The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Несколько релизов в рамках проекта Netfilter"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Несколько релизов в рамках проекта Netfilter"  +/
Сообщение от opennews (??) on 17-Июл-10, 20:24 
В течение минувшей недели проект Netfilter (http://www.netfilter.org/), занимающийся разработкой одноименного фреймворка для фильтрации и преобразования пакетов в ядре Linux, объявил (http://lists.netfilter.org/pipermail/netfilter-announce/2010...) о выходе новых версий сразу нескольких субпроектов, развивающихся под его эгидой:

-  libnetfilter_queue 1.0.0 (http://lists.netfilter.org/pipermail/netfilter-announce/2010...). Данная библиотека позволяет ядру передавать пакеты на обработку userspace-приложениям, обеспечивая взаимодействие с модулем nfnetlink_queue через интерфейс nfnetlink. Этот механизм заменяет собой устаревший интерфейс ip_queue/libipq. Библиотека libnetfilter_queue используется в ряде проектов, таких как:


- l7-filter-userspace (http://l7-filter.sourceforge.net/) — может определять протокол прикладного уровня путем анализа пакета с применением регулярных выражений.
- NuFW (http://www.nufw.org/) — обеспечивает разрешение или бл...

URL: http://lists.netfilter.org/pipermail/netfilter-announce/2010...
Новость: http://www.opennet.ru/opennews/art.shtml?num=27332

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Несколько релизов в рамках проекта Netfilter"  +/
Сообщение от Аноним (??) on 17-Июл-10, 20:24 
Давно ничего не слышно о nftables - замена iptables.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Несколько релизов в рамках проекта Netfilter"  +/
Сообщение от аноним on 17-Июл-10, 20:54 
>Давно ничего не слышно о nftables

Она утонула.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Несколько релизов в рамках проекта Netfilter"  +/
Сообщение от chemtech (ok) on 17-Июл-10, 23:08 
Захлебнулась говорите???
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Несколько релизов в рамках проекта Netfilter"  +1 +/
Сообщение от аноним on 18-Июл-10, 00:57 
Нет, просто главный баг архитектуры netfilter, с которого все начиналось (необходимость перезагружать всю таблицу при добавлении одного правила) успешно устраняется мейнстримным проектом xtables2, а все прочие соображения (синтаксис и т.п.) не являются весомыми аргументами.

В git-репе nftables несколько мелких коммитов от 6 июля, а до этого последние вообще были год назад. Разве это разработка?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Несколько релизов в рамках проекта Netfilter"  +/
Сообщение от Аноним (??) on 19-Июл-10, 10:34 
>Нет, просто главный баг архитектуры netfilter, с которого все начиналось (необходимость перезагружать
>всю таблицу при добавлении одного правила) успешно устраняется мейнстримным проектом xtables2,
>

Хм. А кто сказал, что это баг, когда это всю жизнь было фичей? Хочешь большой список правил - используй iptables-restore, всегда так жили.
И не могли бы Вы рассказать, как именно он устраняется в xtables2? До каких версий апгрейдиться, чтобы пощупать?

Сам по себе nftables - да, никому и не был нужен. Более того, на первый взгляд сильно усложнял работу с фаерволлом своим гораздо более идиотским синтаксисом.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Несколько релизов в рамках проекта Netfilter"  +/
Сообщение от аноним on 19-Июл-10, 12:44 
>Хм. А кто сказал, что это баг, когда это всю жизнь было фичей? Хочешь большой список правил - используй iptables-restore, всегда так жили.

Теперь будем жить лучше =)

>И не могли бы Вы рассказать, как именно он устраняется в xtables2?

Как-то так
>The internal structure of the ruleset is switched from the serialized blob format (concatenated packed structs) to linked lists.

Подробности можно почитать здесь: http://lwn.net/Articles/345176

>До каких версий апгрейдиться, чтобы пощупать?

Это просто набор патчей, которые потихоньку коммитят в ядро. Обычные юзеры и админы не должны заметить никакой разницы - отличия будут видны только разработчикам.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Несколько релизов в рамках проекта Netfilter"  +/
Сообщение от alexanderyt (??) on 17-Июл-10, 23:43 
iplist vs ipset и что интереснее ?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Несколько релизов в рамках проекта Netfilter"  +1 +/
Сообщение от аноним on 18-Июл-10, 01:01 
>iplist vs ipset и что интереснее ?

Если кратко: ipset - для серверов, iplist+ipblock - для домохозяек.
Выбирайте в зависимости от задачи.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Несколько релизов в рамках проекта Netfilter"  +/
Сообщение от Аноним (??) on 18-Июл-10, 00:46 
Скорее бы взяли "под крыло" ipt_NETFLOW - единственная нормальная реализация экспорта netflow для Linux.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Несколько релизов в рамках проекта Netfilter"  +1 +/
Сообщение от аноним on 18-Июл-10, 01:00 
>Скорее бы взяли "под крыло" ipt_NETFLOW - единственная нормальная реализация экспорта netflow для Linux.

Раз не взяли, то, видимо, и не возьмут. Скорее для ulogd плагин сделают. Что вполне согласуется с линуксовой традицией весь потенциально опасный сетевой хлам (ppp и проч.) держать в юзерспейсе.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Несколько релизов в рамках проекта Netfilter"  +1 +/
Сообщение от Аноним (??) on 18-Июл-10, 16:19 
Бедные процессоры.

ipt_NETFLOW — единственное решение, которое себя хорошо показало на высоконагруженном PPPoE-концентраторе.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Несколько релизов в рамках проекта Netfilter"  +/
Сообщение от аноним on 19-Июл-10, 03:26 
Вы пробовали ulogd2? Говорят, во второй ветке его переписали с нуля, и он получился очень быстрым. Правда, пока что в netflow экспортировать не умеет =(
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "взяли бы ipt_netflow под крыло..."  +/
Сообщение от Аноним (??) on 19-Июл-10, 10:20 
>Бедные процессоры.
>
>ipt_NETFLOW — единственное решение, которое себя хорошо показало на высоконагруженном PPPoE-концентраторе.

Плюсую.

BTW, есть ли инфа, почему ещё не "взяли под крыло"? Что-то сходу ничего не нагуглилось. Где-нибудь в xtables-addons ему сейчас самое место.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "взяли бы ipt_netflow под крыло..."  +/
Сообщение от аноним on 19-Июл-10, 12:49 
>BTW, есть ли инфа, почему ещё не "взяли под крыло"? Что-то сходу
>ничего не нагуглилось. Где-нибудь в xtables-addons ему сейчас самое место.

Может, напишете человеку, который занимается xtables-addons (http://jengelh.medozas.de/contact/)?
Кстати, если вас не затруднит, отпишитесь потом здесь. Не то чтобы лично для меня судьба ipt_NETFLOW так уж важна, просто самому любопытно, в чем же дело.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "взяли бы ipt_netflow под крыло..."  +/
Сообщение от Zamir (??) on 20-Июл-10, 11:46 
Думаю проблемы только из-за того что протокол разработан cisco и соответсвенно права принадлежат ей.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Несколько релизов в рамках проекта Netfilter"  –1 +/
Сообщение от goof.gooffy (ok) on 18-Июл-10, 11:48 
"проект Netfilter, занимающийся разработкой одноименного фреймворка"

фреймворк там, фреймворк тут. Нынче стало модно заменять все слова на "фреймворк"?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Несколько релизов в рамках проекта Netfilter"  +/
Сообщение от Gular (ok) on 18-Июл-10, 20:00 
Кстати, подскажите, как задавать несколько подсетей в --dst у iptables. Нужен матч, или таки можно штатными средствами?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Несколько релизов в рамках проекта Netfilter"  +/
Сообщение от аноним on 19-Июл-10, 03:28 
Начиная с 1.4.6 - можно.
iptables -A OUTPUT -d 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 -j ...

При этом автоматически добавятся три правила, каждое для одной подсети, в остальном одинаковые.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру