https://www.opennet.ru/openforum/vsluhforumID3/95455.html Проект Netfilter представил (http://lists.netfilter.org/pipermail/netfilter-announce/2014/000206.html) второй выпуск нового пакетного фильтра nftables (0.2), а также соответствующий выпуск вспомогательной библиотеки libnftnl 1.0.1 (http://lists.netfilter.org/pipermail/netfilter-announce/2014/000207.html).<br><br><br>В рамках проекта Nftables развивается новая реализация пакетного фильтра, унифицирующая интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов, и нацеленная на замену iptables, ip6table, arptables и ebtables. Для реализации поставленной задачи Nftables предоставляет на уровне ядра лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной https://www.opennet.ru/openforum/vsluhforumID3/95455.html#45 Tue, 22 Apr 2014 05:54:44 GMT &gt;&gt; посмотрел man -- и действительно в мане подобное понятие вводиться -- хотя лично для меня это искуственное деление.<br>&gt; Деление чего и на что?<br>&gt; По-моему, это в ip(6)tables весьма глупый ход - выполнять логгирование в виде <br>&gt; target.<br><br>деление на watch и target<br><br>&gt;&gt; мы точно говорим о arptables? потому-что напрмую отталкиваясь от названия это таблицы протокола ARP -- появились же они т.к. это и не l2 и не l3 -- а именно то, что объеденяет эти два слоя в рамках ethernet. никакая расширяемая архитекрура тут ни при чём.<br>&gt; ARP - это придаток IPv4 и, по здравому размышлению, заниматься им нужно <br>&gt; в iptables.<br><br>сам ты придаток, напомни себе определение и перестань фантазировать, ARP никоим образом к ipv4 отношения не имеет, потому как ipv4 это l3 а arp это l2+<br><br>&gt; В IPv6 с этим проще - четко прописано, что обслуживание сетевого протокола <br>&gt; выполняется при помощи его внутренней подсистемы (ICMPv6).<br>&gt;&gt; да -- ebtables во много отход от традиции, и шаг назад.<br>&gt; По удобству - шаг вперед, это однозначно.<br><br>у https://www.opennet.ru/openforum/vsluhforumID3/95455.html#44 Tue, 22 Apr 2014 05:49:10 GMT &gt;&gt; мне может кто-нибудь подсказать хоть один практический пример нафига подобное нужно?<br>&gt; Практический пример - мапы dst addr/port -&gt; dnat addr/port, или src addr/port <br>&gt; -&gt; snat addr/port. Не совсем addr -&gt; mark, но тоже киллeр-фича <br>&gt; pf tables. Была.<br><br>это типа с диапазона серых ip на диапазон белых?<br><br>дык это давно можно через -j NATMAP<br><br>какие ещк были киллер фичи?<br> https://www.opennet.ru/openforum/vsluhforumID3/95455.html#43 Mon, 21 Apr 2014 16:38:49 GMT &gt; мне может кто-нибудь подсказать хоть один практический пример нафига подобное нужно?<br><br>Практический пример - мапы dst addr/port -&gt; dnat addr/port, или src addr/port -&gt; snat addr/port. Не совсем addr -&gt; mark, но тоже киллeр-фича pf tables. Была. <br> https://www.opennet.ru/openforum/vsluhforumID3/95455.html#42 Mon, 21 Apr 2014 16:35:34 GMT &gt; посмотрел man -- и действительно в мане подобное понятие вводиться -- хотя лично для меня это искуственное деление.<br><br>Деление чего и на что?<br>По-моему, это в ip(6)tables весьма глупый ход - выполнять логгирование в виде target.<br><br>&gt; мы точно говорим о arptables? потому-что напрмую отталкиваясь от названия это таблицы протокола ARP -- появились же они т.к. это и не l2 и не l3 -- а именно то, что объеденяет эти два слоя в рамках ethernet. никакая расширяемая архитекрура тут ни при чём.<br><br>ARP - это придаток IPv4 и, по здравому размышлению, заниматься им нужно в iptables.<br>В IPv6 с этим проще - четко прописано, что обслуживание сетевого протокола выполняется при помощи его внутренней подсистемы (ICMPv6).<br><br>&gt; да -- ebtables во много отход от традиции, и шаг назад.<br><br>По удобству - шаг вперед, это однозначно.<br><br>&gt; нет никакой (окромя политики партии) написать match extension для ip(6)tables которое будет производить действия по модификации пакета/meta, я считаю что чёткое определение ролей match/target в iptables https://www.opennet.ru/openforum/vsluhforumID3/95455.html#41 Sun, 20 Apr 2014 10:46:06 GMT &gt;&gt; точно watch? где такие?<br>&gt; Watcher. В ebtables. log, nflog, ulog.<br><br>посмотрел man -- и действительно в мане подобное понятие вводиться -- хотя лично для меня это искуственное деление.<br><br>&gt;&gt; что как-бы логично т.к. это фильтр для одного протокола и мачить там нечего <br>&gt; Была бы расширяемая архитектура - глядишь, поддерживал бы и больше протоколов.<br><br>мы точно говорим о arptables? потому-что напрмую отталкиваясь от названия это таблицы протокола ARP -- появились же они т.к. это и не l2 и не l3 -- а именно то, что объеденяет эти два слоя в рамках ethernet. никакая расширяемая архитекрура тут ни при чём.<br><br>&gt;&gt; recent не изменяет сам пакет и в этом смысле ничем не отличим от того-же MARK <br>&gt; MARK - это target.<br>&gt;&gt; бред о том что в ip6tables есть только match и отсутствуют target откуда взялси?<br>&gt; Там есть только target, но нет target extensions (нельзя применить больше одной <br>&gt; операции к пакету в одном правиле). В ebtables за одно правило <br>&gt; можно, например, поставить метку, подменить адрес и пропустить пакет https://www.opennet.ru/openforum/vsluhforumID3/95455.html#40 Sat, 19 Apr 2014 21:57:04 GMT &gt;&gt; Всё правильно. Можно ещё добавить в/из: YAML, CSV, SQLite.<br>&gt; Да, слушай, надо какой-нибудь самопальный упаковщик написать, пожалуй. Чтобы паковал ваши <br>&gt; ценные данные. А как распаковывать - я потом подумаю.<br><br>В данном случае - наоборот (есть только преобразователь из специфичного блоба в общепринятые текстовые форматы, то есть распаковщик).<br> https://www.opennet.ru/openforum/vsluhforumID3/95455.html#39 Sat, 19 Apr 2014 21:54:43 GMT &gt; точно watch? где такие?<br><br>Watcher. В ebtables. log, nflog, ulog.<br><br>&gt; что как-бы логично т.к. это фильтр для одного протокола и мачить там нечего<br><br>Была бы расширяемая архитектура - глядишь, поддерживал бы и больше протоколов.<br><br>&gt; recent не изменяет сам пакет и в этом смысле ничем не отличим от того-же MARK<br><br>MARK - это target.<br><br>&gt; бред о том что в ip6tables есть только match и отсутствуют target откуда взялси?<br><br>Там есть только target, но нет target extensions (нельзя применить больше одной операции к пакету в одном правиле). В ebtables за одно правило можно, например, поставить метку, подменить адрес и пропустить пакет.<br> https://www.opennet.ru/openforum/vsluhforumID3/95455.html#38 Sat, 19 Apr 2014 18:29:42 GMT &gt;&gt; iptables привычнее, но не проще. Особенно учитывая, что *tables слишком много.<br>&gt; Самое веселое, что arptables и ebtables по архитектуре отличаются от iptables и <br>&gt; ip6tables. Изначально код был один и тот же (размноженный методом копипасты), <br>&gt; но потом дороги начали расходиться.<br>&gt; Например, в arptables и ebtables есть target extensions, а в ebtables - <br>&gt; еще и watch extensions.<br><br>точно watch? где такие?<br>&gt; Но при этом в arptables нет match <br>&gt; extensions.<br><br>что как-бы логично т.к. это фильтр для одного протокола и мачить там нечего<br>&gt; В то время как в ip(6)tables есть только match extensions (хотя некоторые <br>&gt; из них, по факту, выполняют модифицирующие действия - например, -m recent <br>&gt; --set/--update).<br><br>recent не изменяет сам пакет и в этом смысле ничем не отличим от того-же MARK<br>бред о том что в ip6tables есть только match и отсутствуют target откуда взялси?<br> https://www.opennet.ru/openforum/vsluhforumID3/95455.html#37 Sat, 19 Apr 2014 11:52:51 GMT технически - скорее обеспечивается возможность сделать "закос"(и взаимодействие) подо что угодно, помимо перечисленного.<br>