The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

03.08.2010 20:52  Релиз iptables 1.4.9

Вышла новая версия iptables — набора инструментов для управления IPv4- и IPv6-сегментами системы фильтрации и преобразования пакетов netfilter (сам netfilter является частью ядра Linux).

В iptables 1.4.9 реализована полная совместимость с вышедшим недавно ядром Linux 2.6.35, а также внесен ряд других улучшений:

  • Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила. Например, следующая последовательность команд обеспечит включение на одну секунду выбранного индикатора при поступлении входящего пакета на TCP-порт 22 (SSH):
    
          iptables -I INPUT -p tcp --dport 22 -j LED --led-trigger-id ssh --led-delay 1000
          echo netfilter-ssh > /sys/class/leds/имя_индикатора/trigger
    
  • Добавлена поддержка действия TEE, позволяющего выполнять зеркалирование определенного трафика на заданный хост. Например,
    
          iptables -t mangle -A PREROUTING -i eth0 -j TEE --gateway 192.168.0.2
    
    обеспечит копирование всего входящего через eth0 трафика и отправку его копии на хост 192.168.0.2 (хост-получатель должен находиться в одном сегменте сети с нашим хостом).

    Ранее это действие было доступно только в комплекте xtables-addons (данный проект является современным аналогом patch-o-matic).

  • Обновлены инструменты для обеспечения взаимодействия netfilter и ipset.

    ipset — набор модулей для ядра Linux и одноименная управляющая утилита, в совокупности обеспечивающие возможность хранить в памяти огромные списки IP-адресов, подсетей и портов, а также очень быстро проверять заданные адреса и порты на предмет нахождения в этих списках. Одно из ключевых новшеств ожидаемого в ближайшем будущем релиза ipset 5 — поддержка семейства адресов IPv6.

    Изменения, внесенные на уровне iptables в критерий set (этот критерий позволяет проверять адреса и порты обрабатываемых пакетов на наличие в заданных списках) и в действие SET (позволяет добавлять адреса и порты обрабатываемых пакетов в заданные списки, либо удалять из них), отражают грядущие нововведения — теперь эти инструменты можно вызывать не только из iptables, но и из ip6tables.

  • Добавлена возможность логического отрицания в критерии quota, что упрощает обработку пакетов, выходящих за рамки квоты.
  • Улучшена поддержка протокола SCTP: добавлено распознавание типа секции (chunk) FORWARD_TSN и флага SACK-IMMEDIATELY в DATA-секции.
  • Исправлен ряд мелких ошибок в коде и документации.


  1. Главная ссылка к новости (http://lists.netfilter.org/pip...)
  2. OpenNews: Релиз пакетного фильтра iptables 1.4.8
  3. OpenNews: Релиз пакетного фильтра iptables 1.4.7
  4. OpenNews: Вышло обновление пакетного фильтра iptables 1.4.6
Автор новости: Sergey Ptashnick
Тип: Программы
Ключевые слова: iptables, netfilter, firewall
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 22:14, 03/08/2010 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    А какие обычно индикаторы доступны системе ? Что-то кроме трех лампочек на клавиатуре в голову ничего не лезет :)
     
     
  • 2.3, ig0r (??), 22:16, 03/08/2010 [^] [ответить]    [к модератору]
  • +1 +/
    ещё есть роутеры, в которых полно лампочек
     
  • 2.7, Frank (??), 22:43, 03/08/2010 [^] [ответить]    [к модератору]
  • +/
    Судя по # ls /sys/class/leds/
    rt73usb-phy0::assoc  rt73usb-phy0::quality  rt73usb-phy0::radio
    мигать можно будет индикаторами устройств. Некоторых. Клавой, к сожалению, похоже не помигать :)
     
  • 2.14, User294 (ok), 23:59, 03/08/2010 [^] [ответить]    [к модератору]
  • +/
    > А какие обычно индикаторы доступны системе ?

    От системы зависит. В "SOHO" роутерах например LEDов весьма даже и фич выглядит весьма интересно :)

     
  • 1.2, Dganic (?), 22:15, 03/08/2010 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    А где не кто не встречал какойнибуть ман посвежей для иптаблес чтобы разрулить две сети с пересекающимися диапазонами?
     
     
  • 2.4, аноним (?), 22:24, 03/08/2010 [^] [ответить]    [к модератору]  
  • +/
    Почитайте обсуждение этой фичи в рассылке netfilter-devel, там много чего интересного.
    Например, http://marc.info/?l=netfilter-devel&m=126348347832526
     
  • 2.15, goof.gooffy (ok), 01:06, 04/08/2010 [^] [ответить]    [к модератору]  
  • +/
    >А где не кто не встречал какойнибуть ман посвежей для иптаблес чтобы
    >разрулить две сети с пересекающимися диапазонами?

    http://www.linux16.net/node/456

     
  • 2.42, Вячеслав (??), 14:00, 04/08/2010 [^] [ответить]    [к модератору]  
  • +/
    -j MAP
     
  • 1.5, zkrvova (ok), 22:27, 03/08/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • –7 +/
    А когда уже исправят глюк при одновременном запуске 2х копий iptables?!
     
     
  • 2.20, User294 (ok), 04:35, 04/08/2010 [^] [ответить]    [к модератору]  
  • +2 +/
    А что за глюк? oO И для чего может понадобиться 2 копии айпитаблеса одновременно?
     
     
  • 3.21, sashka_ua (?), 05:16, 04/08/2010 [^] [ответить]    [к модератору]  
  • +4 +/
    И как вообще может быть две копии iptables если это все ничего интерфейс к ядру?

    С.

     
  • 3.25, zkrvova (ok), 09:43, 04/08/2010 [^] [ответить]    [к модератору]  
  • –1 +/
    >А что за глюк? oO И для чего может понадобиться 2 копии
    >айпитаблеса одновременно?

    Ну линукс то система многозадачная. Разные скрипты могут отрабатывать одновременно, особенно по крону.

     
     
  • 4.30, Michael Shigorin (ok), 11:41, 04/08/2010 [^] [ответить]     [к модератору]  
  • +2 +/
    Глюк в разных скриптах исправляется использованием в них инновационной технологи... весь текст скрыт [показать]
     
     
  • 5.56, Mick (??), 12:41, 05/08/2010 [^] [ответить]     [к модератору]  
  • +1 +/
    На SIGKILL будут проблемы откройте для себя flock bin bash Wrapper... весь текст скрыт [показать]
     
     
  • 6.61, Michael Shigorin (ok), 14:39, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    >На SIGKILL будут проблемы.

    Ессно.

    >откройте для себя flock:

    Спасибо -- про flock(1) не знал, только про flock(2).

     
  • 1.6, Frank (??), 22:39, 03/08/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

    Мегарулез!! :))

     
     
  • 2.8, name (??), 23:09, 03/08/2010 [^] [ответить]    [к модератору]  
  • +5 +/
    На Новому Году подключить гирлянду и настроить мигание определянных ламночек на различные протоколы.
     
     
  • 3.75, Господь (?), 19:29, 16/08/2010 [^] [ответить]    [к модератору]  
  • +/
    И тогда можно будет по елке определять активность хакеров :-)
     
  • 1.9, Антон Касимов (?), 23:28, 03/08/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

    Еще одна очень полезная фича по пути к лучшему Файрволу. Линукс лучше всех. Правильной дорогой идут товарищи

     
     
     
    Часть нити удалена модератором

  • 3.18, User294 (ok), 04:32, 04/08/2010 [^] [ответить]     [к модератору]  
  • +3 +/
    Т е например индикация потенциально интересных админу срабатываний правил LEDам... весь текст скрыт [показать]
     
     
  • 4.22, VolanD (ok), 05:53, 04/08/2010 [^] [ответить]     [к модератору]  
  • +/
    Дык,этим не должен заниматься файрволл Короч, Билл одобряет эту новую фичу ... весь текст скрыт [показать]
     
     
  • 5.31, Michael Shigorin (ok), 11:44, 04/08/2010 [^] [ответить]     [к модератору]  
  • +2 +/
    А кто -- Александр Сергеич, что ли Или специально обученная разбиралка лога, н... весь текст скрыт [показать]
     
     
  • 6.32, filosofem (ok), 12:14, 04/08/2010 [^] [ответить]     [к модератору]  
  • –1 +/
    Давно iptables появилась функция измерения температуры, я это знаменательное соб... весь текст скрыт [показать]
     
     
  • 7.34, User294 (ok), 12:35, 04/08/2010 [^] [ответить]     [к модератору]  
  • +2 +/
    А почему файрвол должен заниматься измерением температуры Вот если он скажем за... весь текст скрыт [показать]
     
     
  • 8.36, filosofem (ok), 12:59, 04/08/2010 [^] [ответить]     [к модератору]  
  • –2 +/
    Вот и я тоже не понял при чем здесь температура И раз пошла такая пьянка, в сл... весь текст скрыт [показать]
     
     
  • 9.53, Денис Юсупов (?), 10:56, 05/08/2010 [^] [ответить]    [к модератору]  
  • –3 +/
    Ждём релиза 1.4.10, в котором будет реализована фича подачи звукового сообщения, и релиза 1.4.11, в котором будет реализована фича "ударь админа" и "пахни луком в серверную".
     
  • 9.72, iegrec (?), 14:47, 10/08/2010 [^] [ответить]    [к модератору]  
  • +/
    а как мне установить  iptables 1.4.9 если у меня стоит  iptables 1.4.1 ???

     
     
  • 10.73, Michael Shigorin (ok), 15:34, 10/08/2010 [^] [ответить]    [к модератору]  
  • +/
    >а как мне установить  iptables 1.4.9 если у меня стоит  
    >iptables 1.4.1 ???

    Зачем именно?

     
  • 7.62, Michael Shigorin (ok), 14:41, 06/08/2010 [^] [ответить]     [к модератору]  
  • +1 +/
    Не замечал, этим обычно занимаются аппаратные сенсоры с lm_sensors или ipmitool ... весь текст скрыт [показать]
     
  • 6.37, VolanD (ok), 13:03, 04/08/2010 [^] [ответить]     [к модератору]  
  • –6 +/
    gt оверквотинг удален Ну дык давайте понапихаем туда еще чего-нить полезного ... весь текст скрыт [показать]
     
     
  • 7.63, Michael Shigorin (ok), 14:43, 06/08/2010 [^] [ответить]     [к модератору]  
  • +/
    Понапихайте Примут -- продолжим разговор PS дяденьки, если что -- о том, как... весь текст скрыт [показать]
     
  • 5.33, User294 (ok), 12:30, 04/08/2010 [^] [ответить]     [к модератору]  
  • +2 +/
    Откуда это следует И кто вместо него И почему именно он Билл это который Тот... весь текст скрыт [показать]
     
     
  • 6.38, VolanD (ok), 13:04, 04/08/2010 [^] [ответить]     [к модератору]  
  • +/
    А у Вас на сервере ось от Билла О_о... весь текст скрыт [показать]
     
     
  • 7.57, User294 (ok), 15:23, 05/08/2010 [^] [ответить]     [к модератору]  
  • +/
    На моих серверах к счастью живут куда более подходящие для серверов оси А вот... весь текст скрыт [показать]
     
  • 1.12, Аноним (-), 23:49, 03/08/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Ну по суте же эта фича позволяет в реал тайме смотреть за процессом, она конечно не супер полезная, но удобная ....
     
  • 1.23, Gwynn (?), 08:38, 04/08/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Индикаторы то фигня, хотя для железячных роутеров и всяких встраиваемых решений как мне кажется очень удобно будет.
    А вот копирование трафика, это имхо мегарулез.
     
  • 1.24, Аноним (-), 09:29, 04/08/2010 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    хост-получатель должен находиться в одном сегменте сети с нашим хостом - эту нел... весь текст скрыт [показать]
     
     
  • 2.26, Аноним (-), 09:49, 04/08/2010 [^] [ответить]    [к модератору]  
  • +/
    Пробросом туннеля, очевидно же.
     
  • 2.27, онаним (?), 09:55, 04/08/2010 [^] [ответить]    [к модератору]  
  • +1 +/
    подозреваю, что для зеркалирования _Ethernet_ трафика мониторящий хост должен таки быть в одном сегменте сети с данным хостом.
     
     
  • 3.29, Alekz (?), 11:15, 04/08/2010 [^] [ответить]    [к модератору]  
  • +2 +/
    Есть мнение(с), что подразумевается зеркалирование ip-трафика. Тогда да, возможно зеркалированный трафик маршрутизировать только на level-2 (Ethernet).
     
     
  • 4.39, VolanD (ok), 13:07, 04/08/2010 [^] [ответить]    [к модератору]  
  • +/
    >Есть мнение(с), что подразумевается зеркалирование ip-трафика. Тогда да, возможно зеркалированный трафик маршрутизировать
    >только на level-2 (Ethernet).

    А почему так?

     
     
  • 5.41, ig0r (??), 13:30, 04/08/2010 [^] [ответить]    [к модератору]  
  • +1 +/
    потому что в таком случае не подразумевается изменения ip-заголовков пакетов
     
     
  • 6.44, VolanD (ok), 18:40, 04/08/2010 [^] [ответить]     [к модератору]  
  • +/
    Вы не подумайте, что я спорю с Вами, мне просто интересно Как не меняется, а ка... весь текст скрыт [показать]
     
     
  • 7.47, аноним (?), 19:08, 04/08/2010 [^] [ответить]    [к модератору]  
  • +/
    >Как не меняется,

    А вот так. Не меняется, и все тут.

    >а как тогда процесс зеркалирования происходит?

    Через хак. Грубо говоря, у копии подменяется mac-адрес хоста назначения.

     
  • 7.48, ig0r (??), 19:14, 04/08/2010 [^] [ответить]     [к модератору]  
  • +/
    если коротко - в пределах локальной сети не имеет значения что записано в ip-заг... весь текст скрыт [показать]
     
     
  • 8.49, VolanD (ok), 19:57, 04/08/2010 [^] [ответить]     [к модератору]  
  • +/
    Читал и не только о трех Но про это там не было написано Ок, а что тогда м... весь текст скрыт [показать]
     
     
  • 9.50, аноним (?), 22:01, 04/08/2010 [^] [ответить]    [к модератору]  
  • +/
    >Ок, а что тогда мешает поменять IP-заголовок ?

    Тогда вся затея теряет смысл.
    Вместо точной копии трафика получается какая-то фигня.

     
     
  • 10.51, VolanD (ok), 05:57, 05/08/2010 [^] [ответить]    [к модератору]  
  • +/
    Дык содержание пакета то не изменится же. Тем более насколько я понял МАК все таки меняется)))
     
     
  • 11.52, ig0r (??), 09:37, 05/08/2010 [^] [ответить]    [к модератору]  
  • +/
    а толку что содержимое не изменилось если вы не знаете кому предназначен пакет? для того чтобы проанализировать трафик вам нужно знать не только что в пакете, но и кому он предназначался.
     
  • 11.59, аноним (?), 17:34, 05/08/2010 [^] [ответить]     [к модератору]  
  • +/
    Важно не только содержание пакета, но и его заголовки Испортить их никогда не п... весь текст скрыт [показать]
     
  • 2.45, аноним (?), 19:04, 04/08/2010 [^] [ответить]     [к модератору]  
  • +/
    Это не нелепая ошибка, а необходимое ограничение точно так же, как и необходимо... весь текст скрыт [показать]
     
  • 1.35, Аноним (-), 12:38, 04/08/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    На удивление сдержанно к коментариям ведут себя владельцы BSD систем по поводу фичи моргания LEDами ;)
     
     
  • 2.46, аноним (?), 19:05, 04/08/2010 [^] [ответить]    [к модератору]  
  • +1 +/
    >На удивление сдержанно к коментариям ведут себя владельцы BSD систем по поводу
    >фичи моргания LEDами ;)

    Ждем netgraph-модулей и divert-прог с аналогичной функциональностью =)

     
     
  • 3.58, User294 (ok), 15:25, 05/08/2010 [^] [ответить]    [к модератору]  
  • +/
    Но есть одна мелкая фигня. Придется всего-то сначала портировать бздю на девайсы где на передней панели есть леды. В общем лет через 10 заходите, посмотрим что изменится.
     
     
  • 4.64, Michael Shigorin (ok), 14:47, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    >Придется всего-то сначала портировать бздю на девайсы
    >где на передней панели есть леды

    Повторюсь справедливости ради -- AFAIK в Draytek живёт опёнок.

     
     
  • 5.66, User294 (ok), 05:23, 09/08/2010 [^] [ответить]    [к модератору]  
  • +/
    >Повторюсь справедливости ради -- AFAIK в Draytek живёт опёнок.

    Если честно - я о такой фирме впервые слышу. Есть пруфлинк на описание что там в кишках? Мне достаточно интересно как они там ФС и утилиты по человечески сделали и прочая, бздю для этого надо мощно допиливать. Благо эффективных и удобных вещей типа squashfs опенбздя явно не умеет, да и бизибокс под "неудобной" GPL, etc. Но если это все-таки было сделано - то как обычно для BSDL, поделиться с остальными они забыли и все кто не Draytek - пролетают, да? Ну вот пусть и пролетают. С *BSD. А с линуксом не пролетают вот.

     
     
  • 6.68, Michael Shigorin (ok), 15:15, 09/08/2010 [^] [ответить]    [к модератору]  
  • +/
    >>Повторюсь справедливости ради -- AFAIK в Draytek живёт опёнок.
    >Если честно - я о такой фирме впервые слышу.

    Железки довольно неплохие.

    >Есть пруфлинк на описание что там в кишках?

    Не-а, только косвенные.  Искал как-то для persgray@ (Pererezus...).

    >если это все-таки было сделано - то как обычно для BSDL,
    >поделиться с остальными они забыли и все кто не Draytek -
    >пролетают, да?

    Да, исходников никаких не видел.

     
  • 1.40, ВалераСНевы (?), 13:23, 04/08/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    можно написать скриптик чтобы и на клаве мигали диоды
     
     
  • 2.43, юзер (??), 18:02, 04/08/2010 [^] [ответить]    [к модератору]  
  • +4 +/
    скриптик... через скриптик можно и мониторчиком поморгать, а если добавить релюшку, то и светом у соседа)
     
  • 1.54, nitrogear (?), 11:25, 05/08/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Фигня это лед-моргание - толку 0. Никто по-серьезному не будет на это надеяться, иначе нужно сажать специального человека, который бы наблюдал за этими ледами. Сделали бы уже просто выполнение действия --do-something, на которое можно повесить запуск своего скрипта, которым можно хоть леды включать или СД-лоток дергать, которые привязан к горшку на полке ;-)
     
     
  • 2.55, makky (?), 12:34, 05/08/2010 [^] [ответить]    [к модератору]  
  • –2 +/
    Вспомните эпизод в сериале it crowd, когда гота только обнаружила руководитель отдела... Она: а чем вы тут занимаетесь?
    Он: я должен следить за лампочками.. Обычно они веду себя нормально.. Вот смотрите: миг-миг.. двойное мигание - это необычно.. В такие моменты я просто отворачиваюсь...

    А я, как владелец BSD, в очередной раз понял, что надо сменить мою BSD на 5-6 линуксов, т.к. моя система отстой, логи и оповещения все это устарело и никому теперь не нужно.

     
     
  • 3.65, Michael Shigorin (ok), 14:49, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    >логи и оповещения все это устарело и никому теперь не нужно.

    Не плачьте так горько, одно другому не мешает -- даже с домашних wifi-мыльниц некоторые исправно вытаскивают syslog, но и светодиоды не отпаивают. :)

     
  • 3.67, User294 (ok), 05:25, 09/08/2010 [^] [ответить]    [к модератору]  
  • +/
    >логи и оповещения все это устарело и никому теперь не нужно.

    Логи и оповещения - это круто. Но посмотреть на LED в 10-сантиметровой коробочки - в десятки раз быстрее чем отрыть в логах то же самое. При том не всегда нужен вербозный отчет, черт возьми.

     
  • 2.60, аноним (?), 17:36, 05/08/2010 [^] [ответить]    [к модератору]  
  • +/
    >Сделали бы уже просто выполнение действия --do-something, на которое можно повесить запуск своего скрипта, которым можно хоть леды включать или СД-лоток дергать, которые привязан к горшку на полке

    Если бы так можно было сделать, давно бы уже сделали.
    Проблема в том, что запускать скрипты напрямую из ядра несколько затруднительно.

     
     
  • 3.69, gambit (?), 15:39, 09/08/2010 [^] [ответить]    [к модератору]  
  • +/
    Занимательная функция, при желании можно даже морзянкой данные передавать... пару правил, для длинных и коротких, и соответствующий генератор пакетов на той стороне...
    Добавили фитчу, пусть будет, иногда жизнь забавнее самой изощрённой фантазии.
     
  • 3.70, Гентушник (ok), 22:57, 09/08/2010 [^] [ответить]    [к модератору]  
  • +/
    >Проблема в том, что запускать скрипты напрямую из ядра несколько затруднительно.

    А в чём сложность? call_usermodehelper и готово. если выставить вменяемые тайминги между запусками(чтобы предотвратить DOS), то по теории всё просто.

     
  • 1.71, Гентушник (ok), 23:01, 09/08/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Кто тестил TEE, скажите, ловится ли уже отзеркалированный траффик в iptables? Или как с MIRROR?
     
     
  • 2.74, аноним (?), 20:03, 12/08/2010 [^] [ответить]    [к модератору]  
  • +/
    Насколько я помню, этот трафик нигде не светится. В маршрутизации и фаерволе точно, насчет шейпера не проверял.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor