The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

03.08.2010 20:52  Релиз iptables 1.4.9

Вышла новая версия iptables — набора инструментов для управления IPv4- и IPv6-сегментами системы фильтрации и преобразования пакетов netfilter (сам netfilter является частью ядра Linux).

В iptables 1.4.9 реализована полная совместимость с вышедшим недавно ядром Linux 2.6.35, а также внесен ряд других улучшений:

  • Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила. Например, следующая последовательность команд обеспечит включение на одну секунду выбранного индикатора при поступлении входящего пакета на TCP-порт 22 (SSH):
    
          iptables -I INPUT -p tcp --dport 22 -j LED --led-trigger-id ssh --led-delay 1000
          echo netfilter-ssh > /sys/class/leds/имя_индикатора/trigger
    
  • Добавлена поддержка действия TEE, позволяющего выполнять зеркалирование определенного трафика на заданный хост. Например,
    
          iptables -t mangle -A PREROUTING -i eth0 -j TEE --gateway 192.168.0.2
    
    обеспечит копирование всего входящего через eth0 трафика и отправку его копии на хост 192.168.0.2 (хост-получатель должен находиться в одном сегменте сети с нашим хостом).

    Ранее это действие было доступно только в комплекте xtables-addons (данный проект является современным аналогом patch-o-matic).

  • Обновлены инструменты для обеспечения взаимодействия netfilter и ipset.

    ipset — набор модулей для ядра Linux и одноименная управляющая утилита, в совокупности обеспечивающие возможность хранить в памяти огромные списки IP-адресов, подсетей и портов, а также очень быстро проверять заданные адреса и порты на предмет нахождения в этих списках. Одно из ключевых новшеств ожидаемого в ближайшем будущем релиза ipset 5 — поддержка семейства адресов IPv6.

    Изменения, внесенные на уровне iptables в критерий set (этот критерий позволяет проверять адреса и порты обрабатываемых пакетов на наличие в заданных списках) и в действие SET (позволяет добавлять адреса и порты обрабатываемых пакетов в заданные списки, либо удалять из них), отражают грядущие нововведения — теперь эти инструменты можно вызывать не только из iptables, но и из ip6tables.

  • Добавлена возможность логического отрицания в критерии quota, что упрощает обработку пакетов, выходящих за рамки квоты.
  • Улучшена поддержка протокола SCTP: добавлено распознавание типа секции (chunk) FORWARD_TSN и флага SACK-IMMEDIATELY в DATA-секции.
  • Исправлен ряд мелких ошибок в коде и документации.


  1. Главная ссылка к новости (http://lists.netfilter.org/pip...)
  2. OpenNews: Релиз пакетного фильтра iptables 1.4.8
  3. OpenNews: Релиз пакетного фильтра iptables 1.4.7
  4. OpenNews: Вышло обновление пакетного фильтра iptables 1.4.6
Автор новости: Sergey Ptashnick
Тип: Программы
Ключевые слова: iptables, netfilter, firewall
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 22:14, 03/08/2010 [ответить] [смотреть все]
  • +/
    А какие обычно индикаторы доступны системе Что-то кроме трех лампочек на клави... весь текст скрыт [показать]
     
     
  • 2.3, ig0r, 22:16, 03/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    ещё есть роутеры, в которых полно лампочек
     
  • 2.7, Frank, 22:43, 03/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Судя по ls sys class leds rt73usb-phy0 assoc rt73usb-phy0 quality rt73us... весь текст скрыт [показать] [показать ветку]
     
  • 2.14, User294, 23:59, 03/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    От системы зависит В SOHO роутерах например LEDов весьма даже и фич выглядит ... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, Dganic, 22:15, 03/08/2010 [ответить] [смотреть все]  
  • +/
    А где не кто не встречал какойнибуть ман посвежей для иптаблес чтобы разрулить две сети с пересекающимися диапазонами?
     
     
  • 2.4, аноним, 22:24, 03/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Почитайте обсуждение этой фичи в рассылке netfilter-devel, там много чего интере... весь текст скрыт [показать] [показать ветку]
     
  • 2.15, goof.gooffy, 01:06, 04/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    http www linux16 net node 456... весь текст скрыт [показать] [показать ветку]
     
  • 2.42, Вячеслав, 14:00, 04/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    -j MAP
     
  • 1.5, zkrvova, 22:27, 03/08/2010 [ответить] [смотреть все]  
  • –7 +/
    А когда уже исправят глюк при одновременном запуске 2х копий iptables?!
     
     
  • 2.20, User294, 04:35, 04/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    А что за глюк oO И для чего может понадобиться 2 копии айпитаблеса одновременно... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, sashka_ua, 05:16, 04/08/2010 [^] [ответить] [смотреть все]  
  • +4 +/
    И как вообще может быть две копии iptables если это все ничего интерфейс к ядру ... весь текст скрыт [показать]
     
  • 3.25, zkrvova, 09:43, 04/08/2010 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну линукс то система многозадачная Разные скрипты могут отрабатывать одновремен... весь текст скрыт [показать]
     
     
  • 4.30, Michael Shigorin, 11:41, 04/08/2010 [^] [ответить] [смотреть все]  
  • +2 +/
    Глюк в разных скриптах исправляется использованием в них инновационной технологи... весь текст скрыт [показать]
     
     
  • 5.56, Mick, 12:41, 05/08/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    На SIGKILL будут проблемы откройте для себя flock bin bash Wrapper... весь текст скрыт [показать]
     
     
  • 6.61, Michael Shigorin, 14:39, 06/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Ессно Спасибо -- про flock 1 не знал, только про flock 2 ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (6)

  • 1.6, Frank, 22:39, 03/08/2010 [ответить] [смотреть все]  
  • +2 +/
    > Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

    Мегарулез!! :))

     
     
  • 2.8, name, 23:09, 03/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    На Новому Году подключить гирлянду и настроить мигание определянных ламночек на ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.75, Господь, 19:29, 16/08/2010 [^] [ответить] [смотреть все]  
  • +/
    И тогда можно будет по елке определять активность хакеров :-)
     
  • 1.9, Антон Касимов, 23:28, 03/08/2010 [ответить] [смотреть все]  
  • +1 +/
    >> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

    Еще одна очень полезная фича по пути к лучшему Файрволу. Линукс лучше всех. Правильной дорогой идут товарищи

     
     
     
    Часть нити удалена модератором

  • 3.18, User294, 04:32, 04/08/2010 [^] [ответить] [смотреть все]  
  • +3 +/
    Т е например индикация потенциально интересных админу срабатываний правил LEDам... весь текст скрыт [показать]
     
     
  • 4.22, VolanD, 05:53, 04/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Дык,этим не должен заниматься файрволл Короч, Билл одобряет эту новую фичу ... весь текст скрыт [показать]
     
     
  • 5.31, Michael Shigorin, 11:44, 04/08/2010 [^] [ответить] [смотреть все]  
  • +2 +/
    А кто -- Александр Сергеич, что ли Или специально обученная разбиралка лога, н... весь текст скрыт [показать]
     
     
  • 6.32, filosofem, 12:14, 04/08/2010 [^] [ответить] [смотреть все]  
  • –1 +/
    Давно iptables появилась функция измерения температуры, я это знаменательное соб... весь текст скрыт [показать]
     
     
  • 7.34, User294, 12:35, 04/08/2010 [^] [ответить] [смотреть все]  
  • +2 +/
    А почему файрвол должен заниматься измерением температуры Вот если он скажем за... весь текст скрыт [показать]
     
     
  • 8.36, filosofem, 12:59, 04/08/2010 [^] [ответить] [смотреть все]  
  • –2 +/
    Вот и я тоже не понял при чем здесь температура И раз пошла такая пьянка, в сл... весь текст скрыт [показать]
     
     
  • 9.53, Денис Юсупов, 10:56, 05/08/2010 [^] [ответить] [смотреть все]  
  • –3 +/
    Ждём релиза 1 4 10, в котором будет реализована фича подачи звукового сообщения,... весь текст скрыт [показать]
     
  • 9.72, iegrec, 14:47, 10/08/2010 [^] [ответить] [смотреть все]  
  • +/
    а как мне установить  iptables 1.4.9 если у меня стоит  iptables 1.4.1 ???

     
     
  • 10.73, Michael Shigorin, 15:34, 10/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Зачем именно ... весь текст скрыт [показать]
     
  • 7.62, Michael Shigorin, 14:41, 06/08/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    Не замечал, этим обычно занимаются аппаратные сенсоры с lm_sensors или ipmitool ... весь текст скрыт [показать]
     
  • 6.37, VolanD, 13:03, 04/08/2010 [^] [ответить] [смотреть все]  
  • –6 +/
    gt оверквотинг удален Ну дык давайте понапихаем туда еще чего-нить полезного ... весь текст скрыт [показать]
     
     
  • 7.63, Michael Shigorin, 14:43, 06/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Понапихайте Примут -- продолжим разговор PS дяденьки, если что -- о том, как... весь текст скрыт [показать]
     
  • 5.33, User294, 12:30, 04/08/2010 [^] [ответить] [смотреть все]  
  • +2 +/
    Откуда это следует И кто вместо него И почему именно он Билл это который Тот... весь текст скрыт [показать]
     
     
  • 6.38, VolanD, 13:04, 04/08/2010 [^] [ответить] [смотреть все]  
  • +/
    А у Вас на сервере ось от Билла О_о... весь текст скрыт [показать]
     
     
  • 7.57, User294, 15:23, 05/08/2010 [^] [ответить] [смотреть все]  
  • +/
    На моих серверах к счастью живут куда более подходящие для серверов оси А вот... весь текст скрыт [показать]
     
  • 1.12, Аноним, 23:49, 03/08/2010 [ответить] [смотреть все]  
  • +1 +/
    Ну по суте же эта фича позволяет в реал тайме смотреть за процессом, она конечно... весь текст скрыт [показать]
     
  • 1.23, Gwynn, 08:38, 04/08/2010 [ответить] [смотреть все]  
  • +4 +/
    Индикаторы то фигня, хотя для железячных роутеров и всяких встраиваемых решений как мне кажется очень удобно будет.
    А вот копирование трафика, это имхо мегарулез.
     
  • 1.24, Аноним, 09:29, 04/08/2010 [ответить] [смотреть все]  
  • +/
    хост-получатель должен находиться в одном сегменте сети с нашим хостом - эту нел... весь текст скрыт [показать]
     
     
  • 2.26, Аноним, 09:49, 04/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Пробросом туннеля, очевидно же.
     
  • 2.27, онаним, 09:55, 04/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    подозреваю, что для зеркалирования _Ethernet_ трафика мониторящий хост должен та... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.29, Alekz, 11:15, 04/08/2010 [^] [ответить] [смотреть все]  
  • +2 +/
    Есть мнение с , что подразумевается зеркалирование ip-трафика Тогда да, возможн... весь текст скрыт [показать]
     
     
  • 4.39, VolanD, 13:07, 04/08/2010 [^] [ответить] [смотреть все]  
  • +/
    А почему так ... весь текст скрыт [показать]
     
     
  • 5.41, ig0r, 13:30, 04/08/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    потому что в таком случае не подразумевается изменения ip-заголовков пакетов
     
     
  • 6.44, VolanD, 18:40, 04/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Вы не подумайте, что я спорю с Вами, мне просто интересно Как не меняется, а ка... весь текст скрыт [показать]
     
     
  • 7.47, аноним, 19:08, 04/08/2010 [^] [ответить] [смотреть все]  
  • +/
    А вот так Не меняется, и все тут Через хак Грубо говоря, у копии подменяется ... весь текст скрыт [показать]
     
  • 7.48, ig0r, 19:14, 04/08/2010 [^] [ответить] [смотреть все]  
  • +/
    если коротко - в пределах локальной сети не имеет значения что записано в ip-заг... весь текст скрыт [показать]
     
     
  • 8.49, VolanD, 19:57, 04/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Читал и не только о трех Но про это там не было написано Ок, а что тогда м... весь текст скрыт [показать]
     
     
  • 9.50, аноним, 22:01, 04/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Тогда вся затея теряет смысл Вместо точной копии трафика получается какая-то фи... весь текст скрыт [показать]
     
     
  • 10.51, VolanD, 05:57, 05/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Дык содержание пакета то не изменится же Тем более насколько я понял МАК все та... весь текст скрыт [показать]
     
     
  • 11.52, ig0r, 09:37, 05/08/2010 [^] [ответить] [смотреть все]  
  • +/
    а толку что содержимое не изменилось если вы не знаете кому предназначен пакет ... весь текст скрыт [показать]
     
  • 11.59, аноним, 17:34, 05/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Важно не только содержание пакета, но и его заголовки Испортить их никогда не п... весь текст скрыт [показать]
     
  • 2.45, аноним, 19:04, 04/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это не нелепая ошибка, а необходимое ограничение точно так же, как и необходимо... весь текст скрыт [показать] [показать ветку]
     
  • 1.35, Аноним, 12:38, 04/08/2010 [ответить] [смотреть все]  
  • +5 +/
    На удивление сдержанно к коментариям ведут себя владельцы BSD систем по поводу ф... весь текст скрыт [показать]
     
     
  • 2.46, аноним, 19:05, 04/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Ждем netgraph-модулей и divert-прог с аналогичной функциональностью ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.58, User294, 15:25, 05/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Но есть одна мелкая фигня Придется всего-то сначала портировать бздю на девайсы... весь текст скрыт [показать]
     
     
  • 4.64, Michael Shigorin, 14:47, 06/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Повторюсь справедливости ради -- AFAIK в Draytek живёт опёнок ... весь текст скрыт [показать]
     
     
  • 5.66, User294, 05:23, 09/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Если честно - я о такой фирме впервые слышу Есть пруфлинк на описание что там в... весь текст скрыт [показать]
     
     
  • 6.68, Michael Shigorin, 15:15, 09/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Железки довольно неплохие Не-а, только косвенные Искал как-то для persgray ... весь текст скрыт [показать]
     
  • 1.40, ВалераСНевы, 13:23, 04/08/2010 [ответить] [смотреть все]  
  • –1 +/
    можно написать скриптик чтобы и на клаве мигали диоды
     
     
  • 2.43, юзер, 18:02, 04/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    скриптик через скриптик можно и мониторчиком поморгать, а если добавить релюш... весь текст скрыт [показать] [показать ветку]
     
  • 1.54, nitrogear, 11:25, 05/08/2010 [ответить] [смотреть все]  
  • +/
    Фигня это лед-моргание - толку 0. Никто по-серьезному не будет на это надеяться, иначе нужно сажать специального человека, который бы наблюдал за этими ледами. Сделали бы уже просто выполнение действия --do-something, на которое можно повесить запуск своего скрипта, которым можно хоть леды включать или СД-лоток дергать, которые привязан к горшку на полке ;-)
     
     
  • 2.55, makky, 12:34, 05/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Вспомните эпизод в сериале it crowd, когда гота только обнаружила руководитель о... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.65, Michael Shigorin, 14:49, 06/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Не плачьте так горько, одно другому не мешает -- даже с домашних wifi-мыльниц не... весь текст скрыт [показать]
     
  • 3.67, User294, 05:25, 09/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Логи и оповещения - это круто Но посмотреть на LED в 10-сантиметровой коробочки... весь текст скрыт [показать]
     
  • 2.60, аноним, 17:36, 05/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если бы так можно было сделать, давно бы уже сделали Проблема в том, что запуск... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.69, gambit, 15:39, 09/08/2010 [^] [ответить] [смотреть все]  
  • +/
    Занимательная функция, при желании можно даже морзянкой данные передавать... пару правил, для длинных и коротких, и соответствующий генератор пакетов на той стороне...
    Добавили фитчу, пусть будет, иногда жизнь забавнее самой изощрённой фантазии.
     
  • 3.70, Гентушник, 22:57, 09/08/2010 [^] [ответить] [смотреть все]  
  • +/
    >Проблема в том, что запускать скрипты напрямую из ядра несколько затруднительно.

    А в чём сложность? call_usermodehelper и готово. если выставить вменяемые тайминги между запусками(чтобы предотвратить DOS), то по теории всё просто.

     
  • 1.71, Гентушник, 23:01, 09/08/2010 [ответить] [смотреть все]  
  • +/
    Кто тестил TEE, скажите, ловится ли уже отзеркалированный траффик в iptables? Или как с MIRROR?
     
     
  • 2.74, аноним, 20:03, 12/08/2010 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Насколько я помню, этот трафик нигде не светится. В маршрутизации и фаерволе точно, насчет шейпера не проверял.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList