https://www.opennet.ru/openforum/vsluhforumID3/130991.html Опубликован выпуск пакетного фильтра nftables 1.0.8, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59444<br> https://www.opennet.ru/openforum/vsluhforumID3/130991.html#41 Mon, 31 Jul 2023 10:18:43 GMT &gt; Айпишник - это не строка. Это 32 бита в случае с IPv4. Фильтруются по префиксу.<br><br>А кто говорил, что IP &#8212; это строка? Я, выше, подобного нигде не писал. Сами за меня придумали тезис, сами его опровергли? Как это похоже на школьника&#129315;<br><br>&gt; Пакет - это тоже не строка. Это не UTF-8 строка, это не ASCII-строка, это не еще-черт-знает-в-какой-кодировке строка.<br><br>О великий гуру! Спасибо за твоё наставление(на самом деле &#8212; нет, не спасибо). Все в курсе, что пакет &#8212; это набор байт, представляете? Как и про то, что некоторые наборы байт можно сопоставить с другими наборами байт, и если они матчатся, правило может дропнуть пакеты, где обнаружило такое совпадение. Прикольно, правда? Бьюсь об заклад, что вам подобное в голову даже не приходило, мало работаете с сетевыми сервисами, верно?<br><br>Теперь по существу:<br><br>С помощью модуля string можно резать на серваке с веб-сервером запросы к определённому домену<br><br>```<br>iptables -I INPUT -p tcp --dport 80 -m string --string "Host: example.com" --algo k https://www.opennet.ru/openforum/vsluhforumID3/130991.html#40 Fri, 21 Jul 2023 18:33:56 GMT Я пишу без фигурных скобочек (за исключением минималистичной части - объявляения таблиц/чейнов/хуков, которые я забил 1 раз в плейбук и больше о них не вспоминал) и у меня все работает. И от iptables отличается лишь синтаксисом (в iptables короткие аргументы с тире, а в nftables слова, но соотвествие по сути 1:1, переучиваться не надо).<br>За это небольшое неудобство я получаю дичайшую киллер фитчу - бесшовное обновление МЭ находу и ipsets встроеные в фаервол! Только за это можно смело сказать: nftables - NUJNO, хорошо сделали.<br> https://www.opennet.ru/openforum/vsluhforumID3/130991.html#39 Tue, 18 Jul 2023 20:03:10 GMT &gt; Паре ребят сделали щастье (потому что за ними платиновый спонсор<br><br>Кто девушку ужинает, тот её и танцует. Ты вроде взрослый мужик, уже стыдно думать в твоём возрасте что тебе мир что-то должен.<br><br>&gt; А потом такие "пачиму вы нас не любите".<br><br>Это тебе кажется. Вряд ли кто-то так спрашивает на самом деле. Отчасти потому, что в гнавшихся три дня, чтобы сказать как им безразличен линукс в интернете никогда не было недостатка, отчасти потому, что без разницы кто там кого любит или не любит. Любить или не любить можно человека. А линукс &#8212; просто инструмент для зарабатывания денег. Если ты не можешь на нём зарабатывать, чьи это проблемы?<br><br>&gt; ты уже много накодил-то?<br><br>Сегодня прям дохера, часа три код писал не отрываясь. А ты?<br><br>&gt; линoops пошел нахрен со всех моих сетевых фильтров<br><br>КИСА ТЫ ОБИДЕЛАС?<br> https://www.opennet.ru/openforum/vsluhforumID3/130991.html#38 Mon, 17 Jul 2023 15:22:20 GMT &gt; Мне удобно. Ну и ещё пару ребят знаю, им тоже нравится как <br>&gt; оно в продах топ500 работает.<br><br>ок. Вот такой линoops. Паре ребят сделали щастье (потому что за ними платиновый спонсор, зато сэкономивший на сетевом железе за их счет), остальным устроили п-ц. А потом такие "пачиму вы нас не любите".<br><br>&gt; Если тебе не подходит, ну что ж сделаешь? Не пользуйся, накодь своё.<br><br>ты уже много накодил-то? <br><br>Не пользуюсь, линoops пошел нахрен со всех моих сетевых фильтров. Доживает свой век в паре совсем древних систем, естественно, с iptables и древним-древним ведром без вредных улучшизмов додолбавших их таки в хлам. Либо ng-fw, либо уж хрен с ним, древний цискин аплайанс. По сравнению с iptables чудовищно уродливо (но спасает трассировщик которого у вас нет и не будет) по сравнению с этим фигурноскобчатым невменозом - просто само совершенство.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/130991.html#37 Mon, 17 Jul 2023 14:33:20 GMT Мне удобно. Ну и ещё пару ребят знаю, им тоже нравится как оно в продах топ500 работает. Если тебе не подходит, ну что ж сделаешь? Не пользуйся, накодь своё.<br> https://www.opennet.ru/openforum/vsluhforumID3/130991.html#36 Sun, 16 Jul 2023 18:44:36 GMT Кому удобно? Мне было вполне удобно с iptables. Не без косяков (которые не могли исправить годами - эти вот умеющие кодить) но пользоваться было можно.<br><br>А какввенде у меня уже есть - в венде. И кодить не надо.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/130991.html#34 Sun, 16 Jul 2023 17:03:03 GMT Всё просто: до появления nftables firewalld был фронтом для itables. Т.е. для тех, кто умел только firewalld пользоваться, переход состоялся вобще незаметно. Круто же<br> https://www.opennet.ru/openforum/vsluhforumID3/130991.html#33 Sun, 16 Jul 2023 15:52:24 GMT Так хорошо же. Наконец-то делают удобно. А когда неудобно, всегда можно собственный генератор правил написать. Кодить-то хоть умеешь?<br> https://www.opennet.ru/openforum/vsluhforumID3/130991.html#32 Sun, 16 Jul 2023 15:50:17 GMT Можно, и даже изредка нужно. Но чаще всё равно приходится пользоваться отдельным AF типа Knot resolver, потому что строку поискать мало, надо ещё с результатом что-то сделать, и чаще нетривиальное.<br>