Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск межсетевого экрана firewalld 1.2"	+/–
Сообщение от opennews (?), 02-Июл-22, 11:58
Опубликован релиз динамически управляемого межсетевого экрана firewalld 1.2, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке  Python и распространяется под лицензией GPLv2... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57441
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Alladin (?), 02-Июл-22, 11:58	–3 +/–
Чем это лучше ufw и удобного gufw?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #34, #56

2. Сообщение от Аноним (2), 02-Июл-22, 11:59	+9 +/–
iptables и так надстройка над netfilter зачем дополнительная надстройка над надстройкой?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #11

3. Сообщение от Олежа (?), 02-Июл-22, 12:02	–1 +/–
Ждём в Debian!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

4. Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 12:02	+/–
>при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб прям ngfw какой-то
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

5. Сообщение от Аноним (5), 02-Июл-22, 12:05	+5 +/–
Релиз обёртки над фаерволлами. Называйте вещи своими именами.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

7. Сообщение от DeerFriend (?), 02-Июл-22, 12:17	+3 +/–
Когда иптаблесы заменяют на нфтаблесы, не все успевают или горят желанием погружаться в изменения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #12

9. Сообщение от Аноним (9), 02-Июл-22, 13:16	–5 +/–
И насколько роняет производительность эта безопасность. В ядре безопасности роняющее производительность, в интерфейсах. Плотиш тыщи лиш бы не логало - современный мир.
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от anonymouse (?), 02-Июл-22, 13:25	+1 +/–
не надстройка, а пользовательский интерфейс для управления. Желаю удачи юзать netfilter без "надстроек".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #13

12. Сообщение от Аноним (2), 02-Июл-22, 13:27	+3 +/–
так при смене бинарнечек и делает все поправки (что то типа iptables-old) пихаешь ему старый синтаксис он плюнет новый уже под нфтейбл опять вопрос - зачем надстройка?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #19

13. Сообщение от Аноним (2), 02-Июл-22, 13:27	+1 +/–
пасибо уже юзаю без надстроек, чего и всем желаю
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

14. Сообщение от Аноним (14), 02-Июл-22, 13:38	–1 +/–
Не жди, просто поставь из репозиториев. Не знаю, как в Debian, но в Ubuntu 20.04 он ставится одной командой... (Версия 0.82)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

15. Сообщение от ixpert (?), 02-Июл-22, 13:56	+/–
Динамически изменять правила пакетного фильтра через D-Bus - это так важно для сервера потому что там ничего не меняется после установки, и этот фоновый процесс обязательно нужен вам. Мне нет, сразу удаляю.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

16. Сообщение от ананоша (?), 02-Июл-22, 14:14	+/–
Если ссх не на 22 порту, оно сработает?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

17. Сообщение от псевдоеимус (?), 02-Июл-22, 14:14	–1 +/–
мало того, что убогое, так еще завязано на дбус. и после этого линуксоиды смеются над 3 пакетными фильтрами в бзде.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39, #68, #78

18. Сообщение от псевдоеимус (?), 02-Июл-22, 14:22	+1 +/–
они обертки. а он уровнем ниже и г-о.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

19. Сообщение от псевдоеимус (?), 02-Июл-22, 14:23	+4 +/–
чтобы было непонятно, как обрабатывается пакет. магия, ололо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

21. Сообщение от Брандмауэр без Root (?), 02-Июл-22, 14:30	+/–
https://play.google.com/store/apps/details?id=app.greyshirts... такое надо.
Ответить | Правка | Наверх | Cообщить модератору

22. Сообщение от Аноним (63), 02-Июл-22, 14:32	+/–
Кроме твоего локалхоста существует ещё столько всего — целый мир! Подрастешь, пойдешь работать и сам увидишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #27, #38, #74

23. Сообщение от QwertyReg (ok), 02-Июл-22, 14:40	–2 +/–
И в каком месте?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #24

24. Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 14:51	+2 +/–
> И в каком месте? в том, что "при создании правил отталкивается" от сервисов (аппликейшенов) именно ngfw разобрав сам протокол. Отсюда и весь абсурд, казаться тем чем не являешься.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #29

25. Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 14:57	+1 +/–
> Если ссх не на 22 порту, оно сработает? конечно, откроет вам тупо 22 порт, тут список /usr/lib/firewalld/services/ <?xml version="1.0" encoding="utf-8"?> <service>   <short>SSH</short>   <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>   <port protocol="tcp" port="22"/> </service>
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #26, #92

26. Сообщение от ыы (?), 02-Июл-22, 15:13	+/–
а выражения в элементах поддерживает? что-то вроде <port protocol="(select proto from tcp://myhost/proto)" port="http://myssite/queryfirewaldd"/> ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #32

27. Сообщение от ixpert (?), 02-Июл-22, 15:16	+/–
ваша убогая шутка про localhost настолько в тему, что это убожество только и запускать на localhostе из за кучи гуевых программок которым вдруг понадобился входящий трафик.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #67

28. Сообщение от ыы (?), 02-Июл-22, 15:21	+/–
Это же классно! Можно описать сервисы своими именами потом выдавать команды "firewall-cmd --add --service=ПолетШмеляНадГранатом"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40, #93

29. Сообщение от ыы (?), 02-Июл-22, 15:24	+/–
> разобрав сам протокол. Разве данная программа разбирает какието протоколы? Она отталкивается от алиасов для некоторых чисел. Каким образом навешивание алиаса на номер порта "разбирает протокол" - загадка :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #31

30. Сообщение от ыы (?), 02-Июл-22, 15:28	+/–
>отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб Прекрасно. Главное не узнать что пользоваться алиасами вовсе не обязательно (это опция а не требование), и можно указывать именно IP-адреса, сетевые интерфейсы и номера портов.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33

31. Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 15:30	+2 +/–
> Разве данная программа разбирает какието протоколы? Она отталкивается от алиасов для некоторых > чисел. вот и написал "прям ngfw какой-то", то есть -  не разбирает протоколы, но оперирует понятием сервисов (аппликейшенов) > Каким образом навешивание алиаса на номер порта "разбирает протокол" - загадка :) ну как минимум "разбирает протокол" уровней L3/L4
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

32. Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 15:31	+/–
> а выражения в элементах поддерживает? > что-то вроде > <port protocol="(select proto from tcp://myhost/proto)" port="http://myssite/queryfirewaldd"/> должен если ngwf
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

33. Сообщение от Sw00p aka Jerom (?), 02-Июл-22, 15:32	+1 +/–
> Прекрасно. Главное не узнать что пользоваться алиасами вовсе не обязательно (это опция > а не требование), и можно указывать именно IP-адреса, сетевые интерфейсы и > номера портов. у микроскопов тоже есть такая опция как забивать гвозди.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

34. Сообщение от Anonim (??), 02-Июл-22, 15:44	+3 +/–
Он лучше буквально во всём. Попробуй и сам поймёшь. Разработчикам респект и уважение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

36. Сообщение от Аноним (36), 02-Июл-22, 17:23	+4 +/–
iptables/nftables и так обновляют правила в ядре без разрыва соединений. nftables точно загружает новый набор правил транзакционно. С этой точки зрения ничего, что нельзя сделать при помощи iptables/nftables/ipset, в firewalld нет. И зоны там дурацкие. Лучше непосредственно юзать iptables/nftables или на крайняк shorewall. Вот я давно писал как логично можно организовать правила http://handmade-linux-firewall.narod.ru/
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41, #45

38. Сообщение от Aninim (?), 02-Июл-22, 17:44	+/–
вообще все настройки делаютя на фаерволах инфраструктуры (циски жуниперы брокейды ил  хуавеи - кому что нравится/купили) а не на серверах да и с кубом он сам всем управляет сетью без шаловливых ручек одмина
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #71

39. Сообщение от Anonimussh (?), 02-Июл-22, 17:48	+/–
я кайфую от PF особено его таблички искаропки, и не надо, что то типа ipset городить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

40. Сообщение от нига (?), 02-Июл-22, 17:49	+1 +/–
залетаешь такой и начинает исслудование и раскопки что и где накручено наверчено
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #43

41. Сообщение от Аноним (36), 02-Июл-22, 18:03	+1 +/–
И, да, firewalld это просто обертка, которая генерит набор правил iptables/nftables из своего формата конфигурации и как именно эти правила организованы и насколько эффективно - это вопрос требующий изучения. Документация очень слабая
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #51

42. Сообщение от BrainFucker (ok), 02-Июл-22, 18:17	+/–
> Добавлены сервисы с поддержкой gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly Э... то есть там для каждого приложения нужна своя поддержка? Ужас какой...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #98

43. Сообщение от ыы (?), 02-Июл-22, 19:22	+/–
так для того же и сделано. разве нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

44. Сообщение от Аноним (44), 02-Июл-22, 19:25	+/–
Когда сделают фильтр по имени процесса, просящего доступ в сеть? Чтобы я себе мог просто белы список процессов составить. Столько лет Линуксу, а такой базовой фичи нет для пользователя недоверенных программ. Может я чего не понимаю.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46, #50, #52, #58, #59, #61, #64, #72, #79, #84

45. Сообщение от ыы (?), 02-Июл-22, 19:26	+1 +/–
Более того, при попытке сделать конфигурацию отличную от "локалхост хомячка" - тут же оказывается что весь сахар этой обертки - исчезает бесследно, и нужно описывать все как и раньше, построчно, без всяких алиасов, указывая порты, ip, и протоколы...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

46. Сообщение от ыы (?), 02-Июл-22, 19:27	+/–
Когда доля линукса на десктопе станет больше погрешности измерения - сразу же появится... Наверное :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #49

48. Сообщение от Ку (?), 02-Июл-22, 19:36	+/–
Что не является оберткой и как этим управлять?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #81

49. Сообщение от Аноним (49), 02-Июл-22, 19:42	+/–
Иными словами - никогда)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

50. Сообщение от slepnoga (??), 02-Июл-22, 19:44	+/–
>Когда сделают фильтр по имени процесса, просящего доступ в сеть.. сделали, примерно в 2005-м году.И даже как всегда,более чем одним способом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

51. Сообщение от An0nim0us (?), 02-Июл-22, 20:15	–2 +/–
Изучал что эта обертка генерит на выходе - ужаснулся и после этого на норм проектах стараюсь не юзать. Что б было понятно вместо 5 строчек которые вы бы написали без нее - это чудо генерит в 20 раз больше и многое из того что получаем просто нах не нужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #69

52. Сообщение от gapsf2 (??), 02-Июл-22, 21:27	+/–
С этим все непросто. Когда-то можно было фильтровать по pid, но это убрали. И прям по имени процесса или файла скорее всего никто никогда в ядре уже делать не будет, т.к. с точки зрения ядерщиков, все что можно сделать в юзерспейс не надо тащить в ядро. Кроме того имя процесса/команды неоднозначно: их может быть несколько. Для входящих соединений определить процесс, который получит пакет в общем случае затруднительно. В любом случае придется самому мастерить, сам я таким не занимался. На данный момент с помощью iptables можно фильтровать по -m cgroup --path... По сути это  все, что доступно непосредственно по процессам. 1 Пробовать/смотреть куда системд пихает процесс в cgroups и использовать -m cgroup --path если получится 2 Пробовать по разному использовать network namespaces https://unix.stackexchange.com/questions/68956/block-network... Причем в каждом пространстве имен собственные интерфейсы, таблицы маршрутизации и набор правил фаервола. Наверное это самый перспективный и гибкий вариант. 3 Запускать приложения под другим пользователем и использовать для фильтрации -m owner... 4 Пробовать selinux, apparmor, ясно что это гемор, хотя... https://askubuntu.com/questions/679474/how-to-block-internet... Т.е. apparmor настроить не очень сложно и можно прям по путям в фс огрничения делать. Тоже неплохой вариант. 5 Пробовать готовые проги, я нашел https://github.com/evilsocket/opensnitch https://douaneapp.com/ Эти проги gui и интерактивные, как именно они реализуют этот функционал - над смотреть исходники. Как видно вариантов много, поэтому ждать реализации этого прямо в ядре+iptables/nftables нет смысла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #54

53. Сообщение от Аноним (53), 02-Июл-22, 22:22	+1 +/–
Нужен systemd-firewalld
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55, #70

54. Сообщение от Аноним (-), 02-Июл-22, 23:03	+/–
мониторит прок судя по коду. вообще лютое г
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

55. Сообщение от Аноним (-), 02-Июл-22, 23:04	+2 +/–
и systemd-firefox ну и иногда systemd-tuxracerd
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #62

56. Сообщение от Аноним (56), 02-Июл-22, 23:27	–2 +/–
> Чем это лучше ... Ничем. Как видишь суффикс *d - выпиливай под корень.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #63, #91

57. Сообщение от Аноним (57), 03-Июл-22, 01:11	+/–
И тут они обнаружили фатальный недостаток...
Ответить | Правка | Наверх | Cообщить модератору

58. Сообщение от john_erohin (?), 03-Июл-22, 07:43	–1 +/–
> фильтр по имени процесса на винде это уже проходили. через несколько итерций пришли к подписанным бинарникам или хэшам. не надо так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

59. Сообщение от Аноним (59), 03-Июл-22, 09:44	+/–
Вы хотите аналог Windows Filtering Platform? В Windows много файрволов, но один пласт API для написания собственного файрвола. В Linux, наоборот, один файрвол и куча разных несовместимых API для его настройки. > Столько лет Линуксу, а такой базовой фичи нет для пользователя недоверенных программ. Может я чего не понимаю. Да, вы не понимаете объем задачи: https://docs.microsoft.com/en-us/windows/win32/fwp/windows-f... Даже если брать ту "мизерную" функцию с всплывающими окошками, разрешить процессу то-то и то-то, придётся реализовать RPC. Тут две проблемы: - ответственность и её перекладывание. Для разработчиков ядра userspace как бы "вне зоны ответственности". Вечная игра в горячую картошку. - драматизм вокруг RPC. На стороне ядра и в юзерспейсе должно находиться единое RPC, манипулирующее сложными структурами данных. Помните эпопею про kdbus и то как его не приняли (по вполне техническим причинам) дальнейшие попытки переизобрести "нормальное" RPC вроде проекта bus1, не знаю насколько оно живое. Далее прочитайте этот же тред выше и пронаблюдайте количество болезных истеричек у которых dbus воду в кране выпил и как это "не нужно на сервере". В Linux очень много RPC-подсистем с убогой архитектурой. Одна из них Netlink, которая есть в ядре, но отстаёт от требований юзерспейса. Вот её надо менять для решения целого ряда задач, но там же визгу будет... D-Bus сам по себе при этом мягко говоря не эталон. Он слишком сложен и перегружен функционалом, потому что это универсальная шина IPC+RPC. Нужен аналог COM+/DCOM, работающий в клиент-серверном режиме без всякого Multicast-а и не зависящий от сетевой подсистемы. Но такого API в ядре нет. > Чтобы я себе мог просто белы список процессов составить. В Windows можно не только белый список составить, там можно еще и взять список и настроить так чтобы на определенные процессы траффик не проходил без аутентификации и шифрования ipsec. То есть файрвол пропустит входящий траффик к порту только если есть ipsec и пользователь такой-то и с компьютера такого-то. Но научить линуксоидов ipsec-у для создания демилитаризованных зон... они единственное своё юзерспейсное RPC выпиливают в порыве белой горячки. Всё это малореализуемо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

60. Сообщение от Аноним (-), 03-Июл-22, 11:35	+3 +/–
> Для изменения конфигурации межсетевого экрана также может использоваться графический интерфейс firewall-config (GTK) и апплет firewall-applet (Qt). Спасибо, не знал, что интерфейсы есть!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #80

61. Сообщение от Qanon (?), 03-Июл-22, 12:56	+/–
Уже давно сделали, давно юзаю и вам желаю https://github.com/evilsocket/opensnitch
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

62. Сообщение от microsoft (?), 03-Июл-22, 13:39	+/–
Былоб так круто. Разрешаю, реализовывайте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

63. Сообщение от Аноним (63), 03-Июл-22, 14:12	+2 +/–
Начни с ntpd.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #85

64. Сообщение от Аноним (63), 03-Июл-22, 14:17	+1 +/–
Давно сделали, но ты не осилил. Называется SELinux.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

65. Сообщение от Annno (?), 03-Июл-22, 16:09	+/–
firewalld - пришло твое время. p.s. этож все для неосиляторов nftables/iptables nftables учат походу только ботаны
Ответить | Правка | Наверх | Cообщить модератору

67. Сообщение от Аноним (67), 03-Июл-22, 18:59	+/–
здесь это самая уместная шутка, ведь уровень комментаторов ей полностью соответствует
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

68. Сообщение от Аноним (67), 03-Июл-22, 19:00	+1 +/–
> мало того, что убогое, твою биографию тут все уже наизусть знают
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

69. Сообщение от Аноним (67), 03-Июл-22, 19:05	+1 +/–
давай конкретный воспроизводимый пример, трепло
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

70. Сообщение от Аноним (67), 03-Июл-22, 19:09	+2 +/–
о, завсегдатаи с шутками за 100. опеннет стабилен
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

71. Сообщение от Аноним (71), 03-Июл-22, 20:29	+/–
А вот и мамкины ибэшники подъехали, у которых внутри домашнего ланчика фаерволлы не нужны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #75

72. Сообщение от Аноним (71), 03-Июл-22, 20:32	+/–
> Когда сделают фильтр по имени процесса, просящего доступ в сеть? Когда ты опишешь надёжный, непротиворечивый и невзламываемый метод определения имени процесса. В любой ОС на выбор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #73

73. Сообщение от ыы (?), 04-Июл-22, 09:25	+/–
Зачем его "определять"? Он известен изначально. Вы вероятно думаете, что процесс инициируется в момент появления пакета на интерфейсе? Тоесть ничего небыло и вдруг: Пакет на интерфейсе!!! ААААА!!! Что с ним делать !??!! ...ааааа..паника.. откуда взялся этот пакет !?? ... ааааа [стук головы об радиатор процессора]... что делать?? Такое да? :) В момент появления пакета на интерфейсе -  за ним уже давно наблюдали, и откуда он взялся хорошо известно. Просто в винде файрвол писали для людей, а в линуксе - для маршрутизатора ... Как только количество линуха на десктопе превысит погрешность измерения -  ктото озаботится и напишет обертку под механизмы которые в ядре были давным давно и которую гордо назовет НекстГенерейшенЮзерАппликейшенФайрвол...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #99

74. Сообщение от bOOster (ok), 04-Июл-22, 11:29	+1 +/–
Это точно, поголовно лезут в IT даже те кто ничерта в этом не понимает и в целом не хотят понимать. В результат выплывают вот такие вот поделки. Облегчить жизнь лохам и осложняющую серверную платформу в принципе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

75. Сообщение от 1 (??), 04-Июл-22, 11:39	+/–
*V*ланчика
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

76. Сообщение от pfg21 (ok), 04-Июл-22, 12:09	+/–
т.е. если я файл своей кривой поделки проименую ssh то получу все возможности ssh, однако мысль мне нравитца.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #77

77. Сообщение от ыы (?), 04-Июл-22, 13:22	+/–
>т.е. если я файл своей кривой поделки Да. >проименую ssh Ну допустим... >то получу все возможности ssh, Схуали? >однако мысль мне нравитца. Штирлиц подумал мысль... Ему понравилось и он подумал еще :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #82

78. Сообщение от Аноним (78), 04-Июл-22, 14:07	+/–
В БЗДе нет Дбус?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #83, #96

79. Сообщение от Аноним (78), 04-Июл-22, 14:14	+/–
>Может я чего не понимаю. Башескритования не понимаешь. Можно по PID. А чтобы его получить, есть Bash.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

80. Сообщение от Аноним (78), 04-Июл-22, 14:16	+/–
Какввенде!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

81. Сообщение от pfg21 (ok), 04-Июл-22, 14:56	+/–
ну дык истинный бог. который онные атомы для оберток и наштамповал.   управлять, расти тебе дитятко до ентого... еще долго и трудно...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

82. Сообщение от pfg21 (ok), 04-Июл-22, 14:59	+/–
срояли йопт, оно ж того именования сервисов читает, а эта вещчъ гвоздями не прибитая.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #87

83. Сообщение от BorichL (ok), 04-Июл-22, 15:52	+1 +/–
В базовой системе конечно нет, нахрена там этот дерибас? Уязвимости собирать? Если тебе надо dbus - ставишь из портов, а так ну нахрен он например в FAMP'е?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

84. Сообщение от BorichL (ok), 04-Июл-22, 15:57	+/–
Вероятно ты вообще слабо понимаешь, что это, зачем это и как всё это работает. Хомячковый фаерволл вобщем то занимает всего несколько строк правил и достаточен для одминов локалхоста и территориально расположен в его роутере.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #88

85. Сообщение от Минона (ok), 04-Июл-22, 15:59	+/–
В centos он выпилен в пользу chrony
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #90

87. Сообщение от ыы (?), 04-Июл-22, 20:31	+/–
> именования сервисов читает из простого текстового файла, который никакого отношения ни к реальным сервисам, ни к ИМЕНАМ ФАЙЛОВ не имеет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

88. Сообщение от ыы (?), 04-Июл-22, 20:34	+/–
это в линухе так. файрвол стоит "гдето там на роутере и имеет пару правил". А в нормальной адекватной ОС- файрвол стоит на компе юзера, и педантично управляет допуском и блокированием работы с сетью каждого конкретного процесса в системе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #89

89. Сообщение от BorichL (ok), 04-Июл-22, 21:07	+/–
> это в линухе так. файрвол стоит "гдето там на роутере и имеет > пару правил". > А в нормальной адекватной ОС- файрвол стоит на компе юзера, и педантично > управляет допуском и блокированием работы с сетью каждого конкретного процесса в > системе. Насчёт адекватности такой ОС есть большие сомнения. Ну для мамкиного хакера такая может и пойдёт. А обычному юзеру этот типа фаерволл нахрен не упёрся, юзеру надо, чтобы работало, а не пыталось блокировать то, что он хочет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

90. Сообщение от Аноним (90), 05-Июл-22, 10:18	+/–
Так chronyd же... Придется выпиливать (    1691 ?        S      0:00 /usr/sbin/chronyd -F 2
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

91. Сообщение от Аноним (90), 05-Июл-22, 10:20	+/–
Ну httpd заменим на nginx. atd, crond - выкинуть заменив systemd-timers. smbd - нефиг виндузятникам потакать, пусть ставят нормальные ОС, выкинем. А что брать вместо rsyslogd? Вместо smartd? Вместо sshd, наконец?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

92. Сообщение от Аноним (90), 05-Июл-22, 10:22	+/–
Так для этого поддерживается добавление своего сервиса sshd-my-cool-port...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

93. Сообщение от Аноним (90), 05-Июл-22, 10:24	+/–
Это фигня. Куда важнее фича что можно открыть порт на минуту или на 10 минут, типа нужно что-то проверить или эксперимент произвести, а потом не забывать закрыть. Вот firewalld сам закроет ка было через заданное время. Очень полезная фича при поиске неясных проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #94

94. Сообщение от gapsf2 (ok), 05-Июл-22, 11:26	+/–
Вот наивные - думают, что это некий эксклюзив firewalld и что только благодаря firewalld такое возможно. Это не так. Реализовано это (может быть) с помощью возможностей ipset: при добавлении в список можно указать таймаут, по истечении которого элемент будет удален из списка *автоматически* (т.е. ядром). Ну и очевидно, примитивно манипуляцией правилами iptables/nftabels через cron.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #95

95. Сообщение от Аноним (90), 05-Июл-22, 12:36	+1 +/–
Брр. Почему *только*? Это очевидно делается руками или через крон. Просто firewalld делает это автоматически, убирая риски забывчивости. Типа "вот мне порт открыть на минуту, погонять iperf" а потом гоняем 5 минут и забываем. Ну от этого открытого порта проблем не будет, но ситуации разные бывают. Вы что, думаете кто-то полезет крон джоб писать каждый раз для этого? А тут эта фича ничего не стоит в плане усилий, добавил --timeout и оно само выключится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

96. Сообщение от псевдоеимус (?), 05-Июл-22, 19:27	+/–
штатно конечно нет. омнопроги тянут по зависимостям.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

97. Сообщение от Аноним (97), 06-Июл-22, 11:11	+/–
когда уже появиться mycomputerd ???
Ответить | Правка | Наверх | Cообщить модератору

98. Сообщение от Аноним (90), 06-Июл-22, 22:30	+/–
Речь просто про более фичастый вариант бывшего /etc/services (который некорректен в плане tcp/udp, смешивает в кучу абстрактные протоколы и конкретные программные реализации, плохо отражает приложения которым нужно более одного порта и тп). Т.е. да, поддерживается список определений, какие порты какое приложение требует. Они в раздельных файлах, поэтому определение может идти в конкретном приложении, а не общем firewalld.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

99. Сообщение от Аноним (99), 08-Июл-22, 12:24	+/–
Просто ты не отличаешь L4 файрвол от L7 файрвола.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема