Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Выпуск пакетного фильтра nftables 1.0.3, opennews (ok), 01-Июн-22, (0) [смотреть все] И сюда NFT добралось, Zenitur (ok), 14:08 , 01-Июн-22, (1) +1 // Соглы, не нужно , Robin Hood (?), 13:04 , 04-Июн-22, (70) +1 Полезняшка, особенно если списки часто меняются Впервые за долгое время что-то , mumu (ok), 14:13 , 01-Июн-22, (2) +4 // Тикль крут сам по себе , Покойник (?), 14:15 , 01-Июн-22, (3) –1 // У вас там , Аноним (7), 16:04 , 01-Июн-22, (7) Говняшка Если что-то добавляется, то расчитываешь, что оно там и будет Потом г, Mikk (??), 14:21 , 01-Июн-22, (4) –8 // Так там греп бесполезен - это ж неосиляторы юникса изобрели Грепом они пользова, пох. (?), 15:55 , 01-Июн-22, (6) –4   // Я сейчас использую обратно совместимый вариант Всё работает без погрешностей П, Аноним (8), 16:20 , 01-Июн-22, (8)   Удачи вам почитать грепом wtmp, блин Да и вообще, умилительное зрелище, когда пр, Аноним (10), 16:27 , 01-Июн-22, (10)   т е команду strings ты так и ниасилил , 1 (??), 16:43 , 01-Июн-22, (12)   last обеспечивает вполне читаемый грепом вывод, без всякого node js парсера Нео, пох. (?), 17:44 , 01-Июн-22, (17) –4   wtmp пусть читает last возможно, когда делали wtmp бинарным, имели в виду это б, john_erohin (?), 17:47 , 01-Июн-22, (19) +1   В коммерческих юниксах и логи аудита бинарные Тем более забавно видеть всякие a, Аноним (10), 17:59 , 01-Июн-22, (23) –1   Казалось бы, при чём здесь Поттеринг, бинарные логи в systemd , Аноним (7), 18:11 , 01-Июн-22, (28)   Всё это было появилось в юниксах ещё в 1993 Поттеринг на самом деле мало чего но, Аноним (50), 12:58 , 02-Июн-22, (50) +1   Был дух лабораторного юникс, простого и ортогонального, и были коммерческие юник, www2 (??), 07:31 , 08-Июн-22, (71)   оно так и есть, только не keyvalue а специфический стор, причем - sparse file, п, пох. (?), 18:33 , 01-Июн-22, (32)   Так и не было никогда За вменяемым синтаксисом - в bsd, но там возможностей недо, User (??), 19:46 , 01-Июн-22, (38)   Все нормально было в iptables с синтаксисом И человекочитаемый, и удобоотлажива, пох. (?), 22:16 , 01-Июн-22, (40) +2   Не-не-не, Девид Блейн Вот смотри простое правило ipfw add allow proto from to , User (??), 07:51 , 02-Июн-22, (46) +2   а на реальный конфиг смотрят такие ТРИ человека со знанием предметной области - , пох. (?), 08:06 , 02-Июн-22, (47)   Порог вхождения , однако Три человека со знанием ЗАКЛИНАНИЯ -Жи ассепт Тут ни, User (??), 13:16 , 02-Июн-22, (51)   пороги там давно были пройдены Просто оно нечеловекочитаемо могу с точностью до, пох. (?), 17:13 , 02-Июн-22, (53)   На этой стадии ваш наставник должен дать вам по рукам Ну, или если вы не джун - , Аноним (10), 16:23 , 01-Июн-22, (9) // и зазубрить еще стопиццот бессмысленных заклинаний безусловно, высокого умища п, пох. (?), 17:41 , 01-Июн-22, (16) Необязательно зубрить, достаточно уметь читать Потому что клиповое мышление не п, Аноним (10), 17:53 , 01-Июн-22, (20) +2 Безусловно, каждая ерундовая операция требует почитания нет дурачок, это у тебя , пох. (?), 18:29 , 01-Июн-22, (30) +1 Угу, одна книжка на все юниксы А как с реальными системами работать начинаешь, , Аноним (35), 18:57 , 01-Июн-22, (35) grep, awk и sed у юниксвари были точно такие же ну ок, были у них специфичные г, пох. (?), 22:19 , 01-Июн-22, (41) –1 да не было никакой системы, система явно склеена из разномастных кусков линуксо, edo (ok), 04:01 , 02-Июн-22, (43) аж двух - bsd и sysv - и да, про это тоже написано в книжке 85го года Но некогд, пох. (?), 07:50 , 02-Июн-22, (45) Классика ригидного сознания помноженная на магическое мышление , Аноним (57), 19:44 , 02-Июн-22, (57) Данная вам подсказка работает точно так же, как ipset test Собственно, эта фича, Аноним (35), 17:57 , 01-Июн-22, (22) +1 get element в мозгах девляпсов переводится как test Ну ооок Чем дальше от ваш, пох. (?), 18:39 , 01-Июн-22, (34) Все же чтобы с апломбом вещать благоглупости, стоило бы с обсуждаемым предметом , Аноним (35), 19:02 , 01-Июн-22, (36) Ъ Даже 2Ъ grep - он ОДИН и для ВСЕГО что есть строка А выяснять, что кому в ка, User (??), 19:41 , 01-Июн-22, (37) +1 Эх, вот если бы ещё реальность была такая же точно 8212 однотипная, один раз , Аноним (57), 19:49 , 02-Июн-22, (58) +1 Ну да, ну да И колесо чот давненько круглое Добавлю-ка я углов, в этой семанти, User (??), 04:55 , 03-Июн-22, (65) Разрабы и пользователи ipset смотрят на вас с некоторым удивлением , Аноним (35), 17:47 , 01-Июн-22, (18) // Сейчас прибежит пох и скажет, что на его вин Wюниксе никакого ipset нет, а пот, Аноним (10), 17:56 , 01-Июн-22, (21) ну да, костыль же Причем украденый у фряхи где, в силу родовой травмы, по друго, пох. (?), 18:37 , 01-Июн-22, (33) Уборщику из ДЦ невдомёк, что окружения бывают динамическими Применить правило X, Аноним (57), 19:42 , 02-Июн-22, (56) судя по твоим истошным взвизгам - тебя и в уборщики не берут Собственно, квалифи, пох. (?), 22:06 , 02-Июн-22, (60) Тут ты прав, не берут Но я и не просился никогда У меня-то проблемы разобратьс, Аноним (63), 02:01 , 03-Июн-22, (63) угу, все сплошь в очереди - запили нам что-нить на новейшем еще недоделанном ин, пох. (?), 09:19 , 03-Июн-22, (67) Придёшь, когда правил хотя бы 10к будет, пообщаемся , Аноним (63), 02:02 , 03-Июн-22, (64) А зачем мне общаться с подобными м-ками Безусловно каждому васяну с локалхостом,, пох. (?), 09:16 , 03-Июн-22, (66) А если захочешь убавить , Аноним (13), 17:11 , 01-Июн-22, (13) // Отработает и выдаст другой набор элементов, с учетом удаленного , Аноним (35), 18:02 , 01-Июн-22, (24) Ага, только это не виртуальная машина eBPF, которая тоже есть в Linux Почему Н, Аноним (14), 17:38 , 01-Июн-22, (14) // Была запилена раньше, чем в ядре появилось BPF , Аноним (7), 18:04 , 01-Июн-22, (25) // при попытке запилить в ведре что-то хотя бы отдаленно похожее на уже имеющееся -, пох. (?), 22:09 , 02-Июн-22, (61) // Тоже склоняюсь к мнению, что авторы идеи с BPF - уважаемые люди в около керне, Аноним (7), 12:31 , 03-Июн-22, (68) Так просвети глупцов, Анончик (?), 20:48 , 01-Июн-22, (39) Исключение двух именованых списков не работает iifname int_ifs ip daddr s, andy (??), 17:41 , 01-Июн-22, (15) // Вложенные списки в принципе обещаны , Аноним (35), 18:05 , 01-Июн-22, (26) Кто подскажет, что существенно изменилось при переходе с 0 9 9 на 1 0 Правила, , Аноним (7), 18:07 , 01-Июн-22, (27) // ты чего, совсем слепой - девятку от единички отличить не можешь Сейчас местные н, пох. (?), 22:11 , 02-Июн-22, (62) В ansible нет модуля поэтому пока ждём , Аноним (29), 18:26 , 01-Июн-22, (29) –2 // Воистину девляпс , пох. (?), 18:30 , 01-Июн-22, (31) +2 Как запретить выход в сеть приложениям Какой там аналог -m cgroup --path user s, Аноним (42), 00:16 , 02-Июн-22, (42) // meta cgroup 4096 drop или что-то такоеcgroup ы в meta модуле есть, lockywolf (ok), 06:11 , 02-Июн-22, (44) Оно еще не deprecated , test1559 (?), 09:30 , 02-Июн-22, (48) // Его же не Поттеринг запилил , Аноним (7), 11:33 , 02-Июн-22, (49) // Так мой системный менеджер и не deprecated , поцтеринг (?), 17:21 , 02-Июн-22, (55) // Твой аудиосервер депрекейтед , Аноним (7), 12:34 , 03-Июн-22, (69) А для не_марсиан ничего нету Ну и да летят года,меняются версии, а документация, Аноним (52), 14:33 , 02-Июн-22, (52) // _уже_ нету разработчикам и читать-то ее некогда, а ты хочешь чтоб ее писали Впро, пох. (?), 17:20 , 02-Июн-22, (54) +1 Стыдно на опеннете про документацию жаловаться Тут же каждый матёрый сишник, пи, Аноним (57), 19:51 , 02-Июн-22, (59) 1,2,13,14,15,27,29,42,48,52

Сообщения

[Сортировка по времени | RSS]

	6. "Выпуск пакетного фильтра nftables 1.0.3"	–4 +/–
	Сообщение от пох. (?), 01-Июн-22, 15:55
	Так там греп бесполезен - это ж неосиляторы юникса изобрели. Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки, а не загадочные скобочки пятнадцати разновидностей. Вон, в json выводи и интуитивно-приятно парси его. После этого удивляться что что-то куда-то пропало уже будет и несмешно даже. А лучше просто учи синтаксис firewalld. Все равно докеры шмокеры там поперек тебя лазят и после них руками уже ничего нормально не исправить. Все, нет в лиnoopsе нормального пакетного фильтра, для людей, хотели как ввенде - нате вам. А этот бред из текста новости - все равно ни понять, ни отлаживать не получится.                    udp length 47-63 @th,160,128 0x0e373135363130333131303735353203 goto nat_dns_dnstc - ну просто ж прекрасное. Уже и похрен куда его уоптимизирует - его только выкрасить и выбросить можно.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от Аноним (8), 01-Июн-22, 16:20
	Я сейчас использую обратно совместимый вариант. Всё работает без погрешностей. При миграции только имена команд подправил и все взлетело.
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от Аноним (10), 01-Июн-22, 16:27
	> Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки Удачи вам почитать грепом wtmp, блин. Да и вообще, умилительное зрелище, когда приходит подоконник и начинает учить, как оно на юниксе должно быть, а сам максимум фрю под вмварью видел.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	12. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от 1 (??), 01-Июн-22, 16:43
	> Удачи вам почитать грепом wtmp, блин. т.е. команду strings ты так и ниасилил ?
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Выпуск пакетного фильтра nftables 1.0.3"	–4 +/–
	Сообщение от пох. (?), 01-Июн-22, 17:44
	>> Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки > Удачи вам почитать грепом wtmp, блин. last обеспечивает вполне читаемый грепом вывод, без всякого node.js парсера. Неожиданное открытие? > Да и вообще, умилительное зрелище, когда приходит подоконник и начинает учить, как > оно на юниксе должно быть, а сам максимум фрю под вмварью > видел. ну вот и не приходи сюда. Со своими привычками "как в венде". Впрочем, поздно уже, конечно. Разработчики стали такие же точно. Причем и винду тоже не умеют.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	19. "Выпуск пакетного фильтра nftables 1.0.3"	+1 +/–
	Сообщение от john_erohin (?), 01-Июн-22, 17:47
	wtmp пусть читает last. возможно, когда делали wtmp бинарным, имели в виду "это будет база данных навроде BerkleyDB".
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	23. "Выпуск пакетного фильтра nftables 1.0.3"	–1 +/–
	Сообщение от Аноним (10), 01-Июн-22, 17:59
	В коммерческих юниксах и логи аудита бинарные. (Тем более забавно видеть всякие ausearch и aureport в линуксах, где логи аудита всегда были текстовые)
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от Аноним (7), 01-Июн-22, 18:11
	>В коммерческих юниксах и логи аудита бинарные. Казалось бы, при чём здесь Поттеринг, бинарные логи в systemd...
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Выпуск пакетного фильтра nftables 1.0.3"	+1 +/–
	Сообщение от Аноним (50), 02-Июн-22, 12:58
	Всё это было появилось в юниксах ещё в 1993. Поттеринг на самом деле мало чего нового (так, чтобы аналогофнет) предложил в 2010 - просто более или менее довёл линукс до паритета возможностей с коммерческими юниксами. Тем смешнее была клоунада "защитников старого доброго Unix way", которые этих юниксов в глаза не видели и фич не узнали.
	Ответить | Правка | Наверх | Cообщить модератору

	71. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от www2 (??), 08-Июн-22, 07:31
	Был дух лабораторного юникс, простого и ортогонального, и были коммерческие юниксы, сложного и избыточного. Коммерческие юниксы никогда не соответствовали духу лабораторного юникса.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от пох. (?), 01-Июн-22, 18:33
	> wtmp пусть читает last. > возможно, когда делали wtmp бинарным, имели в виду "это будет база данных > навроде BerkleyDB". оно так и есть, только не keyvalue а специфический стор, причем - sparse file, поскольку хранит не "лог" а состояние "на сейчас". Не самое удачное изобретение, если честно (его регулярно пытаются переизобрести, но каждый раз получается еще хуже чем было). Но таки да - инструментарий для работы с ним по прежнему укладывается в юникс-парадигму, его писали - давно.
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

	38. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от User (??), 01-Июн-22, 19:46
	Так и не было никогда. За вменяемым синтаксисом - в bsd, но там возможностей недоклали, а в последнее время и просто "клали" - костыли. А, ну ещё в какую циску, да. Там конечно "море легаси", но в ем свои плюсы.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	40. "Выпуск пакетного фильтра nftables 1.0.3"	+2 +/–
	Сообщение от пох. (?), 01-Июн-22, 22:16
	Все нормально было в iptables с синтаксисом. И человекочитаемый, и удобоотлаживаемый, чего не хватало - ну, фейсбуку понятно чего - бабла. В bsd ничего вменяемого нет - либо простыня ipfw с юзерхелпером (б-же мой, какое у нас тысячелетье-то на дворе) для nat, как только их больше одного - хрен ты уже разберешь кто там на ком стоял. Либо совершенно невменяемый криво-косо и с опозданием на пять лет портированный из openbsd. С юзерхелперами для протоколов сложнее голого udp. И про циску тоже не надо мне тут: nat (inside,outside) source static vcenter interface service vcenter-1 vcenter-1 nat (inside,outside) source static vcenter interface service vcenter-web vcenter-web nat (inside,outside) source static vcenter interface service vcenter-control-web vcenter-control-web nat (inside,outside) source static vcenter interface service vcenter-console-web vcenter-console-web nat (inside,outside) source static vcenter interface service https https no-proxy-arp ШИ-ТО тут написано и почему ОНО так, к лесу в известной позе, а к тебе почему-то передом?! Нет, это работающие правила, static Dnat для доступа ИЗВНЕ. Нет, интерфейс outside там где и должен был бы быть. Это у меня еще нет синтаксиса через object-groups, тоже задом-наперед, а без пол-банки я тебе его не напишу с первой попытки правильно. На фоне этого страшилища iptables-то просто откровение дарованное нам с рыжым. Его можно было просто читать (да, не тратя времени на пережевывание и зубреж простыни манов, если тебе не надо было что-то совсем уж экзотического).
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Выпуск пакетного фильтра nftables 1.0.3"	+2 +/–
	Сообщение от User (??), 02-Июн-22, 07:51
	Не-не-не, Девид Блейн! Вот смотри: простое правило ipfw add allow proto from to несёт 0 - "ноль" дополнительных уровней абстракции и читается любым человеком даже без знания предметной области. Да, в реальном мире у нас тут же появляются setup keep-state/check-state, но! Это абстракции уровня "предметной области", а не "инструмента". Сравните с ай-пи-табляйс - тут же, на входе - две чисто инструментальных концепции - "таблицы" и "цепочки", которые Никак не кореллируют с предметной областью. Патамучта-патаму. Это даже если не говорить про в доску упоротый синтаксис с мешаниной --\-, больших-маленьких букв (которые опять же, никому без мануала ни о чем не говорят) --и-длинных-слов. Простые вещи должны делаться просто, не? Да, эта простота провоцирует разростание простыней (плюс куча goto, ой, skip), плюс сколько-нибудь сложные вещи становятся нумнэээ... Такоэ. Ну так сколько ж ему годиков? Вот в ПФ (опенбсдшного изводу особенно) done right - простые вещи делаются просто, сложные - немного сложнее. правда каких-либо причин делать хоть какие-то вещи на опенбсде я не нахожу (Простые с тем или иным геморроем делаются и другими инструментами, а сложные опенбсдя в общем-то не тянет. Теоретически какбыда, а на практике - нихрена) - но сам инструмент с т.з. пользователя хороший. Тут ей-ей, файрволлд - шаг в правильном направлении. Большинство простых юзкейсов он покрывает, позволяя при этом решать сложные задачи низкоуровневыми инструментами. Но чисто его по возможностям даже и айпифв сравнивать смишно - чисто линуксовая поизнедоделка, без (nf|ip)tables потребности не покрывает, а они - см. Выше.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от пох. (?), 02-Июн-22, 08:06
	> любым человеком даже без знания предметной области. а на реальный конфиг смотрят такие ТРИ человека со знанием предметной области - и не могут быстро найти где же ошибка в этой адовой простыне и почему сеть сломалась и на какой "skipto" они не попали. Понятно что ты можешь скопировать эту чушь в iptables (не, не можешь, потому что nat все же отделен от фильтра) и сделать похожую нечитабельную простыню на пять экранов, но первое что сделают при ее разборе, если беглый взгляд не помог найти проблему - аккуратно нарежут на ломтики отдельных цепочек, чтобы каждую было можно охватить взглядом и отлаживать отдельно. > так сколько ж ему годиков? ну так в этом и проблема - за эвонсколько годиков (три всего) в линуксе ушли от плоской простыни навсегда, а эти так и остались с ней в обнимку. Теперь там еще и fibers в той же плоской простыне. Циска на то и ентерпрайс что ей понадобилось всего лишь 20 лет чтобы это понять (в asa v8 сделали таки acl'и работающими с уже оттранслированными адресами как в линухе, до того был "bsd way") > Тут ей-ей, файрволлд - шаг в правильном направлении. увы, но ровно под него и прогнулись (это ж редгад, попробуй покривляйся золотому спонсору) - весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей дряни, решающей за тебя как настраивать фильтры. В коде они с удовольствием будут парсить json. Причем "какввенде" опять почему-то не вышло, место чоль проклято, вышла неудобная неуправляемая фигня. Зато она в rhel поэтому это ваше будущее.
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от User (??), 02-Июн-22, 13:16
	>а на реальный конфиг смотрят такие ТРИ человека со знанием предметной области "Порог вхождения", однако. Три человека со знанием ЗАКЛИНАНИЯ -Жи ассепт! Тут ничем не лучше. >Понятно что ты можешь скопировать эту чушь в iptables Так не можешь). Если бы "мог" вопросов бы не было - простые вещи просто, сложные - чуть сложнее. А тут тебе сразу на входе куча синтаксического мусора + концепций инструмента. В этом-то и претензия >ну так в этом и проблема - за эвонсколько годиков Угу. Проблема. Ну так и не надо в как-там по молодёжному? 2к22? Айпифэвэ насиловать). Есть пф. >весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей дряни, решающей за тебя как настраивать фильтры Ну, не знаю как ты - а я распедалить что там в 33 слоя насрано на ноде кубера в сколько-нибудь разумное время вот в принципе не смогу. Всё, лоу-левел не для меня, дайте мне тогда простой инструмент высокого уровня который будет решать _мои_ а не куберодокероштотатам задачи, в идеале - не ломая этот штотатам нафиг. Плевать уже что там под капотом, все равно я туда не полезу. И тут проблема не в том, что firewalld это такой ipfw - а в том, что он "плохой ipfw").
	Ответить | Правка | Наверх | Cообщить модератору

	53. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от пох. (?), 02-Июн-22, 17:13
	> "Порог вхождения", однако. пороги там давно были пройдены. Просто оно нечеловекочитаемо. > Так не можешь). могу с точностью до синтаксиса - оно ж ничего толком не умеет. Правда скипы придется реализовывать через отдельные цепочки, поэтому все равно читаемей получится чем оригинал плоской простыней. > Есть пф. ничем не лучше, увы. Сложные вещи на нем делаются черезмерно запутанно и простые тоже можно ухитриться сделать так что потом хрен разберешься как работало. >> весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей >> дряни, решающей за тебя как настраивать фильтры > Ну, не знаю как ты - а я распедалить что там в 33 слоя насрано на ноде кубера в сколько-нибудь мущина, ну вам же сказали - это не для вас. для вас firewalldЕ! А это - для роботов, т-поватых но старательных. > разумное время вот в принципе не смогу. ну сможешь, допустим (там-то ничего особо сложного нет, только кривое) -  а толку? Все равно же лезть руками туда совершенно бессмысленно, не будешь же ты свою систему управления кодить.  Расслабьтесь, фиреволом в модном современном линoops'е уже управляете не вы.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема