The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск пакетного фильтра nftables 0.9.1

25.06.2019 23:20

После года разработки представлен релиз пакетного фильтра nftables 0.9.1, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13.

На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Основные новшества:

  • Поддержка IPsec, позволяющая выполнять сопоставление адресов туннелей в привязке к пакету, идентификатору запроса IPsec и тегу SPI (Security Parameter Index). Например,
    
          ... ipsec in ip saddr 192.168.1.0/24
          ... ipsec in spi 1-65536
    
    

    Также возможна проверка прохождения маршрута через туннель IPsec. Например, для блокирования трафика не через IPSec:

    
          ... filter output rt ipsec missing drop
    
  • Поддержка протокола IGMP (Internet Group Management Protocol). Например, для отбрасывания входящих IGMP-запросов принадлежности к группе можно использовать правило
    
          nft add rule netdev foo bar igmp type membership-query counter drop
    
  • Возможность использования переменных для определения цепочек перехода (jump / goto). Например:
    
          define dest = ber
          add rule ip foo bar jump $dest
    
  • Поддержка масок для идентификации операционных систем (OS Fingerprint) на основе значений TTL в заголовке. Например, для пометки пакетов в зависимости от ОС отправителя можно использовать команду:
    
    
        ... meta mark set osf ttl skip name map { "Linux" : 0x1,
                                                  "Windows" : 0x2,
                                                  "MacOS" : 0x3,
                                                  "unknown" : 0x0 }
        ... osf ttl skip version "Linux:4.20"
    
  • Возможность сопоставления ARP-адреса отправителя и IPv4-адреса целевой системы. Например, для увеличения счётчика ARP-пакетов, отправленных с адреса 192.168.2.1 можно использовать правило:
    
    
            table arp x {
                    chain y {
                            type filter hook input priority filter; policy accept;
                            arp saddr ip 192.168.2.1 counter packets 1 bytes 46
                    }
            }
    
  • Поддержка прозрачного проброса запросов через прокси (tproxy). Например, для перенаправления обращений к 80 порту на порт прокси 8080:
    
            table ip x {
                    chain y {
                            type filter hook prerouting priority -150; policy accept;
                            tcp dport 80 tproxy to :8080
                    }
            }
    
  • Поддержка пометки сокетов с возможностью дальнейшего получения установленной метки через setsockopt() в режиме SO_MARK. Например:
    
            table inet x {
                    chain y {
                            type filter hook prerouting priority -150; policy accept;
                            tcp dport 8080 mark set socket mark
                    }
            }
    
  • Поддержка указания текстовых наименований приоритетов для цепочек. Например:
    
            nft add chain ip x raw { type filter hook prerouting priority raw; }
            nft add chain ip x filter { type filter hook prerouting priority filter; }
            nft add chain ip x filter_later { type filter hook prerouting priority filter + 10; }
    
  • Поддержка меток SELinux (Secmark). Например, для определения метки "sshtag" в привязке к контексту SELinux можно запустить:
    
             nft add secmark inet filter sshtag "system_u:object_r:ssh_server_packet_t:s0"
    

    А затем использовать эту метку в правилах:

    
            nft add rule inet filter input tcp dport 22 meta secmark set "sshtag"
    
            nft add map inet filter secmapping { type inet_service : secmark; }
            nft add element inet filter secmapping { 22 : "sshtag" }
            nft add rule inet filter input meta secmark set tcp dport map @secmapping
    
  • Возможность указания закреплённых за протоколами портов в текстовом виде, как они определены в файле /etc/services. Например:
    
            nft add rule x y tcp dport "ssh"
            nft list ruleset -l
            table x {
                    chain y {
                            ...
                            tcp dport "ssh"
                    }
            }
    
  • Возможность проверки типа сетевого интерфейса. Например:
    
            add rule inet raw prerouting meta iifkind "vrf" accept
    
  • Улучшена поддержка динамического обновления содержимого наборов (sets) через явное указание флага "dynamic". Например, для обновления набора "s" с добавлением исходного адреса и сбросом записи в случае отсутствия пакетов в течение 30 секунд:
    
            add table x
            add set x s { type ipv4_addr; size 128; timeout 30s; flags dynamic; }
            add chain x y { type filter hook input priority 0; }
            add rule x y update @s { ip saddr }
    
  • Возможность задания отдельного условия наступления таймаута. Например, для переопределения таймаута по умолчанию для пакетов, пришедших на порт 8888 можно указать:
    
            table ip filter {
                    ct timeout agressive-tcp {
                            protocol tcp;
                            l3proto ip;
                            policy = {established: 100, close_wait: 4, close: 4}
                    }
                    chain output {
                            ...
                            tcp dport 8888 ct timeout set "agressive-tcp"
                    }
            }
    
  • Поддержка NAT для семейства inet:
    
            table inet nat {
                    ...
                    ip6 daddr dead::2::1 dnat to dead:2::99
            }
    
  • Улучшенные средства вывода информации об ошибках из-за опечаток:
    
    
            nft add chain filtre test
    
            Error: No such file or directory; did you mean table "filter" in family ip?
            add chain filtre test
                      ^^^^^^
    
  • Возможность указания имён интерфейсов в наборах (sets):
    
            set sc {
                   type inet_service . ifname
                   elements = { "ssh" . "eth0" }
            }
    
  • Обновлён синтаксис правил flowtable:
    
            nft add table x
            nft add flowtable x ft { hook ingress priority 0; devices = { eth0, wlan0 }; }
            ...
            nft add rule x forward ip protocol { tcp, udp } flow add @ft
    
  • Улучшена поддержка JSON.


  1. Главная ссылка к новости (https://marc.info/?l=netfilter...)
  2. OpenNews: Релиз iptables 1.8.0
  3. OpenNews: Эксперимент по настройке Linux для блокирования 10 млн пакетов в секунду
  4. OpenNews: Разработчики Netfilter официально объявили инструментарий iptables устаревшим
  5. OpenNews: Первый пригодный для пользователей релиз пакетного фильтра Nftables
  6. OpenNews: Второй выпуск пакетного фильтра nftables
Лицензия: CC-BY
Тип: Программы
Ключевые слова: ftables, iptables, firewall
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (115) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 00:06, 26/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > Error: No such file or directory; did you mean table ‘filter’ in family ip?

    Красиво :)

     
     
  • 2.2, Аноним (2), 00:18, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Кажется мой вопрос про "почему у них мажорная версия 0 после года разработки", только что отпал.
     
     
  • 3.50, . (?), 11:09, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    мне кажется, ты бы мог помочь проекту - покоммить им в CoC.md немножко, а потом, думаю, твое предложение сделать версию 91, вместо каких-то дурацких нулей, пройдет на ура!

     
  • 3.82, gogo (?), 11:08, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не понятно, почему заминусовали анона.
    Столько очевидных вещей добавлено ПОСЛЕ того, как  это г включили в энтерпрайзнейшую из осей....
    Тут версию не то, что 0 нужно ставить, а еще с припиской "альфа"...
     
  • 2.5, Fyjybv755 (?), 00:50, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    >> Error: No such file or directory; did you mean table ‘filter’ in family ip?
    > Красиво :)

    Это ответ на знаменитое кузнецовское RTNETLINK answers: File exists

     
  • 2.22, KaE (ok), 03:36, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    .
     

  • 1.3, Аноним (3), 00:37, 26/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Хорошо, что я не вникал в iptables до этого, теперь не придется переучиваться, а всего-то - познать новое.
     
     
  • 2.33, kostyarin (ok), 08:10, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +22 +/
    Хорошо, что я не вникал в iptables. Теперь ещё и в nftables не вникать придётся.
     
  • 2.37, Аноним (37), 09:14, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Хорошо, что я не вникал в iptables до этого, теперь не придется переучиваться, а всего-то - познать новое.

    Не спеши, подожди еще лет 20-30, там снова что-то поменяется и это новое станет старым. Столько усилий и времени сэкономишь - жуть... Этот совет тебе (но только тебе!) подойдет ко всему, с чем ты столкнешься в жизни. В том числе - не спеши жить, все равно помрешь.

     
     
  • 3.78, macfaq (?), 09:42, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Последний совет по-своему не лишён смысла.
     
  • 3.100, crypt (ok), 03:26, 28/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > еще лет 20-30

    10 достаточно. systemd+прочие новинки и проще уже на freebsd перейти, чем изучать замену крона на федоре.

     

  • 1.4, Аноним (4), 00:45, 26/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Серьёзный вопрос: кто-то это вообще использует? Потому что у меня сложилось впечатление, что разработчики netfilter живут в каком-то своём особом мире, где кроме них никого нет.

    Т.е. иметь firewall типа pf из OpenBSD было бы очень круто, но тут это, как и всегда в Linux, сделано наполовину и через жопу.

     
     
  • 2.6, Fyjybv755 (?), 00:51, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "Не скопипастить то, к чему я привык" == "сделать через жoпу", ок.
     
     
  • 3.61, Аноним (61), 13:09, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >"Не скопипастить то, к чему я привык" == "сделать через жoпу", ок.

    Копипаста тут не причём. Я к тому, что NFTables не доделан и зачастую работает не так как надо.

     
     
  • 4.74, пох. (?), 17:45, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    как будто iptables доделан и работает как надо...

    просто за 20 лет хотя бы все привыкли мимоходом уворачиваться от граблей.

     
     
  • 5.77, Аноним (77), 19:26, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы таки неправы! Когда я пишу

    add set     inet fw input_lan_tcp_services { type inet_service ; }
    add element inet fw input_lan_tcp_services { ... }
    add rule  inet fw input_tcp \
            ip saddr @lan_list_4 \
            tcp dport @input_lan_tcp_services \
                    accept

    я ожидаю вполне понятного поведения. Только оно, ссссамка собаки, нихера не работает. Причём бяда в том, что оно иногда сколько-то работает, а потом устаёт, зараза.

    Но если написать


    define input_lan_tcp_services = { ... }
    add rule  inet fw input_tcp \
            ip saddr $lan_list_4 \
            tcp dport $input_lan_tcp_services \
                    accept

    оно стабильно работает. В iptables/ipset косяков подобного рода я не помню.

     
     
  • 6.79, пох. (?), 10:09, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну, конкретно такого не было впрочем, учитывая простоту манипуляции и эффективн... текст свёрнут, показать
     
  • 2.10, Аноним (10), 01:03, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В большинстве дистрибутивов уже стоит nftables, от iptables только "переходники" в nftables.
     
     
  • 3.89, . (?), 14:46, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    в большинстве васян-роллингов, больных рачем - уже. Поправил, не благодари.
    А, к примеру, в тоже не чуждой бегу впереди паровоза бубунте LTS - еще не совсем.

    обмазываться свежайшим да еще в принудительном порядке любят не одни только лишь все.

     
  • 2.11, Sw00p aka Jerom (?), 01:06, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    как по мне лучше уж старый добрый синтаксис  iptables, ip6table, arptables.
    у pf не плохой, но хотелось бы немного строгой иерархичности.
     
     
  • 3.38, kvaps (ok), 09:18, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Evolution is better than stagnation!

    Синтаксис nft гораздо проще и лаконичнее, а главное един для всего семейства протоколов, в отличии от iptables/ip6tables/arptables/ebtables/'что-то ещё tables'

    Не бойтесь переучиваться, просто возьмите и попробуйте.

    Для упрощения понимания и миграции существующих правил есть xtables-compat.

     
     
  • 4.40, пох. (?), 10:10, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    угу-угу, revolution прямо Главное ведь не доделывать брошенное еще в 2002м да... текст свёрнут, показать
     
     
  • 5.76, Ordu (ok), 18:02, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > добавить туда скобочек, которые для шелла имеют специальное значение и требуют экранирования.

    А там есть скобочки? Здесь в примерах только {}, то есть фигурные, их разве надо экранировать? Я никогда их не экранировал, и у меня проблем с этим не было. Нужно начать экранировать?

     
     
  • 6.80, пох. (?), 10:18, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Note that the following characters are also treated specially by the shell and m... текст свёрнут, показать
     
     
  • 7.83, Ordu (ok), 12:08, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > это ksh, но есть и другие шеллы отличные от единственного вам известного.

    Кому нужен этот ksh? Если ты идёшь перпендикулярно мейнстриму, да ещё и в системном администрировании, то ты должен быть готов к проблемам.

    > nft вы точно не будете управлять через вручную набираемые команды, они совершенно нечитаемые.

    А мне нравится. Видимая без специального обучения структура команды -- это круто и шаг вперёд. А проблемы шеллов -- это проблемы шеллов. Гоняться за обратной совместимостью да ещё и до уровня лишь бы лишний символ не экранировать -- это отличный способ остаться навечно в unix-философии. Бррр.

     
     
  • 8.84, пох. (?), 12:13, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    системным администраторам, кому же еще Модные разработчики ведь не читали Пайк... текст свёрнут, показать
     
     
  • 9.87, Ordu (ok), 13:30, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мейнстрим, это то что понятно любому квалифицированному админу без дополнительно... текст свёрнут, показать
     
     
  • 10.90, . (?), 15:00, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вы опять перепутали квалифицированного админа с девляпсом у квалифицированных а... текст свёрнут, показать
     
     
  • 11.92, Ordu (ok), 15:13, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У вас есть странное понимание об админстве Админство -- это часть бизнеса, а эт... текст свёрнут, показать
     
     
  • 12.93, пох. (?), 16:42, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    в данном случае это атехнологичное движение вбок - вместо понимаемого и управляе... текст свёрнут, показать
     
     
  • 13.94, Ordu (ok), 17:05, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не совсем Бизнес занимается этим со средневековья Весь технологический прогрес... текст свёрнут, показать
     
     
  • 14.95, пох. (?), 18:08, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    не, ни малейших - нае-бизнес не хочет их оплачивать есть шанс что взлетит на во... текст свёрнут, показать
     
     
  • 15.96, Ordu (ok), 18:45, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Зато государство хочет, чтобы бизнес их оплачивал У нас это скорее всего тем и ... текст свёрнут, показать
     
     
  • 16.97, пох. (?), 21:47, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    в нормальном государстве эти хотелки быстро засовывают откуда они изверглись у ... текст свёрнут, показать
     
     
  • 17.98, Ordu (ok), 22:44, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Европа и США значит ненормальные, так и запишем Никакого Но если ты в чём-то с... текст свёрнут, показать
     
     
  • 18.99, пох. (?), 23:18, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ненормальные в штатах проиграли выборы, если вы еще не в курсе Как раз тем, ком... текст свёрнут, показать
     
     
  • 19.101, Ordu (ok), 11:28, 28/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это локальная временная мелочь Это США, детка, там президент приходит к власти ... текст свёрнут, показать
     
  • 8.85, Zulu (?), 12:31, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Никому А людей, которые на нем скрипты пишут, надо отлучать от контуперов вообщ... текст свёрнут, показать
     
     
  • 9.86, пох. (?), 12:57, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    да, запускайте ваш mc а файрволом управляет пусть firewalld ... текст свёрнут, показать
     
     
  • 10.105, Zulu (?), 19:54, 28/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ни в одной вменяемой операционной системе ksh не есть дефолтным шеллом, ни интер... текст свёрнут, показать
     
  • 2.30, пох. (?), 07:22, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    кто-то использует, безусловно - чтоб денег никому не платить - может это пейс... текст свёрнут, показать
     
     
  • 3.62, Аноним (61), 13:11, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >не умеющем ftp

    Не хочу тебя расстраивать, но в 2019 году FTP никому особо и не нужен уже. Протокол изначально был довольно убог. Чего только стоит тот факт, что у сервера нет возможности узнать, закончил ли клиент закачку файла или это просто соединение сдохло.

     
     
  • 4.64, пох. (?), 13:23, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Не хочу тебя расстраивать, но в 2019 году FTP никому особо и

    не хочу тебя расстраивать, но стильные-модные-молодежные, все подряд тянущие в http (который из изначально задуманного text transfer protocol превратился в совершенно невменяемое и неотлаживаемое убожище, с remote vulnerability в каждой реализации) - не нужны особо.
    И держатся только и исключительно на хайпе.

    > не нужен уже. Протокол изначально был довольно убог. Чего только стоит

    да уж куда ему до высот quic3

    > тот факт, что у сервера нет возможности узнать, закончил ли клиент
    > закачку файла или это просто соединение сдохло.

    серверу это и неинтересно совершенно.
    По этой самой причине (вообще-то изначально предусмотренный) block mode всеми давно позабыт.

     
  • 4.103, Аноним (103), 18:09, 28/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не хочу тебя расстраивать, но в 2019 году FTP никому особо и не нужен уже. Протокол изначально был довольно убог.

    А какие альтернативы? Чем расшарить в локалку каталог с файлами на роутере (или, например, raspberry pi) так, чтобы любая ОС могла его открыть?

    FTP достаточно прост, чтобы слабенький роутер мог раздавать файлы на скорости жёсткого диска (спасибо 'man 2 sendfile'). Соперничать с ним по скорости может только NFS kernel server, но завести NFS на винде — то ещё развлечение.

    Или ты из тех, кто файлы между соседними машинами на флешке переносит? ;-)

     
     
  • 5.109, пох. (?), 22:10, 30/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А какие альтернативы? Чем расшарить в локалку каталог с файлами на роутере (или, например,
    > raspberry pi) так, чтобы любая ОС могла его открыть?

    тут из зала подсказывают, что винда давно уже это умеет ;-)
    Ну, ее, конечно, иногда ломали, но если вспомнить историю proftpd, то она покажется шедевром надежности (а pure почему-то совершенно непопулярен).

    тема, правда, была совсем о другом - люди, ниасилившие ДАЖЕ такую ерунду без кривого user-space helper (и вообще ни в каком виде ниасилившие хелперов ни для чего другого кроме этой ерунды) таки пришли учить нас коммэрции...зачеркнуто, правильно писать фиреволлы.

     
     
  • 6.112, Аноним (103), 02:21, 01/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > тут из зала подсказывают, что винда давно уже это умеет ;-)

    Умеет что? FTP? Более-менее умеет. Потому я и говорю, что это единственный быстрый кросс-платформенный способ расшарить кучу файлов в локалке. И даже в 2019м нет ничего лучше.

    > Ну, ее, конечно, иногда ломали, но если вспомнить историю proftpd, то она
    > покажется шедевром надежности (а pure почему-то совершенно непопулярен).

    vsftpd же!

     
     
  • 7.114, пох. (?), 07:04, 01/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну зачем же мучаться, когда есть windows share - и да, последний cve был да... текст свёрнут, показать
     
     
  • 8.116, Аноним (103), 00:24, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Только вот какая у windows share скорость по сравнению с ftp Это у windows... текст свёрнут, показать
     
     
  • 9.117, пох. (?), 15:22, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    видите как плохо вариться в маня-мирке Скорость у нее упирается, обычно, в 10Ge... текст свёрнут, показать
     
     
  • 10.118, Аноним (103), 22:48, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А _по_сравнению_с_ ftp На той же машине А конкретно, на роутере И внезапно ок... текст свёрнут, показать
     
  • 3.75, Аноним (75), 17:54, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > ftp в XXI веке

    Знатно ты на ноль поделил.

     

  • 1.7, Аноним (7), 00:57, 26/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    RHEL8 перешёл на nftables https://www.opennet.ru/opennews/art.shtml?num=50644
     
     
  • 2.81, пох. (?), 10:23, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    он на firewalld обернутый в cocksuck...или как там правильно, перешел - так что его замечательные пользователи ничего и не заметят.

    а для пейсателей firewalеldы там все как раз и было задумано.

     

  • 1.12, Аноним (-), 01:36, 26/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > замены iptables, ip6table, arptables и ebtables

    Тот редкий случай, когда закономерно прикапывают окаменелые экскременты, а не выпиливают проверенные временем годные технологии.
    Один только человекочитаемый синтаксис и отсутствие б_гомерзкого ВЕРХНЕГО регистра, плодящего грабли, дорогого стоят. Успехов проекту.

     
  • 1.13, OpenEcho (?), 01:48, 26/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Дернуло же связать жизнь с IT...
    не успеешь выучить одно, хepяк, - учи что то новое...

    в большинстве профессий, люди только улучшают свои знания c годами, добавляя новшенства к старым знаниям, а здесь как при союзе:

    Весь мир насилья мы разрушим
    До основанья, а затем
    Мы наш, мы новый мир построим
    Кто был ничем, тот станет всем.

    а в итоге как у чебургена: "мы строили, строили и ничего не построили"

     
     
  • 2.14, Аноним (7), 01:55, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://wiki.nftables.org
     
     
  • 3.52, Аноним (52), 11:42, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://wiki.nftables.org/wiki-nftables/index.php/Special:AllPages
     
  • 2.15, Ключевский (?), 02:03, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты 21 год учил iptables? За время существования iptables успели не только родиться, но вырасти и пойти работать, а на работе вырасти от попингуев до младших админов новое поколение админов. Мой сын родился в год когда появился iptables, а сейчас сыну 21 год уже.
     
     
  • 3.19, OpenEcho (?), 03:04, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты 21 год учил iptables?

    iptables и не только...

    мысль была не только об iptables, а вообще, как в IT любят ломать и перестраивать внешний интерфейс(ы) к одной и той же сущности...

    >Мой сын родился в год когда появился iptables, а сейчас сыну 21 год уже.

    Моя старшенькая, родилась до iptables и через год будет профессором в одном самом крутом тех.универе на планете... и что? К чему это? Детишками померились?

     
     
  • 4.68, zunkree (ok), 15:23, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > в IT любят ломать и перестраивать внешний интерфейс(ы) к одной и той же сущности...

    К одной и той-же сущности? Серьезно? Ты сейчас вот это вот точно серьезно? Ты точно 21 год учил iptables и все тулы экосистемы или делал вид, что учил? Потому, что на основе твоего заявления твоих знаний о том, что такое iptables и чем от него отличается nftables явно недостаточно, что-бы даже банальным сисадмином работать, разве эникей, да и то 21 год продержаться без знаний работы системы было-бы трудно.

     
     
  • 5.70, OpenEcho (?), 16:13, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо за беседу, очень познавательно для меня и всех окружающих...

    позволю только заметить, что перевод разговора в 6ыдлo русло - никогда, ни кому не приносил пользы

     
  • 5.73, пох. (?), 17:08, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > К одной и той-же сущности? Серьезно?

    серьезно - ни ip, ни net/3 в линуксе практически не изменились за эти 20 лет.

    Это вот - сущности. А наляпанное наспех поверх них убожество для всего лишь фильтрации - оно хоть каждый день может быть новое.

     
  • 3.46, пох. (?), 10:35, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > За время существования iptables успели не только родиться, но вырасти и пойти работать, а на
    > работе вырасти от попингуев до младших админов новое поколение админов.

    а настраивать сети - так и не научились.

    доделать поломанное торопыгами при переходе с ipchains - тоже за 21 год не шмагли. Нате вам нового недоделка, в котором и того что было - половина не работает, а вторая работает неправильно. Зато вам не надо на самом деле ничего о нем знать, за вас все сделают интуитивно-приятные скрипты.

     
  • 2.16, Аноним (16), 02:09, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да собственно то уже то IT как его знали раньше и закончилось - неудобно корпорациям зависить от знаний людей.
     
  • 2.17, Аноним (17), 02:45, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Дернуло же связать жизнь с IT...
    > не успеешь выучить одно, хepяк, - учи что то новое...

    Ну иди работать дворником тогда. В IT потому и зарплаты такие высокие*, что как правило нужно знать не только новую технологию, но и одновременно с ней старую, чтобы поддерживать легаси.

    ________
    * не относится к админам. Но у админов и работа-то гораздо легче, чем у программистов

     
     
  • 3.18, gsdh (?), 03:01, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > зарплаты такие высокие*

    А ха-ха

    > знать не только новую технологию, но и одновременно с ней старую

    Отсыпь

     
     
  • 4.24, Аноним (17), 03:52, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > > зарплаты такие высокие*
    > А ха-ха

    Изучи рынок. Скорее всего ты устроился куда-то в soviet-style-компанию, где требуют две вышки, а платят так, как платили инженерам в СССР. Даже пихоно-жс-макаки, вошедшие в айти полгода назад, сейчас делают 2-3К евро в месяц.

     
     
  • 5.25, gsdh (?), 03:56, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ушел из мтс в совет-стайл изза зп, в совет-стайл почти в 2 раза больше
     
  • 5.26, gsdh (?), 03:59, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > йчас делают 2-3К евро в месяц.

    пруфы на ждобхантер, или пиз...л

     
     
  • 6.27, Аноним (17), 04:05, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В hh в основном советские компании. Ищи работу на других площадках, в LinkedIn на первый случай.
     
     
  • 7.31, тов. майор (?), 07:24, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    я вот тебе поищу на террористическом сайте, запрещенно в ресурсной федерации!

    я тебя на работу устрою - ты мне там лет пять отработаешь, предатель родины!

     
  • 7.32, gsdh (?), 07:30, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот не поленился обойти блокировку, а там 2 вакансии за месяц, из которых одна требует 5 лет опыта, вторую даже читать не стал - сайт обезьяны делали.

    И это уровень.

    Да можно, наверное, найти работу на какого-нибудь проныру фэйковые сатики клепать за пару миллионов в месяц, но все это дичь.

    Времена бесценных ит-спецов прошли, зп как у всех.

     
     
  • 8.42, user455 (?), 10:23, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    мне на linkedin в месяц приходит примерно 5-6 предложений от разных компаний на ... текст свёрнут, показать
     
     
  • 9.47, . (?), 10:36, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не езди туда - наобещают релокаций ит шмит, а потом привяжут к батарее и вжеппа ... текст свёрнут, показать
     
  • 9.63, тщт (?), 13:14, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    мне на почту и больше приходит если спам фильтр отключить ... текст свёрнут, показать
     
  • 4.49, Аноним (49), 11:05, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Получаю 4к евро в Риге, ЧЯДНТ?
     
     
  • 5.51, пох. (?), 11:11, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    членами деревянными на базаре торгуешь?

     
     
  • 6.56, Аноним (49), 11:47, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Твоей мамашей
     
  • 3.20, OpenEcho (?), 03:16, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну иди работать дворником тогда

    Во, страна советов подтянулась...

    програмист наверное... богатый...

     
  • 2.21, Аноним (21), 03:17, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В AIX всё развивается как надо. Что было 20 лет, то и сегодня работает в 95% случаев.

    Это только линукс представляет кучу форков на форки с постоянно сломанной обратной совместимостью и выброшенными, патаму что не модно, не стильно, не молодёжно, проектами.

     
     
  • 3.23, Ключевский (?), 03:46, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И где же «форки на форки»? И где примеры сломанной совместимости? Опять врешь
     
  • 2.34, kostyarin (ok), 08:13, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Приспосабливаться к изменениям существующей реальности == не быть лохом. Разве это не правильно -- поставить с собой наравне бородатых дядек, которые iptables ещё в детском саду проходили?
     
     
  • 3.43, пох. (?), 10:25, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    не быть лохом - это спокойно сидеть на берегу, и смотреть как мимо проплывают трупики проектов, сделанных обезьянками.

    Не тратя времени на детальное знакомство - все равно они каждый раз новые, через год очередного недоделка все забудут и радостно побегут за новой ненужностью.

    Кликать ok в firewalld бородатые дядьки умеют не хуже тебя, малыш. А вот настроить разброс входящих h323 по queues - ты не умеешь.
    В принципе, тебе и не надо (мне тоже) - дЭффехтивный манагер купит тебе еще пять-пятьдесят корыт в кластер, деньги-то он проматывает инвесторские, а не свои. А сэкономит на твоей зарплате.

    но вот работать из г-на лично мне как-то все более и более противно.

     
  • 3.72, OpenEcho (?), 16:30, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Приспосабливаться к изменениям существующей реальности == не быть лохом.

    Вы учите меня жизни, а Я говорил о тенденции в IT, - постоянно что то ломать и перестраивать... и эти перестройки в большинстве - подача того же блюда, только под разными соусами.

    А по поводу "Приспосабливаться", знаете, есть еще синоним - "прогибаться" или по народному, просто подмахивать пoпкoй, изображая при этом удовольствие, так что, кто есть лох, это далеко не так обьективно, как кажется на первый взгляд...

     
     
  • 4.102, kostyarin (ok), 14:02, 28/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я не заступаюсь за nftable просто условная молодежь тратит свой пердячий пар на то, чтобы подвинуть дядек, а не сделать что-то новое и стоящее. Тому множество примеров, а не только nftables. В том смысле, что новость вовсе не про облегчение чего-то там и не про улучшение чего-то там -- просто раздел сферы интересов. Кто-то решит не изучать nftables. Если nftables окажется востребованной, то места тех займут условные молодые. Вот и всё. Это борьба за место под солнцем, а не решение проблем сетевых утилит.
     
     
  • 5.104, Аноним (104), 18:59, 28/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  Вот и всё. Это борьба за место под солнцем, а не решение проблем сетевых утилит.

    Ага. Кролики думали что они занимаются любовью. А на самом деле их тупо разводили.

     
  • 2.41, пох. (?), 10:16, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    вы просто выбрали не то направление в IT MS овский фиревалл не меняется принцип... текст свёрнут, показать
     
  • 2.54, SysA (?), 11:46, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня для тебя плохие новости - nftables уже скоро тоже устареет! :)
    https://www.lowendtalk.com/discussion/158192/iptables-vs-nftables-vs-bpfilter
     
     
  • 3.65, Аноним (65), 13:57, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Как скоро?
     
     
  • 4.67, пох. (?), 15:10, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Как скоро?

    раньше чем его допишут - гарантирую.
    Вот, например, iptables - так и не дописали.


     

  • 1.28, Аноним (28), 06:18, 26/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не увидел ничего что не умеет iptables
    очередной NIH
     
     
  • 2.44, пох. (?), 10:30, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > не увидел ничего что не умеет iptables

    очочки-то протри, интеллихент хренов!
    "улучшена поддержка json" - вот в чем сила, брат! Это ж то, что непременно надо засунуть в файрвол! (надеюсь, она непосредственно в ядре, а не в пихоновском враппере каком)

     

  • 1.29, Tifereth (?), 07:05, 26/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > It supports 3/4 of the existing iptables features, although it provides new features that you cannot find in iptables.

    Сразу бы перечислили ту 1/4, которая не поддерживается.

     
     
  • 2.45, пох. (?), 10:32, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    разработчики nft пока еще просто не прочитали lartc дальше 2/3 - поэтому не могут перечислить то, что еще не знают.

    Но они работают над этим, и даже, как видишь, держат нас в курсе.

     
     
  • 3.53, Tifereth (?), 11:46, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Остаётся надежда, что хоть читают подряд, с начала и до конца.
     

  • 1.35, ryoken (ok), 08:14, 26/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Подскажите, в целях повышения уровня образованности. "ARP-адрес" - это вот что? MAC? (Тогда зачем его так сложно обозвали?)
     
     
  • 2.48, Онанимус (?), 10:41, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну имелся в виду ethernet адрес (MAC). Но там вообще глупость написана:
    >Возможность сопоставления ARP-адреса отправителя и IPv4-адреса целевой системы.

    Должно звучать так:
    >Возможность сопоставления ARP-пакета с IPv4-адресом отправителя.

     

  • 1.36, Аноним (36), 08:36, 26/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Поддержка масок для идентификации операционных систем (OS Fingerprint)

    А почему это до сих пор не прикрыли?

     
     
  • 2.66, анон (?), 14:25, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    потомушо гладиолус!
     

  • 1.39, An (??), 09:38, 26/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А слышно что-нибудь про bpfilter ?
     
     
  • 2.55, Аноним (52), 11:47, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Он уже в ядре работает как процесс, но только для тупого дропа пакетов.

    Для остального есть реализации XDP.

     
  • 2.57, Аноним (52), 11:50, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    bpfilter сейчас работает только как offloading drop если находит соответствия до прихода в ОС.
     
     
  • 3.59, пох. (?), 11:59, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    зато с КАКОЙ скоростью он их дропает!

    ;-)

    P.S. жаба или гадюка, кто кого сборет, как думаете?

     

  • 1.58, Аноним (52), 11:56, 26/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    $ nft export json
    Error: this output type is not supported
    export json
    ^^^^^^^^^^^^

    $ nft export xml
    Error: this output type is not supported
    export xml
    ^^^^^^^^^^^


    Nice!

     
     
  • 2.60, Аноним (65), 12:39, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ./configure --with-json
     
     
  • 3.69, Аноним (69), 15:34, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Пока в дистрибутивы попадёт проект может и загнуться.
     
     
  • 4.71, Аноним (71), 16:21, 26/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    так уже в Ubuntu 16.04
     

  • 1.88, Пряникё (?), 14:41, 27/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Скажите, по nftables есть хорошая дока?
    Ну, кроме man?
     
     
  • 2.91, пох. (?), 15:04, 27/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    лолшта?

    окстись, чувак, какие тебе еще доки - это немодно, немолодежно, несовременно - вон, вика, эклектичная свалка записок углем на манжетах, половина устарела, другая ведет на недописанные странички - у нас нынче так принято.

     

  • 1.106, Лолноним (?), 07:59, 29/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Iptables кончено не шоколад, подтормаживает на большом количестве правил (по сравнению с pf), но не так сильно как nftables
     
     
  • 2.110, пох. (?), 22:14, 30/06/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вы таки ничего не понимаете, там же виртуальная машина(!) , она же не может тормозить! ;-)

    btw, на самом деле меряли, или как всегда? И что такое "больше количество"?
    Вот 800 штук линейным списком - это достаточно большое?

     

  • 1.107, Олег (??), 08:23, 30/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хотели в своё время на него перевести пару машин, но оказалось, что ipt_netflow для него нет и не предвидится. А жаль...
     
     
  • 2.108, Аноним (108), 13:40, 30/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Можно все правила на nft перевести, а в iptables оставить только NETFLOW.
     
     
  • 3.111, Олег (??), 23:13, 30/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Может так и сделаем, когда руки снова дойдут. Но всё таки хотелось полностью на nft переехать и опробовать на боевых машинах его.
     

  • 1.113, Аноним (108), 03:41, 01/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У автора была идея написать модуль, независимый от iptables и nftables
    https://github.com/aabc/ipt-netflow/issues/34
     
     
  • 2.115, пох. (?), 07:09, 01/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > У автора была идея написать модуль, независимый от iptables и nftables

    но не было пороха, как обычно.
    > https://github.com/aabc/ipt-netflow/issues/34

    This is good in itself, and also may be useful for nftables, because nftables (as of yet) does not support extensions.
    лолшта?

    Но новым стандартом этот недоделок уже объявлен, и все посасывающие у redbm уже заменили врапперами старые бинарники, а скоро "по данным нашей телеметрии никто этими мамонтовыми iptables не пользуется, авторы их не поддерживают, выпиливаем из ведра!"

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру