The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск пакетного фильтра iptables 1.8.8"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск пакетного фильтра iptables 1.8.8"  +/
Сообщение от opennews (??), 14-Май-22, 10:36 
Опубликован выпуск классического инструментария для управления пакетным фильтром  iptables 1.8.8, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nf_tables.  Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57188

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


9. "Выпуск пакетного фильтра iptables 1.8.8"  +4 +/
Сообщение от Аноним (9), 14-Май-22, 12:39 
Это тот случай когда из могилы постучали?
Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск пакетного фильтра iptables 1.8.8"  +6 +/
Сообщение от Аноним (10), 14-Май-22, 13:34 
Это тот редкий случай когда обеспечили обратную совместимость
Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск пакетного фильтра iptables 1.8.8"  –5 +/
Сообщение от пох. (?), 14-Май-22, 13:45 
не обеспечили. так,вид поделали. грант сам себя не попилит...
Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск пакетного фильтра iptables 1.8.8"  +/
Сообщение от andy (??), 14-Май-22, 21:43 
> не обеспечили. так,вид поделали. грант сам себя не попилит...

Пох, ответь на вопрос пожалуйста, в ветке про проксмокс.

Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск пакетного фильтра iptables 1.8.8"  +/
Сообщение от Аноним (-), 14-Май-22, 23:53 
Как ни странно пох даже прав - стопроцентной совместимости там внезапно нет. Но все же.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

12. "Выпуск пакетного фильтра iptables 1.8.8"  +1 +/
Сообщение от Аноним (12), 14-Май-22, 13:55 
я что-то пропустил? Запускаю скрипты с правилами iptables из rc.local
А выходит что самого iptables уже нет?
Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск пакетного фильтра iptables 1.8.8"  +/
Сообщение от нонейм (?), 14-Май-22, 14:18 
да, некая совместимость осталась на уровне команд, поэтому и работает

Linux kernels have had packet filtering since the 1.1 series. The
  first generation, based on ipfw from BSD, was ported by Alan Cox in
  late 1994. This was enhanced by Jos Vos and others for Linux 2.0; the
  userspace tool `ipfwadm' controlled the kernel filtering rules. In
  mid-1998, for Linux 2.2, I reworked the kernel quite heavily, with the
  help of Michael Neuling, and introduced the userspace tool `ipchains'.
  Finally, the fourth-generation tool, `iptables', and another kernel
  rewrite occurred in mid-1999 for Linux 2.4.


моё развитие закончилось тоже на iptables (застал ipchains тоже)

люди, скажите, что учить, чтоб опять через 2-3 года не пришлось переучиваться?

или может синтаксис iptables как золотой стандарт останется?

Спасибо!

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск пакетного фильтра iptables 1.8.8"  +/
Сообщение от mikhailnov (ok), 14-Май-22, 14:21 
> люди, скажите, что учить, чтоб опять через 2-3 года не пришлось переучиваться?

Думаю, что eBPF

Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск пакетного фильтра iptables 1.8.8"  +/
Сообщение от Аноним (28), 15-Май-22, 01:43 
Нет такого.
Ответить | Правка | Наверх | Cообщить модератору

15. "Выпуск пакетного фильтра iptables 1.8.8"  +/
Сообщение от Онаним (?), 14-Май-22, 15:42 
nft
А из ёBPF достаточно запомнить echo 1 > /proc/sys/kernel/unprivileged_bpf_disabled
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

17. "Выпуск пакетного фильтра iptables 1.8.8"  +/
Сообщение от Аноним (17), 14-Май-22, 15:58 
zsh: no such file or directory: /proc/sys/kernel/unprivileged_bpf_disabled
Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск пакетного фильтра iptables 1.8.8"  –1 +/
Сообщение от Анонус (?), 14-Май-22, 15:48 
>что учить

firewalld

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

34. "Выпуск пакетного фильтра iptables 1.8.8"  +/
Сообщение от Аноним (34), 18-Май-22, 14:48 
Зачем домохозяйке "firewalld"?
Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск пакетного фильтра iptables 1.8.8"  +1 +/
Сообщение от нонейм (?), 14-Май-22, 19:49 
https://github.com/rmind/npf

до пенсии хватит

там и DPDK поддержка есть

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

22. "Выпуск пакетного фильтра iptables 1.8.8"  +/
Сообщение от hefenud (ok), 14-Май-22, 20:25 
2-3 года?
Чувак! iptables был с нами с 2.4.0 и пока еще не покинул нас, то есть добрые 20 лет(22 года почти)
Какие еще 2-3?
Сейчас ему на смену пришел nftables, который тоже пробудет теперь с нами лет 20
Про какие 2-3 ты говоришь?
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

33. "Выпуск пакетного фильтра iptables 1.8.8"  +/
Сообщение от www2 (??), 17-Май-22, 09:34 
>Сейчас ему на смену пришел nftables, который тоже пробудет теперь с нами лет 20

Откуда такая уверенность про 20 лет?

В FreeBSD как был ipfw изначально, так и остался. Новые функции появились, но это не обнуляет прошлый опыт. А тут опять новый велосипед.

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск пакетного фильтра iptables 1.8.8"  +1 +/
Сообщение от Аноним (25), 14-Май-22, 22:26 
never cease to learn
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

29. "Выпуск пакетного фильтра iptables 1.8.8"  +1 +/
Сообщение от Fedd (ok), 15-Май-22, 12:10 
bpfilter
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

30. "Выпуск пакетного фильтра iptables 1.8.8"  +/
Сообщение от нонейм (?), 15-Май-22, 18:40 
не знал о таком, спасибо

Сравнение с iptables и nft:
https://www.phoronix.net/image.php?id=2021&image=linux_bpfil...

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск пакетного фильтра iptables 1.8.8"  +/
Сообщение от InuYasha (??), 14-Май-22, 19:35 
Что ж, за обратную совместимость всегда уважение. Даже не смотря на то что я сам iptables не трогал уже годы.
Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск пакетного фильтра iptables 1.8.8"  +/
Сообщение от Аноним (23), 14-Май-22, 20:40 
> сосредоточено на компонентах для сохранения обратной совместимости

Подход здоровых человеков!

P.S. Подскажите, какие есть GUI-морды для быстрой настройки фаервола в Линукс? И чтоб из трея можно было быстро какие-то группы правил включать/выключать.

Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск пакетного фильтра iptables 1.8.8"  –1 +/
Сообщение от Аноним (25), 14-Май-22, 22:33 
вам виндовс нужен
какие ёпта группы правил?
GUI-морда - это xterm
вот вам сниппет моего конфига /etc/nftables.conf мож пригодится
#!/usr/sbin/nft -f

flush ruleset

table ip filter {
    chain input {
        type filter hook input priority 0; policy drop;

        # accept any localhost traffic
        iif lo accept

        iif wg0 accept

        # accept ICMP traffic
        ip protocol icmp accept

        # accept traffic originated from us
        ct state established,related accept

        # accept SSH, HTTP
        iif eth0 tcp dport ssh accept
        iif eth0 tcp dport http accept
        iif eth0 tcp dport https accept

        # iperf3
        iif eth0 tcp dport 5201 accept
        iif eth0 udp dport 5201 accept

        # accept DNS
        iif eth0 tcp dport 53 accept
        iif eth0 udp dport 53 accept

        # accept mail
        iif eth0 tcp dport { 25, 587, 993 } accept
    }
    chain output {
        type filter hook output priority 0;
    }

    chain prerouting {
        type nat hook prerouting priority -100;

        # mail DNAT
        iif eth0 tcp dport { 25, 587, 993 } dnat to 10.100.0.249
    }
    chain postrouting {
         type nat hook postrouting priority 100;

         # VPN NAT
         oifname "eth0" masquerade random,persistent
    }
}

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск пакетного фильтра iptables 1.8.8"  +/
Сообщение от нонейм (?), 15-Май-22, 18:50 
https://github.com/evilsocket/opensnitch
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

32. "Выпуск пакетного фильтра iptables 1.8.8"  +/
Сообщение от К.О. (?), 16-Май-22, 05:29 
dnf install firewall-config
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру