URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 68920
[ Назад ]

Исходное сообщение
"Несколько релизов в рамках проекта Netfilter"
Отправлено opennews , 17-Июл-10 20:24

В течение минувшей недели проект Netfilter (http://www.netfilter.org/), занимающийся разработкой одноименного фреймворка для фильтрации и преобразования пакетов в ядре Linux, объявил (http://lists.netfilter.org/pipermail/netfilter-announce/2010...) о выходе новых версий сразу нескольких субпроектов, развивающихся под его эгидой:
- libnetfilter_queue 1.0.0 (http://lists.netfilter.org/pipermail/netfilter-announce/2010...). Данная библиотека позволяет ядру передавать пакеты на обработку userspace-приложениям, обеспечивая взаимодействие с модулем nfnetlink_queue через интерфейс nfnetlink. Этот механизм заменяет собой устаревший интерфейс ip_queue/libipq. Библиотека libnetfilter_queue используется в ряде проектов, таких как:

- l7-filter-userspace (http://l7-filter.sourceforge.net/) — может определять протокол прикладного уровня путем анализа пакета с применением регулярных выражений.
- NuFW (http://www.nufw.org/) — обеспечивает разрешение или бл...
URL: http://lists.netfilter.org/pipermail/netfilter-announce/2010...
Новость: http://www.opennet.ru/opennews/art.shtml?num=27332

Содержание

Несколько релизов в рамках проекта Netfilter,Аноним, 20:24 , 17-Июл-10
- Несколько релизов в рамках проекта Netfilter,аноним, 20:54 , 17-Июл-10
  - Несколько релизов в рамках проекта Netfilter,chemtech, 23:08 , 17-Июл-10
    - Несколько релизов в рамках проекта Netfilter,аноним, 00:57 , 18-Июл-10
      - Несколько релизов в рамках проекта Netfilter,Аноним, 10:34 , 19-Июл-10
        
        Несколько релизов в рамках проекта Netfilter,аноним, 12:44 , 19-Июл-10
Несколько релизов в рамках проекта Netfilter,alexanderyt, 23:43 , 17-Июл-10
- Несколько релизов в рамках проекта Netfilter,аноним, 01:01 , 18-Июл-10
Несколько релизов в рамках проекта Netfilter,Аноним, 00:46 , 18-Июл-10
- Несколько релизов в рамках проекта Netfilter,аноним, 01:00 , 18-Июл-10
  - Несколько релизов в рамках проекта Netfilter,Аноним, 16:19 , 18-Июл-10
    - Несколько релизов в рамках проекта Netfilter,аноним, 03:26 , 19-Июл-10
    - взяли бы ipt_netflow под крыло...,Аноним, 10:20 , 19-Июл-10
      - взяли бы ipt_netflow под крыло...,аноним, 12:49 , 19-Июл-10
      - взяли бы ipt_netflow под крыло...,Zamir, 11:46 , 20-Июл-10
Несколько релизов в рамках проекта Netfilter,goof.gooffy, 11:48 , 18-Июл-10
Несколько релизов в рамках проекта Netfilter,Gular, 20:00 , 18-Июл-10
- Несколько релизов в рамках проекта Netfilter,аноним, 03:28 , 19-Июл-10

Сообщения в этом обсуждении

"Несколько релизов в рамках проекта Netfilter"
Отправлено Аноним , 17-Июл-10 20:24

Давно ничего не слышно о nftables - замена iptables.

"Несколько релизов в рамках проекта Netfilter"
Отправлено аноним , 17-Июл-10 20:54

>Давно ничего не слышно о nftables
Она утонула.

"Несколько релизов в рамках проекта Netfilter"
Отправлено chemtech , 17-Июл-10 23:08

Захлебнулась говорите???

"Несколько релизов в рамках проекта Netfilter"
Отправлено аноним , 18-Июл-10 00:57

Нет, просто главный баг архитектуры netfilter, с которого все начиналось (необходимость перезагружать всю таблицу при добавлении одного правила) успешно устраняется мейнстримным проектом xtables2, а все прочие соображения (синтаксис и т.п.) не являются весомыми аргументами.
В git-репе nftables несколько мелких коммитов от 6 июля, а до этого последние вообще были год назад. Разве это разработка?

"Несколько релизов в рамках проекта Netfilter"
Отправлено Аноним , 19-Июл-10 10:34

>Нет, просто главный баг архитектуры netfilter, с которого все начиналось (необходимость перезагружать
>всю таблицу при добавлении одного правила) успешно устраняется мейнстримным проектом xtables2,
>
Хм. А кто сказал, что это баг, когда это всю жизнь было фичей? Хочешь большой список правил - используй iptables-restore, всегда так жили.
И не могли бы Вы рассказать, как именно он устраняется в xtables2? До каких версий апгрейдиться, чтобы пощупать?
Сам по себе nftables - да, никому и не был нужен. Более того, на первый взгляд сильно усложнял работу с фаерволлом своим гораздо более идиотским синтаксисом.

"Несколько релизов в рамках проекта Netfilter"
Отправлено аноним , 19-Июл-10 12:44

>Хм. А кто сказал, что это баг, когда это всю жизнь было фичей? Хочешь большой список правил - используй iptables-restore, всегда так жили.
Теперь будем жить лучше =)
>И не могли бы Вы рассказать, как именно он устраняется в xtables2?
Как-то так
>The internal structure of the ruleset is switched from the serialized blob format (concatenated packed structs) to linked lists.
Подробности можно почитать здесь: http://lwn.net/Articles/345176
>До каких версий апгрейдиться, чтобы пощупать?
Это просто набор патчей, которые потихоньку коммитят в ядро. Обычные юзеры и админы не должны заметить никакой разницы - отличия будут видны только разработчикам.

"Несколько релизов в рамках проекта Netfilter"
Отправлено alexanderyt , 17-Июл-10 23:43

iplist vs ipset и что интереснее ?

"Несколько релизов в рамках проекта Netfilter"
Отправлено аноним , 18-Июл-10 01:01

>iplist vs ipset и что интереснее ?
Если кратко: ipset - для серверов, iplist+ipblock - для домохозяек.
Выбирайте в зависимости от задачи.

"Несколько релизов в рамках проекта Netfilter"
Отправлено Аноним , 18-Июл-10 00:46

Скорее бы взяли "под крыло" ipt_NETFLOW - единственная нормальная реализация экспорта netflow для Linux.

"Несколько релизов в рамках проекта Netfilter"
Отправлено аноним , 18-Июл-10 01:00

>Скорее бы взяли "под крыло" ipt_NETFLOW - единственная нормальная реализация экспорта netflow для Linux.
Раз не взяли, то, видимо, и не возьмут. Скорее для ulogd плагин сделают. Что вполне согласуется с линуксовой традицией весь потенциально опасный сетевой хлам (ppp и проч.) держать в юзерспейсе.

"Несколько релизов в рамках проекта Netfilter"
Отправлено Аноним , 18-Июл-10 16:19

Бедные процессоры.
ipt_NETFLOW — единственное решение, которое себя хорошо показало на высоконагруженном PPPoE-концентраторе.

"Несколько релизов в рамках проекта Netfilter"
Отправлено аноним , 19-Июл-10 03:26

Вы пробовали ulogd2? Говорят, во второй ветке его переписали с нуля, и он получился очень быстрым. Правда, пока что в netflow экспортировать не умеет =(

"взяли бы ipt_netflow под крыло..."
Отправлено Аноним , 19-Июл-10 10:20

>Бедные процессоры.
>
>ipt_NETFLOW — единственное решение, которое себя хорошо показало на высоконагруженном PPPoE-концентраторе.
Плюсую.
BTW, есть ли инфа, почему ещё не "взяли под крыло"? Что-то сходу ничего не нагуглилось. Где-нибудь в xtables-addons ему сейчас самое место.

"взяли бы ipt_netflow под крыло..."
Отправлено аноним , 19-Июл-10 12:49

>BTW, есть ли инфа, почему ещё не "взяли под крыло"? Что-то сходу
>ничего не нагуглилось. Где-нибудь в xtables-addons ему сейчас самое место.
Может, напишете человеку, который занимается xtables-addons (http://jengelh.medozas.de/contact/)?
Кстати, если вас не затруднит, отпишитесь потом здесь. Не то чтобы лично для меня судьба ipt_NETFLOW так уж важна, просто самому любопытно, в чем же дело.

"взяли бы ipt_netflow под крыло..."
Отправлено Zamir , 20-Июл-10 11:46

Думаю проблемы только из-за того что протокол разработан cisco и соответсвенно права принадлежат ей.

"Несколько релизов в рамках проекта Netfilter"
Отправлено goof.gooffy , 18-Июл-10 11:48

"проект Netfilter, занимающийся разработкой одноименного фреймворка"
фреймворк там, фреймворк тут. Нынче стало модно заменять все слова на "фреймворк"?

"Несколько релизов в рамках проекта Netfilter"
Отправлено Gular , 18-Июл-10 20:00

Кстати, подскажите, как задавать несколько подсетей в --dst у iptables. Нужен матч, или таки можно штатными средствами?

"Несколько релизов в рамках проекта Netfilter"
Отправлено аноним , 19-Июл-10 03:28

Начиная с 1.4.6 - можно.
iptables -A OUTPUT -d 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 -j ...
При этом автоматически добавятся три правила, каждое для одной подсети, в остальном одинаковые.