The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск пакетного фильтра iptables 1.8.9

12.01.2023 15:19

Опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.9, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов.

В новой версии:

  • В утилиту arptables-nft добавлен флаг "--exact" для вывода информации о числе пакетов и трафике в развёрнутом представлении без приведения к килобайтам, мегабайтам и т.п.
  • Добавлена сборочная опция --enable-profiling, реализованная в процессе подготовки к поддержке gcov/gprof.
  • В расширении sctp добавлена поддержка дополнительных типов chunk-ов.
  • В ip6tables реализовано отображение строки '--' в столбце 'opt' для соответствия поведению iptables.
  • Расширена информация, выводимая в сообщениях об ошибках при сбоях выполнения iptables-nft-restore.
  • В ebtables-nft добавлена опция '-p Length'.
  • Все расширения для работы с NAT собраны в одном разделяемом файле (DSO, Dynamic Shared Object).
  • Обеспечена установка утилиты ebtables-translate.


  1. Главная ссылка к новости (https://www.mail-archive.com/n...)
  2. OpenNews: Выпуск межсетевого экрана firewalld 1.3
  3. OpenNews: Выпуск пакетного фильтра nftables 1.0.6
  4. OpenNews: Опубликован межсетевой экран приложений Portmaster 1.0
  5. OpenNews: Выпуск пакетного фильтра iptables 1.8.8
  6. OpenNews: Разработчики Netfilter отстояли коллективное принятие решений при нарушении GPL
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58469-iptables
Ключевые слова: iptables
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (65) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 15:27, 12/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Динамические правила на уровне приложения (с привязкой к иноде экзешника на диске и пид запущенного кода, с защитой от подмены) там не хотят добавить в линукс?
     
     
  • 2.2, Аноним (2), 15:30, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    ты понимаешь, что это бред? есть миллион способов обойти эти правила, например через создание подпроцесса "curl". Всё, пид там будет другой. "Индоа экзешника" тоже другая. И ничего не "подменено".
     
     
  • 3.3, Аноним (1), 15:35, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Именно. Нужна проверка, что файл именно тот, который был в момент установки правила.
     
     
  • 4.5, Аноним (1), 15:37, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, с неймспейсами можно без проблем запихнуть всех потомков в те же рамки. Но надо контролировать, что родительский процесс именно то чем представляется. Может хеш бинаря в памяти проверять тоже.
     
  • 4.6, Аноним (6), 15:38, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тебе нужен явно другой инструмент... Например, апармор может наследовать права при запуске дочернего процесса, и пофик, какая там будет нода и пида.
     
     
  • 5.7, Аноним (1), 15:40, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В момент установки правила, а не в момент запуска.
     
     
  • 6.68, InuYasha (??), 19:31, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    т.е. правило должно создаваться после запуска программы?
     
     
  • 7.71, Аноним (1), 20:08, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Собственно, да, при запуске проверять что это тот самый файл, потом разрешающее правило привязывается и не должно быть возможности подменить процесс, файл, или код.
     
  • 2.8, Аноним (8), 15:57, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Запускай нехорошие приложения в network namespaces с зарезанным доступом в сеть. Ну или android-way, от другого пользователя с фильтрацией по owner в iptables
     
     
  • 3.12, Аноним (1), 16:22, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Угу, очень многие приложения хотят локалхост для работы и чтобы выполнить ip link set lo up надо мапить рута в неймспейсе, и в итоге все приложения проверяющие айди считают что запущены от рута и имеют много лишних возможностей. Есть назойливый софт, отказывающийся запускаться от рута опять же, или работающий иначе. Пока единственное решение запуск от другого пользователя, но мне хотелось бы видеть список исходящих соединений процесса и разрешать/блокировать их в интерфейсе.
     
     
  • 4.33, Аноним (33), 21:48, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    SELinux в помощь.
     
  • 4.36, Full Master (?), 23:07, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > ip link set lo up надо мапить рута в неймспейсе

    cap net admin не хватит?

     
     
  • 5.39, Аноним (1), 23:45, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А это не хуже? Потому что unshare не получает реальных админских прав, только в неймспейсе рут.
     
     
  • 6.40, Аноним (1), 23:48, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Но кстати этого рута в неймспейсе емнип достаточно чтобы выставить cap_sys_admin+ep для любого файла, так что тоже такое себе.
     
  • 3.62, Аноним (62), 12:34, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты неправ, аноним, нужно запускать в cgroup net_cls. Неймспейс тот же, но по clsid можно фильтровать как минимум в nftables, но может, и под iptables есть модуль.
     
  • 2.16, Дуров (?), 17:36, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    opensnitch не так работает?
     
  • 2.37, An0nim0us (?), 23:20, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас из того что развивается есть только opensnitch.
     
  • 2.65, ivan_erohin (?), 14:01, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > правила на уровне приложения (с привязкой к иноде экзешника

    все эти грабли проходили на винде, когда пытались сделать непробиваемые групповые политики ограниченного использования программ. но у кого-то опять зудит. а на чужой опыт наплевать.

     
     
  • 3.69, InuYasha (??), 19:33, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    и что - оно там разве не работает?
     
     
  • 4.72, ivan_erohin (?), 22:06, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    предполагаю, что достаточно убить или пропатчить сервис AppIdSvc или как его там.
    это как SElinux отключить.
     
     
  • 5.73, InuYasha (??), 23:51, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А почему тогда "пытались"? Вроде, на винде полно сервисов работает. Даже в звербанке.
     
     
  • 6.74, ivan_erohin (?), 06:59, 14/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему тогда "пытались"?

    потому что это должно не отключаться так просто.
    т.е. находиться в ядре (по рандомным адресам хехе).
    и не модулем.

     
  • 6.75, ivan_erohin (?), 07:18, 14/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    я забыл сформулировать в чем именно грабли.

    1) прежде чем что-то запрещать или разрешать,
    необходимо точно идентифицировать "приложение",
    чтобы хитрый киберпреступник не смог идентификацию подделать.
    вопрос: как ?
    по имени и пути (такие попытки были) ? это смешно.
    по иноду и чему-то там еще, как предложил первый анон в треде ? анон не в курсе про хардлинки.
    по хэш-сумме бинарника ? тормоза на старте, до первого обновления.

    2) что делать если "приложение" способно и будет создавать от себя другие "приложения" ?

    возможна эвристика против обычных юзеров: либо +r+x, либо +w. если +w+x - не запускать вообще.
    предлагаю рассмотреть самостоятельно.

     
     
  • 7.77, Аноним (77), 01:03, 16/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > анон не в курсе про хардлинки.

    У всех хардлинков на один файл одинаковый inode.

     
     
  • 8.83, ivan_erohin (?), 22:06, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    значит симлинки все время путаю их ... текст свёрнут, показать
     
  • 7.82, Аноним (82), 21:44, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > что делать если "приложение" способно и будет создавать от себя другие "приложения" ?

    У каждого процесса есть родитель. Эту цепочку можно отследить.

     
     
  • 8.84, ivan_erohin (?), 22:07, 20/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    родитель init или systemd что дальше ... текст свёрнут, показать
     
     
  • 9.85, Аноним (82), 20:06, 24/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это уже не относится к теме Мы говорили о том, ... текст свёрнут, показать
     

  • 1.4, Аноним (4), 15:36, 12/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    "Но как, Холмс?"
    Кто пояснит, почему от простых и понятных правил, которыми и был удобен iptables, отказались в пользу мешанины из фигурных скобок?
     
     
  • 2.9, Аноним (9), 15:59, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А чтобы деды не разобрались
     
  • 2.10, Аноним (-), 16:03, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно каждое правило отдельной строкой команде nft передавать.
     
  • 2.13, пууук (?), 16:26, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так никто не отказался, вон все твои "простые" правила сохранили и продолжают пилить. Пользуйся на здоровье, а движок стал лучше и быстрее.
     
  • 2.18, Аноним (18), 17:53, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В современном мире надо эмитировать развитие даже если продукт завершён, иначе скажут что оно протухло и заброшено.  
     
     
  • 3.25, Аноним (25), 18:47, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Эмитируют облигации и электроны. Развитие имитируют.
     
  • 3.29, пох. (?), 20:16, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Скромное напоминание: обещанного рыжым аналога ipchains -C "как только так сразу же" так и не завезли. Как и работающего gre фильтра/ната. Как и работающего матчинга по ipsec sa. И много еще чего. Все что тебе надо знать про "развитие" и "завершенность".

    Т.е. оно недоделано, доделано никогда не будет, и действительно протухло и заброшено уже ПЯТНАДЦАТЬ гребаных лет - ровно с момента когда рыжему, видимо, предложили непыльную должность в коммерческой лавке.

    Что не мешает ему быть лучшим на сегодняшний день пакетным фильтром, но, увы, лучшим из худших.

    Просто остальные либо за деньги, либо г-но полное и абсолютное.

     
  • 2.34, Аноним (33), 21:51, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому, что «мешанина из фигурных скобок» удобно парсится и генерируется компьютером. А руками правила для фаерволла пишут только админы высоконагруженных локалхостов. В современном мире принято оперировать высокоуровневыми концептами, а не хардкодить номера портов, айпишники и прочие переменные.
     
     
  • 3.78, Аноним (77), 01:11, 16/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно посмотреть на исследование сколько в современном мире хостов администрируют корпорации, а сколько - "админы локалхостов", думаю исследование провалится ещё на обсуждении терминов кто есть кто =)
     

  • 1.11, Аноним (11), 16:07, 12/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Лучше бы json в iptables завезли, чтобы парсить выхлоп было удобно.
     
     
  • 2.14, Аноним (6), 16:51, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > Лучше бы json

    лучше бы лекарство от жысон головного мозга придумали.

     
     
  • 3.15, Аноним (1), 16:58, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Жсон очень удобен для шелл-скриптов. Лучше и безопасней xml опять же.
     
     
  • 4.26, анонна (?), 18:58, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    а sed придумали трусы. ага. вот так и живем.
     
     
  • 5.41, Аноним (41), 00:02, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, sed придумали умные люди, которые в отличие от тебя понимают, что такое область применимости. Именно поэтому sed не умеет работать с json и именно поэтому ты этого не понимаешь.
     
     
  • 6.53, анонна (?), 00:55, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    черт а оператор | тебе просто так дали?))
     
  • 6.54, анонна (?), 01:01, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Нет, sed придумали умные люди, которые в отличие от тебя понимают, что
    > такое область применимости. Именно поэтому sed не умеет работать с json
    > и именно поэтому ты этого не понимаешь.

    я поражаюсь новым поколениям программистов, которые не видели линукса во времена отсутствия системд)) они вечно ищут что то что усложнит работу, но им будет казаться, что так лучше)) вы прям как строители забивающие гвозди микроскопом))

     
  • 6.58, Анончик (?), 04:27, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    sed не для парсинга если что, это потоковый редактор всего навсего.
     
     
  • 7.86, анонна (?), 05:11, 27/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > sed не для парсинга если что, это потоковый редактор всего навсего.

    кстати да браузер тоже ток читалка html разметки, а погляди че натворили?)))

     
  • 2.38, An0nim0us (?), 23:27, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вас услышали и написали nftables
    nft --json list ruleset
     
  • 2.44, Аноним (44), 00:16, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Для "json'ификации" вывода команд есть https://kellyjonbrazil.github.io/jc/
     

  • 1.20, Аноним (20), 18:26, 12/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Это надо быть сверхчеловеком чтобы помнить все эти правила. Как-то надо было настроить, с трудом разобрался, через неделю залез в конфиг и ничего не понял от слова совсем.
     
     
  • 2.42, Аноним (33), 00:08, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я тебе секрет професии открою, только не рассказывай никому. Вместо того, чтобы заучивать правила, разберись с принципом работы и научись быстро искать нужное в мане. А свободное время можно потратить на что-нибудь приятное.
     
     
  • 3.46, Аноним (46), 00:31, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    К счастью я выпилился из ойти и вкатился в сварщики на севера вахтовым методом. Сказать что доволен - ничего не сказать. Лишь жалею, что не сделал это раньше.
     
     
  • 4.57, Аноним (57), 04:07, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь ты настоящий сварщик.
     
  • 2.55, Аноним (55), 03:03, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Работаю админом. Тоже ничерта не помню эти таблицы, правила, ipсеты, каждый раз когда нужно потрогать iptables - разбираю с нуля.
    Мне тоже хотелось бы попроще.
     
     
  • 3.66, пох. (?), 14:34, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Учи firewalld - он как раз для тебя, попроще. Синтаксис немного уе..нский, но разбираться - ни в чем не надо, просто запомнить.

    Собственно, того же самого можно было бы добиться просто дисциплиной и соглашениями, но это во-первых к твоему начальнику, а не к тебе, во-вторых зачем... firewalld тебе навяжет такую дисциплину, которая необходима. Плюс перехода на новые-модные nft ты даже и не заметишь.

    И пришедший на твое еще неостывшее место сможет продолжить с той же точки без лишнего времени на разбирательства.

     
  • 2.63, Аноним (62), 12:36, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В nftables можно писать комментарии к правилам, считать по счётчикам, и вообще кучу всякой метаинформации сохранять.
     
     
  • 3.64, я (?), 13:55, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В iptables тоже можно писать комментарии и считать по счётчикам, если уж на то пошло.
     

  • 1.28, Аноним (28), 19:20, 12/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я наверно тоже ИДИОТ, ufw мне всегда хватало. А iptables кроме как платной поддержкой с курсами - никак оправдать не могу. Но любопытно проверить, вот напишите мне правило, которое я не смогу повторить в ufw? Встряхну кудрями вьющимися, не за деньги :-)
     
     
  • 2.30, пох. (?), 20:20, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    ты не наверное, ты точно.

    Впрочем, определение из викивракии - человек, страдающий глубокой формой умственной отсталости (олигофрении), очевидно не вполне тебе подходит. Ты ей - наслаждаешься.

     
     
  • 3.32, Sw00p aka Jerom (?), 21:19, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >ты не наверное, ты точно.

    Сожгут вас на костре, за ваши знания :)

    пс: убил

     
  • 3.35, Anonim (??), 22:20, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А код будет? Что бы предметно.
     
  • 2.56, Аноним (55), 03:09, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так то ufw сам iptables юзает и надо заметить довольно мусорно после него становится. Так что при большом желании всегда можешь "доделать" правила ufw через iptables, даже если что то в ufw нельзя будет сделать. То есть у задачи нулевая практическая ценность.
     
  • 2.76, Роман (??), 21:00, 14/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    как там сделать NAT - хотя бы простой с маскарадом, без вписывания параметров для iptables вручную? мой беглый гугл не помог, предлагают руками лезть в before/after rules
     

  • 1.70, InuYasha (??), 19:39, 13/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А... э... за 4 года уже даже я переписал все свои хотелки на nft. И синтаксис там реально удобнее, даже с комментариями. Нечастый случай когда инновации реально полезны.
    Хотя, наверное, на ipt ещё дофига всего держится. Какие-нибудь openWRT и проприетарные аналоги с гуями под это дело.
     
     
  • 2.79, Аноним (77), 01:22, 16/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И не жалко вам было 4 года потратить на переписывание одного и того же?
     
     
  • 3.80, InuYasha (??), 14:22, 16/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    4 года делали ОНИ, а не я. А я ща эти годы потратил 3-4 дня, наверное.
     
  • 2.81, Аноним (33), 18:59, 16/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    OpenWRT на nftables, начиная с последнего мажорного релиза.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру