The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск firewalld 1.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск firewalld 1.0"  +/
Сообщение от opennews (??), 23-Июл-21, 09:24 
Представлен релиз динамически управляемого межсетевого экрана firewalld 1.0, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке  Python и распространяется под лицензией GPLv2...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55537

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  +7 +/
Сообщение от Аноним (1), 23-Июл-21, 09:24 
Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск firewalld 1.0"  +11 +/
Сообщение от Аноним (2), 23-Июл-21, 09:32 
Двоякие впечатления. С одной стороны решили проблему с добавлением и изменение правил на лету. Но создали новые проблемы с прозрачностью процессов. Совершенно неочевидно, что блокируется, а что нет, логика размыта. В одной версии запрещают перенаправление между интерфейсами, а в другой разрешают. Нет полного контроля за настройками.
Ответить | Правка | Наверх | Cообщить модератору

9. Скрыто модератором  –5 +/
Сообщение от пох. (?), 23-Июл-21, 09:45 
Ответить | Правка | Наверх | Cообщить модератору

16. Скрыто модератором  +15 +/
Сообщение от Аноним (16), 23-Июл-21, 10:09 
Ответить | Правка | Наверх | Cообщить модератору

20. Скрыто модератором  –4 +/
Сообщение от нах.. (?), 23-Июл-21, 10:34 
Ответить | Правка | Наверх | Cообщить модератору

25. Скрыто модератором  +13 +/
Сообщение от anonymous (??), 23-Июл-21, 11:05 
Ответить | Правка | Наверх | Cообщить модератору

33. Скрыто модератором  –5 +/
Сообщение от пох. (?), 23-Июл-21, 11:31 
Ответить | Правка | Наверх | Cообщить модератору

36. Скрыто модератором  +3 +/
Сообщение от andy (??), 23-Июл-21, 11:35 
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

41. Скрыто модератором  –3 +/
Сообщение от пох. (?), 23-Июл-21, 11:38 
Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором  +3 +/
Сообщение от Аноним (17), 23-Июл-21, 10:10 
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

31. Скрыто модератором  –1 +/
Сообщение от Annoynymous (ok), 23-Июл-21, 11:28 
Ответить | Правка | Наверх | Cообщить модератору

32. Скрыто модератором  –4 +/
Сообщение от пох. (?), 23-Июл-21, 11:30 
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

45. Скрыто модератором  +2 +/
Сообщение от Аноним (17), 23-Июл-21, 11:56 
Ответить | Правка | Наверх | Cообщить модератору

60. Скрыто модератором  –2 +/
Сообщение от пох. (?), 23-Июл-21, 13:46 
Ответить | Правка | Наверх | Cообщить модератору

40. Скрыто модератором  –2 +/
Сообщение от andy (??), 23-Июл-21, 11:38 
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

42. Скрыто модератором  –2 +/
Сообщение от пох. (?), 23-Июл-21, 11:40 
Ответить | Правка | Наверх | Cообщить модератору

84. Скрыто модератором  –1 +/
Сообщение от псевдонимус (?), 23-Июл-21, 16:56 
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

86. Скрыто модератором  –1 +/
Сообщение от пох. (?), 23-Июл-21, 17:31 
Ответить | Правка | Наверх | Cообщить модератору

91. Скрыто модератором  +/
Сообщение от псевдонимус (?), 23-Июл-21, 18:00 
Ответить | Правка | Наверх | Cообщить модератору

85. "Выпуск firewalld 1.0"  +2 +/
Сообщение от Аноньимъ (ok), 23-Июл-21, 17:30 
У меня от Ситемы-Д всегда впечатление одинаковое.
Без всякого дуализма.

Нужно просто откинуть все религиозные предрассудки, веру в то, что якобы это должно быть полезным и кому-то нужным, и сразу все просто с впечатлениями.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

94. "Выпуск firewalld 1.0"  +1 +/
Сообщение от Аноним (94), 23-Июл-21, 21:05 
Ну разработчикам полезно, раз пилят. Гики получили своимим же граблями по бубунцам. Забавно за этим наблюдать.
ПС: контроль приложений то оно наконец умеет?
Ответить | Правка | Наверх | Cообщить модератору

99. "Выпуск firewalld 1.0"  +1 +/
Сообщение от Аноньимъ (ok), 23-Июл-21, 22:43 
Это не гики пилят.
Для этого нужно другое слово. Любители, наверное подходит.
Ответить | Правка | Наверх | Cообщить модератору

136. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (-), 25-Июл-21, 20:13 
> Двоякие впечатления. С одной стороны решили проблему с добавлением и изменение правил
> на лету. Но создали новые проблемы с прозрачностью процессов.

Создали маздайфайрвол очередной. Только этот еще и на питоне к тому же. Гадость вебмакачная.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Выпуск firewalld 1.0"  –3 +/
Сообщение от pofigist (?), 23-Июл-21, 09:33 
Опенсоурсники пытаются скопировать zbfw, про который они слышали, но не видели...
Ответить | Правка | Наверх | Cообщить модератору

7. Скрыто модератором  –3 +/
Сообщение от пох. (?), 23-Июл-21, 09:42 
Ответить | Правка | Наверх | Cообщить модератору

44. Скрыто модератором  –2 +/
Сообщение от pofigist (?), 23-Июл-21, 11:55 
Ответить | Правка | Наверх | Cообщить модератору

46. Скрыто модератором  +1 +/
Сообщение от пох. (?), 23-Июл-21, 11:58 
Ответить | Правка | Наверх | Cообщить модератору

51. Скрыто модератором  +/
Сообщение от Аноним (-), 23-Июл-21, 13:01 
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

61. Скрыто модератором  –1 +/
Сообщение от пох. (?), 23-Июл-21, 13:52 
Ответить | Правка | Наверх | Cообщить модератору

69. Скрыто модератором  +1 +/
Сообщение от PnD (??), 23-Июл-21, 14:22 
Ответить | Правка | Наверх | Cообщить модератору

88. Скрыто модератором  –1 +/
Сообщение от пох. (?), 23-Июл-21, 17:36 
Ответить | Правка | Наверх | Cообщить модератору

149. Скрыто модератором  +/
Сообщение от PnD (??), 26-Июл-21, 22:35 
Ответить | Правка | Наверх | Cообщить модератору

153. Скрыто модератором  –1 +/
Сообщение от пох. (?), 27-Июл-21, 12:46 
Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск firewalld 1.0"  +7 +/
Сообщение от Аноним (4), 23-Июл-21, 09:36 
Нагородили лишних абстракций. С точки зрения удобства и предсказуемости действий идеален ipfw из FreeBSD.
Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск firewalld 1.0"  +4 +/
Сообщение от Ананомизец (?), 23-Июл-21, 09:37 
Мне более по нраву PF
Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск firewalld 1.0"  –6 +/
Сообщение от пох. (?), 23-Июл-21, 09:47 
оба сорта г-на.

Расскажите, как пробросить через ваше недоразумение sip?
Да, кстати, у нас тут dual cone nat и еще туннельчик,поэтому часть серых адресов доступна прямо с белых по другую сторону туннеля - и для них ничего автоматически портить не надо.

Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск firewalld 1.0"  –1 +/
Сообщение от Аноним (19), 23-Июл-21, 10:21 
За деньги рассказал бы
Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск firewalld 1.0"  –2 +/
Сообщение от нах.. (?), 23-Июл-21, 10:37 
Ооо, представитель бздни как он есть, на словах герои, а как к делу...
Ответить | Правка | Наверх | Cообщить модератору

137. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (-), 25-Июл-21, 20:15 
> За деньги рассказал бы

Кто ж тебе за это платить то будет, чудак? Проще И ДЕШЕВЛЕ снести твою бзду в ад к чертям.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

154. "Выпуск firewalld 1.0"  –1 +/
Сообщение от пох. (?), 27-Июл-21, 12:47 
>> За деньги рассказал бы
> Кто ж тебе за это платить то будет, чудак? Проще И ДЕШЕВЛЕ
> снести твою бзду в ад к чертям.

главное, что в итоге выходит что проще (и дешевле) снести даже если такой индивидуй очень гордый собой - забесплатно все настроил. Потому что через два дня выяснится что настроил криво, а герой наш уже в аду с чертями и телефон вне зоны действия.


Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск firewalld 1.0"  +5 +/
Сообщение от Аноним (26), 23-Июл-21, 11:07 
эксперды в виде похов и нахов подъехали. недоразумение sip легко и непринужденно пробрасывается, руки нужно иметь прямые
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

39. "Выпуск firewalld 1.0"  –2 +/
Сообщение от HyC (?), 23-Июл-21, 11:37 
> Расскажите, как пробросить через ваше недоразумение sip?

Точно так-же как FTP.

Выражаясь дипломатично пробрасывать сип "через недоразумение" еще большее недоразумение.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

43. "Выпуск firewalld 1.0"  –7 +/
Сообщение от пох. (?), 23-Июл-21, 11:42 
>> Расскажите, как пробросить через ваше недоразумение sip?
> Точно так-же как FTP.
> Выражаясь дипломатично пробрасывать сип "через недоразумение" еще большее недоразумение.

Понятно. "sip нинужна" и прочите типовые решения специалистов впопеннета.

А потом они удивляются, что на желающих притащить решения на базе freebsd с порога смотрят как на полных м-ков, которых непонятно кто вообще на собеседовании проморгал.
А не м-ки вынуждены молчать, чтоб не сойти за м-ка.



Ответить | Правка | Наверх | Cообщить модератору

53. "Выпуск firewalld 1.0"  +/
Сообщение от Sw00p aka Jerom (?), 23-Июл-21, 13:17 
лучше бы описали проблему, что куда по каким портам нужно "пробросить", может кто-то и подсказал бы решение.
Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск firewalld 1.0"  +/
Сообщение от Онаним (?), 23-Июл-21, 13:54 
5060 и RTP на произвольном порту без открытия всего диапазона 1024-65535
Ответить | Правка | Наверх | Cообщить модератору

66. "Выпуск firewalld 1.0"  –2 +/
Сообщение от пох. (?), 23-Июл-21, 14:04 
> 5060 и RTP на произвольном порту без открытия всего диапазона 1024-65535

ты забыл еще привычку софтсвичтей _иногда_ пытаться угадать что нужно использовать nat.

В случае наличия в сети одновременно софтсвитча на белых адресах и потребителей в 192.xxxx но за натом - результат немножко фееричен.

C 323 разумеется ничуть не лучше.

Да, для iptables были модули, умевшие ЭТО разгребать. Их весьма несложно было написать. Для nft пусть макаки на пихоне пишут.

Ответить | Правка | Наверх | Cообщить модератору

70. "Выпуск firewalld 1.0"  +1 +/
Сообщение от Онаним (?), 23-Июл-21, 14:27 
Вроде как сиповый хелпер с nft работает, просто надо ручками к 5060 прибивать.
И в iptables автоприбитие вроде тоже задепрекейчено, если не убрано.
А то да, придётся на ёbpf писать.
Ответить | Правка | Наверх | Cообщить модератору

81. "Выпуск firewalld 1.0"  –2 +/
Сообщение от пох. (?), 23-Июл-21, 16:07 
он не все умеет, поэтому я в свое время нужные фичи добавлял ручками, это было просто, в отличие от йоптбепефе.

И да, хелперы нынче надо руками к портам привешивать, а то, говорят, чтототам небезопастно.
Для немодных есть sysctl, возвращающий нормальную работу.

Ответить | Правка | Наверх | Cообщить модератору

98. "Выпуск firewalld 1.0"  +/
Сообщение от Sw00p aka Jerom (?), 23-Июл-21, 22:40 
> 5060 и RTP на произвольном порту без открытия всего диапазона 1024-65535

SIP, RTP какого уровня OSI? Когда найдете ответ, тогда и поймете, что тот же pf не только не умеет, но и не обязан уметь это делать.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

110. "Выпуск firewalld 1.0"  +/
Сообщение от Онаним (?), 24-Июл-21, 09:02 
Ну вот пусть и сосёт через трубочку.
А потом эти же ребята будут удивляться: "ой, а чойто BSD ненужен".
Ответить | Правка | Наверх | Cообщить модератору

111. "Выпуск firewalld 1.0"  +/
Сообщение от Онаним (?), 24-Июл-21, 09:04 
Никто ж не заставляет, нет. Пусть себе будет абстрактная академическая поделка в вакууме.
А работать будем на более дружащих с реальностью имплементациях. iptables, например.
Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

155. "Выпуск firewalld 1.0"  –1 +/
Сообщение от пох. (?), 27-Июл-21, 12:49 
> Никто ж не заставляет, нет. Пусть себе будет абстрактная академическая поделка в
> вакууме.
> А работать будем на более дружащих с реальностью имплементациях. iptables, например.

это пока не запретили. А это уже очень скоро - как оно там... "никто не хочет быть майнтейнером (нет, ты, ты и ты - идите найух, у вас рожи неправильные, вы сначала постойте на коленях лет десять, попредлагайте свои ценные и нужные colour-color в правильной ветке рассылки, а потом мы еще подумаем) - а stable api nonsense, поэтому выпилить-выпилить немедля!"

Ответить | Правка | Наверх | Cообщить модератору

138. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (-), 25-Июл-21, 20:17 
> SIP, RTP какого уровня OSI? Когда найдете ответ, тогда и поймете, что
> тот же pf не только не умеет, но и не обязан уметь это делать.

Хочу посмотреть как вы юзерам расскажете что софт который они используют видите ли не нужен. Этак скорее вас в deprecated вынесут и заменят на тех кто может это организовать. На вашем фоне даже пох - спец.

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

139. "Выпуск firewalld 1.0"  +/
Сообщение от Sw00p aka Jerom (?), 25-Июл-21, 21:07 
> Хочу посмотреть как вы юзерам расскажете

:)) кому кому? юзерам? о них хоть кто-то думает? хавают, что им дадут.


Ответить | Правка | Наверх | Cообщить модератору

148. "Выпуск firewalld 1.0"  –1 +/
Сообщение от пох. (?), 26-Июл-21, 19:14 
sip и rtp - протоколы, используемые в сети internet. Поэтому правильный ответ - никакого. Они к мертворожденному osi стеку не имеют вообще ни малейшего отношения.

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

150. "Выпуск firewalld 1.0"  +/
Сообщение от Sw00p aka Jerom (?), 27-Июл-21, 00:11 
> sip и rtp - протоколы, используемые в сети internet. Поэтому правильный ответ
> - никакого. Они к мертворожденному osi стеку не имеют вообще ни
> малейшего отношения.

правильно  пишется Ынтернет

Ответить | Правка | Наверх | Cообщить модератору

65. "Выпуск firewalld 1.0"  –3 +/
Сообщение от пох. (?), 23-Июл-21, 13:59 
> лучше бы описали проблему, что куда по каким портам нужно "пробросить", может
> кто-то и подсказал бы решение.

да нет у меня проблем (если ты не узнал описание - ты просто не имел дело с ip телефонией в значимом количестве) - просто не использую поделку, нуждающуюся в userland врапперах.
Хотя, да, проблема есть - щас iptables окончательно добьют, и мои kernel-level хаки перестанут работать. Ну, тоже решаемая - еще одну asaV купят, что мне, жалко что ли чужие деньги?

Синтаксис простыни без иерархии и нат правил задом-наперед, конечно, вызывает желание принести индусского автора в жертву Справедливой (хотя она таким и тигра-то кормить побрезгует, поди) максимально мучительным способом, но прочитать его все еще можно, не смотря на все улучшизмы, и отлаживать предусмотрено, чем.

В отличие от недоразумений типа ipfw и тем более от трэша и п-ца nft.

И fixup'ы хоть и тоже изуродовали в новых версиях, но все еще включаются и выключаются как мне надо и когда мне надо.

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

71. "Выпуск firewalld 1.0"  +/
Сообщение от Онаним (?), 23-Июл-21, 14:29 
Я кстати удивлён что через ASA SIP до сих пор нормально ходит, хотя там хелпер древнющее говно мамонта, и иногда делает сипу слегка больно, спасает только симметричность RTP на свитчах по умолчанию.
Ответить | Правка | Наверх | Cообщить модератору

79. "Выпуск firewalld 1.0"  –2 +/
Сообщение от пох. (?), 23-Июл-21, 15:55 
> Я кстати удивлён что через ASA SIP до сих пор нормально ходит, хотя там хелпер древнющее говно
>  мамонта, и иногда делает сипу слегка больно, спасает только симметричность RTP на свитчах по

для несимметричных все еще есть возможность явно обозначить между какими адресами фиксап работает, а какими нет.
Уже уродливая (policy, а не просто acl, а она одна глобальная на все устройство), но еще есть.

Ответить | Правка | Наверх | Cообщить модератору

97. "Выпуск firewalld 1.0"  +/
Сообщение от Sw00p aka Jerom (?), 23-Июл-21, 22:37 
> да нет у меня проблем (если ты не узнал описание - ты
> просто не имел дело с ip телефонией в значимом количестве) -

отлично, да не имел дел, но

"Расскажите, как пробросить через ваше недоразумение sip?" - должен ли L3/L4 файервол (без разницы pf или iptables) что-либо знать о L7 протоколах (SIP,SDP,RTP и любой другой этого уровня)?
Если нет, то в чем претензия к pf, он по определению не должен.

> просто не использую поделку, нуждающуюся в userland врапперах.

А нужно использовать L7 (NGFW) файервол, и согласен с вами про всякие эти хелперы (врапперы), костыли одним словом, которые прикручивают к L3/L4 файерволам, чтобы была поддержка того или иного L7 протокола. И проблема тут вовсе не только в файерволе кроется, разделения пространств на ядерное и пользовательское, разделение протоколов на уровни, проектировка таких протоколов "недоразумений" как SIP, RTP и т.д. без учета тех же разделений. Вопрос, в каком пространстве (ядерном, пользовательском) должен работать L7 (NGFW)  файервол? и почему его нет до сих пор в линуксах, юниксах?

> Хотя, да, проблема есть - щас iptables окончательно добьют, и мои kernel-level
> хаки перестанут работать. Ну, тоже решаемая - еще одну asaV купят,
> что мне, жалко что ли чужие деньги?

Опять таки, это не проблема iptables, он не обязан знать про L7 протоколы.

> В отличие от недоразумений типа ipfw и тем более от трэша и
> п-ца nft.

Вот они как раз свои функции выполняют нормально.

Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

103. "Выпуск firewalld 1.0"  +/
Сообщение от Sem (??), 24-Июл-21, 00:06 
> должен ли L3/L4 файервол (без разницы pf или iptables) что-либо знать о L7 протоколах (SIP,SDP,RTP и любой другой этого уровня)?

Если нет, то в чем претензия к pf, он по определению не должен.

Это у вас только в голове OSI уровни. TCP/IP изначально не соответствует OSI. А хороший файрвол должен уметь заглядывать в любой уровень при необходимости. Мы в 21 веке живём и пишем уже давно не на ассемблере.

Ответить | Правка | Наверх | Cообщить модератору

105. "Выпуск firewalld 1.0"  +/
Сообщение от Sw00p aka Jerom (?), 24-Июл-21, 00:25 
> Это у вас только в голове OSI уровни. TCP/IP изначально не соответствует OSI.

lol

> А хороший файрвол должен уметь заглядывать в любой уровень при
> необходимости. Мы в 21 веке живём и пишем уже давно не
> на ассемблере.

и смузи, из ежа и ужа, с натертым хером и пальцем, готовить должен.

Ответить | Правка | Наверх | Cообщить модератору

117. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (117), 24-Июл-21, 12:28 
Вообще-то тебе умные дяди правильно за SIP всё сказали.

Ты его пакеты видел? У него в сессионных пакетах в ЕГО заголовках могут содержаться IP и порты текстом.
А может их там и не быть, а может там rport, а может его нету. А еще есть SDP и ICE, которые собирают кандидатов для установки медиасессии клиента, поэтому IP клиентов там будут тоже указаны текстом.
А потом медиасессия, которая может быть проходит через тот единственно верный IP на который ты "пробрасываешь", а может быть она идет между клиентами напрямую. А еще могут применяться STUN/TURN для того чтобы обмануть NAT на твоём фаерволе.

Поинтересуйся, поузнавай как работает. Там на всё есть причины, почему так, а не иначе.

>> Это у вас только в голове OSI уровни. TCP/IP изначально не соответствует OSI.
> lol

Ну про OSI обычно говорят студенты, которые смогли дочитать Олифера и прочую лабуду, которая:
1) Про SIP старательно умалчивает
2) Красоту академической модели ставит превыше объективной реальности.
Если следовать той же OSI, то протокол SIP там можно считать размазанным ровным слоем от 4 до 7 включительно. Этот протокол использует самые разные транспорты для создания пиринговых сессий между клиентами поверх сетевой топологии, которая есть. Если ты думаешь, что его можно считать простым протоколом 7-го уровня, то это значит, что ты о нем только слышал.

За 6 лет плотного опыта работы с телефонией и вообще UC в РФ могу смело сказать, что самое страшное зло - pfsence. Но опять же, не так страшен pfsence, как страшен дурачок-админ, который его поставил и не знает ничего сложнее fail2ban для HTTP, но с самомнением будто самый умный.

Там даже стадии есть, когда ему говоришь настрой в "такой-то такой-то топологии". Я о стадиях принятия неизбежного, потому что пока еще ни один адепт BSD-образных фаерволов не смог сделать так, чтобы в медиа трафик с клиента на клиент шел через корпоративные туннели, когда сессионка идет через SSL на внешке, и чтобы медиапотоки переключались заворачивались через внешку при падении или отсутствии туннеля как с использованием внешнего медиарелея так и без него.

А почему? А всё просто! Бандар-логи умеют "портики пробрасывать для протоколов седьмого уровня" а всё остальное уже не их дело и не дело их богоподобного фаервола.

Информация к размышлению: Чем дешевле файрвол, тем дешевле специалист, который умеет его настраивать.

> и смузи, из ежа и ужа, с натертым хером и пальцем, готовить должен.

Читаем вслух и с выражением:
https://datatracker.ietf.org/doc/html/rfc8445
https://datatracker.ietf.org/doc/html/rfc8489
https://datatracker.ietf.org/doc/html/rfc8656
Свой смузи из ежа и ужа принимай ректально по 50 грамм утром и вечером.

Эти протоколы чихали на твою OSI и существуют для того чтобы тупые фаерволы с тупыми сетевыми администраторами не были помехой для прохождения медиатраффика. Они родом из SIP, но также используются для XMPP Jingle и WebRTC.

Пойми, быть неграмотным дурачком, который пафосно кичится парой зазубренных знаний из учебника, это неприятно и больно в первую очередь для окружающих... дурачок-то обычно не замечает.

Ответить | Правка | Наверх | Cообщить модератору

119. "Выпуск firewalld 1.0"  +/
Сообщение от Sw00p aka Jerom (?), 24-Июл-21, 13:59 
>Вообще-то тебе умные дяди правильно за SIP всё сказали.

ага, претензии к L3/L4 файерволу за то, что он не знает про L7 протоколы? Где логика?

>Ты его пакеты видел? У него в сессионных пакетах в ЕГО заголовках могут содержаться IP и порты текстом.

Да там любая херь может быть, это же не делает из него L3/L4 протокол.


>А может их там и не быть, а может там rport, а может его нету. А еще есть SDP и ICE, которые собирают кандидатов для установки медиасессии клиента, поэтому IP клиентов там будут тоже указаны текстом.

Так эти притензии предъявляйте разработчикам сего "гамно протокола", L3/L4 файервол причем тут?


>А еще могут применяться STUN/TURN для того чтобы обмануть NAT на твоём фаерволе.

В том, что NAT создает проблемы для вашего "недо протокола" это разве проблемы L3/L4 файервола?
Накостыляли ведь всяких STUN/TURN протоколов, что не так?

>Поинтересуйся, поузнавай как работает. Там на всё есть причины, почему так, а не иначе.

А что создатели того же SIP,SDP,RTP знать не знали как работают NAT-ы и L3/L4 файерволы когда проектировали хрень? Это им надо было интерессоваться, а не мне. Телекомщики они все такие, и их протоколы очевидное гамно.


>Ну про OSI обычно говорят студенты, которые смогли дочитать Олифера и прочую лабуду, которая:

Открыли америку, L3/L4 от вашего L7 не зависит.

>1) Про SIP старательно умалчивает

Хех, а зачем и с чего L3/L4 знать про L7?

>2) Красоту академической модели ставит превыше объективной реальности.

Реальность такова, что когда не следуешь стандарту появляются всякие гавно поделки которые толкают еще свои костыли, лишь бы работало.

>Если следовать той же OSI, то протокол SIP там можно считать размазанным ровным слоем от 4 до 7 включительно.

каким боком он L4? у него свой транспорт есть? Откройте хотя бы википедию и прочтите, что он не зависит от транспорта, что собственно и есть подтверждение того, что он прикладного уровня L7.

>Если ты думаешь, что его можно считать простым протоколом 7-го уровня, то это значит, что ты о нем только слышал.

Да знать даже я не хочу про L7 ничего, как бы он там не был "размазан", ежа с ужем я тоже могу скрестить и написать очередной рецепт по приготовлению смузи.

>За 6 лет плотного опыта работы с телефонией и вообще UC в РФ могу смело сказать, что самое страшное зло - pfsence.

Телекомщик одним словом, больше нечего сказать, Пох за них уже один раз высказался. А по pfsence давайте поконкретнее. Опять таки, претензии за L7 - идут лесом.

>Но опять же, не так страшен pfsence, как страшен дурачок-админ, который его поставил и не знает ничего сложнее fail2ban для HTTP, но с самомнением будто самый умный.

Да вы что, файервол должен быть умным, а оказалось L3/L4 знать не знает про L7, печалька.

>потому что пока еще ни один адепт BSD-образных фаерволов не смог сделать так

Конкретика, что куда и зачем, пусть адепты опеннета ответят и решат, получается или нет. А так пустой разговор.


>А почему? А всё просто! Бандар-логи умеют "портики пробрасывать для протоколов седьмого уровня" а всё остальное уже не их дело и не дело их богоподобного фаервола.

Дошло все таки? А чего вы хотели от L3/L4 файервола? Чтобы админчег накостылял всяких хелперов для L7? Покупайте себе NGWF и делов то, вот он и решит ваши проблемы, если только не приумножит :)

>Информация к размышлению: Чем дешевле файрвол, тем дешевле специалист, который умеет его настраивать.

Все ясно, очередной "давайте купим", и все верно, для каждой работы - свой инструмент.

>Свой смузи из ежа и ужа принимай ректально по 50 грамм утром и вечером.

Забыли ссылку на WebRTC :) костыль на костыле костылем .....

>Эти протоколы чихали на твою OSI и существуют для того чтобы тупые фаерволы с тупыми сетевыми администраторами не были помехой для прохождения медиатраффика.

:)))) Собака лает ....

>Пойми, быть неграмотным дурачком, который пафосно кичится парой зазубренных знаний из учебника, это неприятно и больно в первую очередь для окружающих... дурачок-то обычно не замечает.

Да вы "батя" Фрейд.

пс: тут должна была быть ссылка на 1000500 рецептов по приготовлению смузи, мой любимый среди них - смешайте L3/L4/L7, хорошенько размешайте и пейте натощак :) успехов.

Ответить | Правка | Наверх | Cообщить модератору

130. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (117), 24-Июл-21, 16:43 
Приведи мне пример СТАНДАРТА на NAT. Ну же...

Я шучу =)
Все знают, что этого стандарта нет. NAT никто никогда не стандартизировал.
Принципы работы NAT варьируются от вендора к вендору. Если бы был бы стандарт на NAT, то и не было бы никаких проблем.

> Да там любая херь может быть, это же не делает из него L3/L4 протокол.

Вообще у тебя очень мало знаний и много беспочвенной веры в модель OSI.
SIP - это Session Initiation Protocol. Протокол установки сессий. Сам по себе SIP-траффиком легко можно рулить на любом уровне, вот только он порождает ДРУГИЕ сессии в других протоколах, теоретически любых, но чаще всего там RTP/RTCP, реже SOAP, RDP и другие протоколы приложений. SIP поднимает пиринговую сеть и управляет сессиями. Он их описывает и модифицирует, обновляет...
Если пользовательский протокол решает с какого IP:порт на какой IP:порт по TCP/UDP/SCTP по ipv4 или ipv6 с TLS/DTLS/QUIC или без него будет поднята ВТОРАЯ сессия, то твоем малюсеньком семиуровневом мирке это куда укладывается, я стесняюсь спросить?

В самом NAT как таковом бы не было бы проблемы, если бы был бы стандарт с описанием того, как это работает.
Вместо этого - это просто набор правил, каждый вендор сетевой железки делает "как автор видит". NAT вообще появился сравнительно быстро, потому что уже 30 лет назад было понятно, что давать /24 каждому юр. лицу не вариант, вот только костыляли сетевики как могли.

Когда эти косорылые бараны осознали, что их NAT ломает часть уже существующих протоколов, они придумали ALG (Application Level Gateway) и поверх нестандартизированного костыля NAT придумали еще больший костыль ALG. Причем у каждого вендора он работает по-своему. Естественно, по мнению сетевиков, протоколы развиваться не должны, поэтому ALG конкретно для SIP охватывает юзкейсы середины 90-х и не больше. Современный стандарт оборудование они поддерживать не хотят, но и выпилить, сволочи поганые, это барахло тоже отказываются. Гады включают его по-умолчанию. Маразм доходит до такой степени, что уязвимости, которые генерируют их костыли фиксят на уровне браузеров и другого софта в юзерспейсе. Почитай новости про SIP ALG хотя бы тут на опеннете.

> А что создатели того же SIP,SDP,RTP знать не знали как работают NAT-ы и L3/L4 файерволы когда проектировали хрень?

Хммм... нет не знали. И никто не знает наверняка даже сейчас в 2021-ом году. Как я и сказал, стандарта на NAT нет и, видимо, никогда не будет, поэтому каждый воротит что хочет и как хочет. SIP же и идущие рядом с ним мультимедийные протоколы, наоборот, устандартизированы до морковкиного заговенья.

> Телекомщик одним словом, больше нечего сказать, Пох за них уже один раз высказался. А по pfsence давайте поконкретнее. Опять таки, претензии за L7 - идут лесом.

Давай-ка ты тоже будешь говорить за себя. Конкретно я тебе уже описал: "Но опять же, не так страшен pfsence, как страшен дурачок-админ, который его поставил и не знает ничего сложнее fail2ban для HTTP, но с самомнением будто самый умный."
Обычно от косорылого барана, который настраивает файрвол требуется не так много: просто не лезь в телефонию. Телефония тупеет от сетевика. Однако, когда речь про UC и всякие клиенты под пека, то приходится иметь дело с такими вот "грамотеями". Сам pfsence прекрасно можно настроить для работы с топологией SIP любой сложности проблема, нужно только понаудалять оттуда тонну костылей, который этот умник туда навесил, которые по его глупому мнению нужны ДЛЯ БЕЗОПАСНОСТИ/ДЛЯ SIP/ДЛЯ ЧСВ и прочий бред...

Проблема в том, что царьки-божки пфсенса обычно очень туго расстаются с контролем над целыми сегментами сети, а учиться как работает что-то сложнее... ну как бы ты сам свой комментарий выше перечитай посмотри на себя, пойми почему с такими как ты жутко тяжело сотрудничать.

> Покупайте себе NGWF и делов то, вот он и решит ваши проблемы, если только не приумножит :)

Ох, дурачок... NGFW это порт технологий граничных контроллеров от телефонистов в мир простых клиент-серверных приложений. Это даже покупать не обязательно есть куча реализаций этого всего под GPL под разные случаи жизни. Что они там делают? Аутентифицируют и авторизуют сессии к приложениям относительно базы LDAP и строят правило с DPI... ну молодцы, чо. SER-у и его форкам сколько лет? Кстати, а DAP/LDAP кто по-вашему придумал когда и зачем?

Финально, вот с этим вот я на 100% согласен:
> Да вы что, файервол должен быть умным, а оказалось L3/L4 знать не знает про L7, печалька.

Нет, нет, нет и еще раз нет! Не должен. Поэтому из файрвола нужно удалить все те "улучшалки"-ALG, а тем админам, которыми ими пользуется нужно всовывать этот фаервол по самое "L7".
Далее сетевик настраивает NAT так как саказал умный дядя-телефонист и тогда все эти ICE/STUN/TURN работают как надо.

Обычно настройка NAT сводится к простым вещам:
1) Отключить все свои тупые ALG-модули, хитрый DPI от вендора для SIP и прочее.
2) Не делать никаких DNAT на клиентские тачки/телефоны/серваки
3) Добиться того чтобы NAT работал только там где это реально надо.
Последнее условие чаще всего трудновыполнимое, потому что есть упоротые, которые считают, что NAT-это средство безопасности. Плюс внедрение UC выводит на чистую воду все ошибки настройки сети. Вот пример самой частой проблемы: "случайный" NAT между парой внутренних подсетей, причем иногда идущий в одну сторону, когда 192.168.10.0/24 натится в туннель за 10.10.0.1/30 для доступа к сети 192.168.20.0/24, но наоборот пакеты летят без трансляции минуя файрвол.

Телефонист же сам должен себе настроить B2BUA или SBC или какое слово тебе понятнее. Обычно это делают в демилитаризованной зоне. И если сетевику уж сильно-сильно хочется безопасности своими силами для телефониста, то ACL никто не отменял. NAT же в DMZ в случае с телефонией обсуждается с телефонистом, подходит не для всех сервисов. Например, B2BUA (всякие атски типа астериска) могут с ним работать, STUN/TURN - строго настрого нет. Ну и опять же я про топологии сильно сложнее чем "офисная атс на базе астериск для пары телефонов".

> Да вы "батя" Фрейд.

Твоя нетерпимость к телефонистам основана на твоём буйном невежестве. Если ты восполнишь недостаток знаний, и тебе проще станет и другим. Я ведь просто сужу из личного опыта. Вижу пфсенс, значит админ там скорее всего человек сложный, нетерпимый, глупый и воинственный.

Ответить | Правка | Наверх | Cообщить модератору

133. "Выпуск firewalld 1.0"  +/
Сообщение от Sw00p aka Jerom (?), 25-Июл-21, 16:04 
>Вообще у тебя очень мало знаний и много беспочвенной веры в модель OSI.

Если нет стандартна о каких знаниях может быть речь? И OSI это не вера, а модель, которая как минимум соблюдается до L4 протокола, а вот у вас на L7, как вы сами и говорите, все "размазано". И любая говноподелка на уровне L7 никак не затронет уровни ниже. Я представляю L7 протокол, где предъявляют претензию к медной витой паре, и видите ли нужна сверхпроводимость для нормальной работы.


>то твоем малюсеньком семиуровневом мирке это куда укладывается, я стесняюсь спросить?

:)))) именно ваш этот протокол в L7 внутри себя создал модель OSI, вопрос - зачем? Если модель OSI слоистый пирог или сендвич со своими уровнями, то ваш L7 протокол это пирог да еще залитый (размазан) полностью шоколадным кремом. Другой пример стейтлес транспортного протокола UDP, когда пытаются из него сделать стейтфулл, но прикол в том, что - ничего не меняется, UDP как был так и остался стейтлес для всей модели.


>что давать /24 каждому юр. лицу не вариант, вот только костыляли сетевики как могли.

не только для этого, но и еще для разделения сегментов, отсюда и пошли публичная адресация и приватная. И нужда во взаимодействии этих сегментов привела к таблицам трансляций одних адресов в другие. И когда начали придумывать протоколы, которые думают что они работают в одном сегменте, но забывая о том что есть разделение сегментов, в место того чтобы "закопать" такой протокол, начали херачить всякие хелперы для транслятора.

>Когда эти косорылые бараны осознали, что их NAT ломает часть уже существующих протоколов, они придумали ALG (Application Level Gateway)

NAT ничего не ломал и его предназначение выше описано. Все решается довольно просто, либо должен существовать один единый сегмент (IPv6), либо закапывать понятия пиринга между разными сегментами, либо делать частичный пиринг, что собственно и придумали со всякими сигналлерами и пробивальщиками натов. ALG это страшнейший костыль, сами ведь говорите, что у разных вендоров разные реализации.

>Почитай новости про SIP ALG хотя бы тут на опеннете.

Лучше WebRTC хрень почитаю.

>SIP же и идущие рядом с ним мультимедийные протоколы, наоборот, устандартизированы до морковкиного заговенья.

:))) оставлю тут


Когда в товарищах согласья нет,
На лад их дело не пойдет,
И выйдет из него не дело, только мука.

Однажды Лебедь, Рак да Щука
Везти с поклажей воз взялись,
И вместе трое все в него впряглись;
Из кожи лезут вон, а возу всё нет ходу!
Поклажа бы для них казалась и легка:
Да Лебедь рвется в облака,
Рак пятится назад, а Щука тянет в воду.
Кто виноват из них, кто прав,— судить не нам;
Да только воз и ныне там.

Вопрос, кто Рак, кто Лебедь и кто Щука? минута пошла :)


>Конкретно я тебе уже описал: "Но опять же, не так страшен pfsence, как страшен дурачок-админ, который его поставил и не знает ничего сложнее fail2ban для HTTP, но с самомнением будто самый умный."

Ваши же слова: "Давай-ка ты тоже будешь говорить за себя."

>просто не лезь в телефонию. Телефония тупеет от сетевика.

смешное утверждение.

>нужно только понаудалять оттуда тонну костылей, который этот умник туда навесил, которые по его глупому мнению нужны ДЛЯ БЕЗОПАСНОСТИ/ДЛЯ SIP/ДЛЯ ЧСВ и прочий бред...

allow all решает ваши проблемы телефониста?

>пойми почему с такими как ты жутко тяжело сотрудничать.

Я выполняю функции L3/L4, а вы L7 - какое дело мне до вас? OSI модель на то и придумали в виде сендвича.

>Ох, дурачок... NGFW это порт технологий граничных контроллеров от телефонистов в мир простых клиент-серверных приложений.

:)))))))) телефонисты рулят миром, ясно теперь из-за кого весь сыр бор.

>Финально, вот с этим вот я на 100% согласен:

Ну и в чем проблема? Своим первым же коментом я послал всех телефонистов покупать NGFW, а не предъявлять L3/L4 файерволам, за то что они не должны делать.

>Нет, нет, нет и еще раз нет! Не должен. Поэтому из файрвола нужно удалить все те "улучшалки"-ALG, а тем админам, которыми ими пользуется нужно всовывать этот фаервол по самое "L7".

Ну хоть в чем то пришли к согласию.

>Далее сетевик настраивает NAT так как саказал умный дядя-телефонист и тогда все эти ICE/STUN/TURN работают как надо.

:)) Рак на Щуке, Лебедем погоняет - ясно.

>1) Отключить все свои тупые ALG-модули, хитрый DPI от вендора для SIP и прочее.

Вспомнилось, отрубал SIP-ALG на одном из NGFW - WTF? И таймауты подкручивал. NGFW вроде, а че так?

>Ну и опять же я про топологии сильно сложнее чем "офисная атс на базе астериск для пары телефонов".

Поэтому, все разговоры про то, что нужно, а что нет, нужно оставить в стороне, ибо нет конкретики, требований и т.д.

>Твоя нетерпимость к телефонистам основана на твоём буйном невежестве.

:))) с чего это? Ровно дышу ко всем.

>Если ты восполнишь недостаток знаний, и тебе проще станет и другим.

Вот когда перепишут все на раст, вот тогда и восполню :)))

>Я ведь просто сужу из личного опыта. Вижу пфсенс, значит админ там скорее всего человек сложный, нетерпимый, глупый и воинственный.

Опыт - это количество совершенных ошибок. Пфсенс кажись вам изрядно попил крови. Глупый и воинственный ответил бы - НЕ ОСИЛИЛ, но не я.

Ответить | Правка | К родителю #130 | Наверх | Cообщить модератору

140. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (117), 25-Июл-21, 21:17 
OSI - это увлекательная теоретическая модель, которая не имеет отношения к объективной реальности.

Когда человек заявляет, что его модель видения мира единственно верная, а всё что в нее не вписывается плохое и вредное, то такого человека называют религиозным. Конкретно, это адепт авраамического монотеистического культа. Только вместо Великой Истины там модель OSI, а всё что не укладывается в священное писание (видимо, учебник Олифера) то всё плохое вредное и дальше по тексту.

> Опыт - это количество совершенных ошибок.

Ну это у дурака так. Дурак - это человек, который учится исключительно на собственных ошибках.
Опять же если сочетать это с религиозностью, то всё как раз встаёт на свои места.

У меня лично пфсенес не вызывает никаких проблем с настройкой. Для настройки мультимедиа нужно знать и уметь сильно больше чем знает обычный сантехник^W сетевик, поэтому там с точностью до интерфейса управления...

> NAT ничего не ломал и его предназначение выше описано. Все решается довольно просто, либо должен существовать один единый сегмент (IPv6), либо закапывать понятия пиринга между разными сегментами, либо делать частичный пиринг, что собственно и придумали со всякими сигналлерами и пробивальщиками натов. ALG это страшнейший костыль, сами ведь говорите, что у разных вендоров разные реализации.
> Я выполняю функции L3/L4, а вы L7 - какое дело мне до вас? OSI модель на то и придумали в виде сендвича.

Реальность такова, что вот с такими вот религиозными баранами как ты приходится иметь дело, время от времени. Есть стандарт - стандарт говно. NAT, нестандартизированное вендорозависимое барахло - конфетка.
И вот как только эти идиоты встречаются с чем-то сложнее, чем портик пробросить в NAT у них моментально включается вахтёрша "это ваше L7, ничего не знаю, моя хата с краю".

> allow all решает ваши проблемы телефониста?

Проблемы телефониста зачастую заканчиваются не техническим, а гуманитарным способом, через HR, когда барана отправляют на курсы повышения квалификации или увольняют, если он надоел много кому еще.

> И когда начали придумывать протоколы, которые думают что они работают в одном сегменте, но забывая о том что есть разделение сегментов, в место того чтобы "закопать" такой протокол, начали херачить всякие хелперы для транслятора.

А зачем закапывать протокол, который работает на миллионах устройств по всему миру, взять всё что умеет LTE, где он обязателен и WCDMA, где он опционален, в угоду какому-то нестандартизированному костылю, который придумала пара мелких (по сравнению с международным телекомом) вендоров сетевых железок. Брось, ты  же ахинею пишешь. Их постоянные потуги выработать хелперы как раз идут от того, что им хочется чтобы железо было хоть сколько-то совместимо, хоть в паре простых топологий. Я поверю, что ipv4 с его NAT-ом закопают раньше чем SIP.

> Вот когда перепишут все на раст, вот тогда и восполню :)))

Не только дурак, но и клоун, значит...

> Ну и в чем проблема? Своим первым же коментом я послал всех телефонистов покупать NGFW, а не предъявлять L3/L4 файерволам, за то что они не должны делать.

Да не нужно телефонистам ничего покупать. У них и так всё своё есть. Главное, чтобы сетевой администратор, знал своё место. И не портил жизнь своими влажными мечтами о прелести модели OSI. Таким обычно нужно читать басню "Мартышка и очки", причем вдумчиво.

> Я представляю L7 протокол, где предъявляют претензию к медной витой паре, и видите ли нужна сверхпроводимость для нормальной работы.

Ну тут у меня есть 2 вещи тебе рассказать. Во-первых, о существовании TDM-протоколов, которые требуют GMPLS для поставки на последнюю милю на стороне провайдера. Во-вторых есть же еще проблема Wi-Fi. Обратил внимание, что телефонисты наортрез отказываются пользоваться Wi-Fi и всем, что построено поверх этой радиосети? WiMax вон похоронили в пользу LTE с SIP-ом под капотом.

Вообще через Wi-Fi телефонист может заставить сетевика рыдать кровью, если руководство действительно хочет пользоваться UC через Wi-Fi.
Скажем так, телефония по SIP в радиосетях требует QoS повышения приоритетов. Wi-Fi может промаркаривать траффик только по DSCP. Для большинства внедрений это кончается тем, что нужно просто нахер выбросить цисковский вайвай, ввиду того что циско не может нормально строить очереди по DSCP. Про юнифаи и прочий мусор даже разговаривать не буду. И приоритет она себе возьмет EF, не ниже. И тут обычна нужно считать, что дешевле:
1) Заменить весь вайвай на корпусе/кампусе
2) Развернуть базовый станции DECT с роумингом на всю территорию предприятия
3) Купить контракт у ОпСоС-а и связать с ним корпоративные АТС-ки c 3G по FMC.
И вот если сетевик дурак, обхаивает протокол SIP, говорит телефонисту гадости и преувеличивает собственную сетевую значимость... то телефонист улыбнется и предложит решить через вайфай, "забыв" указать, с какими контроллерами не будет проблем, предоставив сетевику выбрать решение. Пусть ему модель OSI подскажет.

Ответить | Правка | К родителю #133 | Наверх | Cообщить модератору

141. "Выпуск firewalld 1.0"  +/
Сообщение от Sw00p aka Jerom (?), 25-Июл-21, 22:29 
>OSI - это увлекательная теоретическая модель, которая не имеет отношения к объективной реальности.

ещё бы, когда телефонисты в L7 строят свою OSI :)

>то всё плохое вредное и дальше по тексту

постойте, разве NAT из-за SIP-a не работает или SIP из-за NAT-а? Разве у L3/L4 претензии к L7? Я устал повторять, для L3/L4 пофиг, что там у вас на L7. И кто фанатик после этого? Кто вой поднял? Для кого и чего ради накостыляли ALG? NAT-у это нужно было? Короче, смысла нет дальше что-то пояснять, ответов я на вопросы не услышал.


>Ну это у дурака так. Дурак - это человек, который учится исключительно на собственных ошибках.

Отсюда Не Дурак тот, кто учится на чужих ошибках, то есть на веру чужой опыт принимает, и кто тут фанатик?

>У меня лично пфсенес не вызывает никаких проблем с настройкой.

Как говорил Спиноза, если хочешь сделать что-то хорошо - делай это сам.

>Реальность такова, что вот с такими вот религиозными баранами как ты приходится иметь дело, время от времени.

Осталось только сжечь меня, валяйте.

>Есть стандарт - стандарт говно. NAT, нестандартизированное вендорозависимое барахло - конфетка.

Уже и стандарт появился?

>чем портик пробросить в NAT у них моментально включается вахтёрша "это ваше L7, ничего не знаю, моя хата с краю"

NAT смузи готовить не умеет!!!

>А зачем закапывать протокол, который работает на миллионах устройств по всему миру

А в чем тогда проблема раз это гамно работает?

>Брось, ты  же ахинею пишешь.

Послал бы учить матчасть, не буду тратить ваше время.

>Я поверю, что ipv4 с его NAT-ом закопают раньше чем SIP.

Аминь, будем живы, я вам напомню про это утверждение, WebRTC скоро его закопает.

>Да не нужно телефонистам ничего покупать. У них и так всё своё есть

:))))))))))) вот это признание, у них своя OSI в L7б мне нечему удивляться.

>Главное, чтобы сетевой администратор, знал своё место.

L2/L3/L4 его место, а вы там на мансарде не знаете как подн*срать, чтобы все стекло по самый L1.

>Таким обычно нужно читать басню "Мартышка и очки", причем вдумчиво.

А вы место свое среди Лебедя, Рака да Щуки нашли?

>Во-первых, о существовании TDM-протоколов, которые требуют GMPLS для поставки на последнюю милю на стороне провайдера.

вы уже на L2 намазать хотите?

>Во-вторых есть же еще проблема Wi-Fi. Обратил внимание, что телефонисты наортрез отказываются пользоваться Wi-Fi и всем, что построено поверх этой радиосети? WiMax вон похоронили в пользу LTE с SIP-ом

под капотом.

Гавно в прямой кишке.

>И вот если сетевик дурак, обхаивает протокол SIP, говорит телефонисту гадости и преувеличивает собственную сетевую значимость...

Сетевик знать не знает про ваш SIP и не обязан.

пс: устал повторять одно и тоже!

Ответить | Правка | К родителю #140 | Наверх | Cообщить модератору

142. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (117), 26-Июл-21, 04:44 
> Аминь, будем живы, я вам напомню про это утверждение, WebRTC скоро его закопает.

А ты в курсе, что WebRTC это тот же самый набор стандартов ICE/STUN/TURN для обхода NAT, тот же самый набор протоколов передачи данных RTP/RTCP, внутри которого те же самые сессии описываемые протоколом SDP?
Он сделан таким как есть, только с целью отсутствия единого стандарта сигнализации сессионного траффика.
Во многом для того чтобы сетевику DPI-ить его было тежелее и чтобы кучу сайтов не переписывать и JS-никам жить было легче. Внутри WebRTC ничего не мешает использовать SIP. Есть реализации как WebRTC клиента к SIP-серверу так и наоборот.

Ты полный профан в том, о чем пытаешься говорить. Эти стандарты пишут одни и те же люди. Они же спорили в своё время над тем, что вместо изобретения Jingle, нужно было прикрутить к XMPP SIP. В свое время сторонники самобытности XMPP (там был полный NIH) говорили, что SIP слишком сложен и объемен для внедрения и мы сделаем свою пиринговую сеть на базе клиент-серверного джаббера. Кончилось тем, что выкинут был этот джаббер на свалку истории и его по факту съели несовместимые друг с другом решения на базе WebRTC. Когда спохватились написали тонну экспериментальных XEP-ов себе, чтобы начать портировать куски того что имеет SIP и WebRTC, было уже поздно. Наоборот, кстати работает. SIP всегда умел федерироваться с XMPP отдавать ему пресенс. Нехитрой конвертацией текста можно хоть SIP SIMPLE в XMPP завернуть, но полимеры уже просраны...

У WebRTC сейчас другая проблема, проблема 8-ми ендпоинтов. И там большие драмы, то ли стандартизировать понятие конференц-релея и MCU (редкая полосатая проприетарь), либо строить mash-сети силами SIP и WebRTC (вот тут сетевикам совсем туго будет). Подобные релеи - это "умные" TURN-сервера, которые есть у всяких скайпов, вацапов, дискордов в мире WebRTC. Обычное RTC поверх SIP их имеет еще дольше в форме MCU от всяких поликомов, логитеков и прочих... программно и аппаратно. Принятие умного релея как стандарта хотят корпоративщики, так прослушивать проще, а mash-сети академики. И если ближайшее время ничего толкового не решится все вернётся в те времена, когда кроме проприетари не было нифига. Тихие и незаметные новости про возвращении технологий позволяющей открывать обычные TCP и UDP соединения в браузерах видели? Это порт того куска Adobe Flash, который недопортировали в современные Web-стандарты. Если это вернется, то реалтайм и потоковое вещание уйдет обратно в закрытые вендороспецифичные протоколы. Вот где драма. А у тебя в голове SIP с WebRTC сражаются. Левое полушарие с правым.

> Как говорил Спиноза, если хочешь сделать что-то хорошо - делай это сам.

Собственно так всегда в медиа/телекоме и происходит. Интернет имеет фатальный недостаток, он не понимает что такое время. SIP - по сути, единственное, что позволяет поднять вменяемого качества телефонную сеть, отвечающую современным требованиям поверх интернет-сети с её пакетиками. Был когда-то H.323, да сплыл.

> Короче, смысла нет дальше что-то пояснять, ответов я на вопросы не услышал.

А ты где-то задал вопросы, на которые можно ответить иначе кроме как "модель OSI существует только на бумажке в учебнике, прекрати равнять на нее реальность"? Или у тебя есть другой какой-то тезис кроме "SIP-говно"? Раз говно, зачем пользуешься? Выкини все устройства, которые используют его протоколы и пиши текстом через... я хз... ICQ и мобильник не позднее 2G/GPRS. Звонить еще можешь по PSTN-телефону. И СМС-ки шли.

Вообще вся красота абстракции OSI летит псу под хвост, когда поверх одной сети строится другая сеть, а с медиасетями всегда так, потому что они эмулируют TDM-образное поведение поверх пачки UDP-потоков, отбрасываю невовремя пришедшие пакеты, адаптивно буферизируются на клиентах, серверах и релеях, следят за собственной пакетизацией, динамически управляют качетвом, меняют кодеки, длины буферов во время сессии. RTP это вообще канал, по-сути. Если тебе не нравится такая реальность - выйди в окно.

> L2/L3/L4 его место, а вы там на мансарде не знаете как подн*срать, чтобы все стекло по самый L1.

Вооот! Вот я такое очень часто слышал. В уютный воображаемый мир сетевика ворвалась реальность в форме телефонии, грубо взяв за соски.

> Для кого и чего ради накостыляли ALG? NAT-у это нужно было?

Вендоры сетевого барахла это делали для самих себя, в первую очередь ради NAT-а. Телефонисты с эти барахлом борются как могут. Обходят это, шифруются изобретают всё новые и новые способы, как надёжно построить пиринговую мультимедийную сеть поверх зоопарка нестандартизированного оборудования, котором управляют люди с ограниченными умственными возможностями (7 извилин). Из моего опыта - построить корпоративную телефонную сеть на 3 страны с более чем 400 офисов в разных городах намного проще, если шифровать сессионный траффик в TLS и не на 5061, а на 65061. Так проще потому что тупое роутерное барахло не лезет своими NAT, ALG, DPI. Стык с местными провайдерами, конечно делать всё равно придется в DMZ и писать отдельные правила, чтобы очередная сраная железка не увидела 5060/5061 в DST  и не полезла "помогать". А клиентам за "симметричными" NAT-ами (та еще медвежья услуга) придется соединятся через отдельно стоящий медиапроксикластер из TURN-релеев. Это усложняет жизнь, увеличивает задержку и увеличивает время на перебор кандидатов во время установки соединения. Вот если бы можно было сделать стандарт на NAT, выкинуть ALG, то жизнь была бы у всех проще, но нет... Опять же, именно поэтому SIP-сигнализацию не взяли в WebRTC. У сетевого оборудования при виде SIP-траффика начинается чудное вендороспецифичное поведение.

А вот представь, ты один сколько вони поднимаешь со своим мелким представлением о мире через "L2/L3/L4", а представь скольких я таких "умников" повидал. Не все смогли сохранить работу, кстати. А про pfsence, да. Есть забавная статистика из личного опыта. Видишь pfsence - примерно понятно, КТО там админит. По-началу, конечно я с ними всегда вежливо, мало ли, вдруг умный и адекватный, я никогда не терял надежду. Но пока еще грамотного админа с pfsence не встречал, а перенянчил я многих. Для меня загадка, как у меня на тебя терпения всё еще хватает. Очередной же...

Ответить | Правка | К родителю #141 | Наверх | Cообщить модератору

152. "Выпуск firewalld 1.0"  +/
Сообщение от Sw00p aka Jerom (?), 27-Июл-21, 00:43 
>А ты в курсе, что WebRTC это тот же самый набор стандартов

я то в курсе, а вот создатели WebRTC в курсе? Вы лучше им задайте этот вопрос :)))

>Внутри WebRTC ничего не мешает использовать SIP.

Пофиг что там внутри него, все равно крутится внутри L3/L4 :))))

>Ты полный профан в том, о чем пытаешься говорить. Эти стандарты пишут одни и те же люди.

:))) убили, ну вот объясните им, что некуй велосипед создавать.

>Они же спорили в своё время над тем, что вместо изобретения Jingle, нужно было прикрутить к XMPP SIP.

спасибо поржал

>Если это вернется, то реалтайм и потоковое вещание уйдет обратно в закрытые вендороспецифичные протоколы. Вот где драма. А у тебя в голове SIP с WebRTC сражаются. Левое полушарие с правым.

Мне до лампочки что у этих вебдванольнутых на уме, телефонистов обижать не буду. Стою в сторонке и жую попкорн.

>А ты где-то задал вопросы, на которые можно ответить иначе кроме как "модель OSI существует только на бумажке в учебнике, прекрати равнять на нее реальность"?

Приличия ради википедию откройте, ссылку давать не буду там всего три буквы.

>Вообще вся красота абстракции OSI летит псу под хвост, когда поверх одной сети строится другая сеть

Так и будет, когда L7 недопротокол внутри себя строит свою OSI.

>Вооот! Вот я такое очень часто слышал. В уютный воображаемый мир сетевика ворвалась реальность в форме телефонии, грубо взяв за соски.

Вам в психушку, там тоже воображаемые миры, лечите больных.

>Вендоры сетевого барахла это делали для самих себя, в первую очередь ради NAT-а.

Когда ребенок ноет, лучше дать ему то, что он хочет, это бизнес.

>как надёжно построить пиринговую мультимедийную сеть

ага полный пиринг, я посмотрю как товарищ майор вам это позволит. С другой стороны IPv6 избавил вас от NAT-а, дерзайте.

>если шифровать сессионный траффик в TLS

ага в ядро это еще пихните и будет радости, хотя чему удивляться, пихают уже.

>Вот если бы можно было сделать стандарт на NAT, выкинуть ALG, то жизнь была бы у всех проще, но нет...

Ну делайте, кто мешает? ааааа забыл вы же про L3/L4 знать не знаете. А кто по вашему ALG придумал? - да да вендора сетевики как вы выше указали, так они открыли ваш же "стандарт" протокола и по нему же реализовали логику ALG, за вас работу сделали, а вы в зубы коню?

>А вот представь, ты один сколько вони поднимаешь со своим мелким представлением о мире через "L2/L3/L4", а представь скольких я таких "умников" повидал.

Оставьте свои контакты, я вас в рабочую группу по этим недопротоколам порекомендую.

>Но пока еще грамотного админа с pfsence не встречал

мы тут не грамотность чью то обсуждаем, человек придумавший естественный язык по определению безграмотен, о чем речь за грамотность? Давай те по существу, суть сей дискуссии такова, каким боком L3/L4 должен что-либо знать за L7.

пс: можете не отвечать, раз уж дальнейшие разговоры заходят за чью-то грамотность.

Ответить | Правка | К родителю #142 | Наверх | Cообщить модератору

159. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (117), 27-Июл-21, 15:40 
> я то в курсе, а вот создатели WebRTC в курсе? Вы лучше им задайте этот вопрос :)))

Мне не надо никому задавать вопросы, я просто в курсе этой темы.
Была попытка создать "альтернативный" протокол ORTC, эдакая форма NIH, проталкиваемая в первую очередь со стороны MS и их старым Edge. Основная идея была как раз в максимальной вебдванольности и независимости от мультимедийных стандартов VoIP, сложившихся вокруг в первую очередь SIP. Ясно-понятно ICE/STUN/TURN переизобрести вообще безумие, они и не пытались, но попытались избавиться от классического SDP (Session Description Protocol) и RTP. Кончилась она похоронами как их Object API for RTC (ORTC), так и самого Edge.

То что лично ты понавоображал себе про WebRTC имеет отношении к ныне покойному ORTC. WebRTC же наоборот оно от всего остального VoIP отличается только одной вещью, нет стандарта на сигнальный траффик и есть обязательное требование к шифрованию этого сигнального траффика, который пойдёт по 443-му порту.
Из-за этого сетевик будет писать глупости вроде этой:
> Пофиг что там внутри него, все равно крутится внутри L3/L4 :))))

Как я и писал выше, это и было одной из целей этого стандарта. Не дать сетевому оборудованию вмешиваться в построение мультимедийной сети.

> Так и будет, когда L7 недопротокол внутри себя строит свою OSI.

Вот, ты это так пишешь, будто в этом есть что-то плохое... И не важно в каком учебнике, на какой странице это написано, оно в реальности не работает. Смирись.

> ага полный пиринг, я посмотрю как товарищ майор вам это позволит. С другой стороны IPv6 избавил вас от NAT-а, дерзайте.

Телефония существовала сильно раньше интернетов, и у современного VoIP нету никаких проблем с законом, а наоборот. Тот же самый SIP и его применение в VoLTE - это стандарты принятые Россвязью и Роскомнадзором...

Возможно, поправь меня, если я ошибаюсь, ты просто услышал слово "пиринговая сеть" и поэтому у тебя возникла ассоциация с "тов. майором" и запретами. Пиринговая сеть (peering network) - это сеть, которая порождается P2P-протоколом (peer-to-peer). SIP - это P2P-протокол, равно как и торренты, ослы, кадемлии и прочее, просто он заточен для передачи мультимедиа-потоков в реальном времени, а не вареза и ворованного кинца. Хотя, опять же, тот же торрент не виноват в том, что его так любят пираты.
Просто телефония исторически пиринговая технология. Она соединяет друг с другом АБОНЕНТОВ, прикинь. Логично, что SIP, который в первую очередь используется именно для телефонии порождает пиринговую сеть и является P2P-протоколом. Твой тов. майор, если такое запретит, свои следующие запреты уже не по телефону будет выдавать, а по почте. =)

> ага в ядро это еще пихните и будет радости, хотя чему удивляться, пихают уже.

А в чем претензия? Linux - ОС с монолитным ядром. Там всё в ядро пихают, и, да, в ядре Linux есть Crypto API в том числе для сети. https://www.kernel.org/doc/html/latest/networking/tls.html

> суть сей дискуссии такова, каким боком L3/L4 должен что-либо знать за L7

Я не разделяю твою веру в OSI. С тем же успехом можешь спорить со мной о строках из Библии или Корана, я вообще не религиозен. Ты _веришь_, в то что все протоколы делятся на 7 волшебных уровней, как 7 чудес света или 7 кругов ада или  7 небесных сводов, а, по-факту, в реальности этого нету. Ты пытаешься спорить со мной в рамках ТВОЕЙ религии, веры к которой я не принадлежу. Если верить в модель OSI, как будто бы она применялась бы в реальности, то, наверное, ты был бы прав, хотя и тут я не уверен. В любом варианте, спорить в рамках несуществующей воображаемой модели, как минимум, контрпродуктивно.

Для меня эта дискуссия выглядит так: Очередной сетевой администратор, который всю жизнь файрвол настраивал, обороняет свои религиозные чувства. Как любой истинно верующий, он ехидно и лицемерно пропускает мимо ушей всё что идет в разрез с его верой. Например, самый болезненный вопрос: "Если все сетевые протоколы делятся на 7 уровней, то на каком уровне находится NAT?" настолько неудобен, что пропускается при любом удобном случае, потому что:
а) NAT не является протоколом
б) NAT не имеет единого стандарта
в) NAT объективно существует и обязателен в сетях IPv4 по гуманитарным причинам, а не по техническим.
г) Параметрами NAT можно похерить реальные сетевые стандарты.
Все протоколы, которые так или иначе имеют проблемы с NAT разработали свои решения борьбы с этой дрянью, в виду обязательности работы с ним в сетях IPv4.

На практике, работа SIP совместно с NAT, если там вообще есть проблема, то это не проблема двух протоколов "разных уровней". Это проблема работы международного принятого и подробно описанного сетевого и телефонного стандарта, поверх конкретного вендороспецифичного решения, применяемого на конкретном предприятии и управляемого сетевым администратором с ограниченными возможностями, который почему-то не может привести в порядок своё сетевое барахло.

> А кто по вашему ALG придумал? - да да вендора сетевики как вы выше указали, так они открыли ваш же "стандарт" протокола и по нему же реализовали логику ALG, за вас работу сделали, а вы в зубы коню?

То что они открыли стандарт, не значит что они умеют читать (7 извилин слишком мало для когнитивной деятельности). Сравни реализацию ALG от каждого вендора между собой и со Стандартом и ты поймешь, что ровным счетом НИКТО из них ему не следует, а наоборот портит жизнь.

Одно радует, что ты хотя бы поинтересовался и увидел, что ALG и костыли придумывали не телефонисты, и не ради себя. Значит не всё потеряно. Вот тебе еще информация к размышлению:
1) телефонисты не хотят от сетевика, чтобы он вмешивался в работу своим оборудованием. Они требуют обратного, чтобы его оборудование прекратило заниматься диверсионной деятельностью (ALG) и чтобы он сам договорился о том как будет работать его оборудование (NAT), потому что отсутствие стандартизации и вендорозависимость - это проблема, причем на ЕГО стороне.
2) Прекратил заниматься религиозным лицемерием. Вот ты сам пишешь "L3/L4", а почему вдруг нужно 2 уровня сразу, чтобы описать твою работу? А почему в твоей же догме нельзя считать SIP за "L3/L4/L5/L6/L7" одновременно?

А то современный VoIP, по-факту, начинает свою работу с выбора кандидатов в SDP для второй сессии, начиная с выбора протокола IPv4/IPv6, дальше под ВСЕ адреса сетёвки подбирает порты, далее включает NAT-PNP/UPnP и если удалось так поговорить с вышестоящим железом, то добавляет туда IP:port-ы кандидатов проброшенные таким способом. Потом обращается к STUN и вычисляет реальные внешние IP:port для всех локальных кандидатов и проверяет типы NAT, которые сетевик настроил, чтобы понять как можно стучаться на автопроброшенный временный порт в таблице NAT. Есть варианты:
1) Можно всё (Full или DST NAT)
2) Можно только с того IP на который клиент изначально соединялся, но порт любой
3) Можно с любого IP но порт источника должен совпадать
4) Только тот IP:port, на который устанавливалось изначальное соединение, которое привело к созданию динамического правила в таблице NAT, имеет право слать ответы (Симметричный NAT)
Далее добавляются адреса TURN-релеев в список кандидатов, с которыми работает этот клиент. И вот после этого нужно вычислить 2 вещи:
1) Можно ли соединить двух клиентов напрямую по локальным IP, вдруг они внутри одной сети (несмотря на наличие полностью внешного SIP/WebRTC-сервера)
2) При наличии прямого коннекта выяснить, где задержка лучше, напрямую или через TURN-релей (это умеют только "умные" клиенты)
Кроме того нужно учитывать, что клиент с симметричным натом не может принимать ничего "входящего", соответственно соединения для второй сессии должны быть иницированы с его стороны, чтобы победить сраный файрвол. Если нужно соединять двух таких вот клиентов, то TURN-релей в такой сессии - единственный кандидат.

Вот примерно так работает ICE. И это стандарт. Ты знал, что это так работает? Ну как, сложно?
А всё потому что есть как минимум 4 варианта работы NAT и нет гарантии, что устройство ответит на запрос временной фиксации порта через UPnP, среди прочего есть симметричный NAT, который вынуждает клиентов инициировать вторую сессию всегда, даже если реально не они её инициировали. И вот скажи мне, умник, где конкретно в этом вина SIP/WebRTC (ICE применяется в обоих) и иже с ними. Эту сложность порождает отсутствие стандартов на заполнение таблицы NAT на файрволе и возможность загнать пользователей гетто (симметричный NAT), целесообразность которого близка к нулю, потому что файрволы на клиентов всё равно придется ставить.

И вот когда вот в эту топологию влазит ALG и начинает "помогать", подменять IP:port в SIP/SDP-пакетах приходится шифровать всё через TLS/DTLS. Не столько ради конфеденциальности, сколько ради обхода того идиотизма, который применяется на роутерах и файрволах. Мало того что NAT свой в порядок привести не способны, так еще и усложняют работу с тем что есть.

Как я и говорил раньше "Сетевикам нельзя лезть в телефонию, она от них тупеет". В корпоративном мире, их задача отказаться от своей религиозной бредятины и сделать так как приказали, потому что как международные стандарты, так и государственные, как видишь, явно не в пользу NAT и свидетелей модели OSI.

Ответить | Правка | К родителю #152 | Наверх | Cообщить модератору

156. "Выпуск firewalld 1.0"  +/
Сообщение от пох. (?), 27-Июл-21, 13:05 
> OSI - это увлекательная теоретическая модель, которая не имеет отношения к объективной
> реальности.

ошибаетесь. OSI это практически реализованная теоретиками мертворожденная сеть.
Она была написана и даже опытно эксплуатировалась.

После чего торжественно вынесена в помойку, поскольку _по всем_ характеристикам проиграла интернету, который делали практики. На память остался только неописуемо уродливый isis (где оверинжинеринг зашел потому что через двадцать лет понадобилось).

А поскольку ребятам надо было отчитываться о профуканных грантах - они сделали хорошую мину при плохой игре, сделав вид что ничего такого и не собирались, модель теоретическая, очень полезная для общества получилась.

Но полезная получилась для начетников, которые зазубрили бессмысленные идиотские заклинания "уровней", и теперь молются.

Встретив такого - просто разворачивайтесь и уходите, работать с такими персонажами невозможно, поскольку знания заменены религиозными песнопениями.

Ответить | Правка | К родителю #140 | Наверх | Cообщить модератору

157. "Выпуск firewalld 1.0"  +/
Сообщение от Sw00p aka Jerom (?), 27-Июл-21, 13:40 
> Но полезная получилась для начетников, которые зазубрили бессмысленные идиотские заклинания
> "уровней", и теперь молются.

Вы отрицаете существование этих "уровней"? Тогда как вы это называете? Ынтернет? Дайте определение этому понятию.

Ответить | Правка | К родителю #156 | Наверх | Cообщить модератору

160. "Выпуск firewalld 1.0"  –1 +/
Сообщение от пох. (?), 27-Июл-21, 16:43 
Для бестолковых повторяю: эти уровни на самом деле существовали. В мертворожденном сетевом стеке ISO/OSI, ничего общего не имеющим с internet, в котором нет изолированных "уровней", и tcp не ходит поверх udp. Если вам нужны "определения" что такое "internet protocol" - вам в школу, а не в разговор технических специалистов.

Нам от OSI на память остался только is-is. Который отчасти потому и остался, что бездумное bloatware (и когда современные сети и превратились в такое г., оказалось удобным что в него все дерьмо поместилось), а отчасти именно потому что не имеет ни малейшего отношения к ip-сетям, и от них не зависит, поэтому до некоторой степени независим и от твоих факапов в настройках ip.

Ответить | Правка | К родителю #157 | Наверх | Cообщить модератору

161. "Выпуск firewalld 1.0"  +/
Сообщение от Sw00p aka Jerom (?), 28-Июл-21, 19:02 
> и tcp не ходит поверх udp

Где это я утверждал такое?

Ответить | Правка | К родителю #160 | Наверх | Cообщить модератору

113. "Выпуск firewalld 1.0"  +/
Сообщение от Онаним (?), 24-Июл-21, 09:14 
Я помню ещё, как мне тучу лет тому назад, когда мультикоры только что пошли, точно так же бздуны на упоминание однопоточности PF заливали, что PF вообще не обязан больше чем в 1 морду трафик жрать, он типа ни для того.

Ну и где ваша бздя с PF теперь? Сегмент малых роутеров просран полностью. И в основном - потому что мультикоры и туда пришли, а поддержка железа и таковых в бзде была никакой на момент их появления. Соответственно было выбрано то, что можно легче допилить.

Да и вообще - где ваша бздя в сети? Даже в контролплейнах осталась только у самых упоротых проприетарщиков, которые и плачут, и колятся о кактус академиков, но надо лярды вложить, чтобы слезть теперь.

Хотя та же циска в своих контролплейнах XR слезла с QNX внезапно не на бзду, а на то же линуховое ядро. Поигрались в XE, понравилось.

Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

120. "Выпуск firewalld 1.0"  +/
Сообщение от Sw00p aka Jerom (?), 24-Июл-21, 14:20 
>точно так же бздуны на упоминание однопоточности PF заливали, что PF вообще не обязан больше чем в 1 морду трафик жрать, он типа ни для того.

а для чего, не уточнили?

>Ну и где ваша бздя с PF теперь?

а где должна быть? в конкурентах пальто, чекпоинта и фортинета? готовы платить - платили бы и тот же пф был бы в их рядах. А то одни разговоры - должен, должен - только не ясно кому и чего должен.

>Да и вообще - где ваша бздя в сети?

Там где должна, из ненужности вам не следует ненужность никому.

>которые и плачут, и колятся о кактус академиков, но надо лярды вложить, чтобы слезть теперь.

и сколько лярдов за пф вы платили? может вам все должны? платите и покупайте NGFW.

>Поигрались в XE, понравилось.

Еще бы деньги заплатили, боль еще впереди.

Ответить | Правка | Наверх | Cообщить модератору

121. "Выпуск firewalld 1.0"  –1 +/
Сообщение от Онаним (?), 24-Июл-21, 14:25 
Конечно не следует, но - не нужно :)
Ответить | Правка | Наверх | Cообщить модератору

122. "Выпуск firewalld 1.0"  +/
Сообщение от Онаним (?), 24-Июл-21, 14:27 
Где должна быть?
Да я хз, где она вам должна.
По факту - линуховое ядро в любом SOHO роутере. И не очень SOHO.
И если я роутер собираю - я его на линуховой софтовой обвязке собираю, а не на бзде.
Нигде не должна. Просто вопрос выбора-удобства.
Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

128. "Выпуск firewalld 1.0"  +/
Сообщение от Sw00p aka Jerom (?), 24-Июл-21, 15:11 
>И если я роутер собираю - я его на линуховой софтовой обвязке собираю, а не на бзде.

а мне вот без разницы, ибо и пф и тот же иптейблс предназначены для одного и того же. Я тут не собираюсь выгораживать пф, это такое же гамно как и иптейблс, и не собираюсь кричать мол почему пф куево пашет под квм с виртайо, пользуюсь тем что есть, не годится для какой-то задачи - выкидываю к чертям собачим и покупаю то что необходимо.

>Нигде не должна. Просто вопрос выбора-удобства.

скорее вопрос денег, конечно каждый хочет меньше гемора, бесплатное и большую зп. Хотя даже покупая готовое решение вы не избавляетесь от гемора, если на саппорт все не свалить, тогда и вам зп меньше дадут.

Ответить | Правка | Наверх | Cообщить модератору

123. "Выпуск firewalld 1.0"  –1 +/
Сообщение от Онаним (?), 24-Июл-21, 14:28 
> а для чего, не уточнили?

Почему же. Уточнял. Чтобы колом не вставать, когда трафика станет больше, чем одно ядро прожевать сможет.

Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

129. "Выпуск firewalld 1.0"  +/
Сообщение от Sw00p aka Jerom (?), 24-Июл-21, 15:12 
>Чтобы колом не вставать, когда трафика станет больше

тут нужна конкретика, описать ситуацию.

Ответить | Правка | Наверх | Cообщить модератору

134. "Выпуск firewalld 1.0"  +/
Сообщение от псевдонимус (?), 25-Июл-21, 16:48 
>> а для чего, не уточнили?
> Почему же. Уточнял. Чтобы колом не вставать, когда трафика станет больше, чем
> одно ядро прожевать сможет.

Он в бзде и нетбзде многопоточный.

А Линукс да, больше не нужен. Его место в Хоум роутерах и пробэгдореных некротиках.

Ответить | Правка | К родителю #123 | Наверх | Cообщить модератору

135. "Выпуск firewalld 1.0"  +/
Сообщение от Онаним (?), 25-Июл-21, 19:32 
Это он сейчас многопоточный.
А тогда был очень даже не многопоточный и упирался в одно ядро.
Ответить | Правка | Наверх | Cообщить модератору

145. "Выпуск firewalld 1.0"  +/
Сообщение от пох. (?), 26-Июл-21, 13:37 
Как только человек в обсуждении сетей начинает использовать термины "Lчтототам" я поворачиваюсь и ухожу. О чем спорить с не владеющими предметом?

Справка: в интернет нет никаких L7. Это терминология мертворожденной сети OSI/ISO. Люди, сделавшие интернет таким, каким он является, ей не пользовались и ее не знали (потому что делом были заняты, а не высасыванием из пальцев технологической бредятины).


Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

151. "Выпуск firewalld 1.0"  +/
Сообщение от Sw00p aka Jerom (?), 27-Июл-21, 00:16 
> начинает использовать термины "Lчтототам" я поворачиваюсь
> и ухожу.

Скатертью ...

Ответить | Правка | Наверх | Cообщить модератору

162. "Выпуск firewalld 1.0"  +/
Сообщение от HyC (?), 03-Авг-21, 13:26 
А как связано "sip нинужна" c FreeBSD и "полными м-ками" где бы то ни было от которых у вас бомбануло ? Кстати на бзде сип если мне не отбило склероз натится чуть ли не от начала времен. Но я не настоящий бздишник, могу ошибиться.
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

47. "Выпуск firewalld 1.0"  +1 +/
Сообщение от pda (ok), 23-Июл-21, 12:07 
firewalld абстрагирует от конкретного фаервола. Т.е. с ним можно прозрачно переехать с iptables на nftables и ничего не заметить.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

67. "Выпуск firewalld 1.0"  –3 +/
Сообщение от пох. (?), 23-Июл-21, 14:06 
> firewalld абстрагирует от конкретного фаервола. Т.е. с ним можно прозрачно переехать с
> iptables на nftables и ничего не заметить.

это было очень мило, спасибо. А можно без него и без nft - кому этот "переезд" даром не нужно?


С моей точки зрения все ровно наоборот - nft и вызвало к жизни желание какввенде и неумение питонописателей в iptables.

Ответить | Правка | Наверх | Cообщить модератору

102. "Выпуск firewalld 1.0"  +/
Сообщение от pda (ok), 24-Июл-21, 00:02 
> это было очень мило, спасибо. А можно без него и без nft
> - кому этот "переезд" даром не нужно?

Да лично для себя вы можете что угодно. Я его сам отключаю, мне удобнее nft напрямую конфигурировать. Но человеку попроще пожалуй с firewalld удобнее будет. RHEL всё-таки не гикоориентированный дистр...

> С моей точки зрения все ровно наоборот - nft и вызвало к
> жизни желание какввенде и неумение питонописателей в iptables.

Простите, я не смог перевести это на русский.

Ответить | Правка | Наверх | Cообщить модератору

72. "Выпуск firewalld 1.0"  +/
Сообщение от Онаним (?), 23-Июл-21, 14:30 
Он ещё и от реальности абстрагирует, в реальности чётко выделить файрвольные зоны можно только в SOHO, и то не всегда.
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

104. "Выпуск firewalld 1.0"  +/
Сообщение от pda (ok), 24-Июл-21, 00:09 
> Он ещё и от реальности абстрагирует, в реальности чётко выделить файрвольные зоны
> можно только в SOHO, и то не всегда.

ну, да. Так он и не ставит перед собой цель заменить базовый инструмент сисадмина.

Ответить | Правка | Наверх | Cообщить модератору

90. "Выпуск firewalld 1.0"  +1 +/
Сообщение от gogo (?), 23-Июл-21, 17:58 
По четвергам переезжаю на iptables, а по вторникам - на nftables. Кайф! Каждый раз наслаждаюсь плавностью и незаметностью переезда.
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

106. "Выпуск firewalld 1.0"  +/
Сообщение от pda (ok), 24-Июл-21, 00:36 
> По четвергам переезжаю на iptables, а по вторникам - на nftables. Кайф!
> Каждый раз наслаждаюсь плавностью и незаметностью переезда.

Скажите, а бравировать неспособность заглянуть дальше потребностей админа локалхоста это особой удовольствие приносит?

Ответить | Правка | Наверх | Cообщить модератору

124. "Выпуск firewalld 1.0"  +/
Сообщение от Онаним (?), 24-Июл-21, 14:29 
Сижу на iptables и никуда не переезжаю.
На nft посматриваю, но пока острой необходимости нет.
Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

96. "Выпуск firewalld 1.0"  +3 +/
Сообщение от sukaslayer (?), 23-Июл-21, 22:30 
systemctl stop firewalld
yum -y remove firewalld
yum -y install iptables-services
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

107. "Выпуск firewalld 1.0"  +1 +/
Сообщение от pda (ok), 24-Июл-21, 00:39 
> iptables-services

Учитывая всеобъемлющее отвращение пользователей opennen ко всему новому - ни разу не удивлён. Наверное, если бы ipchains не выпилили, то увидел бы ipchains-services...

Ответить | Правка | Наверх | Cообщить модератору

125. "Выпуск firewalld 1.0"  +/
Сообщение от Онаним (?), 24-Июл-21, 14:30 
Абсолютно так.
Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

6. Скрыто модератором  –5 +/
Сообщение от Котовшив (?), 23-Июл-21, 09:42 
Ответить | Правка | Наверх | Cообщить модератору

27. Скрыто модератором  +3 +/
Сообщение от anonymous (??), 23-Июл-21, 11:08 
Ответить | Правка | Наверх | Cообщить модератору

48. Скрыто модератором  –2 +/
Сообщение от Аноним (-), 23-Июл-21, 12:15 
Ответить | Правка | Наверх | Cообщить модератору

50. Скрыто модератором  +/
Сообщение от Аноним (50), 23-Июл-21, 12:41 
Ответить | Правка | Наверх | Cообщить модератору

54. Скрыто модератором  +/
Сообщение от Аноним (54), 23-Июл-21, 13:23 
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

8. "Выпуск firewalld 1.0"  –4 +/
Сообщение от Аноним (8), 23-Июл-21, 09:42 
мало того что на линуксе система сетевой инициализации на питоне, так теперь и фаервол на питоне :D

они что сами не понимают какой зашквар это?)))

Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск firewalld 1.0"  –3 +/
Сообщение от пох. (?), 23-Июл-21, 09:49 
можешь начинать переписывать на свой любимый bash. Только учти, из него немного неудобно делать интерфейс к dbus.

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (8), 23-Июл-21, 10:48 
У меня из любимых sh и csh, а bash для школоты вроде тебя.
Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск firewalld 1.0"  –4 +/
Сообщение от пох. (?), 23-Июл-21, 11:24 
> У меня из любимых sh и csh, а bash для школоты вроде
> тебя.

да ты ни на чем не умеешь, вот в чем беда.

Ответить | Правка | Наверх | Cообщить модератору

100. "Выпуск firewalld 1.0"  +/
Сообщение от Sw00p aka Jerom (?), 23-Июл-21, 22:46 
> да ты ни на чем не умеешь, вот в чем беда.

вредный какой :)


Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск firewalld 1.0"  +/
Сообщение от anonymous (??), 23-Июл-21, 11:09 
Можно на Go переписать ;)
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

34. "Выпуск firewalld 1.0"  –1 +/
Сообщение от пох. (?), 23-Июл-21, 11:33 
> Можно на Go переписать ;)

было бы хотя бы небессмысленно - миллиона пихонодеталек, каждый день новых, в зависимостях зависимостей по крайней мере избежали бы.


Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск firewalld 1.0"  –2 +/
Сообщение от Онаним (?), 23-Июл-21, 09:50 
systemd+iptables - и никакого питона ;D
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

13. "Выпуск firewalld 1.0"  +1 +/
Сообщение от Онаним (?), 23-Июл-21, 09:50 
(systemd-networkd)
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск firewalld 1.0"  +2 +/
Сообщение от Амоним (?), 23-Июл-21, 10:04 
> так теперь и фаервол на питоне

не файервол, а гуй и прочая обвязка к системному файерволу.

и потихоньку привыкайте к мысли что питон это такой новый скриптовый шелл.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

22. "Выпуск firewalld 1.0"  –3 +/
Сообщение от нах.. (?), 23-Июл-21, 10:39 
> потихоньку привыкайте к мысли что питон это такой новый скриптовый шелл.

Чейта, где выходил такой закон?

Ответить | Правка | Наверх | Cообщить модератору

55. "Выпуск firewalld 1.0"  –1 +/
Сообщение от Онаним (?), 23-Июл-21, 13:25 
Ды вот щаз.
Я на пхп доскриптовываю всё то, что на баше лениво.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

58. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (54), 23-Июл-21, 13:34 
Считаешь, что Пых прямее Питона?
Ответить | Правка | Наверх | Cообщить модератору

62. "Выпуск firewalld 1.0"  –2 +/
Сообщение от Онаним (?), 23-Июл-21, 13:52 
Хз насчёт прямее, я не спец по изгибам рук честно говоря.
Но то, что удобнее и читабельнее для тех, кто с C и плюсами знаком - да.
Ответить | Правка | Наверх | Cообщить модератору

64. "Выпуск firewalld 1.0"  –1 +/
Сообщение от Онаним (?), 23-Июл-21, 13:55 
Ну и зависимостей меньше, в рантайме по сути есть почти всё, что может понадобиться.
Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

114. "Выпуск firewalld 1.0"  –1 +/
Сообщение от Аноним (114), 24-Июл-21, 09:49 
Что тут привыкать? Давно пора баш выпилить и заменить питоном.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

163. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (163), 05-Авг-21, 22:51 
вы хотели сказать "сквиртовый"?
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

15. "Выпуск firewalld 1.0"  +3 +/
Сообщение от Anonimous (?), 23-Июл-21, 10:09 
Я когда разбирался с nftables ради интереса сравнивал теже правила добавленные через firewalld с бекендом nftables. Так firewalld создает примерно 20-ти кратный оверхед сравнительно с просто nftables. В принципе можете сами повторить эксперимент и убедится.
Ответить | Правка | Наверх | Cообщить модератору

147. "Выпуск firewalld 1.0"  –1 +/
Сообщение от анонимус (??), 26-Июл-21, 17:24 
nft поддерживает правила с вариантами, вроде "разрешить порты 80 и 443 одним правилом".
Для firewalld же для блокировки двух портов необходимы два правила - это сильно огорчает.
Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (18), 23-Июл-21, 10:19 
>свободное перемещение пакетов между сетевыми интерфейсами или источниками трафика внутри одной зоны (public, block, trusted, internal и т.п.).

Очень странный дефолт, особенно для зон public и block. Я еще понимаю для trusted и internal, home, но для всех это перебор.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск firewalld 1.0"  –4 +/
Сообщение от нах.. (?), 23-Июл-21, 10:41 
Ну тогда учите ip/nftables. Нехотите? Ну тогда как хозяиманама сказала так и будет.
Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск firewalld 1.0"  –2 +/
Сообщение от пох. (?), 23-Июл-21, 11:35 
> Очень странный дефолт, особенно для зон public и block. Я еще понимаю

пупсики ломают себе взаимодействие собственных "сервисов" из-за этого.
Пришлось разрешить.

У серверов в облачках никаких зон кроме public и нету.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

56. "Выпуск firewalld 1.0"  +/
Сообщение от Онаним (?), 23-Июл-21, 13:26 
У пупсиков всё взаимодействие их собственных сервисов и так смузи сломано.
Я не про серверы :D
Ответить | Правка | Наверх | Cообщить модератору

57. "Выпуск firewalld 1.0"  +/
Сообщение от Онаним (?), 23-Июл-21, 13:26 
Почему ж нету.
Вполне возможны всякие тунельки, ну и локалхост никто не отменял.
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

29. Скрыто модератором  –3 +/
Сообщение от Аноним (29), 23-Июл-21, 11:20 
Ответить | Правка | Наверх | Cообщить модератору

37. Скрыто модератором  +1 +/
Сообщение от Аноним (-), 23-Июл-21, 11:35 
Ответить | Правка | Наверх | Cообщить модератору

38. Скрыто модератором  –1 +/
Сообщение от пох. (?), 23-Июл-21, 11:36 
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

49. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (49), 23-Июл-21, 12:19 
Чем это лучше того же ufw?
Ответить | Правка | Наверх | Cообщить модератору

82. "Выпуск firewalld 1.0"  –3 +/
Сообщение от пох. (?), 23-Июл-21, 16:10 
> Чем это лучше того же ufw?

IPX хороший протокол, но у него есть один недостаток - он разработан фирмой novell.(c)

ufw кажется не очень здорово интегрируется с дерьмобасом и гомощелью.

Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (-), 23-Июл-21, 13:04 
> Код firewalld написан на языке Python и распространяется под лицензией GPLv2.

Демонов положено писать на С, и вряд ли на Хрусте. Куда вы сос винной харей в калашный ряд то!

Ответить | Правка | Наверх | Cообщить модератору

59. "Выпуск firewalld 1.0"  –1 +/
Сообщение от нах.. (?), 23-Июл-21, 13:39 
Тссс ты че, они моск сломают, а потом в суд подадут!
Ответить | Правка | Наверх | Cообщить модератору

126. "Выпуск firewalld 1.0"  +/
Сообщение от Ordu (ok), 24-Июл-21, 14:36 
Кем положено? Мы живём в мире свободного ПО, все эти положатели пускай идут в госдуму работать и оттуда вещают всем, как и что им надо делать.
Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

68. "Выпуск firewalld 1.0"  –1 +/
Сообщение от Хан (?), 23-Июл-21, 14:15 
FirewallD от Лени с любовью
Ответить | Правка | Наверх | Cообщить модератору

73. "Выпуск firewalld 1.0"  –1 +/
Сообщение от Аноним (73), 23-Июл-21, 14:44 
А если ssh на нестандартном порту? Ты ему команду "запрети ssh", а он что?
Ответить | Правка | Наверх | Cообщить модератору

80. "Выпуск firewalld 1.0"  –3 +/
Сообщение от пох. (?), 23-Июл-21, 16:03 
> А если ssh на нестандартном порту? Ты ему команду "запрети ssh", а
> он что?

напустит лужу, сядет в нее и будет прыгать. Как и альтернативно-одаренное дитя, которое такое написало, ага.

В ентих мелочах, собственно, и диавол.
"Было бы величайшей ошибкой - думать!"

Ответить | Правка | Наверх | Cообщить модератору

115. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (115), 24-Июл-21, 10:41 
Обожаю опеннет за дружелюбное комьюнити!
Ответить | Правка | Наверх | Cообщить модератору

93. "Выпуск firewalld 1.0"  +/
Сообщение от Пряникё (?), 23-Июл-21, 19:59 
вы это серьезно?
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

116. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (115), 24-Июл-21, 10:45 
Да, серьезно. Вот ниже и пишут, что для исходящих соединений это не работает, ибо неоткуда взять эту информацию
Ответить | Правка | Наверх | Cообщить модератору

118. "Выпуск firewalld 1.0"  +1 +/
Сообщение от Аноним (117), 24-Июл-21, 12:49 
Ну как бы в фаерволлд имеет xml-ки вот такого вида:
https://firewalld.org/documentation/man-pages/firewalld.serv...
Вот в ssh там будет внутри:
<port protocol="tcp" port="22" />
Соответственно, если ты перенес ssh на порт 65022, то как ты понимаешь, файлик
/usr/lib/firewalld/services/ssh.xml
сам себя не отредактирует. Зайди и поменяй там и тогда всё будет работать.

У меня подобные "автоматизации" вызывают леденящий душу восторг.

Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

127. "Выпуск firewalld 1.0"  +2 +/
Сообщение от Аноним (127), 24-Июл-21, 15:09 
думаю отредактированое в /usr будет работать до первого обновления пакета. Потом кто-то будет удивляться результатам работы
Ответить | Правка | Наверх | Cообщить модератору

76. "Выпуск firewalld 1.0"  –1 +/
Сообщение от ыы (?), 23-Июл-21, 15:08 
жутко неудобная штука, поскольку когда начинаешь блокировать исходящие соединения- вся магия именованных сервисов идет попиз.е и все делается построчно, ручками...
Ответить | Правка | Наверх | Cообщить модератору

77. "Выпуск firewalld 1.0"  –1 +/
Сообщение от Аноним (77), 23-Июл-21, 15:23 
ну вот, еще лет 10 и может осилят интерфейс микротиковского фаервола и будет наконец-то счастье, жаль что не долго, кто-нибудь придет и начнет все это дело переписывать :)
Ответить | Правка | Наверх | Cообщить модератору

83. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (83), 23-Июл-21, 16:16 
Вроде как для предотвращения разрывов давно придумали conntrack и первое правило в INPUT - разрешение уже установленных соединений.

Хз, но имхо это пердолина как ufw. Что-то серъёзное ваять в этом - ну такое, да, для любителей. А если там несколько аплинков, vpn-туннелей, snat/dnat/masq? Загнётся жи мосх такое воплощать на firewalld.

Ответить | Правка | Наверх | Cообщить модератору

92. "Выпуск firewalld 1.0"  +1 +/
Сообщение от Аноним (92), 23-Июл-21, 19:38 
Есть фатальный недостаток, наличие Python.
Ответить | Правка | Наверх | Cообщить модератору

95. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (95), 23-Июл-21, 21:22 
>>firewall-cmd --add --service=ssh

Как оно поймёт на каком порту у меня ССХ? У меня их два. К обоим доступ даст?

Ответить | Правка | Наверх | Cообщить модератору

109. "Выпуск firewalld 1.0"  +/
Сообщение от hefenud (ok), 24-Июл-21, 07:46 
man services
grep ssh /etc/services

То что ты сумасшедший перевешивающий сервисы куда попало и у тебя ssh на 946/tcp, а https на 317/tcp никого не волнует

Ответить | Правка | Наверх | Cообщить модератору

131. "Выпуск firewalld 1.0"  +1 +/
Сообщение от Stax (ok), 25-Июл-21, 02:57 
Внезапно, совершенно неправильный ответ. Потому что он про iptables, в котором текстовые названия портов - всего лишь алиасы из /etc/services, да. А в firewalld сервисы - это такие определения, из коробки совпадающие с портами из services, но от них не зависящие и модифицируемые.

Правильный ответ: это делается через модификацию сервиса командой firewalld или правкой xml-определения сервиса, пример тут: https://www.centlinux.com/2019/01/3-ways-create-custom-firew...

После чего можно сделать сервисы ssh_external, ssh_internal и ssh_both, например, и использовать который нужно, ну или оба, если так подразумевается...

Ответить | Правка | Наверх | Cообщить модератору

108. "Выпуск firewalld 1.0"  –2 +/
Сообщение от Аноним (108), 24-Июл-21, 02:02 
Эх Agnitum, это был правильный firewall, с мониторингом процессов, портов, ип
Ответить | Правка | Наверх | Cообщить модератору

132. "Выпуск firewalld 1.0"  +/
Сообщение от Stax (ok), 25-Июл-21, 03:01 
Брр. Это который работал через грязный хук в сетевой стек?? Спасибо, не надо...
Ответить | Правка | Наверх | Cообщить модератору

143. "Выпуск firewalld 1.0"  +/
Сообщение от Аноним (143), 26-Июл-21, 07:22 
Это не о том через что он работал, а про возможности и удобство мониторинга!
Ответить | Правка | Наверх | Cообщить модератору

144. "Выпуск firewalld 1.0"  +1 +/
Сообщение от Аноним (144), 26-Июл-21, 07:26 
не то что ваши ss - bwm-ng и др. г
Ответить | Правка | К родителю #132 | Наверх | Cообщить модератору

146. "Выпуск firewalld 1.0"  +1 +/
Сообщение от Аноним (146), 26-Июл-21, 16:56 
безумие какое
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру