The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

19.10.2013 22:31  В ядре Linux 3.13 ожидается появление нового пакетного фильтра Nftables

В экспериментальную ветку linux-next, на базе которой будет формироваться ядро Linux 3.13, принят код Nftables, новой реализации пакетного фильтра, идущей на смену iptables, ip6table, arptables и ebtables. Nftables отличается существенным пересмотром организации процесса обработки правил фильтрации пакетов, новым синтаксисом правил, сокращением кода, выполняемого на уровне ядра, и унификацией интерфейсов для IPv4, IPv6, ARP и сетевых мостов.

Ключевой особенностью Nftables является применение идеи, близкой к реализации BPF (Berkeley Packet Filters) - правила фильтрации компилируются в пространстве пользователя в байткод и передаются в ядро через API Netlink, после чего для принятия решения по дальнейшим действиям с пакетом выполняются с использованием конечного автомата (pseudo-state machine). В качестве базовых блоков по-прежнему используются компоненты инфраструктуры Netfilter, в том числе существующие хуки, система отслеживания состояния соединений, компоненты организации очередей и подсистема ведения лога.

Выполнение правил с использованием конечного автомата вместо применения логики сопоставления позволяет сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя. Кроме того, появляется возможность унифицировать работу с различными видами протоколов в едином наборе псевдокода, без необходимости поддержания в ядре отдельных расширений фильтрации для IPv4, IPv6, ARP и сетевых мостов. При необходимости поддержки фильтрации нового протокола, все изменения могут быть внесены в пользовательском пространстве без обновления кода ядра.

Все операции по определению условий и связанных с ними действий выполняются в пространстве пользователя, в ядре производится только базовый набор операций, таких как чтение данных из пакета, сравнение данных и т.п. Присутствует поддержка словарного маппинга и поиска по наборам правил (sets), работа которых реализована через хеши и rb-деревья. При этом элементы наборов могут быть заданы в виде диапазонов значений (можно определять подсети).

Для взаимодействия с кодом, работающим на уровне ядра, предлагается специальная связующая интерфейсная библиотека libnl и построенный поверх неё фронтэнд, работающий на уровне пользователя. Для формирования правил фильтрации в nftables подготовлена утилита nft, которая проверяет корректность правил и транслирует их в байткод. Правила могут добавляться не только инкрементально, но и загружаться целиком из файла на диске.

Новый синтаксис правил не похож на iptables и отличается использованием иерархических блочных структур вместо линейной схемы. Язык классификации правил основан на реальной грамматике, при обработке которой используется сгенерированный в bison парсер. Для обеспечения обратной совместимости с линейными правилами предоставляется специальная прослойка, позволяющая использовать iptables/ip6tables поверх инфраструктуры Nftables. Представленный для ядра 3.13 код предусматривает сосуществование старой и новой подсистем, так как Nftables ещё требует доработки и тестирования.

Пример правил:


table filter {
        chain input {
                 table filter hook input priority 0;
                 ct state established accept
                 ct state related accept
                 meta iif lo accept
                 tcp dport ssh counter packets 0 bytes 0 accept
                 counter packets 5 bytes 5 log drop
        }

        chain output {
                 table filter hook output priority 0;
                 ct state established accept
                 ct state related accept
                 meta oif lo accept
                 ct state new counter packets 0 bytes 0 accept
        }
}



  1. Главная ссылка к новости (http://lwn.net/Articles/570921...)
  2. OpenNews: Интервью с Алексеем Кузнецовым, одним из создателей сетевого стека Linux
  3. OpenNews: Новый пакетный фильтр для борьбы с флудом на уровне Linux ядра
  4. OpenNews: Разработчики OpenBSD приняли решение активировать пакетный фильтр PF по умолчанию
  5. OpenNews: Разработчики NetBSD представили новый пакетный фильтр - NPF
Лицензия: CC-BY
Тип: Интересно / Программы
Ключевые слова: nftables, iptables, netfilter, linux, kernel
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 00:12, 20/10/2013 [ответить] [смотреть все]
  • –9 +/
    А я ожидаю, что в 3 13-ом ядре будет из коробки работать подсветка в моём ноутбу... весь текст скрыт [показать]
     
     
  • 2.17, Аноним, 01:13, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +15 +/
    Попробуй добавить параметр acpi_osi="!Windows 2012"
     
     
  • 3.95, Аноним, 11:10, 20/10/2013 [^] [ответить] [смотреть все]  
  • +11 +/
    Это не шутка!
     
     
  • 4.100, Аноним, 12:14, 20/10/2013 [^] [ответить] [смотреть все]  
  • +7 +/
    Ох, я столько уже мучался с этим, что и забыл, что в первый раз это может выглядеть как глупая шутка.

    Суть в том, что ядро при загрузке вызывает (не знаю, как метод называется, пусть будет) метод _OSI из таблиц ACPI сообщая, что оно понимает все версии Windows и Linux. А тот параметр говорит ядру не сообщать firmware, что оно "совместимо" с Windows 8. В Windows 8 драйверы сами управляют подсветкой и код из таблиц ACPI не вызывается. Производители его не тестируют и поэтому код в ветках поддержки Windows 8 часто бажный. А вот Linux честно его вызывает, что у меня на системе приводит к зависаниям. acpi_osi="!Windows 2012" спасает. (Обрати внимание на восклицательный знак. Здесь он означает отрицание).

     
     
  • 5.110, Аноним, 13:35, 20/10/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    Ваш способ не сработал, но подтолкнул меня к другому - http forums linuxmint c... весь текст скрыт [показать]
     
     
  • 6.121, rshadow, 14:40, 20/10/2013 [^] [ответить] [смотреть все]  
  • –3 +/
    Не переживайте так, ваши мучения напрасны В одном из следующих ядер все равно п... весь текст скрыт [показать]
     
     
  • 7.304, pavlinux, 00:00, 27/10/2013 [^] [ответить] [смотреть все]  
  • +/
    https www kernel org diff diffview cgi file pub linux kernel v3 x testing pat... весь текст скрыт [показать]
     
  • 6.139, northbear, 17:16, 20/10/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    Xosd вам в помощь. Благо Linux это не винды...
     
  • 1.2, Crazy Alex, 00:14, 20/10/2013 [ответить] [смотреть все]  
  • +/
    Все хорошо, но интересно, как у него со скоростью будет...
     
     
  • 2.83, Аноним, 06:50, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    как у BPF
     
  • 1.4, Аноним, 00:28, 20/10/2013 [ответить] [смотреть все]  
  • +6 +/
    > Nftables, новой реализации пакетного фильтра, идущего на смену iptables

    Вот есть iptables - проверенный годами, стабильный, притертый...
    И тут на тебе новая шняга!, которая идет на смену iptables.
    Да и еще с новым стрёмным синтаксисом.
    Чё опять читать 100500 строковый ман? Тут бы старый дочитать :))

     
     
  • 2.5, stalker37, 00:35, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Аха а ещё к таблесам куча полезных модулей, например тот же самый ipt_netflow ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.6, свободный бздун, 00:37, 20/10/2013 [^] [ответить] [смотреть все]  
  • –8 +/
    Гы-гы Неосиляторы в треде Даёшь каждый год новый код ... весь текст скрыт [показать]
     
  • 3.12, Аноним, 01:04, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    ipt_netflow давно пора слить в мейнстрим Вот и повод появился ... весь текст скрыт [показать]
     
  • 3.104, Аноним, 13:28, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Часть этих полезных модулей требует пересборки ведра, а это геморно при его рег... весь текст скрыт [показать]
     
  • 3.141, Павел Одинцов, 17:47, 20/10/2013 [^] [ответить] [смотреть все]  
  • +5 +/
    Дерьма кусок Ваш ipt_netflow Мы всеми силами выправляли его кривой код, рассказ... весь текст скрыт [показать]
     
     
  • 4.157, stalker37, 21:34, 20/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    а есть чем заменить Только не говорите что покупать циску А так - 2 год крути... весь текст скрыт [показать]
     
     
  • 5.158, Гость, 23:56, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    BSD и netgraph ... весь текст скрыт [показать]
     
     
  • 6.164, stalker37, 00:24, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    аха.. смените ос,руки,планету...
     
     
  • 7.212, Аноним, 15:58, 21/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну если так хочется воспроизвести креш - то и BSD поставишь, и netgraph настроиш... весь текст скрыт [показать]
     
  • 6.193, ананим, 08:23, 21/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    >>Как креш воспроизвести?
    >BSD и netgraph. =) 

    В смысле "и креши появятся"?

     
  • 2.7, msa, 00:43, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    iptables давно уже устарел, справедливо осмеян Придется переучиватьсяю... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.8, AnonuS, 00:51, 20/10/2013 [^] [ответить] [смотреть все]  
  • +4 +/
    Чем конкретно он устарел, старый стал запинаться стал, раньше пакеты фильтровал,... весь текст скрыт [показать]
     
     
  • 4.10, Аноним, 00:59, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Нет, просто уродец Все попытки дальнейшего развития netfilter упирались в неимо... весь текст скрыт [показать]
     
     
  • 5.15, AnonuS, 01:08, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Многим нравиться Как бы не народился ещё больший уродец Да и трудно всем уго... весь текст скрыт [показать]
     
     
  • 6.22, Аноним, 01:31, 20/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Мазохисты, сэр Так давайте еще раз сделаем им больно, раз они это любят Пока д... весь текст скрыт [показать]
     
     
  • 7.35, AnonuS, 02:09, 20/10/2013 [^] [ответить] [смотреть все]  
  • +3 +/
    Дорогой анонимный брат Аноним, эта твоя позиция лично мне близка и понятна, и я ... весь текст скрыт [показать]
     
     
  • 8.209, Аноним, 15:54, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Судя по резкому изменению вашей позиции, вы успели сходить по ссылкам в новости ... весь текст скрыт [показать]
     
  • 7.159, Гость, 23:58, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Это уже попахивает изменой GNU Linux Вы так договоритесь до BSD way ... весь текст скрыт [показать]
     
     
  • 8.207, Аноним, 15:52, 21/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    BSD way - это когда не технически, а академически лучше Но при этом никому нафи... весь текст скрыт [показать]
     
  • 6.86, Аноним, 07:48, 20/10/2013 [^] [ответить] [смотреть все]  
  • –3 +/
    ну вы сравнили блин, админы как раз знают bash отлично, и писать init в порядке... весь текст скрыт [показать]
     
     
  • 7.103, Аноним, 13:15, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    И это печально Примерно один раз из десяти тысяч, не Фига с два ... весь текст скрыт [показать]
     
  • 7.160, Гость, 00:03, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Ой ли over 99 на яндексовские задачи правильно ответить не могут ... весь текст скрыт [показать]
     
     
  • 8.208, Аноним, 15:53, 21/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Видимо, вин- и убунтоадмины ... весь текст скрыт [показать]
     
  • 2.14, Аноним, 01:08, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Дедушка умер, похороните его уже А вот бздуны от такого синтаксиса кипятком пис... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, Аноним, 01:18, 20/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Это вот ты сейчас так защищаешь ТО, чем еще ниразу не пользовался и руками не щу... весь текст скрыт [показать]
     
     
  • 4.21, Аноним, 01:25, 20/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Откуда ты знаешь, мой юный друг Может быть, я слежу за этим проектом с 2009 год... весь текст скрыт [показать]
     
     
  • 5.24, Аноним, 01:38, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Это очень замечательно, что на опеннете есть человек, который следил за этим про... весь текст скрыт [показать]
     
     
  • 6.32, Аноним, 02:06, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Четыре с половиной официальный анонс был весной Но в 9-11 годах следить было ... весь текст скрыт [показать]
     
     
  • 7.89, Аноним, 08:25, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Как оно из байткода выводит список текущих правил в человекопонятном виде по ан... весь текст скрыт [показать]
     
     
  • 8.105, Аноним, 13:29, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Путем декодирования, очевидно же См src netlink c, list_chain_cb Полагаю, мож... весь текст скрыт [показать]
     
     
  • 9.118, Аноним, 14:04, 20/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Да что-то гложат меня смутные сомнения Теоретически, байткодом можно много чего... весь текст скрыт [показать]
     
     
  • 10.168, arisu, 00:44, 21/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    попробуй не давать всем подряд права на то, на что права должны быть только у ад... весь текст скрыт [показать]
     
  • 10.213, Аноним, 16:01, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Байт-кодом, который имеет доступ только к сетевым пакетам Ну-ну При наличии ру... весь текст скрыт [показать]
     
     
  • 11.230, Аноним, 22:17, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Байткодом, который имеет доступ к фаерволу Можно разрешить много лишнего на сет... весь текст скрыт [показать]
     
     
  • 12.276, Аноним, 20:50, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Почему Через тот же pcap - никаких проблем У фаервола и raw-сокетов один и тот... весь текст скрыт [показать]
     
     
  • 13.299, Аноним, 10:39, 23/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Это я просто предположил так, какие там возможности у этого байткода и фильтра в... весь текст скрыт [показать]
     
  • 9.127, Адекват, 16:01, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    А время вывода over9000 строк не станет больше чем просто вывод по сути текстово... весь текст скрыт [показать]
     
     
  • 10.210, Аноним, 15:56, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Большие наборы правил удобнее сворачивать в множества sets , которые декодируют... весь текст скрыт [показать]
     
  • 6.140, northbear, 17:24, 20/10/2013 [^] [ответить] [смотреть все]  
  • +3 +/
    Человек которому свойственна лень больше, чем можно себе это позволить, неизбежн... весь текст скрыт [показать]
     
  • 4.97, VolanD, 11:25, 20/10/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    Небось еще сендмылом почту рулите ... весь текст скрыт [показать]
     
  • 3.109, Аноним, 13:33, 20/10/2013 [^] [ответить] [смотреть все]  
  • –3 +/
    Павлик, залогинься Интересы 1 никого не волнуют ... весь текст скрыт [показать]
     
     
  • 4.116, Аноним, 13:46, 20/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    То, что личности с ограниченными интеллектуальными возможностями должны занимать... весь текст скрыт [показать]
     
  • 2.25, Seclorum, 01:38, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И неподдерживающий кучу сетевых протоколов ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.128, Адекват, 16:03, 20/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Каких например каких из тех, с коими реально сталкиваются сисадмины igrp, os... весь текст скрыт [показать]
     
     
  • 4.211, Аноним, 15:57, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Начнем с простых ethernet, ARP RARP, IPv6 ... весь текст скрыт [показать]
     
  • 2.94, lucentcode, 11:09, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Не надо ворчать Если вы профессионал своего дела - вы каждый день маны читаете ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.111, Anonim, 13:37, 20/10/2013 [^] [ответить] [смотреть все]  
  • –7 +/
    Маны каждый день читают админишки недоделаные, профессионалы их пишут ... весь текст скрыт [показать]
     
     
  • 4.115, Аноним, 13:44, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Это типа пропаганда расовой ненависти быдлoкодеров к админам ... весь текст скрыт [показать]
     
  • 3.130, Адекват, 16:04, 20/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Кстати сам Линус не считает что в линуксе должно быть микроядро, а все что можно... весь текст скрыт [показать]
     
     
  • 4.142, lucentcode, 18:18, 20/10/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    Сам Линус никогда не был авторитетом в области проектирования и архитектуры ОС ... весь текст скрыт [показать]
     
     
  • 5.144, Andrey Mitrofanov, 18:43, 20/10/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    Ой, тогда именно патентных тролей в ПО не было Не было _патентов_ в иске USL Т... весь текст скрыт [показать]
     
     
  • 6.147, lucentcode, 19:17, 20/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    То, что все потомки 4 4BSD никогда не догонят теперь Linux по популярности Mac O... весь текст скрыт [показать]
     
  • 5.148, Адекват, 19:58, 20/10/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    И тем не менее - у него были аргументы того, каким должно быть _его_ ядро Я вот... весь текст скрыт [показать]
     
     
  • 6.149, lucentcode, 20:07, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален В целом, вы правы Но не думаю, что любой пользователь м... весь текст скрыт [показать]
     
  • 6.169, arisu, 00:53, 21/10/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    а вот с этого места 8212 подробней давай особенно интересно, чем это принци... весь текст скрыт [показать]
     
  • 5.196, Аноним, 10:18, 21/10/2013 [^] [ответить] [смотреть все]  
  • +3 +/
    некомпетентность Линуса - это миф который подогревается всеми, кому не лень, в т... весь текст скрыт [показать]
     
     
  • 6.229, lucentcode, 19:35, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Не спорю Совсем некомпетентый человек не мог бы проверять чужой код, и координи... весь текст скрыт [показать]
     
  • 3.162, Гость, 00:18, 21/10/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    А пацанам не нужен нормальный l7-filter, имя что-нить попроще, для домашнего роу... весь текст скрыт [показать]
     
  • 2.99, Aleks Revo, 12:11, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    К 2113 году, когда в стабильную ветку будут переведены ядра 3 13 всё будет уже п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.107, Аноним, 13:31, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Всего лишь к 2014 ... весь текст скрыт [показать]
     
  • 2.126, XoRe, 15:51, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    s iptables ipchains g ну вы поняли ... весь текст скрыт [показать] [показать ветку]
     
  • 2.150, тигар, 20:10, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    примерно также когда-то давно поклонники ipchains думали.
     
     
  • 3.192, ананим, 08:21, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Совсем не так Вам, бсдишнегам, трудно понять, что iptables был просто логически... весь текст скрыт [показать]
     
     
  • 4.214, Аноним, 16:04, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Вот-вот Вместо того, чтобы похоронить дедулю, к нему приделали экзоскелет с дис... весь текст скрыт [показать]
     
     
  • 5.262, ананим, 14:21, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Трудно представить, чтобы вы, любители анимэ, сделали с старичком колесом.
     
     
  • 6.278, Аноним, 20:53, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    С колесом - не так много А вот повозки эпохи первых колес, несмотря на их стаби... весь текст скрыт [показать]
     
     
  • 7.283, ананим, 21:10, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    При этом колёса просто модифицировались, а не изобретались по-новой.
     
     
  • 8.288, Аноним, 21:26, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Человек - это модифицированная амеба ... весь текст скрыт [показать]
     
     
  • 9.290, Michael Shigorin, 21:31, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Пожалуйста, если уж очень неймётся -- делитесь такими откровениями да и вообще ... весь текст скрыт [показать]
     
  • 1.9, AnonuS, 00:59, 20/10/2013 [ответить] [смотреть все]  
  • +2 +/
    > Ключевой особенностью Nftables является применение идеи, близкой к реализации BPF (Berkeley Packet Filters) - [b]правила фильтрации компилируются в пространстве пользователя в байткод и передаются в ядро[/b]...
    > Выполнение правил с использованием конечного автомата вместо применения логики сопоставления [b]позволяет сократить размер кода фильтрации[/b], работающего на уровне ядра...

    Выглядит положительным начинанием, но не опасна ли эта затея с байт-кодом. Кто может пояснить на пальцах и успокоить ?

     
     
  • 2.11, Аноним, 01:03, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    iptables сейчас работает примерно так же Только вместо байт-кода - блоб хитрой ... весь текст скрыт [показать] [показать ветку]
     
  • 2.96, Мяут, 11:16, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Только Lua, только хардкор Нет, серьезно http www opennet ru openforum vsluh... весь текст скрыт [показать] [показать ветку]
     
  • 2.170, arisu, 01:02, 21/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    не опасна точнее, как минимум не более опасна, чем существующая реализация сей... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, Аноним, 01:05, 20/10/2013 [ответить] [смотреть все]  
  • +1 +/
    Твою дивизию! Я только что окончил читать мануал к iptables на 600 страниц...
     
     
  • 2.16, Sinot, 01:09, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    А зачем? Я вот тоже опасался сложности написания правил iptables, а выяснилось, что основ там на пол странички, а все остальное изучается исключительно по необходимости.
     
  • 2.19, Аноним, 01:21, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Я тебе открою страшную тайну заменяешь iptables на ntf ip, -A на add, -p на pro... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, Аноним, 01:24, 20/10/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    Тогда какого Х я ваще было синтаксис менять, раз всего названия сущностей были и... весь текст скрыт [показать]
     
     
  • 4.23, Аноним, 01:34, 20/10/2013 [^] [ответить] [смотреть все]  
  • +3 +/
    Внутри тоже кой-чего поменяли Например, слили четыре гигантских куска дублирующ... весь текст скрыт [показать]
     
     
  • 5.26, Аноним, 01:44, 20/10/2013 [^] [ответить] [смотреть все]  
  • –3 +/
    Кому оно напрашивалось Вот посмотрите на новый синтаксис с точки зрения эргоном... весь текст скрыт [показать]
     
     
  • 6.30, Аноним, 01:59, 20/10/2013 [^] [ответить] [смотреть все]  
  • +7 +/
    > Кому оно напрашивалось? Вот посмотрите на новый синтаксис с точки зрения эргономики
    > - все сливается... не хватает разделителей (типа '-')... Трудно читабельно, и

    У вас, видимо, браузер не отображает пробелы. Наверное, стоит написать багрепорт разработчикам.

     
     
  • 7.31, Аноним, 02:03, 20/10/2013 [^] [ответить] [смотреть все]  
  • –3 +/
    Иди отсюда, арчеребёнок. Синтаксис иптаблес лучше
     
     
  • 8.33, Аноним, 02:08, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Не брюзжи, слакодедуля Чем грузины Или чем армяне ... весь текст скрыт [показать]
     
     
  • 9.41, ананим, 02:50, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Тем, что он соответсвует POSIX стандарту коммандной строки Кстати, как там о до... весь текст скрыт [показать]
     
     
  • 10.45, ананим, 03:00, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Зыж С точки зрения лаконичности и удобства имеется в виду ... весь текст скрыт [показать]
     
  • 10.46, Аноним, 03:03, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Я бы не сказал, что для фаервола это достоинство Вот ты бы очень обрадовался, е... весь текст скрыт [показать]
     
     
  • 11.47, Аноним, 03:08, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    As of June 2009, iptables and its relatives are still bound by the kernel interf... весь текст скрыт [показать]
     
     
  • 12.50, ананим, 03:32, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    ссылочкой надеюсь не трудно будет поделиться?
     
     
     
     
     
     
     
     
    Часть нити удалена модератором

  • 19.84, Ананас, 07:29, 20/10/2013 [ответить] [смотреть все]  
  • +/
    http://inai.de/documents/Perfect_Ruleset.pdf
     
     
  • 20.92, ананим, 10:25, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    верно что мешало ранее так сделать зыж но вот это из разряда вредных советов ... весь текст скрыт [показать]
     
  • 21.108, Аноним, 13:33, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Ага-ага, каждый раз при перезагрузке правил блокируется сетевой стек ... весь текст скрыт [показать]
     
  • 22.122, ананим, 14:43, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    1 Про кэширование пакетов благородный дон не слышал 2 Вы реально понимаете ра... весь текст скрыт [показать]
     
  • 11.49, ананим, 03:14, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Как примут ваш стандарт не_сказал_бы на правила командной строки, тогда и пого... весь текст скрыт [показать]
     
     
  • 12.53, Аноним, 03:41, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Строка есть Есть Командует Командует Что тебе еще надо Ты решил сделать нес... весь текст скрыт [показать]
     
     
  • 13.57, ананим, 03:49, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Я что, не доступным вам языком написал Мне нужен стандартный способ разбора ком... весь текст скрыт [показать]
     
     
  • 14.58, ананим, 03:52, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    зыж Вам кстати, это от природной скромности вы на 171 ты 187 перешли поня... весь текст скрыт [показать]
     
     
  • 15.62, Аноним, 03:57, 20/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Просто не поворачивается язык человеку с такими детскими манерами писать ты Е... весь текст скрыт [показать]
     
     
  • 16.67, ананим, 04:13, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Э 8230 А не наоборот Поворачивается, как у прыщавого подростка в сложный пери... весь текст скрыт [показать]
     
     
  • 17.74, Аноним, 04:36, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Ага, значит я не ошибся с определением твоего возраста ШТО Зачем тебе хеш А т... весь текст скрыт [показать]
     
     
     
    Часть нити удалена модератором

  • 19.78, ананим, 04:54, 20/10/2013 [ответить] [смотреть все]  
  • +/
    Ззыж
    Ах да! Воскресенье. :D
     
  • 14.61, Аноним, 03:53, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Зачем тебе разбирать командную строку программы, которая уже написана Чтобы сде... весь текст скрыт [показать]
     
     
  • 15.68, ананим, 04:20, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Мне нужно её формировать Желательно однообразным, стандартным способом В худше... весь текст скрыт [показать]
     
     
  • 16.72, Аноним, 04:32, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    nft ничем в этом плане не отличается от iptables кроме отсутствия минусов Или... весь текст скрыт [показать]
     
     
  • 17.77, ананим, 04:52, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Докажи Хотя бы на примере из сабжа выше 8212 как проверить валидацию парамет... весь текст скрыт [показать]
     
     
  • 18.93, kem, 10:46, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    а как это сделать в текущем интерфейсе iptables ?
     
     
  • 19.102, ананим, 13:01, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    как и у любого другого приложения, поддерживающего опции командой строки в стиле... весь текст скрыт [показать]
     
     
  • 20.217, Аноним, 16:12, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Откройте для себя Bison.
     
  • 21.232, Crazy Alex, 02:05, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    И пишите свои парсеры вместо того, что отлажено за пару десятков лет Ну-ну, жел... весь текст скрыт [показать]
     
  • 22.235, arisu, 02:16, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    да за каким фигом тебе вообще парзить правила-то генерируем не приходя в сознан... весь текст скрыт [показать]
     
  • 23.240, ананим, 03:15, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Забавно Это ты ж так делать предложил D... весь текст скрыт [показать]
     
  • 23.259, Crazy Alex, 13:18, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Честно говоря, конкретно мне парсить не приходилось, но вполне могу представить ... весь текст скрыт [показать]
     
  • 24.267, arisu, 18:24, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    это 8212 решение задачи, которая ещё даже не появилась при этом у меня есть ... весь текст скрыт [показать]
     
  • 24.268, arisu, 18:26, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    p.s. забавно повоевать «с другой стороны», да.
     
  • 24.286, Аноним, 21:13, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Почему же вы не пользуетесь ими в обычной речи Не ставите -- перед каждым слово... весь текст скрыт [показать]
     
  • 22.284, Аноним, 21:11, 22/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Почему-то в этом отлаженном за пару десятков лет до сих пор продолжают находит... весь текст скрыт [показать]
     
  • 21.236, arisu, 02:18, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    кстати, закройте для себя bison и откройте для себя lemon ... весь текст скрыт [показать]
     
  • 22.260, Crazy Alex, 13:22, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Ну хвалятся они прикольно, а что оно _на_практике_ даёт по сравнению с бизоном ... весь текст скрыт [показать]
     
  • 23.269, arisu, 18:37, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    кто и чем 171 хвалится 187 O_O как минимум 8212 парзер, который можно ко... весь текст скрыт [показать]
     
  • 24.294, Crazy Alex, 04:09, 23/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Хвалятся - авторы lemon его фичами Что до перечисленного тобой - таки подходы р... весь текст скрыт [показать]
     
  • 25.297, arisu, 04:20, 23/10/2013 [^] [ответить] [смотреть все]  
  • +/
    где на всякий случай перечисление похвальба такой подход нормально выгляди... весь текст скрыт [показать]
     
  • 18.225, Аноним, 16:30, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Бизон в помощь, очевидно же Так дампа правил или командной строки ... весь текст скрыт [показать]
     
     
  • 19.239, ананим, 03:10, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Не стоит слушать вышевыссказавшихся товарищей Они бизон в сабже увидели и обрад... весь текст скрыт [показать]
     
     
  • 20.243, ананим, 03:30, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    зыж Вот кстати пруф на оригинал http lwn net Articles 324251 И да, предлага... весь текст скрыт [показать]
     
  • 21.280, Аноним, 20:59, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    А вы для анализа команд iptables предлагаете использовать какие-то дополнительны... весь текст скрыт [показать]
     
  • 20.279, Аноним, 20:57, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Тогда срочно выкинь все свои библиотеки для команд POSIX - они тоже по большей ч... весь текст скрыт [показать]
     
  • 21.285, ананим, 21:13, 22/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Да-а-а, тяжёлый случай.
     
  • 11.87, www2, 08:09, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Это ты про внутреннюю организацию всего этого хозяйства говоришь или говоришь о ... весь текст скрыт [показать]
     
     
  • 12.113, Аноним, 13:39, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    О внутренней Пакеты фильтрует netfilter, а не iptables ... весь текст скрыт [показать]
     
     
  • 13.124, ананим, 14:52, 20/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    При этом в ядре таблицы меняются простой сменой указателей Вот, специально не п... весь текст скрыт [показать]
     
  • 9.163, Гость, 00:24, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Чем синтаксис pf Это же любому админу локалхоста сходу понятно ... весь текст скрыт [показать]
     
  • 8.136, Адекват, 16:23, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Арче-ребенок ахахаххахха Вы уважаемый, его установить то сможете хоть п... весь текст скрыт [показать]
     
  • 7.42, Аноним, 02:55, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Будьте последовательны Убрали тире - уберите и пробелы, чтоб читалось быстрее ... весь текст скрыт [показать]
     
     
  • 8.44, Аноним, 02:58, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Будьте последовательны Вам нравится, когда слова визуально разделены Не ограни... весь текст скрыт [показать]
     
     
  • 9.137, Адекват, 16:38, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Будет Маяковский-style ... весь текст скрыт [показать]
     
  • 8.55, Аноним, 03:46, 20/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    -А --ВЕДЬ --верно --говоришь -, --ДРУК - -С --ТИРЕ --текст --действительно --чи... весь текст скрыт [показать]
     
     
  • 9.56, Аноним, 03:49, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    -А --СИНТАКСИС --iptables --все --же --надо --ПОПРАВИТЬ - --Некоторые --ЛЕКСЕМЫ... весь текст скрыт [показать]
     
     
  • 10.64, ананим, 04:01, 20/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Зато сильно уменьшает количество возможных ошибок при программирования разбора п... весь текст скрыт [показать]
     
     
  • 11.66, Аноним, 04:03, 20/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    -В --ЭТОМ -- --то -и --проблема - --Аргументы --ВИЗУАЛЬНО --сливаются -с --пара... весь текст скрыт [показать]
     
     
  • 12.70, ананим, 04:26, 20/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Да, для секретарш не удобно, я ведь уже говорил Но для них командная строка не ... весь текст скрыт [показать]
     
     
  • 13.75, Аноним, 04:37, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    --Не --ТОЛЬКО --для --СЕКРЕТАРШ - ... весь текст скрыт [показать]
     
     
  • 14.79, ананим, 04:59, 20/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Конечно-конечно.
    Есть КУЧА профессий. Бухгалтера например.
     
  • 6.65, Аноним, 04:01, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    --Все --ПРАВИЛЬНО --ГОВОРИШЬ - -Я --ПРОСТО --не --понимаю -, --как --раньше --м... весь текст скрыт [показать]
     
     
  • 7.71, ананим, 04:27, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Э 8230 Может потому что ты не iptables ... весь текст скрыт [показать]
     
     
  • 8.123, Michael Shigorin, 14:48, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Вам точно не надоело ещё ... весь текст скрыт [показать]
     
  • 3.132, Адекват, 16:07, 20/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    А как сделать перенаправление пакета в другую цепочку типа iptables -t filter -... весь текст скрыт [показать]
     
  • 1.27, Аноним, 01:50, 20/10/2013 [ответить] [смотреть все]  
  • +/
    Когда они планируют выбросить поддержку iptables?
     
     
  • 2.29, Аноним, 01:55, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Никогда?
     
     
  • 3.52, Аноним, 03:39, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Нет смысла держать дублирующие подсистемы, от одной из них откажутся рано или по... весь текст скрыт [показать]
     
  • 1.28, Аноним, 01:53, 20/10/2013 [ответить] [смотреть все]  
  • +1 +/
    Синтаксис правил просто фееричен.
     
  • 1.34, Igor, 02:08, 20/10/2013 [ответить] [смотреть все]  
  • –1 +/
    не ну то что они решили сделать чтото лучше это хорошо... только вот за каким лешим делать синтаксис да не сложный и логический но блин сливавшийся в 1 целое в глазах... Лично мне больше нравится старый синтаксис... просто он реально наглядней
     
     
  • 2.37, Аноним, 02:15, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Так вот откуда берутся люди, которые через каждые несколько слов лепят многоточи... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.85, анон, 07:42, 20/10/2013 [^] [ответить] [смотреть все]  
  • –3 +/
    смайлофаг закукарекал
     
     
  • 4.112, Аноним, 13:38, 20/10/2013 [^] [ответить] [смотреть все]  
  • –3 +/
    Да-да вот таким товарищам новый синтаксис тоже не понравит... весь текст скрыт [показать]
     
     
  • 5.153, anonymous, 20:58, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    зато лисперы оценят ... весь текст скрыт [показать]
     
     
  • 6.154, Michael Shigorin, 21:04, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Это -- да, бо скобочки в паритете А тот безглазый истерический мусор предлагаю... весь текст скрыт [показать]
     
  • 5.258, Адекват, 13:12, 22/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Вот смотрю я на вас и видится мне что тут 90 троллей, которым лишь бы других в ... весь текст скрыт [показать]
     
  • 3.176, Ordu, 03:56, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Видимо это единственный известный автору знак препинания Вот он и натыкал его п... весь текст скрыт [показать]
     
     
  • 4.221, Аноним, 16:20, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Я раньше тоже так думал А теперь понятно 8212 ему просто нужно 171 визуаль... весь текст скрыт [показать]
     
  • 1.38, ferux, 02:19, 20/10/2013 [ответить] [смотреть все]  
  • +/
    интересно вот, планируется ли в нём поддержка фильтрации для заданных исполняемых файлов или их групп. А то 21й век идёт, а нет до сих пор нормальной реализации этого. То, что через SELinux делается - как-то костыльно. AppArmor-цы - обещают ток в 3й версии начать поддерживать подобное.
     
     
  • 2.39, Igor, 02:25, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    эм а с этого места можно поподробней...
     
     
  • 3.138, ананим, 16:42, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    ну типа разрешил в фаерволе ц свалка програм опись ворд exe, запустил 8230 ... весь текст скрыт [показать]
     
     
  • 4.145, Michael Shigorin, 19:06, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    > усё, 21 век наступил.

    И шо, +x не надо и от юзера заработает? :)

     
     
  • 5.155, ананим, 21:27, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Ну да, и его тоже.
     
  • 4.171, arisu, 01:11, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    mv usr bin true usr bin true orig mv cannot move usr bin true to usr b... весь текст скрыт [показать]
     
     
  • 5.194, ананим, 08:27, 21/10/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    А у тебя /usr/bin/true в интернет лазит?!!
    Поздравляю.
     
     
  • 6.228, arisu, 18:10, 21/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    usr bin proga у меня вообще отсутствует пожимает плечами замени true на wget... весь текст скрыт [показать]
     
     
  • 7.247, ананим, 03:48, 22/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Видишь ли, любой вменяемый админ сразу практически интуитивно догадывается, чт... весь текст скрыт [показать]
     
  • 4.174, ferux, 02:38, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    и как это поможет запретить исходящие на заданный порт только для usr bin proga... весь текст скрыт [показать]
     
     
  • 5.255, ананим, 07:53, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    вам поможет как обычно документация знание предметной области вот база для ра... весь текст скрыт [показать]
     
     
  • 6.272, ferux, 19:30, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Да, это не костыльная система, запускать все приложения от отдельного пользовате... весь текст скрыт [показать]
     
     
  • 7.273, arisu, 19:42, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    прикинь не костыльная тут ссылка проскакивала на slated, так вот ещё одна htt... весь текст скрыт [показать]
     
     
  • 8.275, ferux, 20:08, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    так кто сказал, что нужно iptables -m owner --uid-owner отменить Я за то, ... весь текст скрыт [показать]
     
     
  • 9.277, arisu, 20:52, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    171 это было-было-было, но прошло 187 ц был cmd-owner, но работало, говоря... весь текст скрыт [показать]
     
  • 6.274, Michael Shigorin, 19:59, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    IMNSHO для такого уже становятся удобней контейнеры, поскольку изолирование на Ф... весь текст скрыт [показать]
     
  • 4.227, Аноним, 16:35, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Не, лучше так iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPU... весь текст скрыт [показать]
     
  • 2.73, 3draven, 04:36, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Я то же мечтать, хотеть быть правила на бинарник!
     
  • 2.165, Гость, 00:30, 21/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Ожидайте, в следующую итерацию в Линукс украдут и ipfw ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.172, arisu, 01:12, 21/10/2013 [^] [ответить] [смотреть все]  
  • +4 +/
    > украдут и ipfw.

    и как же bsd будет без ipfw тогда?

     
  • 3.216, Аноним, 16:08, 21/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    А зачем Линуксу фаервол, имеющий проблемы с производительностью и масштабируемос... весь текст скрыт [показать]
     
  • 3.265, anonymousZ, 17:07, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/

    Самым первым фаерволом и linux и был  ipfwadm, фактически переписанный ipfw.
     
  • 1.40, commiethebeastie, 02:48, 20/10/2013 [ответить] [смотреть все]  
  • +1 +/
    Наконец-то можно закопать кучу костылей.
     
     
  • 2.43, ананим, 02:58, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Копалка пока ещё пока не отросла Лихорадочно искал в новости строки А то пришл... весь текст скрыт [показать] [показать ветку]
     
  • 1.48, _KUL, 03:13, 20/10/2013 [ответить] [смотреть все]  
  • +3 +/
    как раз у страуструпа начал читать про парсер с++ и там пример в книге, как раз про такой синтаксис. ну очень он не удобный, нежели линейные правила.
     
     
  • 2.80, ананим, 05:05, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Читать ещё пол-беды А вот сформировать, потом ещё и проверить валидность до фа... весь текст скрыт [показать] [показать ветку]
     
  • 1.81, mma, 06:11, 20/10/2013 [ответить] [смотреть все]  
  • +/
    Посмотрим, довольно интересно, человеческий набор правил радует.
     
  • 1.82, Аноним, 06:29, 20/10/2013 [ответить] [смотреть все]  
  • +1 +/
    Ну наконец то вливают наработки, эпохальное событие года 2 ждем уже.
     
     
  • 2.90, Ограбитель Корованов, 09:04, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    исправил, не благодари... весь текст скрыт [показать] [показать ветку]
     
  • 1.88, www2, 08:19, 20/10/2013 [ответить] [смотреть все]  
  • +/
    >table filter hook input priority 0;

    Точка с запятой в конце - обязательны? Чем объясняется, что в дальнейших правилах её нет?

    >ct state established accept
    >ct state related accept

    А как раньше ct state established,related accept уже нельзя?

     
     
  • 2.91, Аноним, 09:17, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Точка с запятой в конце - обязательны Чем объясняется, что в дальнейших правила... весь текст скрыт [показать] [показать ветку]
     
  • 2.222, Аноним, 16:21, 21/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да пожалуйста ct state established, related ... весь текст скрыт [показать] [показать ветку]
     
  • 1.117, ALex_hha, 14:04, 20/10/2013 [ответить] [смотреть все]  
  • –1 +/
    Это из оперы - "Чем грузины лучше" ;)

    [code]
    # iptables -t filter -A OUTPUT -d 1.2.3.4 -p tcp --dport 80 -j DROP
    [/code]

    и
    [code]
    # nft add rule ip filter output ip daddr 1.2.3.4 tcp dport 80 drop
    [/code]

    второе правилу ну никак не наглядней, хоть с какой стороны на него смотреть

     
     
  • 2.119, Andrey Mitrofanov, 14:07, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    К 2113 году всё изменится D Глаза смотрящего точно ... весь текст скрыт [показать] [показать ветку]
     
  • 2.125, miha, 15:19, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    gt оверквотинг удален а вот интересно, такая перестановка в новом варианте зар... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.133, ананим, 16:12, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    хуже, когда будет так nft daddr 1 2 3 4 ip tcp add ip rule filter dport outpu... весь текст скрыт [показать]
     
  • 3.218, Аноним, 16:16, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Нет, это не заработает daddr и saddr - уточняющие субселекторы селектора ip А ... весь текст скрыт [показать]
     
     
  • 4.233, Crazy Alex, 02:10, 22/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    И ничему-то их SQL не научил... Тоже пытались сделать a-la человеческая речь.
     
     
  • 5.237, arisu, 02:19, 22/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    и верно то ли дело какое-нибудь или вон как у sendmail 8212 образе... весь текст скрыт [показать]
     
     
  • 6.261, Crazy Alex, 13:26, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Ну так переборщить что угодно можно Не пойму, чем тебя так смущает желание виде... весь текст скрыт [показать]
     
     
  • 7.264, ананим, 15:45, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    человек не понимает разницу между параметрами программы и фронт-эндом по настрой... весь текст скрыт [показать]
     
  • 7.270, arisu, 18:39, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    потому что это совсем не обязательно при правильном построении грамматики ты же... весь текст скрыт [показать]
     
     
  • 8.289, ананим, 21:28, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    1 Абзацы, оглавления и т д не от хорошей жизни придумали 2 Даже в белитристи... весь текст скрыт [показать]
     
  • 8.295, Crazy Alex, 04:10, 23/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Ну ты сравнил Сколько усилий надо приложить, чтобы естественным языком овладеть... весь текст скрыт [показать]
     
     
  • 9.296, arisu, 04:13, 23/10/2013 [^] [ответить] [смотреть все]  
  • +/
    я не сравнил, я намекнул, что даже несоизмеримо более сложные грамматики обходят... весь текст скрыт [показать]
     
  • 7.281, Аноним, 21:03, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Потому что эти ясные отличия де-факто являются визуальным мусором и только уху... весь текст скрыт [показать]
     
     
  • 8.293, ананим, 00:43, 23/10/2013 [^] [ответить] [смотреть все]  
  • +/
    В вашем комментарии есть и , и , , и , и , и - Так что не нужно за... весь текст скрыт [показать]
     
  • 5.282, Аноним, 21:05, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Ну расскажите нам о проблемах тысяч админов из-за синтаксиса именно синтаксиса,... весь текст скрыт [показать]
     
  • 2.129, commiethebeastie, 16:04, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Когда будет этих правил пару тысяч, тогда поймете разницу.
     
     
  • 3.135, ананим, 16:15, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    это точно.
    тогда выделение атрибутов от их параметров играет не малую роль.
     
  • 2.134, Адекват, 16:13, 20/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    gt оверквотинг удален Ежишь петручио а если мне нужно не -d а -s как в... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.143, Аноним, 18:32, 20/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Очевидно, nft saddr 1 2 3 4 ip tcp add rule ip filter output dport 80 НО То... весь текст скрыт [показать]
     
     
  • 4.167, Гость, 00:35, 21/10/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    Я вас умоляю, сделаете темплейты Можно подумать серьезная конфигурация iptable ... весь текст скрыт [показать]
     
  • 4.224, Аноним, 16:27, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    С чего вы взяли Такое ограничение пришлось бы вводить только в случае разрешенн... весь текст скрыт [показать]
     
  • 3.146, Igor, 19:07, 20/10/2013 [^] [ответить] [смотреть все]  
  • +/
    походу вот так
    nft add rule ip filter output ip saddr 1.2.3.4 tcp dport
     
  • 1.151, raven_kg, 20:22, 20/10/2013 [ответить] [смотреть все]  
  • +/
    Хмм... Поцтерингом попахивает!
     
  • 1.152, Inome, 20:49, 20/10/2013 [ответить] [смотреть все]  
  • +4 +/
    Какие дебильные и длинные цепочки правил... Нет, чтобы доработать существующий iptables, они начинают пилить новый, ему замену с более убогим и неудобным синтаксисом, это пять!..
     
  • 1.173, arisu, 01:15, 21/10/2013 [ответить] [смотреть все]  
  • +1 +/
    правила чем-то ferm напоминают.
     
  • 1.175, 3draven, 03:12, 21/10/2013 [ответить] [смотреть все]  
  • +3 +/
    Вообще, не знаю есть ли такое, но хотелось бы видеть что то вроде функционального языка программирования фаервола. Что бы ты написал

    main(packet){
    if(packet.port == 80 && packet.elf = "myrestrictedelfprogram"){
    return null;
    }

    }

    Транслятор это дело в байткод прокинул и отправил я ядро. Судя по всему от этого нового нетфильтра до идеи парсить произвольный код в байткод фильтра, рукой подать. Что то типа llvm для пакетного фильтра, где фронтенд на произвольном языке, бекенд на байткоде. Что бы правила были совсем гибкими, честно сказать не люблю идею таблиц как таковую.

     
     
  • 2.177, VolanD, 06:20, 21/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Много букаф слишком, нет ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.179, 3draven, 07:17, 21/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну дак for, switch, while в руки и вперед Просто взять скриптовый язык и прикру... весь текст скрыт [показать]
     
     
  • 4.182, VolanD, 07:26, 21/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Так то канеш красиво получается и не надо читать кучу манов, если синтаксис СИ-п... весь текст скрыт [показать]
     
     
  • 5.184, 3draven, 07:31, 21/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну, текущую инфраструктуру все равно оставить можно, конечно, она живая и никому... весь текст скрыт [показать]
     
  • 5.187, 3draven, 07:41, 21/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Главное, это дает резкое упрощение разработки для ядра, прототипирования, да и п... весь текст скрыт [показать]
     
     
  • 6.188, VolanD, 07:59, 21/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Кстати да, всякие DPI легче разрабатывать, наверное ... весь текст скрыт [показать]
     
     
  • 7.189, 3draven, 08:04, 21/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Шутки у вас Но, сейчас документация на системы и конфиги систем ядра, огромна... весь текст скрыт [показать]
     
     
  • 8.190, 3draven, 08:07, 21/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Ведь как ни крути, а любому нетфильтру оперировать типом-классом packet, так что... весь текст скрыт [показать]
     
     
  • 9.191, pavel_simple, 08:19, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    java головного мозгу, вам термин overengineering поди не знаком ... весь текст скрыт [показать]
     
     
  • 10.200, 3draven, 13:15, 21/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну вы там это, учите новые правила нетфильтра, флаг в руки А потом снова и сн... весь текст скрыт [показать]
     
     
  • 11.202, 3draven, 13:28, 21/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Унификация средств конфигурирования и простого расширения подсистем ядра отделит... весь текст скрыт [показать]
     
  • 10.204, 3draven, 13:52, 21/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    http www netbsd org gallery presentations mbalmer fosdem2012 kernel_mode_lua p... весь текст скрыт [показать]
     
  • 3.180, 3draven, 07:19, 21/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    сложнейшую маршрутизацию и прочее все туда же А сервисы ядра подключать как биб... весь текст скрыт [показать]
     
     
  • 4.183, 3draven, 07:27, 21/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Причем так как язык очень высокоуровневый надо, то выделений памяти, буферов и п... весь текст скрыт [показать]
     
  • 4.195, ананим, 08:34, 21/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Не поверишь Называются модули ядра ... весь текст скрыт [показать]
     
     
  • 5.201, 3draven, 13:24, 21/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Подключать не к ядру, а к скрипту.
     
  • 1.178, Mr. Sneer, 07:06, 21/10/2013 [ответить] [смотреть все]  
  • +4 +/
    Когда коту делать нечего, он яйца лижет, а программисты разрабатывают принципиально новый wayland/gnome3/systemd/nftables/gtk3/clang и т.д.

    И в каждой такой новости мы видим рассказы, как предшественник устарел, плох, не безопасен и т.д. Ужас да и только. И как только линукс взлетел со всем этим?

     
     
  • 2.197, const86, 11:38, 21/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Дык 1 же, невысоко взлетел Оказывается, это было из-за устаревшего iptables, н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.198, Mr. Sneer, 12:00, 21/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Рано ей налаживаться - вот впилят в каждый дистрибутив wayland мы ведь все знаем... весь текст скрыт [показать]
     
     
  • 4.309, Аноним, 20:40, 20/01/2014 [^] [ответить] [смотреть все]  
  • +/
    Судя по тому как интел въе над линуксом начал - это не просто так ... весь текст скрыт [показать]
     
  • 3.308, Аноним, 20:39, 20/01/2014 [^] [ответить] [смотреть все]  
  • +/
    Ну да, а вон те 50 серверов, 50 планшеток, 80 смартов, 90 суперкомпьютеров, ... весь текст скрыт [показать]
     
  • 1.203, evilman, 13:43, 21/10/2013 [ответить] [смотреть все]  
  • +/
    Для всех хейтеров на заметку: для nftables подготовлена прослойка, которая полностью совместима с ip/ip6/arp/eb tables на уровне синтаксиса команд и интерфейса extensions. Т.о. можно не переучиваться. Во-вторых, все эти ваши экстеншены можно использовать из-под nftables без переделки. Ну и плюс новые плюшки, типа уже встроенных таблиц для хранения наборов данных, маппинга (а-ля tablearg), более дружелюбный к СМП "движок" с минимумом локов, избавление от ненужных дёрганий (не используете хук, так и система не будет проверять пустую цепочку), ну и по мелочи. Концептуально всё это очень похоже на ОпенБСДшный NPF, который чуть позже вышел, но был быстрее интегрирован в систему. Как-то так.
     
     
  • 2.231, Имярек, 22:54, 21/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Только он не в ОпенБСД, а в НетБСД http www netbsd org rmind npf И действит... весь текст скрыт [показать] [показать ветку]
     
  • 2.234, Crazy Alex, 02:16, 22/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да сама фишка хорошая, синтаксис безумный Правила ж не надо читать, их надо ска... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.238, arisu, 02:20, 22/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    слушай, переложи уже работу фильтрации пакетов на машину ну трудно же тебе кажд... весь текст скрыт [показать]
     
     
  • 4.253, ананим, 05:09, 22/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    для идиoтиков, тут про фильтрацию правил, а не пакетов переложить это можно тол... весь текст скрыт [показать]
     
     
  • 5.254, arisu, 05:29, 22/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    о, ещё один представитель племени пишущих правила в бессознательном состоянии с... весь текст скрыт [показать]
     
     
  • 6.263, ананим, 15:39, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    эт точно D arizu one arizu two да, вот так вы и живёте хорошо хоть признаёш... весь текст скрыт [показать]
     
  • 4.257, Crazy Alex, 13:10, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Хочешь сказать, что никогда пачку правил не смотрел глазами чтобы понять, что та... весь текст скрыт [показать]
     
     
  • 5.266, arisu, 18:18, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    хочу сказать, что рапарзивать 171 187 шибко сложнее, чем слова я им... весь текст скрыт [показать]
     
     
  • 6.301, Crazy Alex, 11:41, 23/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну так речь же не о том, чтобы сплошные значки были Но вот эти sport dport явно... весь текст скрыт [показать]
     
     
  • 7.302, arisu, 18:20, 23/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Прочтя в черноморской вечерке объявление 171 Сд пр ком в уд в н м од и... весь текст скрыт [показать]
     
  • 3.287, Аноним, 21:16, 22/10/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    Синтаксис вашей речи не позволяет ее парсить, извините Пожалуйста, ставьте мину... весь текст скрыт [показать]
     
     
  • 4.300, Crazy Alex, 11:36, 23/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Еще один Разницу между атрибутом и параметром понимаем Hint почему в SQL прин... весь текст скрыт [показать]
     
     
  • 5.305, pavlinux, 00:04, 27/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Наследие IBM System 360 и VAX VMS, Фортранщеги ваще капслок гвоздём прибивают ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (13)

  • 1.205, Аноним, 14:01, 21/10/2013 [ответить] [смотреть все]  
  • –1 +/
    взаимоинтеграция линукс на бздю и наоборот дополнительный фактор развития когда ... весь текст скрыт [показать]
     
  • 1.206, Аноним, 15:29, 21/10/2013 [ответить] [смотреть все]  
  • –1 +/
    Документация представлена в виде коротко "How to" ?
     
  • 1.215, V, 16:04, 21/10/2013 [ответить] [смотреть все]  
  • +1 +/
    вот и переписали ferm на C
     
  • 1.219, Аноним, 16:17, 21/10/2013 [ответить] [смотреть все]  
  • –2 +/
    не то, чтобы это тянет на файрвол, но хоть какая-то движуха, изменения инновации... весь текст скрыт [показать]
     
     
  • 2.256, commiethebeastie, 12:59, 22/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ниасилил А как должен выглядеть фаерволл Выскакивать окошко и раздаваться звук... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.271, arisu, 18:41, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    DPI ему не хватает. начальство, видимо, приказало.
     
     
  • 4.307, Аноним, 20:37, 20/01/2014 [^] [ответить] [смотреть все]  
  • +/
    Тогда ему не хватает не DPI а мозгов и квалификации ... весь текст скрыт [показать]
     
  • 3.291, Аноним, 22:04, 22/10/2013 [^] [ответить] [смотреть все]  
  • +/
    не позволять себя обходить, для начала ну а в идеале - написаным головой а не ж... весь текст скрыт [показать]
     
     
  • 4.298, commiethebeastie, 08:52, 23/10/2013 [^] [ответить] [смотреть все]  
  • +/
    https bugzilla netfilter org ... весь текст скрыт [показать]
     
  • 1.303, ваноним, 04:08, 24/10/2013 [ответить] [смотреть все]  
  • +1 +/
    > конечного автомата (pseudo-state machine)

    точно не finite state machine?

     
  • 1.306, Сталин, 04:55, 09/11/2013 [ответить] [смотреть все]  
  • +/
    Тут установка https://home.regit.org/netfilter-en/nftables-quick-howto/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor