет.

"поддержка интегрирована в firewalld" - очередной yблюдочный монстр, который за вас будет думать, какие пакеты пропускать, а какие необязательно. Вот им и пользуйтесь.

Какое счастье, что по сумме, в общем-то, случайных совпадений и личных глюков я месяц назад выбрал asa вместо "а ну ее нахрен, запилим на линуксе очередной недо-файрвол, пакетного фильтра/ната тут на десять лет хватит, а больше и не надо"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (3), 21-Июн-18, 15:10 
> пц.
> Управляемый руками и читаемый глазами пакетный фильтр - вычеркиваем из редеющего списка
> преимуществ линyпса. Его уже (тоже) нет.
> "поддержка интегрирована в firewalld" - очередной yблюдочный монстр, который за вас будет
> думать, какие пакеты пропускать, а какие необязательно. Вот им и пользуйтесь.
> Какое счастье, что по сумме, в общем-то, случайных совпадений и личных глюков
> я месяц назад выбрал asa вместо "а ну ее нахрен, запилим
> на линуксе очередной недо-файрвол, пакетного фильтра/ната тут на десять лет хватит,
> а больше и не надо"

а чего не на ng_ipfw ?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Разработчики Netfilter официально объявили инструментарий ip..."  –4 +/
Сообщение от нах (?), 21-Июн-18, 15:38 
Барон не любит, чтоб потруднее.

Мне был нужен простой, удобочитаемый и без особых фокусов пакетный фильтр/pat
Ни сам по себе ipfw, ни тем более уродливое наслоение нетграфов такового не обеспечивают.

цискин (новый, к старому  претензий не было) формат вполне омерзителен, но разобраться можно, даже когда там уже сотни хостов и специфичных правил.

iptables проще и во многом удобнее (и надежнее), но, к счастью, линукс там подниматься с первой попытки не захотел, и мне не придется теперь либо вручную латать древние ядра, либо "запустите наш чудесный конвертер правил, и убедитесь, как он легко и просто...ой, нет, эту запись мы не распарсили, выбросьте, она вам не нужна, мы лучше знаем", а отлаживать, если что-то работает не так как задумано - "а зачем, у нас, разработчиков с тремя единственно-верными правилами, таких проблем не бывает".

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

49. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от Аноним (49), 21-Июн-18, 17:18 
>на ng_ipfw

занчение знаешь?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Разработчики Netfilter официально объявили инструментарий ip..."  +4 +/
Сообщение от Аноним (6), 21-Июн-18, 15:20 
Воь же нытики. Ты по прежнему можешь использовать синтаксис iptables для настройки фаервола. Но весь твой синтаксис будет транислроваться в  nf_tables в ядре системы. Для тебя никакой разницы -- для разработчиков минус одно легаси апи от которого уже десяток лет пытаются уйти.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Разработчики Netfilter официально объявили инструментарий ip..."  –9 +/
Сообщение от нах (?), 21-Июн-18, 15:41 
> Воь же нытики. Ты по прежнему можешь использовать синтаксис iptables для настройки
> фаервола. Но весь твой синтаксис будет транислроваться в  nf_tables в
> ядре системы.

и ты в результате видишь список своих правил, не имеющих ни малейшего отношения к тому, во что они понатранслировались.

> Для тебя никакой разницы -- для разработчиков минус одно

это для разработчиков, ни разу в жизни не видевших сложных правил "никакой разницы". Да и тот десяток что видели, за них докер понасоздавал.

> легаси апи от которого уже десяток лет пытаются уйти.

я бы предпочел минус все модные-современные апи. Их и без вас хватает.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

18. "Разработчики Netfilter официально объявили инструментарий ip..."  +5 +/
Сообщение от Anonymous_ (?), 21-Июн-18, 16:09 
> не имеющих ни малейшего отношения к тому, во что они понатранслировались.

Да ладно тебе. iptables ужастен, IMO.
ipfw лично мне всегда больше нравился.

Может у тебя вообще синдром утёнка?
Т.е. твоим первым файерволом был iptables и поэтому ты его любишь?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

22. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от нах (?), 21-Июн-18, 16:23 
нет. Потому что задача "быстро разобраться в сложной конструкции с натами, резервными каналами, ipsec поверх всего этого, когда что-то пошло не так"  в случае ipfw нерешаема в принципе. Полагаю, если кто-то построит нечто подобное на nft, результат будет даже хуже, но никто уже, наверное, и не построит.
Я точно мараться не буду - "вам нужен файрвол? Вооон там вход в отдел ИБ".

> Т.е. твоим первым файерволом был iptables и поэтому ты его любишь?

моим первым файрволлом был ipfwadm.  он г-но.

Мы были вполне счастливы, когда его заменили ipchains. Часть того функционала (как модулей, так и cli) не воспроизведена _по_сей_день_ - генитальным разработчикам некогда, они придумывают транслятор в json.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

140. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от Пользователь Debian (?), 22-Июн-18, 12:33 
> Может у тебя вообще синдром утёнка?

Написали бы сразу "импринтинг" — вроде и умнее и менее обидно для оппонента что-ли.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

28. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от AnonPlus (?), 21-Июн-18, 16:30 
>> и ты в результате видишь список своих правил, не имеющих ни малейшего отношения к тому, во что они понатранслировались.

Когда ты пишешь на высокоуровневом языке программирования, ты тоже видишь свой код, не имеющим никакого отношения к машинным командам, в которые он трансформируется при компиляции.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

37. "Разработчики Netfilter официально объявили инструментарий ip..."  –3 +/
Сообщение от нах (?), 21-Июн-18, 17:00 
> Когда ты пишешь на высокоуровневом языке программирования, ты тоже видишь свой код, не имеющим
> никакого отношения к машинным командам, в которые он трансформируется при компиляции.

да. В результате - ни реверс чужого решения, ни отладка своего вне пределов, предоставляемых ide, невозможны без адского геморроя.
В разработке это оправдано экономией времени и более-менее устоявшимся качеством инструментов (хотя, надо сказать, в те времена, когда я был разработчик, искать в отладчике ошибки, привнесенные компилятором, случалось) - при условии что хотя бы код написан не по правилам языка программирования(сюрприз!) а по принятым стандартам писания именно кода. Иначе еще и его прочитать может быть невозможно - при вполне тривиальной задаче, им решаемой.

В случае достаточно простой вещи, которой являются пакетные фильтры, у которых, кстати, с 2001го года нет отладчиков, альтернативно-одаренные улучшайки ниасилили, экономия не то что нулевая, а отрицательная - пока ты всю эту развесистую многострочную клюкву ради единственного правила напишешь  или найдешь в уже написанной нужное место...
А вот как раз разбираться в чужом (в том числе автогенеренном, у чего вообще нет читаемого исходника) или что-то менять в своем - нужно регулярно.

теперь добавь к этому инструментарий версии 0.чтототам, вику вместо документации (сравни man iptables и man nft) и поделки вроде докера и ufw.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

137. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от A (?), 22-Июн-18, 10:47 
> Когда ты пишешь на высокоуровневом языке программирования, ты тоже видишь свой код,
> не имеющим никакого отношения к машинным командам, в которые он трансформируется
> при компиляции.

У всех компиляторов C/C++ был замечательный ключик - компилировать в ASM. Прогоняешь один и тот же текст с разными ключами уровня оптимизации и вполне себе смотришь "что он там наоптимизировал" на критичных к быстродействию участках кода. Что, сейчас это уже "отменили"?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

139. "Разработчики Netfilter официально объявили инструментарий ip..."  +2 +/
Сообщение от Anonymoustus (ok), 22-Июн-18, 11:58 
> У всех компиляторов C/C++ был замечательный ключик - компилировать в ASM. Прогоняешь
> один и тот же текст с разными ключами уровня оптимизации и
> вполне себе смотришь "что он там наоптимизировал" на критичных к быстродействию
> участках кода. Что, сейчас это уже "отменили"?

А может ли такое заинтересовать людей, для которых скорость компиляции важнее всех прочих вещей?

Ответить | Правка | ^ к родителю #137 | Наверх | Cообщить модератору

43. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (43), 21-Июн-18, 17:10 
>> Воь же нытики. Ты по прежнему можешь использовать синтаксис iptables для настройки
>> фаервола. Но весь твой синтаксис будет транислроваться в  nf_tables в
>> ядре системы.
> и ты в результате видишь список своих правил, не имеющих ни малейшего
> отношения к тому, во что они понатранслировались.

Трансляция iptables-compat обратима.

Слив засчитан.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

102. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от пох (?), 21-Июн-18, 22:16 
>  Трансляция iptables-compat обратима.
>   Слив засчитан.

сюсипуси взрослым дядям засчитывают слив? Твоя "трансляция" не справилась не то что с нетривиальным файрволом, о которых была речь, а с банальным фильтром на локалхосте.

Обратима, да - те правила, что не поняла, их и оборачивать не придется, а те полтора, что асилила - да, обратима, наверное.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

106. "Разработчики Netfilter официально объявили инструментарий ip..."  +2 +/
Сообщение от irinat (ok), 21-Июн-18, 22:23 
> и ты в результате видишь список своих правил, не имеющих ни малейшего
> отношения к тому, во что они понатранслировались.

Ты и раньше не знал, во что они транслировались. Но почему-то раньше тебе было достаточно видеть текстовое представление, из которого создавались реальные правила, а теперь почему-то нет.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

129. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от Netmapguy (?), 22-Июн-18, 01:15 

> и ты в результате видишь список своих правил, не имеющих ни малейшего
> отношения к тому, во что они понатранслировались.

нет, это не так. трансляции обратимы.

> это для разработчиков, ни разу в жизни не видевших сложных правил "никакой
> разницы". Да и тот десяток что видели, за них докер понасоздавал.

разработчики как раз видели правила побольше и получше вашего.

ровной по той причине есть такая штука в nftables как verdict maps.



Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

7. "Разработчики Netfilter официально объявили инструментарий ip..."  +8 +/
Сообщение от wi1fu1 (?), 21-Июн-18, 15:23 
Ну вы явно утрируете, никто не заставляет пользоваться firewalld (я лично даже не пробовал его, мне достаточно было глянуть как он работает). nftables гораздо более удобный формат, как для чтения, так и понимания (например, как в iptables смотреть длинные цепочки в разных таблицах). Думаю хороший инструмент получился, может и побыстрее.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "Разработчики Netfilter официально объявили инструментарий ip..."  –1 +/
Сообщение от нах (?), 21-Июн-18, 15:51 
> Ну вы явно утрируете, никто не заставляет пользоваться firewalld (я лично даже
> не пробовал его, мне достаточно было глянуть как он работает). nftables
> гораздо более удобный формат, как для чтения, так и понимания

серьезно? Вот эту развисистую лапшу, требующую полтора экрана вместо одной строки, и не разделяемую в принципе на изолированные сегменты, вам "удобно понимать" ?

> (например, как в iptables смотреть длинные цепочки в разных таблицах). Думаю хороший

покажите пример - скорее всего либо grep придумали не для вас, либо вы применяете таблицы не по назначению.
Мне обычно достаточно посмотреть ровно одну таблицу, если это писал я - я знаю, какую. Обычно я "смотрю" ее grep'ом.

> инструмент получился, может и побыстрее.

меня скорость iptables вполне устраивала. Понятия не имею, что надо наслесарить, оставаясь в рамках примитивной фильтрации пакетов, чтобы перестала.

Для остального есть PA7050. В общем-то, и недорого.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

39. "Разработчики Netfilter официально объявили инструментарий ip..."  +3 +/
Сообщение от Аноним (43), 21-Июн-18, 17:04 
"Удобочитаемый" формат, который можно прочитать только грепом? Вы стебeтесь, да?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

58. "Разработчики Netfilter официально объявили инструментарий ip..."  +2 +/
Сообщение от нах (?), 21-Июн-18, 18:10 
> "Удобочитаемый" формат, который можно прочитать только грепом? Вы стебeтесь, да?

разница в том, что подeлие на nft _даже_ грепом прочитать - нельзя.
Счастье разглядывать длинные псевдо-структурированные простыни или парсить на коленке модный json - бесценно.

И да, я предпочитаю грепом выцепить одну нужную строчку, а вы можете и дальше искать ее глазами среди сотен (особенно интересно - если ее там как раз нет). Зато красиво раскрашенных и отформатированных модным-стильным-молодежным софтом.


Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

65. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Харитон (?), 21-Июн-18, 18:30 
Не упирайтесь! пришло время освоить sed!
sudo nft list table inet filter | sed -n '/chain input {/,/}/p'
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

69. "Разработчики Netfilter официально объявили инструментарий ip..."  +2 +/
Сообщение от Аноним (69), 21-Июн-18, 18:58 
> парсить на коленке модный json

man jq

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

75. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от Аноним (75), 21-Июн-18, 19:32 
а чо сразу не xml? man xmlstarlet
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

101. "Разработчики Netfilter официально объявили инструментарий ip..."  +2 +/
Сообщение от Anon1 (?), 21-Июн-18, 22:12 
Лёне идейку подкиньте, он с радостью вам бинарный формат запилит импортируемый отдельным сервисом в xml, yaml и json.
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

103. "Разработчики Netfilter официально объявили инструментарий ip..."  +3 +/
Сообщение от пох (?), 21-Июн-18, 22:18 
> Лёне идейку подкиньте, он с радостью вам бинарный формат запилит импортируемый отдельным
> сервисом в xml, yaml и json.

вы не поняли - они _уже_ запилили, Лёня не понадобился. И да, у них есть экспорт в xml и json. Вменяемых средств управления - разумеется, нет.

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

156. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Алкоголик А. (?), 23-Июн-18, 16:17 
> "Удобочитаемый" формат, который можно прочитать только грепом? Вы стебeтесь, да?

Называется мразина не умеющая читать каким-то чудом пишет...

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

51. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от Аноним (51), 21-Июн-18, 17:24 
>как в iptables смотреть длинные цепочки в разных таблицах

{ iptables -L цепочка1; iptables -L цепочка1 -t mangle; iptables -L цепочка1 -t nat; } | less

можно еще алиас на iptables -L сделать чтобы меньше писать.
вообще, печально за ИТ спецов, их всякие редхаты и гуглы отучают думать головой, а они и рады :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

66. "Разработчики Netfilter официально объявили инструментарий ip..."  +4 +/
Сообщение от Аноним (63), 21-Июн-18, 18:33 
> nftables гораздо более удобный формат, как для чтения, так и понимания

Видимо поэтому его за 4 года никто так и не захотел использовать, потому что он удобный и понятный, да?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

125. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от sage (??), 22-Июн-18, 00:07 
Многие программы управления межсетевым экраном поддерживают его. Я ждал, пока в firewalld поддержку добавят, и, вот, дождался.
Нужно было добавлять много правил типа -j DNAT в iptables программно, из-за чего нужно было вручную следить за количеством правил в таблице, чтобы iptables не тормозил. С nftables же автоматически используются хешированные таблицы, в которые можно добавлять данные независимо от самого описания правила.
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

10. "Разработчики Netfilter официально объявили инструментарий ip..."  –1 +/
Сообщение от ананим.orig (?), 21-Июн-18, 15:41 
> ... firewalld" - очередной yблюдочный монстр, который за вас будет думать ...
> ...
> Какое счастье, что по сумме, в общем-то, случайных совпадений и личных глюков я месяц назад выбрал asa ...

да не переживай ты так.
всегда можешь найти себе оправдание.
(Типа один раз не.. и тд.):D

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

20. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от commiethebeastie (ok), 21-Июн-18, 16:10 
После джунипера от твоего удобного пакетного фильтра вытекают глаза.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

25. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от нах (?), 21-Июн-18, 16:25 
> После джунипера от твоего удобного пакетного фильтра вытекают глаза.

покажите свой сложный (не на одну страничку в 25 строк) набор правил. Фильтрация, нат/pat, сложные протоколы, ipsec без default permit.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

31. "Разработчики Netfilter официально объявили инструментарий ip..."  –1 +/
Сообщение от Аноним (31), 21-Июн-18, 16:48 
А что же бздуны не пользуются своими системами xBSD для фильтрации трафика? ;)
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

126. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (126), 22-Июн-18, 00:30 
> А что же бздуны не пользуются своими системами xBSD для фильтрации трафика? ;)

Ох уж эти знатоки с гордо задранной гузкой:
> однако транслируют полученные правила не в блобы ip_tables, а в BPF-программы nf_tables.
> BPF

BPF Berkeley Packet Filter
BSD Berkeley Software Distribution

% man bpf
> HISTORY
>     The Enet packet filter was created in 1980 by Mike Accetta and Rick
>     Rashid at Carnegie-Mellon University.  Jeffrey Mogul, at Stanford, ported
>     the code to BSD and continued its development from 1983 on.  Since then,
>     it has evolved into the Ultrix Packet Filter at DEC, a STREAMS NIT module
>     under SunOS 4.1, and BPF.
>

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

82. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (82), 21-Июн-18, 19:58 
> Управляемый руками

Хорошо, когда у тебя 1 сервер, да и тот localhost с LA 0.0. Уже забыл, когда руками iptables вызывал в проде…

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

121. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от нах (?), 21-Июн-18, 23:30 
хорошо когда "прод", "ответственность успешно переложена на никого" и т д. А дырки в фильтре за тебя делает докер, да? -i !docker0 -o docker0 -j ACCEPT (не понимаю только, зачем тебе какие-то nft, ты их все равно никогда не видишь)

А когда у тебя десяток софтсвитчей (и в мир торчит h323, да, они для того и стоят) - к примеру, уже очень нехорошо (в том числе потому, что при ошибке - LA быстренько разгонится до непотребных значений и контора попадет на очень заметные деньжата).

Да, руками, каждый индивидуально (есть, разумеется, общие chain'ы, раздаваемые из svn, но они не главные- клиенты на каждом свои, настройки тоже свои)

когда у тебя пара файрволлов периметра сложной сетки - их тоже, внезапно, настраивают индивидуально (а потом еще и траблшутить часто приходится - тоже индивидуально). Впрочем, да, в одном крупном банчке сделали не индивидуально. "мы настройки сделали, закрой, пожалуйста, задачу, kpi падает. А порты? А когда ансибля проползет по всем железкам, тогда и откроются. Нет, ускорить не можем." Ну чо, закрыл - они ж не выбирают чем им пользоваться, за них топ-топ менеджмент уже выбрал. Спрашивать, как они в этой автоматике будут искать ошибку, не стал, за бесполезностью.

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

153. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от Pofigist (?), 22-Июн-18, 17:27 
> пц.
> Управляемый руками и читаемый глазами пакетный фильтр - вычеркиваем из редеющего списка
> преимуществ линyпса. Его уже (тоже) нет.

Фигню написал.
Было - iptables -t filter -A OUTPUT -j DROP -d 1.2.3.4
Стало - nft add rule ip filter output ip daddr 1.2.3.4 drop
Стало гораздо более читаемо имхо. До нормального синтаксиса конечно еще далеко, один daddr чего стоит, но гораздо лучше чем всякие -t, -A, -j, -d и прочий краснoглазый сленг.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

160. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от angra (ok), 23-Июн-18, 22:40 
> Стало гораздо более читаемо имхо.

Для знакомого с iptables стало хуже читаться, не намного, правило то простое, но хуже. Что будет на сложном, страшно представить.

> но гораздо лучше чем всякие -t, -A, -j, -d и прочий краснoглазый сленг.

Если ты видишь эти ключи раз в несколько лет, то возможно 'add rule' лучше чем '-A', но если ты с этим работаешь регулярно, то однозначно хуже.


Ответить | Правка | ^ к родителю #153 | Наверх | Cообщить модератору

163. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Pofigist (?), 24-Июн-18, 14:08 
Проблема нормального сетевого оборудования и заключается в том что ты в худшем случае правишь его конфиги раз в несколько месяцев, а обычно - поставил и оно годами работает, не требуя ручного вмешательства. И когда ты залезаешь на железку через несколько месяцев - тебе необходим удобочитаемый и самодокументированный конфиг. В тех же кошках нет ничего "волшебного" - обычная кетайская железка с индусским кодом... кроме ее конфигов, который открываешь через пару лет - и тебе сразу все понятно. Ну и понятное дело - документация, она просто великолепно. Только формат конфигов и документация - все остальное на твердую троечку.
Ответить | Правка | ^ к родителю #160 | Наверх | Cообщить модератору

164. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от нах (?), 25-Июн-18, 12:02 
твоя лавка уже банкрот или еще готовится ?
"проблема нормального сетевого оборудования" в не-банкротах в том, что сеть развивается (или растет/меняется абонентская база, если ты не обслуживаешь, а предоставляешь услугу) и новые сервисы/изменения в существующих происходят постоянно.

В тех же кошках волшебного - как раз железка, просто, похоже, кое-кто не видел ничего кроме самых дешевых мыльниц. Успехов тебе собрать на коленке из китайских запчастей что-нибудь вроде asr99xx или того же банального nexus. wlc/lwap попыталась изобразить из дерьма и палок убиквитя, все кто не сталкивался - матерят циску на чем свет стоит (в оправдание циске - она это купила, в готовом виде), а кто после этого вынужден был мигрировать на уби- те молчат и только шипят что-то нечленораздельное, перезагружаясь раз в день.
В софте, впрочем, тоже есть некоторая магия - попробуй изобразить asa (вот это почти обычная писюковая плата, причем дешевейшая и с дохлым процессором) из линуксов и опенсорся (ну, да, разумеется- active-standby, ipsec-клиенты, наты-паты и так далее, при switchover голос может хрюкать, но не должен рваться)

ну и на закусочку:
> который открываешь через пару лет - и тебе сразу все понятно

а люди все фейлят и фейлят ccie practical exam за полтора косаря. "сразу все понятно", ага.

Ответить | Правка | ^ к родителю #163 | Наверх | Cообщить модератору

165. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Pofigist (?), 25-Июн-18, 17:06 
Ты знаешь - нормально спроектированная сеть практически не требует вмешательства в уже установленное оборудование при подключении нового. Внезапно да?
В тех же кошках, если немного пошамать с инфой, доступной по sh ver, обнаруживается стандартная кетайская железка. Внезапно, ога? Правда собрать самому - проблема в разы более сложная, это вам не писюк. Да и если соберешь - софт хоть и индусский, но в опенсорце с его аналогами наблюдается проблема - факт.

> а люди все фейлят и фейлят ccie practical exam за полтора косаря. "сразу все понятно", ага.

В конфиге - сразу все понятно. Разумеется если ты знаешь те протоколы, которые там используются. А вот с этим-то обычно и возникает проблема - со знанием протокола. :)

Ответить | Правка | ^ к родителю #164 | Наверх | Cообщить модератору

5. "Разработчики Netfilter официально объявили инструментарий ip..."  +4 +/
Сообщение от Аноняша (?), 21-Июн-18, 15:18 
nftables же вроде уже хоронили, после выпуска bpfilter.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от Аноним (43), 21-Июн-18, 16:57 
Хоронили какие-то левые люди, не имеющие отношения к Netfilter core team.
И bpfilter так и остался на стадии прототипа.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

54. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от DPDKguy (?), 21-Июн-18, 17:43 
> Хоронили какие-то левые люди, не имеющие отношения к Netfilter core team.
> И bpfilter так и остался на стадии прототипа.

Да, он в альфе, но уже в 4.18 будет

Важно понимать, что дальше просто заменят одну vm(nftables) на другую(ebpf).

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

46. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от прототип (?), 21-Июн-18, 17:12 
https://lwn.net/Articles/747551/
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Разработчики Netfilter официально объявили инструментарий ip..."  +4 +/
Сообщение от А (??), 21-Июн-18, 15:48 
> Кроме того, поддержка nftables уже реализована в firewalld, что упростит процесс миграции для пользователей этого инструмента.

Вот счастье-то привалило...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "Разработчики Netfilter официально объявили инструментарий ip..."  –1 +/
Сообщение от Аноним (-), 21-Июн-18, 18:10 
Радоваться или плакать?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

77. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от псевдонимус (?), 21-Июн-18, 19:46 
"фаерволД"-конечно плакать
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

15. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от demimurych (ok), 21-Июн-18, 15:59 
Интересно, а что большинство анонимусов не знают что iptables это всего лишь один из интерфейсов к нетфильтру? Грубо говоря языком описания правил. И что под капотом у nftables тоже самое что и у iptables. И что nftabes делает почти та же команда что и iptables
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Разработчики Netfilter официально объявили инструментарий ip..."  +2 +/
Сообщение от нах (?), 21-Июн-18, 16:05 
> И что nftabes делает почти та же команда что и iptables

и сколько в "почти той же" осталось авторов изначального iptables ? Дайте угадаю - их там и не было никогда.


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

38. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (43), 21-Июн-18, 17:01 
> и сколько в "почти той же" осталось авторов изначального iptables ? Дайте
> угадаю - их там и не было никогда.

Да их и в команде разработчиков iptables уже лет двадцать как нет. Так что не показатель.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

87. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Еще_один_аноним (?), 21-Июн-18, 20:27 
> Да их и в команде разработчиков iptables уже лет двадцать как нет.

Вот только iptables, который появился в ядре 2.4 нет 20 лет. Упс.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

35. "Разработчики Netfilter официально объявили инструментарий ip..."  +5 +/
Сообщение от evilman (?), 21-Июн-18, 16:58 
> Интересно, а что большинство анонимусов не знают что iptables это всего лишь один из интерфейсов к нетфильтру?
> Грубо говоря языком описания правил. И что под капотом у nftables тоже самое что и у iptables.

Нетфильтр предоставляет набор хуков и управление списками функций обратного вызова, привязанных к этим хукам. А вот вся работа по анализу и фильтрации трафика осуществляется внутри этих колбеков, которые и являются "мозгом" iptables (на самом деле, оно xtables называется) и nftables. И вот эти мозги xtables и nftables построены на разных принципах, и работают иначе.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

147. "Разработчики Netfilter официально объявили инструментарий ip..."  –1 +/
Сообщение от Аноним (146), 22-Июн-18, 14:25 
> Нетфильтр предоставляет набор хуков и управление списками функций обратного вызова, привязанных
> к этим хукам. А вот вся работа по анализу и фильтрации
> трафика осуществляется внутри этих колбеков, которые и являются "мозгом" iptables (на
> самом деле, оно xtables называется) и nftables. И вот эти мозги
> xtables и nftables построены на разных принципах, и работают иначе.

Хуки...
А почему у вас такой скудный словарный запас, что не смогли подобрать подходящее русскоязычное обозначение?

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

17. "Разработчики Netfilter официально объявили инструментарий ip..."  +3 +/
Сообщение от Аноним (17), 21-Июн-18, 16:08 
КАК??? А как же это https://www.opennet.ru/opennews/art.shtml?num=48117 ???
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Разработчики Netfilter официально объявили инструментарий ip..."  +7 +/
Сообщение от Аноним (23), 21-Июн-18, 16:23 
> КАК??? А как же это https://www.opennet.ru/opennews/art.shtml?num=48117 ???

Ну как, как, сначала переедут на nf_tables, а когда оно таки хоть как-то заработает и устаканится - будут переходить на bpfilter.
Что ты хочешь от современных смузи-хлёбов? Они как юные троцкисты - сначала все снести, а потом, а потом, а потом может что-то как-то само заработает.
Или нет. В общем неважно. Главное это снести все работающее. Это модно и молодежно.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

36. "Разработчики Netfilter официально объявили инструментарий ip..."  –1 +/
Сообщение от Аноним (43), 21-Июн-18, 16:59 
> Ну как, как, сначала переедут на nf_tables, а когда оно таки хоть
> как-то заработает и устаканится - будут переходить на bpfilter.

Смузи-стартап bpfilter не взлетел, не парьтесь.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

24. "Разработчики Netfilter официально объявили инструментарий ip..."  +2 +/
Сообщение от aim (ok), 21-Июн-18, 16:23 
ну потом будет другой переезд. потом - это потом.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

27. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от нах (?), 21-Июн-18, 16:27 
> КАК??? А как же это https://www.opennet.ru/opennews/art.shtml?num=48117 ???

все норм, как только тебе удастся починить сложные системы после перехода на nft, они как раз его тоже объявят устаревшим, можешь начинать заново.


Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

34. "Разработчики Netfilter официально объявили инструментарий ip..."  –5 +/
Сообщение от Аноним (31), 21-Июн-18, 16:58 
И это тоже работа админов. А если ничего не будет менятся, всё будет продолжать работать , как бы, само собой, то работодатели начнут задумываться, а нужны ли вообще админы.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

45. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от Michael Shigorin (ok), 21-Июн-18, 17:12 
> И это тоже работа админов. А если ничего не будет менятся, всё
> будет продолжать работать , как бы, само собой, то работодатели начнут
> задумываться, а нужны ли вообще админы.

Работодатели тоже не нужны, всё же и так работает.

Для мальчиков, симулирующих деятельность, "шоб не выгнали": вменяемое начальство платит вменяемым админам именно за то, чтоб работало.  Их не волнует, будет он при этом серверы руками держать или автоматом разворачивать.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

44. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Michael Shigorin (ok), 21-Июн-18, 17:10 
> все норм, как только тебе удастся починить сложные системы после перехода на
> nft, они как раз его тоже объявят устаревшим, можешь начинать заново.

По-моему, эта болячка у шляпы началась самое позднее с apache2...

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

48. "Разработчики Netfilter официально объявили инструментарий ip..."  –2 +/
Сообщение от Аноним (43), 21-Июн-18, 17:17 
> КАК??? А как же это https://www.opennet.ru/opennews/art.shtml?num=48117 ???

Патчи bpfilter были подготовлены для ядра Linux 4.18, однако, по итогам дискуссии, были признаны не готовыми для включения в данный выпуск. На этом пыл разработчиков как-то угас. Скорее всего, про bpfilter просто забудут.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

55. "Разработчики Netfilter официально объявили инструментарий ip..."  +2 +/
Сообщение от DPDKguy (?), 21-Июн-18, 17:49 
>> КАК??? А как же это https://www.opennet.ru/opennews/art.shtml?num=48117 ???
> Патчи bpfilter были подготовлены для ядра Linux 4.18, однако, по итогам дискуссии,
> были признаны не готовыми для включения в данный выпуск. На этом
> пыл разработчиков как-то угас. Скорее всего, про bpfilter просто забудут.

патчи живут уже в net-next, а в bpfilter заинтересованы многие. одна из причин - это возможность оффлоада ebpf в сетевые карточки.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

83. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (83), 21-Июн-18, 20:06 
Если брать не только тусовку дпдк-шников, у которых есть карточки нетронома, то получаются далеко не многие.
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

128. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Netmapguy (?), 22-Июн-18, 01:08 
> Если брать не только тусовку дпдк-шников, у которых есть карточки нетронома, то
> получаются далеко не многие.

это вопрос времени. ebpf дизайнился довольно просто: взяли общее среднее от популярных на рынке ISA(amd64/arm64/s390/etc..) и на их основе сделали байткод ebpf. Потому большая часть инструкций ebpf маппится 1 в 1 на инструкции процессора.


Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

26. "Разработчики Netfilter официально объявили инструментарий ip..."  +5 +/
Сообщение от Аноним (26), 21-Июн-18, 16:27 
> Кроме того, поддержка nftables уже реализована в firewalld, что упростит процесс миграции для пользователей этого инструмента.
> The workshop was sponsorized by vmware, zevenet, **redhat**, intra2net, oisf, stamus networks, and suricata.

Опять шапка гадит.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Разработчики Netfilter официально объявили инструментарий ip..."  +3 +/
Сообщение от Аноним (-), 21-Июн-18, 16:38 
>> Кроме того, поддержка nftables уже реализована в firewalld, что упростит процесс миграции для пользователей этого инструмента.
>> The workshop was sponsorized by vmware, zevenet, **redhat**, intra2net, oisf, stamus networks, and suricata.
> Опять шапка гадит.

Ничего личного, just business.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

32. "Разработчики Netfilter официально объявили инструментарий ip..."  +3 +/
Сообщение от Аноним (31), 21-Июн-18, 16:52 
Какой-такой firewalld? Должно быть systemd-firewalld.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Разработчики Netfilter официально объявили инструментарий ip..."  +2 +/
Сообщение от Аноним (43), 21-Июн-18, 17:05 
> Какой-такой firewalld? Должно быть systemd-firewalld.

В systemd фаерволом рулит systemd-networkd.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

52. "Разработчики Netfilter официально объявили инструментарий ip..."  +3 +/
Сообщение от Anonymoustus (ok), 21-Июн-18, 17:36 
>> Какой-такой firewalld? Должно быть systemd-firewalld.
> В systemd фаерволом рулит systemd-networkd.

Слишком просто. Надо systemd-networkd-firewalld.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

50. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от eRIC (ok), 21-Июн-18, 17:23 
>Таким образом, будет осуществлён прозрачный переход с iptables на nftables, >оставляющий возможность использования legacy-инструментов в случае каких-либо >проблем. Тем не менее, пользователям настоятельно рекомендуется мигрировать на >штатный формат правил nftables.

Так в итоге в ядре будет использоваться новый bpfilter (https://www.opennet.ru/opennews/art.shtml?num=48117) или же не ставший популярный nftables?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "Разработчики Netfilter официально объявили инструментарий ip..."  +2 +/
Сообщение от Нанобот (ok), 21-Июн-18, 17:55 
Интересно, какие-то упорышы уже планируют выпуск дистрибутива "без nftables"?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "Разработчики Netfilter официально объявили инструментарий ip..."  –2 +/
Сообщение от Аноняша (?), 21-Июн-18, 18:03 
Docker, k8s не умеют и не будут уметь. AWS тоже.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

122. "Разработчики Netfilter официально объявили инструментарий ip..."  +2 +/
Сообщение от пох (?), 21-Июн-18, 23:33 
> Docker, k8s не умеют и не будут уметь. AWS тоже.

да ну, что вы. Они как раз любят пользоваться послезавтрашними фичами ядра, еще не написанными.
Следующая версия разучится iptables.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

68. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (63), 21-Июн-18, 18:42 
> Интересно, какие-то упорышы уже планируют выпуск дистрибутива "без nftables"?

Если удалят /sbin/iptables-legacy то почему нет? Непонятно только зачем вы незнакомых вам людей называете «упорышы»?

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

60. "Разработчики Netfilter официально объявили инструментарий ip..."  +3 +/
Сообщение от Новичок (??), 21-Июн-18, 18:13 
Всем здрям! Я новичок в линуксе. Подскажите, решил изучить iptables, а тут получается что он уже устарел? Если у меня Ubuntu 18.04 - есть ли там iptables по умолчанию, или уже что-то новое стоит и надо изучать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от null (??), 21-Июн-18, 18:17 
Кстати да, интересный вопрос - что там щас в текущей LTS *buntu? firewalld?
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

97. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (97), 21-Июн-18, 21:27 
firewalld - RHEL based
ufw - ubuntu based
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

62. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от evilman (?), 21-Июн-18, 18:18 
> Всем здрям! Я новичок в линуксе. Подскажите, решил изучить iptables, а тут
> получается что он уже устарел? Если у меня Ubuntu 18.04 -
> есть ли там iptables по умолчанию, или уже что-то новое стоит
> и надо изучать?

Есть и будет. В ближайшие несколько лет никто на nftables не перейдёт. То, что iptables объявлены устаревшими проявляется лишь в том, что переименовали несколько файлов. На этом вся движуха и заглохнет.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

71. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от An (??), 21-Июн-18, 19:14 
К тому же ещё nftables пока не поддерживает весь функционал iptables. Плюс ещё много кто пользуется сторонними модулями для iptables с которыми тоже что-то придется решать.          
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

67. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от Глеб (?), 21-Июн-18, 18:38 
Блин, та же проблема) у меня есть книжка 2010 года про Linux, там сотни команд и есть глава про iptables. Придется покупать новую?((
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

74. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от А (??), 21-Июн-18, 19:26 
Сначала эту прочти. Я вообще учил iptables по книжкам, где ipchains описывался. Полет нормальный.
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

107. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от Anon1 (?), 21-Июн-18, 22:29 
> Блин, та же проблема) у меня есть книжка 2010 года про Linux,
> там сотни команд и есть глава про iptables. Придется покупать новую?((

За 8-10 лет могли много чего поломать/добавить (теперь ещё и бинарники переименуют).
Читайте актуальную документацию в интернетах, смотрите код, примеры, рассылки, багтрэкер.
Вообще забейте на покупку книжек в IT. Во первых там часто булшит (если это не классика от авторов языка/протокола/программы)
во-вторых, пока один пишет книгу, например про API (хорошая книга не пишется за неделю) - остальные этот API меняют.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

64. "Разработчики Netfilter официально объявили инструментарий ip..."  +3 +/
Сообщение от Жирный Бобер (?), 21-Июн-18, 18:22 
Попробовал запустить в виртуалке nftables на Ubuntu 18.04 LTS:

> ~$ nftables
> nftables: команда не найдена

Как команда то называется?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от Аноним (72), 21-Июн-18, 19:19 
nft
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

73. "Разработчики Netfilter официально объявили инструментарий ip..."  –2 +/
Сообщение от аноним_ (?), 21-Июн-18, 19:19 
apt-get unstall nftables
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

99. "Разработчики Netfilter официально объявили инструментарий ip..."  +3 +/
Сообщение от KonstantinB (ok), 21-Июн-18, 21:45 
А зачем вам? Если вы не можете за 5 секунд самостоятельно выяснить, как называется команда, как вы будете разбираться, как ей пользоваться?
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

70. "Разработчики Netfilter официально объявили инструментарий ip..."  +2 +/
Сообщение от Аноним (70), 21-Июн-18, 19:02 
Разработчики Netfilter уже достигли договоренности об отражении соответствующих изменений в дистрибутивах RedHat, Fedora, CentOS, SUSE, Debian и производных от них.

То есть все основные дистры, что ж будем готовиться к сюрпризам =D

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

76. "Разработчики Netfilter официально объявили инструментарий ip..."  +11 +/
Сообщение от Nikolai WTF (?), 21-Июн-18, 19:42 
Видимо я совсем пропащий слоупок, но недавно мне сказали что ifconfig тоже ВСЁ. Запустил свою UBUNTU 18.04 и вот что она мне сказала:

Command 'ifconfig' not found, but can be installed with:

sudo apt install net-tools

Что вообще происходит в этом мире? Я только год назад овладел этой командой и научился кое-как настраивать сети. Теперь мне начинать все сначала? А через год появится еще десяток новых команд для настройки сетей? Кто вообще форсит эти метаморфозы? Есть ли хоть какое-то ПОСТОЯНСТВО в Linux, или админ должен страдать? Кто теперь вместо ifconfig? Где официальная инфа? :(

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

78. "Разработчики Netfilter официально объявили инструментарий ip..."  +4 +/
Сообщение от An (??), 21-Июн-18, 19:47 
> Кто теперь вместо ifconfig?

ip

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

80. "Разработчики Netfilter официально объявили инструментарий ip..."  +10 +/
Сообщение от Nikolai WTF (?), 21-Июн-18, 19:52 
Но почему? Кому это все надо? Где преимущества?

Только что я ввел команду ip link и вместо четкого ровненького вывода ifconfig - получил какую-то мешанину из интерфейсов, совершенно нечитаемую.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

86. "Разработчики Netfilter официально объявили инструментарий ip..."  +3 +/
Сообщение от Аноним (83), 21-Июн-18, 20:14 
> Но почему? Кому это все надо? Где преимущества?

ifconfig плохо показывает конфигурацию с несколькими адресами на интерфейсе, ограничение в используемом API ядра, которое без слома обратной совместимости не поменять.
Это лишь один из примеров, а так все новые фичи делаются в netlink API и в пакете iproute, соответственно.

Вообще, ifconfig депрекейтнут года эдак с 2000-го. То, что ты обмазывался несвежими туториалами с лиссяры - это твои личные проблемы.
> Только что я ввел команду ip link и вместо четкого ровненького вывода
> ifconfig - получил какую-то мешанину из интерфейсов, совершенно нечитаемую.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

143. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (143), 22-Июн-18, 13:01 
> ifconfig плохо показывает конфигурацию с несколькими адресами на интерфейсе

А в чём эта плохость выражается?

Запустил тут ifconfig, он мне 3 адреса показал, 1 IPv4 и 2 IPv6. Типа вот такого выдал:

wlp4s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.x.x  netmask 255.255.255.0  broadcast 192.168.x.x
        inet6 fe80::xxxx  prefixlen 64  scopeid 0x20<link>
        inet6 xxxx  prefixlen 64  scopeid 0x0<global>

Выглядит вроде неплохо.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

151. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от qwert (??), 22-Июн-18, 16:09 
alias ip='ip -c -d -h'
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

159. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (-), 23-Июн-18, 18:42 
Не работает. Нет таких опций.
Ответить | Правка | ^ к родителю #151 | Наверх | Cообщить модератору

79. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (72), 21-Июн-18, 19:51 
Пёттеринг as a Sergice.
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

81. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от псевдонимус (?), 21-Июн-18, 19:54 
айпироут или айпироут2
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

94. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (94), 21-Июн-18, 21:10 
Так надо было не ubuntu ставить а Arch, тогда был бы на гребне волны и писал что у вас этого ещё не завезли.
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

100. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от KonstantinB (ok), 21-Июн-18, 21:46 
> Что вообще происходит в этом мире? Я только год назад овладел этой
> командой и научился кое-как настраивать сети.

Год назад она уже была давно объявлена устаревшей. Как и 5 лет назад. Вообще с 2009 года.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

109. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от пох (?), 21-Июн-18, 22:34 
> Год назад она уже была давно объявлена устаревшей. Как и 5 лет
> назад. Вообще с 2009 года.

c 2000го. Или осени 99го даже - где -то именно тогда ank мне писал "это кривой враппер для совместимости сами не знаем с чем, как и route, забудь и переучивайся на ip". Нужны были для какой-то вычурной ситуации, когда в ядро не помещался netlink socket, а сеть в принципе- откуда-то бралась.

Но здесь совсем другой мех - "полностью совместимые" реализации ifconfig/route не умеют вообще ровно ничего (а что они должны делать, если у интерфейса банально не один адрес?)
реализации которые сравнимы (frebsd'шный ifconfig) - мало того что ни на что непохожи и ни с чем кроме самих себя несовместимы за пределами совсем тривиальных настроек, так еще и имеют совершенно омерзительную и нелогичную систему параметров ("угадайте, что в данной фазе луны означает -link 2", превед)

то есть отказ от старых врапперов a) обоснован b) вызван коренной сменой архитектуры net3. Причем совместимость, насколько могли, сохранили и в ядре, и в его интерфейсах (вплоть до поддержки ненужно-алиасов)

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

130. "Разработчики Netfilter официально объявили инструментарий ip..."  +5 +/
Сообщение от yukra (ok), 22-Июн-18, 06:47 
> недавно мне сказали что ifconfig тоже ВСЁ

https://habr.com/post/320278/


> Есть ли хоть какое-то ПОСТОЯНСТВО в Linux, или админ должен страдать?

Патрик - бог! Остальное временно.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

142. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (-), 22-Июн-18, 12:58 
Ого, за ссылку спасибо, ну очень круто объяснено!
Ответить | Правка | ^ к родителю #130 | Наверх | Cообщить модератору

84. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (84), 21-Июн-18, 20:09 
Вопрос не в том стоит ли послать линукс подальше после всех новвоведений как это было в свое время сделанно с бсд, вопрос на что перейти, чтобы не шыло на мыло менять.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

85. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от Аноним (85), 21-Июн-18, 20:11 
Переходи на виндоус! Индус не предаст)
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

88. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (84), 21-Июн-18, 20:32 
Так с него лет 20 назад и перешел с начала на бсд потом на линукс...
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

95. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (94), 21-Июн-18, 21:13 
> Переходи на виндоус! Индус не предаст)

После семёрки они там тоже стали вносить новенькое

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

114. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от Anon1 (?), 21-Июн-18, 22:43 
> Вопрос не в том стоит ли послать линукс подальше после всех новвоведений
> как это было в свое время сделанно с бсд, вопрос на
> что перейти, чтобы не шыло на мыло менять.

стоит потратить некоторое время на изучение нововведений, либо свалить в манагеры.
можно ещё центось поставить и обновлять её раз в 10 лет. лучше конечно подучиться.

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

155. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Алкоголик А. (?), 23-Июн-18, 15:31 
> лучше конечно подучиться.

Это и был вопрос по подучиванию - на что перейти...

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

131. "Разработчики Netfilter официально объявили инструментарий ip..."  +2 +/
Сообщение от пох (?), 22-Июн-18, 07:24 
> вопрос на что перейти, чтобы не шыло на мыло менять.

на божественную десяточку. Работой ее админы, владельцы сокровенного знания, будут обеспечены еще много-премного лет (интуитивно-приятная управлялка виртуальными машинами не умеет до сих пор даже склонировать vm из снапшота - хотя из ps все возможно)

И сильно переучиваться не придется - все те же бинарные логи с супер интерфейсом (и да, можно через cli, и grep ненужно), те же автомагические "сервисы" (впрочем, умеющие "Deferred startup", ссустемда не научилась, как и не запускать до настройки), те же привычки у устанавливаемого софта разом понапихаться в кучу неудобоудаляемых мест в системе, не спрашивая у тебя, надо ли, прекрасный неуправляемый файрвол, умеющий высовывать дурацкие окошки под руку (мечта авторов firewalld, пока, увы, мелькающая только в туманной дали)

и даже родной vim с putty. Правда, первым нечего редактировать, а вторым разьве что на виртуалку с линуксом ходить. Для "своих"-то есть msctc, который умеет все то, чему X'ы уже никогда не научатся, некому, а вяленый тем более (тем некогда, они его на го будут переписывать, если еще не)

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

135. "Разработчики Netfilter официально объявили инструментарий ip..."  +2 +/
Сообщение от yukra (ok), 22-Июн-18, 10:03 
> впрочем, умеющие "Deferred startup", ссустемда не научилась

Отложенный запуск юнита можно организовать через "ExecStartPre=/bin/sleep 3", через запуск юнита по таймеру с типом OnBootSec. Так же можно организовать запуск через сокет, если софт это умеет. Но зачем? Линукс в отличии от винды не шуршит диском 5 минут после загрузки что бы точку восстановления сделать (или чем там винда занимается), можно просто зависимости расставить так, что бы нужные сервис оказался в конце очереди на запуск.


> как и не запускать до настройки

Во первых это вопрос к менеджеру пакетов, а не к systemd. В Centos yum ничего не запускает после установки. Во вторых решается просто: "RUNLEVEL=1 apt install -y PKG_NAME".

Ответить | Правка | ^ к родителю #131 | Наверх | Cообщить модератору

136. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (84), 22-Июн-18, 10:07 
Ну эти двое и так видно что уже на финишную прямую вышли, вопрос не в этом.
Ответить | Правка | ^ к родителю #131 | Наверх | Cообщить модератору

89. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (89), 21-Июн-18, 20:50 
nftables не на BPF работает, там свой формат
eBPF там конечно есть но как идин из модулей
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

91. "Разработчики Netfilter официально объявили инструментарий ip..."  –1 +/
Сообщение от user90 (?), 21-Июн-18, 21:04 
Сколько кипежа на пустом месте. Как стая бакланов, в самом деле)) firewalld это не часть системдэ, а только по звучанию схоже - и ладно, б-г с ним тогда.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

118. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (118), 21-Июн-18, 23:13 
б-г=о?
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

92. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от user90 (?), 21-Июн-18, 21:08 
Вон по слухам SuSEfirewall2 тоже заменяют на firewalld - это имхо куда больший повод для обсуждения и выкриков с места =) Хотя мне уже пофиг, я с Сусе давно убрался.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

111. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от пох (?), 21-Июн-18, 22:36 
> Вон по слухам SuSEfirewall2 тоже заменяют на firewalld

те кто ими пользуются - не заметят разницы (потому что на самом деле не знают, что они ими пользуются).

Те кому все равно сносить и ставить свои вменяемые скрипты - тоже, в общем, на один сервис меньше удалять будут, и ладушки.


Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

93. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (93), 21-Июн-18, 21:09 
Зачем притягивать nftables, когда он уже и сам legacy и ему на смену идёт bpfilter на основе штатного eBPF?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

110. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Anon1 (?), 21-Июн-18, 22:35 
> Зачем притягивать nftables, когда он уже и сам legacy и ему на
> смену идёт bpfilter на основе штатного eBPF?

Больше костылей богу костылей!!!! =))))
bpfilter ещё 10 лет будет "идти", энтерпрайз он такой.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

104. "Разработчики Netfilter официально объявили инструментарий ip..."  +2 +/
Сообщение от Аноним (-), 21-Июн-18, 22:19 
Чем отличаются "не в блобы ip_tables, а в байткод nf_tables", друг от друга? Кто нибудь может пояснить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

108. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (93), 21-Июн-18, 22:32 
> Чем отличаются "не в блобы ip_tables, а в байткод nf_tables", друг от
> друга? Кто нибудь может пояснить?

блобы ip_tables - это по сути библиотека функций, которая выполняется на уровне ядра.
байткод nf_tables - похожие на BPF отдельные программы, запускаемые в виртуальной машине в ядре, но собираемые и обслуживанием на пользовательском уровне.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

123. "Разработчики Netfilter официально объявили инструментарий ip..."  +3 +/
Сообщение от пох (?), 21-Июн-18, 23:37 
>> Чем отличаются "не в блобы ip_tables, а в байткод nf_tables", друг от
> блобы ip_tables - это по сути библиотека функций, которая выполняется на уровне

и это немодно.

> байткод nf_tables - похожие на BPF отдельные программы, запускаемые в виртуальной машине

и это круто.

Чо неясно-то? "виртуальная машина", "bpf", менеджеры писают кипятком, гранты оформляются с небывалой щедростью и быстротой.

А на packet tracer грант никто не даст.

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

141. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (143), 22-Июн-18, 12:42 
Что? Я ж ещё с ipchains на iptables не перешёл!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

148. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от Аноним (148), 22-Июн-18, 14:28 
>The ipchains software was superseded by the iptables system in Linux kernel 2.4 and above.

Ну и ретроград вы, батенька!

Ответить | Правка | ^ к родителю #141 | Наверх | Cообщить модератору

150. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Ананас (?), 22-Июн-18, 15:46 
Я - тоже, да и не собираюсь - дождусь пока не вернутся к Цепочкам.
Ответить | Правка | ^ к родителю #141 | Наверх | Cообщить модератору

145. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от iCat (ok), 22-Июн-18, 13:14 
Это они улучшают улучшаемость, или увеличивают увеличиваемость?
Мне, как эксплуатационщику, хотелось бы, чтобы инструменты были удобными, простыми и надёжными...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

152. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (152), 22-Июн-18, 16:41 
что то у меня вики nft.org вообще не открывается...хотя я юзаю firewalld + nftables в убунту...

даже попробовал что то конвертировать, как nft сделать чтобы показало таблицы? по моему нифига он не сконвертировал, оставлю все так, по ману лень шерстить..., а вики их по миграции не пашет, да и сайт не открывается кстати.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

154. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (154), 22-Июн-18, 18:28 
Что-то на LKML про это ничего нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

158. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от anon1111 (?), 23-Июн-18, 17:51 
я что то в убунту не видел в упор никакого iptables-translate, только iptables-restore-translate + ip6tables-restore-translate, первый отрабатывает нормально, а второй из-за firewalld кидает ошибки какие то по синтаксису одного ICMP правила.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

161. "Разработчики Netfilter официально объявили инструментарий ip..."  +1 +/
Сообщение от Аноним (161), 24-Июн-18, 07:55 
Как обычно сборище нытиков с ЛОРа набежало. Так же было с ненужносистемд, пшшшшш-аудио и много ещё чего. Как будто кто-то запрешает использовать старые инструменты, которые много лет просто работали.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

162. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Саша (??), 24-Июн-18, 12:58 
Пришлось ставить и настраивать firewalld на Kali Linux Light и Parrot...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

166. "Разработчики Netfilter официально объявили инструментарий ip..."  +3 +/
Сообщение от Я не понимаю (?), 26-Июн-18, 14:50 
ОБЪЯСНИТЕ ПЛЗ!!! Который день пытаюсь понять.

Есть в линуксе файрвол - netfilter.

Есть 2 морды для него: iptables и nftables.

Есть ufw - убунтушная морда для морды iptables...

Какое место во всем этом винегрете файрволов и морд занимает firewalld?

1. В вики написано что он является мордой над iptables (типа как ufw).

2. В официальной документации вот такая схема:

https://firewalld.org/documentation/concepts.html

Если верить схеме, он может быть мордой и над nftables.

3. Но тогда какого xрена в зависимостях жесткое требование именно iptables?

> Зависит: iptables

Что такое firewalld и какого его место в иерархии всего этого???

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

168. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (168), 05-Июл-18, 08:33 
https://ru.m.wikipedia.org/wiki/Nftables
Он же на замену приходит а значит какое то время будут оба для совместимости
Ответить | Правка | ^ к родителю #166 | Наверх | Cообщить модератору

167. "Разработчики Netfilter официально объявили инструментарий ip..."  +/
Сообщение от Аноним (168), 05-Июл-18, 08:28 
Так глядиш и лог будет бинарный как в PF ;)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor