The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

19.10.2013 22:31  В ядре Linux 3.13 ожидается появление нового пакетного фильтра Nftables

В экспериментальную ветку linux-next, на базе которой будет формироваться ядро Linux 3.13, принят код Nftables, новой реализации пакетного фильтра, идущей на смену iptables, ip6table, arptables и ebtables. Nftables отличается существенным пересмотром организации процесса обработки правил фильтрации пакетов, новым синтаксисом правил, сокращением кода, выполняемого на уровне ядра, и унификацией интерфейсов для IPv4, IPv6, ARP и сетевых мостов.

Ключевой особенностью Nftables является применение идеи, близкой к реализации BPF (Berkeley Packet Filters) - правила фильтрации компилируются в пространстве пользователя в байткод и передаются в ядро через API Netlink, после чего для принятия решения по дальнейшим действиям с пакетом выполняются с использованием конечного автомата (pseudo-state machine). В качестве базовых блоков по-прежнему используются компоненты инфраструктуры Netfilter, в том числе существующие хуки, система отслеживания состояния соединений, компоненты организации очередей и подсистема ведения лога.

Выполнение правил с использованием конечного автомата вместо применения логики сопоставления позволяет сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя. Кроме того, появляется возможность унифицировать работу с различными видами протоколов в едином наборе псевдокода, без необходимости поддержания в ядре отдельных расширений фильтрации для IPv4, IPv6, ARP и сетевых мостов. При необходимости поддержки фильтрации нового протокола, все изменения могут быть внесены в пользовательском пространстве без обновления кода ядра.

Все операции по определению условий и связанных с ними действий выполняются в пространстве пользователя, в ядре производится только базовый набор операций, таких как чтение данных из пакета, сравнение данных и т.п. Присутствует поддержка словарного маппинга и поиска по наборам правил (sets), работа которых реализована через хеши и rb-деревья. При этом элементы наборов могут быть заданы в виде диапазонов значений (можно определять подсети).

Для взаимодействия с кодом, работающим на уровне ядра, предлагается специальная связующая интерфейсная библиотека libnl и построенный поверх неё фронтэнд, работающий на уровне пользователя. Для формирования правил фильтрации в nftables подготовлена утилита nft, которая проверяет корректность правил и транслирует их в байткод. Правила могут добавляться не только инкрементально, но и загружаться целиком из файла на диске.

Новый синтаксис правил не похож на iptables и отличается использованием иерархических блочных структур вместо линейной схемы. Язык классификации правил основан на реальной грамматике, при обработке которой используется сгенерированный в bison парсер. Для обеспечения обратной совместимости с линейными правилами предоставляется специальная прослойка, позволяющая использовать iptables/ip6tables поверх инфраструктуры Nftables. Представленный для ядра 3.13 код предусматривает сосуществование старой и новой подсистем, так как Nftables ещё требует доработки и тестирования.

Пример правил:


table filter {
        chain input {
                 table filter hook input priority 0;
                 ct state established accept
                 ct state related accept
                 meta iif lo accept
                 tcp dport ssh counter packets 0 bytes 0 accept
                 counter packets 5 bytes 5 log drop
        }

        chain output {
                 table filter hook output priority 0;
                 ct state established accept
                 ct state related accept
                 meta oif lo accept
                 ct state new counter packets 0 bytes 0 accept
        }
}



  1. Главная ссылка к новости (http://lwn.net/Articles/570921...)
  2. OpenNews: Интервью с Алексеем Кузнецовым, одним из создателей сетевого стека Linux
  3. OpenNews: Новый пакетный фильтр для борьбы с флудом на уровне Linux ядра
  4. OpenNews: Разработчики OpenBSD приняли решение активировать пакетный фильтр PF по умолчанию
  5. OpenNews: Разработчики NetBSD представили новый пакетный фильтр - NPF
Лицензия: CC-BY
Тип: Интересно / Программы
Ключевые слова: nftables, iptables, netfilter, linux, kernel
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 00:12, 20/10/2013 [ответить] [показать ветку] [···]     [к модератору]
  • –9 +/
    А я ожидаю, что в 3 13-ом ядре будет из коробки работать подсветка в моём ноутбу... весь текст скрыт [показать]
     
     
  • 2.17, Аноним (-), 01:13, 20/10/2013 [^] [ответить]    [к модератору]  
  • +15 +/
    Попробуй добавить параметр acpi_osi="!Windows 2012"
     
     
  • 3.95, Аноним (-), 11:10, 20/10/2013 [^] [ответить]    [к модератору]  
  • +11 +/
    Это не шутка!
     
     
  • 4.100, Аноним (-), 12:14, 20/10/2013 [^] [ответить]    [к модератору]  
  • +7 +/
    Ох, я столько уже мучался с этим, что и забыл, что в первый раз это может выглядеть как глупая шутка.

    Суть в том, что ядро при загрузке вызывает (не знаю, как метод называется, пусть будет) метод _OSI из таблиц ACPI сообщая, что оно понимает все версии Windows и Linux. А тот параметр говорит ядру не сообщать firmware, что оно "совместимо" с Windows 8. В Windows 8 драйверы сами управляют подсветкой и код из таблиц ACPI не вызывается. Производители его не тестируют и поэтому код в ветках поддержки Windows 8 часто бажный. А вот Linux честно его вызывает, что у меня на системе приводит к зависаниям. acpi_osi="!Windows 2012" спасает. (Обрати внимание на восклицательный знак. Здесь он означает отрицание).

     
     
  • 5.110, Аноним (1), 13:35, 20/10/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    Ваш способ не сработал, но подтолкнул меня к другому - http forums linuxmint c... весь текст скрыт [показать]
     
     
  • 6.121, rshadow (ok), 14:40, 20/10/2013 [^] [ответить]    [к модератору]  
  • –3 +/
    Не переживайте так, ваши мучения напрасны. В одном из следующих ядер все равно поломают опять...
     
     
  • 7.304, pavlinux (ok), 00:00, 27/10/2013 [^] [ответить]     [к модератору]  
  • +/
    https www kernel org diff diffview cgi file pub linux kernel v3 x testing pat... весь текст скрыт [показать]
     
  • 6.139, northbear (??), 17:16, 20/10/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    Xosd вам в помощь. Благо Linux это не винды...
     
  • 1.2, Crazy Alex (??), 00:14, 20/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Все хорошо, но интересно, как у него со скоростью будет...
     
     
  • 2.83, Аноним (-), 06:50, 20/10/2013 [^] [ответить]    [к модератору]  
  • –3 +/
    как у BPF
     
  • 1.4, Аноним (-), 00:28, 20/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    > Nftables, новой реализации пакетного фильтра, идущего на смену iptables

    Вот есть iptables - проверенный годами, стабильный, притертый...
    И тут на тебе новая шняга!, которая идет на смену iptables.
    Да и еще с новым стрёмным синтаксисом.
    Чё опять читать 100500 строковый ман? Тут бы старый дочитать :))

     
     
  • 2.5, stalker37 (?), 00:35, 20/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Аха..а ещё к таблесам куча полезных модулей, например тот же самый ipt_netflow

     
     
  • 3.6, свободный бздун (?), 00:37, 20/10/2013 [^] [ответить]    [к модератору]  
  • –8 +/
    > Аха..а ещё к таблесам куча полезных модулей, например тот же самый ipt_netflow

    Гы-гы. Неосиляторы в треде.
    Даёшь каждый год новый код!

     
  • 3.12, Аноним (-), 01:04, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Аха..а ещё к таблесам куча полезных модулей, например тот же самый ipt_netflow

    ipt_netflow давно пора слить в мейнстрим. Вот и повод появился.

     
  • 3.104, Аноним (-), 13:28, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Часть этих полезных модулей требует пересборки ведра, а это геморно при его рег... весь текст скрыт [показать]
     
  • 3.141, Павел Одинцов (?), 17:47, 20/10/2013 [^] [ответить]     [к модератору]  
  • +5 +/
    Дерьма кусок Ваш ipt_netflow Мы всеми силами выправляли его кривой код, рассказ... весь текст скрыт [показать]
     
     
  • 4.157, stalker37 (?), 21:34, 20/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    а есть чем заменить Только не говорите что покупать циску А так - 2 год крути... весь текст скрыт [показать]
     
     
  • 5.158, Гость (?), 23:56, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    BSD и netgraph ... весь текст скрыт [показать]
     
     
  • 6.164, stalker37 (?), 00:24, 21/10/2013 [^] [ответить]    [к модератору]  
  • +/
    аха.. смените ос,руки,планету...
     
     
  • 7.212, Аноним (-), 15:58, 21/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > аха.. смените ос,руки,планету...

    Ну если так хочется воспроизвести креш - то и BSD поставишь, и netgraph настроишь.

     
  • 6.193, ананим (?), 08:23, 21/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    >>Как креш воспроизвести?
    >BSD и netgraph. =) 

    В смысле "и креши появятся"?

     
  • 2.7, msa (??), 00:43, 20/10/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    iptables давно уже устарел, справедливо осмеян Придется переучиватьсяю... весь текст скрыт [показать]
     
     
  • 3.8, AnonuS (?), 00:51, 20/10/2013 [^] [ответить]     [к модератору]  
  • +4 +/
    Чем конкретно он устарел, старый стал запинаться стал, раньше пакеты фильтровал,... весь текст скрыт [показать]
     
     
  • 4.10, Аноним (-), 00:59, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Нет, просто уродец Все попытки дальнейшего развития netfilter упирались в неимо... весь текст скрыт [показать]
     
     
  • 5.15, AnonuS (?), 01:08, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Многим нравиться Как бы не народился ещё больший уродец Да и трудно всем уго... весь текст скрыт [показать]
     
     
  • 6.22, Аноним (-), 01:31, 20/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Мазохисты, сэр Так давайте еще раз сделаем им больно, раз они это любят Пока д... весь текст скрыт [показать]
     
     
  • 7.35, AnonuS (?), 02:09, 20/10/2013 [^] [ответить]     [к модератору]  
  • +3 +/
    Дорогой анонимный брат Аноним, эта твоя позиция лично мне близка и понятна, и я ... весь текст скрыт [показать]
     
     
  • 8.209, Аноним (-), 15:54, 21/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Дорогой анонимный брат Аноним, эта твоя позиция лично мне близка и понятна, и я могу её только поприветствовать.

    Судя по резкому изменению вашей позиции, вы успели сходить по ссылкам в новости =)

     
  • 7.159, Гость (?), 23:58, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    >> Многим нравиться.
    > А не надо кому-то угождать. Надо просто сделать технически лучше, чем было.

    Это уже попахивает изменой GNU/Linux. Вы так договоритесь до BSD way.

     
     
  • 8.207, Аноним (-), 15:52, 21/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > Это уже попахивает изменой GNU/Linux. Вы так договоритесь до BSD way.

    BSD way - это когда не технически, а академически лучше. Но при этом никому нафиг не сдалось.

     
  • 6.86, Аноним (-), 07:48, 20/10/2013 [^] [ответить]     [к модератору]  
  • –3 +/
    ну вы сравнили блин, админы как раз знают bash отлично, и писать init в порядке... весь текст скрыт [показать]
     
     
  • 7.103, Аноним (-), 13:15, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > и писать init в порядке вещей

    И это печально.

    > часто вместо стандартного init выступает runit

    Примерно один раз из десяти тысяч, не?

    > И он делался с оглядкой на FreeBSD.

    Фига с два.

     
  • 7.160, Гость (?), 00:03, 21/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > ну вы сравнили блин,  админы как раз знают bash отлично

    Ой ли? over 99% на яндексовские задачи правильно ответить не могут.

     
     
  • 8.208, Аноним (-), 15:53, 21/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > Ой ли? over 99% на яндексовские задачи правильно ответить не могут.

    Видимо, вин- и убунтоадмины.

     
  • 2.14, Аноним (-), 01:08, 20/10/2013 [^] [ответить]     [к модератору]  
  • –2 +/
    Дедушка умер, похороните его уже А вот бздуны от такого синтаксиса кипятком пис... весь текст скрыт [показать]
     
     
  • 3.18, Аноним (-), 01:18, 20/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Это вот ты сейчас так защищаешь ТО, чем еще ниразу не пользовался и руками не щу... весь текст скрыт [показать]
     
     
  • 4.21, Аноним (-), 01:25, 20/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Откуда ты знаешь, мой юный друг Может быть, я слежу за этим проектом с 2009 год... весь текст скрыт [показать]
     
     
  • 5.24, Аноним (-), 01:38, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Это очень замечательно, что на опеннете есть человек, который следил за этим про... весь текст скрыт [показать]
     
     
  • 6.32, Аноним (-), 02:06, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Четыре с половиной официальный анонс был весной Но в 9-11 годах следить было ... весь текст скрыт [показать]
     
     
  • 7.89, Аноним (-), 08:25, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Как оно из байткода выводит список текущих правил в человекопонятном виде по ан... весь текст скрыт [показать]
     
     
  • 8.105, Аноним (-), 13:29, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Путем декодирования, очевидно же См src netlink c, list_chain_cb Полагаю, мож... весь текст скрыт [показать]
     
     
  • 9.118, Аноним (-), 14:04, 20/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Да что-то гложат меня смутные сомнения Теоретически, байткодом можно много чего... весь текст скрыт [показать]
     
     
  • 10.168, arisu (ok), 00:44, 21/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    попробуй не давать всем подряд права на то, на что права должны быть только у ад... весь текст скрыт [показать]
     
  • 10.213, Аноним (-), 16:01, 21/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Байт-кодом, который имеет доступ только к сетевым пакетам Ну-ну При наличии ру... весь текст скрыт [показать]
     
     
  • 11.230, Аноним (-), 22:17, 21/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Байткодом, который имеет доступ к фаерволу Можно разрешить много лишнего на сет... весь текст скрыт [показать]
     
     
  • 12.276, Аноним (-), 20:50, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Почему Через тот же pcap - никаких проблем У фаервола и raw-сокетов один и тот... весь текст скрыт [показать]
     
     
  • 13.299, Аноним (-), 10:39, 23/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Это я просто предположил так, какие там возможности у этого байткода и фильтра в... весь текст скрыт [показать]
     
  • 9.127, Адекват (ok), 16:01, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    А время вывода over9000 строк не станет больше чем просто вывод по сути текстово... весь текст скрыт [показать]
     
     
  • 10.210, Аноним (-), 15:56, 21/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Большие наборы правил удобнее сворачивать в множества sets , которые декодируют... весь текст скрыт [показать]
     
  • 6.140, northbear (??), 17:24, 20/10/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    > Человеку свойственна лень. Вам нет?

    Человек которому свойственна лень больше, чем можно себе это позволить, неизбежно превращается в планктон и становится чужой едой...

     
  • 4.97, VolanD (ok), 11:25, 20/10/2013 [^] [ответить]     [к модератору]  
  • –2 +/
    Небось еще сендмылом почту рулите ... весь текст скрыт [показать]
     
  • 3.109, Аноним (-), 13:33, 20/10/2013 [^] [ответить]    [к модератору]  
  • –3 +/
    > Не нравится - вперед, в дворники.

    Павлик, залогинься.
    >А вот бздуны

    Интересы 1%  никого не волнуют ))

     
     
  • 4.116, Аноним (-), 13:46, 20/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    То, что личности с ограниченными интеллектуальными возможностями должны занимать... весь текст скрыт [показать]
     
  • 2.25, Seclorum (??), 01:38, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Вот есть iptables - проверенный годами, стабильный, притертый...

    И неподдерживающий кучу сетевых протоколов...


     
     
  • 3.128, Адекват (ok), 16:03, 20/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Каких например каких из тех, с коими реально сталкиваются сисадмины igrp, os... весь текст скрыт [показать]
     
     
  • 4.211, Аноним (-), 15:57, 21/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Каких например ? каких из тех, с коими реально сталкиваются сисадмины ?

    Начнем с простых: ethernet, ARP/RARP, IPv6 =)

     
  • 2.94, lucentcode (ok), 11:09, 20/10/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    Не надо ворчать Если вы профессионал своего дела - вы каждый день маны читаете ... весь текст скрыт [показать]
     
     
  • 3.111, Anonim (??), 13:37, 20/10/2013 [^] [ответить]    [к модератору]  
  • –7 +/
    > Если вы профессионал своего дела - вы каждый день маны читаете.

    Маны каждый день читают админишки недоделаные, профессионалы их пишут.

     
     
  • 4.115, Аноним (-), 13:44, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Маны каждый день читают админишки недоделаные, профессионалы их пишут.

    Это типа пропаганда расовой ненависти быдлoкодеров к админам?

     
  • 3.130, Адекват (ok), 16:04, 20/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Кстати сам Линус не считает что в линуксе должно быть микроядро, а все что можно... весь текст скрыт [показать]
     
     
  • 4.142, lucentcode (ok), 18:18, 20/10/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    Сам Линус никогда не был авторитетом в области проектирования и архитектуры ОС ... весь текст скрыт [показать]
     
     
  • 5.144, Andrey Mitrofanov (?), 18:43, 20/10/2013 [^] [ответить]     [к модератору]  
  • –2 +/
    Ой, тогда именно патентных тролей в ПО не было Не было _патентов_ в иске USL Т... весь текст скрыт [показать]
     
     
  • 6.147, lucentcode (ok), 19:17, 20/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    То, что все потомки 4 4BSD никогда не догонят теперь Linux по популярности Mac O... весь текст скрыт [показать]
     
  • 5.148, Адекват (ok), 19:58, 20/10/2013 [^] [ответить]     [к модератору]  
  • –2 +/
    И тем не менее - у него были аргументы того, каким должно быть _его_ ядро Я вот... весь текст скрыт [показать]
     
     
  • 6.149, lucentcode (ok), 20:07, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален В целом, вы правы Но не думаю, что любой пользователь м... весь текст скрыт [показать]
     
  • 6.169, arisu (ok), 00:53, 21/10/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    а вот с этого места 8212 подробней давай особенно интересно, чем это принци... весь текст скрыт [показать]
     
  • 5.196, Аноним (196), 10:18, 21/10/2013 [^] [ответить]     [к модератору]  
  • +3 +/
    некомпетентность Линуса - это миф который подогревается всеми, кому не лень, в т... весь текст скрыт [показать]
     
     
  • 6.229, lucentcode (ok), 19:35, 21/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Не спорю Совсем некомпетентый человек не мог бы проверять чужой код, и координи... весь текст скрыт [показать]
     
  • 3.162, Гость (?), 00:18, 21/10/2013 [^] [ответить]    [к модератору]  
  • –2 +/
    > Не надо ворчать. Если вы профессионал своего дела - вы каждый день
    > маны читаете.

    А пацанам не нужен нормальный l7-filter, имя что-нить попроще, для домашнего роутера.

     
  • 2.99, Aleks Revo (ok), 12:11, 20/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    К 2113 году, когда в стабильную ветку будут переведены ядра 3.13 всё будет уже проработано и организовано ;-)
     
     
  • 3.107, Аноним (-), 13:31, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > К 2113 году, когда в стабильную ветку будут переведены ядра 3.13

    Всего лишь к 2014.

     
  • 2.126, XoRe (ok), 15:51, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    s iptables ipchains g ну вы поняли ... весь текст скрыт [показать]
     
  • 2.150, тигар (ok), 20:10, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    примерно также когда-то давно поклонники ipchains думали.
     
     
  • 3.192, ананим (?), 08:21, 21/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Совсем не так.
    Вам, бсдишнегам, трудно понять, что iptables был просто логическим продолжением ipchains.
    Увеличилась функциональность, добавились опции и... всё.
    Проблем с переходом не возникло.
     
     
  • 4.214, Аноним (-), 16:04, 21/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Вот-вот Вместо того, чтобы похоронить дедулю, к нему приделали экзоскелет с дис... весь текст скрыт [показать]
     
     
  • 5.262, ананим (?), 14:21, 22/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Трудно представить, чтобы вы, любители анимэ, сделали с старичком колесом.
     
     
  • 6.278, Аноним (-), 20:53, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    С колесом - не так много А вот повозки эпохи первых колес, несмотря на их стаби... весь текст скрыт [показать]
     
     
  • 7.283, ананим (?), 21:10, 22/10/2013 [^] [ответить]    [к модератору]  
  • +/
    При этом колёса просто модифицировались, а не изобретались по-новой.
     
     
  • 8.288, Аноним (-), 21:26, 22/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > При этом колёса просто модифицировались, а не изобретались по-новой.

    Человек - это модифицированная амеба.

     
     
  • 9.290, Michael Shigorin (ok), 21:31, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Пожалуйста, если уж очень неймётся -- делитесь такими откровениями да и вообще ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (69)

  • 1.9, AnonuS (?), 00:59, 20/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > Ключевой особенностью Nftables является применение идеи, близкой к реализации BPF (Berkeley Packet Filters) - [b]правила фильтрации компилируются в пространстве пользователя в байткод и передаются в ядро[/b]...
    > Выполнение правил с использованием конечного автомата вместо применения логики сопоставления [b]позволяет сократить размер кода фильтрации[/b], работающего на уровне ядра...

    Выглядит положительным начинанием, но не опасна ли эта затея с байт-кодом. Кто может пояснить на пальцах и успокоить ?

     
     
  • 2.11, Аноним (-), 01:03, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    iptables сейчас работает примерно так же Только вместо байт-кода - блоб хитрой ... весь текст скрыт [показать]
     
  • 2.96, Мяут (ok), 11:16, 20/10/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    Только Lua, только хардкор!
    Нет, серьезно: http://www.opennet.ru/openforum/vsluhforumID3/92243.html
     
  • 2.170, arisu (ok), 01:02, 21/10/2013 [^] [ответить]     [к модератору]  
  • +4 +/
    не опасна точнее, как минимум не более опасна, чем существующая реализация сей... весь текст скрыт [показать]
     
  • 1.13, Аноним (-), 01:05, 20/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Твою дивизию! Я только что окончил читать мануал к iptables на 600 страниц...
     
     
  • 2.16, Sinot (ok), 01:09, 20/10/2013 [^] [ответить]    [к модератору]  
  • +6 +/
    А зачем? Я вот тоже опасался сложности написания правил iptables, а выяснилось, что основ там на пол странички, а все остальное изучается исключительно по необходимости.
     
  • 2.19, Аноним (-), 01:21, 20/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Я тебе открою страшную тайну заменяешь iptables на ntf ip, -A на add, -p на pro... весь текст скрыт [показать]
     
     
  • 3.20, Аноним (-), 01:24, 20/10/2013 [^] [ответить]    [к модератору]  
  • –2 +/
    Тогда какого Х*я ваще было синтаксис менять, раз всего названия сущностей были изменены?!
    Шо за треш!
     
     
  • 4.23, Аноним (-), 01:34, 20/10/2013 [^] [ответить]     [к модератору]  
  • +3 +/
    Внутри тоже кой-чего поменяли Например, слили четыре гигантских куска дублирующ... весь текст скрыт [показать]
     
     
  • 5.26, Аноним (-), 01:44, 20/10/2013 [^] [ответить]     [к модератору]  
  • –3 +/
    Кому оно напрашивалось Вот посмотрите на новый синтаксис с точки зрения эргоном... весь текст скрыт [показать]
     
     
  • 6.30, Аноним (-), 01:59, 20/10/2013 [^] [ответить]    [к модератору]  
  • +7 +/
    > Кому оно напрашивалось? Вот посмотрите на новый синтаксис с точки зрения эргономики
    > - все сливается... не хватает разделителей (типа '-')... Трудно читабельно, и

    У вас, видимо, браузер не отображает пробелы. Наверное, стоит написать багрепорт разработчикам.

     
     
  • 7.31, Аноним (-), 02:03, 20/10/2013 [^] [ответить]    [к модератору]  
  • –3 +/
    Иди отсюда, арчеребёнок. Синтаксис иптаблес лучше
     
     
  • 8.33, Аноним (-), 02:08, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Иди отсюда, арчеребёнок.

    Не брюзжи, слакодедуля :)

    > Синтаксис иптаблес лучше

    Чем грузины? Или чем армяне?

     
     
  • 9.41, ананим (?), 02:50, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Тем, что он соответсвует POSIX стандарту коммандной строки.
    Кстати, как там о добавлении правил из коммандной строки? Порой бывает очень нужно, не перегружать же все 100500 из-за одного правила.
     
     
  • 10.45, ананим (?), 03:00, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Зыж
    >Кстати, как там о добавлении правил из коммандной строки?

    С точки зрения лаконичности и удобства имеется в виду.

     
  • 10.46, Аноним (-), 03:03, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Я бы не сказал, что для фаервола это достоинство Вот ты бы очень обрадовался, е... весь текст скрыт [показать]
     
     
  • 11.47, Аноним (-), 03:08, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    As of June 2009, iptables and its relatives are still bound by the kernel interf... весь текст скрыт [показать]
     
     
  • 12.50, ананим (?), 03:32, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    ссылочкой надеюсь не трудно будет поделиться?
     
     
     
     
     
     
     
     
    Часть нити удалена модератором

  • 19.84, Ананас (?), 07:29, 20/10/2013 [ответить]    [к модератору]  
  • +/
    http://inai.de/documents/Perfect_Ruleset.pdf
     
     
  • 20.92, ананим (?), 10:25, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    верно что мешало ранее так сделать зыж но вот это из разряда вредных советов ... весь текст скрыт [показать]
     
  • 21.108, Аноним (-), 13:33, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > все операции там вроде как атомарны и блокируются.

    Ага-ага, каждый раз при перезагрузке правил блокируется сетевой стек.

     
  • 22.122, ананим (?), 14:43, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    1 Про кэширование пакетов благородный дон не слышал 2 Вы реально понимаете ра... весь текст скрыт [показать]
     
  • 11.49, ананим (?), 03:14, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Как примут ваш стандарт не_сказал_бы на правила командной строки, тогда и пого... весь текст скрыт [показать]
     
     
  • 12.53, Аноним (-), 03:41, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Строка есть Есть Командует Командует Что тебе еще надо Ты решил сделать нес... весь текст скрыт [показать]
     
     
  • 13.57, ананим (?), 03:49, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Я что, не доступным вам языком написал Мне нужен стандартный способ разбора ком... весь текст скрыт [показать]
     
     
  • 14.58, ананим (?), 03:52, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    зыж Вам кстати, это от природной скромности вы на 171 ты 187 перешли поня... весь текст скрыт [показать]
     
     
  • 15.62, Аноним (-), 03:57, 20/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Просто не поворачивается язык человеку с такими детскими манерами писать ты Е... весь текст скрыт [показать]
     
     
  • 16.67, ананим (?), 04:13, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Э 8230 А не наоборот Поворачивается, как у прыщавого подростка в сложный пери... весь текст скрыт [показать]
     
     
  • 17.74, Аноним (-), 04:36, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Ага, значит я не ошибся с определением твоего возраста ШТО Зачем тебе хеш А т... весь текст скрыт [показать]
     
     
     
    Часть нити удалена модератором

  • 19.78, ананим (?), 04:54, 20/10/2013 [ответить]    [к модератору]  
  • +/
    Ззыж
    Ах да! Воскресенье. :D
     
  • 14.61, Аноним (-), 03:53, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Я что, не доступным вам языком написал?
    > Мне нужен стандартный способ разбора командной строки.

    Зачем тебе разбирать командную строку программы, которая уже написана? Чтобы сделать велосипед?

     
     
  • 15.68, ананим (?), 04:20, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Мне нужно её формировать Желательно однообразным, стандартным способом В худше... весь текст скрыт [показать]
     
     
  • 16.72, Аноним (-), 04:32, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    nft ничем в этом плане не отличается от iptables кроме отсутствия минусов Или... весь текст скрыт [показать]
     
     
  • 17.77, ананим (?), 04:52, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Докажи Хотя бы на примере из сабжа выше 8212 как проверить валидацию парамет... весь текст скрыт [показать]
     
     
  • 18.93, kem (?), 10:46, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    а как это сделать в текущем интерфейсе iptables ?
     
     
  • 19.102, ананим (?), 13:01, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    как и у любого другого приложения, поддерживающего опции командой строки в стиле... весь текст скрыт [показать]
     
     
  • 20.217, Аноним (-), 16:12, 21/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Откройте для себя Bison.
     
  • 21.232, Crazy Alex (ok), 02:05, 22/10/2013 [^] [ответить]    [к модератору]  
  • +/
    И пишите свои парсеры вместо того, что отлажено за пару десятков лет? Ну-ну, желаю вам так и делать. наслаждайтесь граблями.
     
  • 22.235, arisu (ok), 02:16, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    да за каким фигом тебе вообще парзить правила-то генерируем не приходя в сознан... весь текст скрыт [показать]
     
  • 23.240, ананим (?), 03:15, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Забавно Это ты ж так делать предложил D... весь текст скрыт [показать]
     
  • 23.259, Crazy Alex (ok), 13:18, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Честно говоря, конкретно мне парсить не приходилось, но вполне могу представить ... весь текст скрыт [показать]
     
  • 24.267, arisu (ok), 18:24, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    это 8212 решение задачи, которая ещё даже не появилась при этом у меня есть ... весь текст скрыт [показать]
     
  • 24.268, arisu (ok), 18:26, 22/10/2013 [^] [ответить]    [к модератору]  
  • +/
    p.s. забавно повоевать «с другой стороны», да.
     
  • 24.286, Аноним (-), 21:13, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Почему же вы не пользуетесь ими в обычной речи Не ставите -- перед каждым слово... весь текст скрыт [показать]
     
  • 22.284, Аноним (-), 21:11, 22/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Почему-то в этом отлаженном за пару десятков лет до сих пор продолжают находит... весь текст скрыт [показать]
     
  • 21.236, arisu (ok), 02:18, 22/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Откройте для себя Bison.

    кстати, закройте для себя bison и откройте для себя lemon.

     
  • 22.260, Crazy Alex (ok), 13:22, 22/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Ну хвалятся они прикольно, а что оно _на_практике_ даёт по сравнению с бизоном? SQlite - это, конечно, неплохая заявка, но они вообще экзотику любят - тот же Fossil взять.
     
  • 23.269, arisu (ok), 18:37, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    кто и чем 171 хвалится 187 O_O как минимум 8212 парзер, который можно ко... весь текст скрыт [показать]
     
  • 24.294, Crazy Alex (ok), 04:09, 23/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Хвалятся - авторы lemon его фичами Что до перечисленного тобой - таки подходы р... весь текст скрыт [показать]
     
  • 25.297, arisu (ok), 04:20, 23/10/2013 [^] [ответить]     [к модератору]  
  • +/
    где на всякий случай перечисление похвальба такой подход нормально выгляди... весь текст скрыт [показать]
     
  • 18.225, Аноним (-), 16:30, 21/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Бизон в помощь, очевидно же Так дампа правил или командной строки ... весь текст скрыт [показать]
     
     
  • 19.239, ананим (?), 03:10, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Не стоит слушать вышевыссказавшихся товарищей Они бизон в сабже увидели и обрад... весь текст скрыт [показать]
     
     
  • 20.243, ананим (?), 03:30, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    зыж Вот кстати пруф на оригинал http lwn net Articles 324251 И да, предлага... весь текст скрыт [показать]
     
  • 21.280, Аноним (-), 20:59, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    А вы для анализа команд iptables предлагаете использовать какие-то дополнительны... весь текст скрыт [показать]
     
  • 20.279, Аноним (-), 20:57, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Тогда срочно выкинь все свои библиотеки для команд POSIX - они тоже по большей ч... весь текст скрыт [показать]
     
  • 21.285, ананим (?), 21:13, 22/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Да-а-а, тяжёлый случай.
     
  • 11.87, www2 (??), 08:09, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Это ты про внутреннюю организацию всего этого хозяйства говоришь или говоришь о ... весь текст скрыт [показать]
     
     
  • 12.113, Аноним (-), 13:39, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    О внутренней Пакеты фильтрует netfilter, а не iptables ... весь текст скрыт [показать]
     
     
  • 13.124, ананим (?), 14:52, 20/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    При этом в ядре таблицы меняются простой сменой указателей Вот, специально не п... весь текст скрыт [показать]
     
  • 9.163, Гость (?), 00:24, 21/10/2013 [^] [ответить]    [к модератору]  
  • +/
    >> Синтаксис иптаблес лучше
    > Чем грузины? Или чем армяне?

    Чем синтаксис pf. Это же любому админу локалхоста сходу понятно.

     
  • 8.136, Адекват (ok), 16:23, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Иди отсюда, арчеребёнок. Синтаксис иптаблес лучше

    Арче-ребенок :))) ? ахахаххахха
    Вы уважаемый, его установить то сможете хоть ? пфхазхахахаха.

     
  • 7.42, Аноним (-), 02:55, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > У вас, видимо, браузер не отображает пробелы. Наверное, стоит написать багрепорт разработчикам.

    Будьте последовательны. Убрали тире - уберите и пробелы, чтоб читалось быстрее. :))

     
     
  • 8.44, Аноним (-), 02:58, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Будьте последовательны Вам нравится, когда слова визуально разделены Не ограни... весь текст скрыт [показать]
     
     
  • 9.137, Адекват (ok), 16:38, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Будьте последовательны. Вам нравится, когда слова визуально разделены? Не ограничивайтесь
    > тире и пробелами, разделяйте их как минимум переводами строки.

    Будет Маяковский-style.

     
  • 8.55, Аноним (-), 03:46, 20/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    -А --ВЕДЬ --верно --говоришь -, --ДРУК - -С --ТИРЕ --текст --действительно --чи... весь текст скрыт [показать]
     
     
  • 9.56, Аноним (-), 03:49, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    -А --СИНТАКСИС --iptables --все --же --надо --ПОПРАВИТЬ - --Некоторые --ЛЕКСЕМЫ... весь текст скрыт [показать]
     
     
  • 10.64, ананим (?), 04:01, 20/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Зато сильно уменьшает количество возможных ошибок при программирования разбора п... весь текст скрыт [показать]
     
     
  • 11.66, Аноним (-), 04:03, 20/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    -В --ЭТОМ -- --то -и --проблема - --Аргументы --ВИЗУАЛЬНО --сливаются -с --пара... весь текст скрыт [показать]
     
     
  • 12.70, ананим (?), 04:26, 20/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Да, для секретарш не удобно, я ведь уже говорил?
    Но для них командная строка не удобна вообще, в силу только своего существования.

    Что-то ещё?

     
     
  • 13.75, Аноним (-), 04:37, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Да, для секретарш не удобно, я ведь уже говорил?

    --Не --ТОЛЬКО --для --СЕКРЕТАРШ -.

     
     
  • 14.79, ананим (?), 04:59, 20/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Конечно-конечно.
    Есть КУЧА профессий. Бухгалтера например.
     
  • 6.65, Аноним (-), 04:01, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    --Все --ПРАВИЛЬНО --ГОВОРИШЬ - -Я --ПРОСТО --не --понимаю -, --как --раньше --м... весь текст скрыт [показать]
     
     
  • 7.71, ананим (?), 04:27, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    >-Я --ПРОСТО --не --понимаю -, --как --раньше --мог --читать --текст --без --тире --перед --каждым --СЛОВОМ -!

    Э… Может потому что ты не iptables?

     
     
  • 8.123, Michael Shigorin (ok), 14:48, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    >>-Я --ПРОСТО --не --понимаю
    > Э… Может потому что ты не iptables?

    Вам точно не надоело ещё?

     
  • 3.132, Адекват (ok), 16:07, 20/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    А как сделать перенаправление пакета в другую цепочку типа iptables -t filter -... весь текст скрыт [показать]
     
     ....нить скрыта, показать (70)

  • 1.27, Аноним (-), 01:50, 20/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Когда они планируют выбросить поддержку iptables?
     
     
  • 2.29, Аноним (-), 01:55, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Никогда?
     
     
  • 3.52, Аноним (-), 03:39, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Нет смысла держать дублирующие подсистемы, от одной из них откажутся рано или поздно.
     
  • 1.28, Аноним (-), 01:53, 20/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Синтаксис правил просто фееричен.
     
  • 1.34, Igor (??), 02:08, 20/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    не ну то что они решили сделать чтото лучше это хорошо... только вот за каким лешим делать синтаксис да не сложный и логический но блин сливавшийся в 1 целое в глазах... Лично мне больше нравится старый синтаксис... просто он реально наглядней
     
     
  • 2.37, Аноним (-), 02:15, 20/10/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    Так вот откуда берутся люди, которые через каждые несколько слов лепят многоточи... весь текст скрыт [показать]
     
     
  • 3.85, анон (?), 07:42, 20/10/2013 [^] [ответить]    [к модератору]  
  • –3 +/
    смайлофаг закукарекал
     
     
  • 4.112, Аноним (-), 13:38, 20/10/2013 [^] [ответить]    [к модератору]  
  • –3 +/
    > смайлофаг закукарекал

    Да-да))) вот)) таким)))) товарищам)))) новый)) синтаксис)) тоже)))) не) понравится)))))))))))))))))))))))

     
     
  • 5.153, anonymous (??), 20:58, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    >> смайлофаг закукарекал
    > Да-да))) вот)) таким)))) товарищам)))) новый)) синтаксис)) тоже)))) не) понравится)))))))))))))))))))))))

    (зато (лисперы оценят))

     
     
  • 6.154, Michael Shigorin (ok), 21:04, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > (зато (лисперы оценят))

    Это -- да, бо скобочки в паритете.  А тот безглазый истерический мусор предлагаю вымести.

     
  • 5.258, Адекват (ok), 13:12, 22/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Вот смотрю я на вас и видится мне что тут 90 троллей, которым лишь бы других в ... весь текст скрыт [показать]
     
  • 3.176, Ordu (ok), 03:56, 21/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Видимо это единственный известный автору знак препинания. Вот он и натыкал его побольше, чтобы не подумали, что он безграмотный.
     
     
  • 4.221, Аноним (-), 16:20, 21/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Я раньше тоже так думал А теперь понятно 8212 ему просто нужно 171 визуаль... весь текст скрыт [показать]
     
  • 1.38, ferux (ok), 02:19, 20/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    интересно вот, планируется ли в нём поддержка фильтрации для заданных исполняемых файлов или их групп. А то 21й век идёт, а нет до сих пор нормальной реализации этого. То, что через SELinux делается - как-то костыльно. AppArmor-цы - обещают ток в 3й версии начать поддерживать подобное.
     
     
  • 2.39, Igor (??), 02:25, 20/10/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    эм а с этого места можно поподробней...
     
     
  • 3.138, ананим (?), 16:42, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    ну типа разрешил в фаерволе ц свалка програм опись ворд exe, запустил 8230 ... весь текст скрыт [показать]
     
     
  • 4.145, Michael Shigorin (ok), 19:06, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > усё, 21 век наступил.

    И шо, +x не надо и от юзера заработает? :)

     
     
  • 5.155, ананим (?), 21:27, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Ну да, и его тоже.
     
  • 4.171, arisu (ok), 01:11, 21/10/2013 [^] [ответить]     [к модератору]  
  • +/
    mv usr bin true usr bin true orig mv cannot move usr bin true to usr b... весь текст скрыт [показать]
     
     
  • 5.194, ананим (?), 08:27, 21/10/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    А у тебя /usr/bin/true в интернет лазит?!!
    Поздравляю.
     
     
  • 6.228, arisu (ok), 18:10, 21/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    usr bin proga у меня вообще отсутствует пожимает плечами замени true на wget... весь текст скрыт [показать]
     
     
  • 7.247, ананим (?), 03:48, 22/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Видишь ли, любой вменяемый админ сразу практически интуитивно догадывается, чт... весь текст скрыт [показать]
     
  • 4.174, ferux (ok), 02:38, 21/10/2013 [^] [ответить]     [к модератору]  
  • +/
    и как это поможет запретить исходящие на заданный порт только для usr bin proga... весь текст скрыт [показать]
     
     
  • 5.255, ананим (?), 07:53, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    вам поможет как обычно документация знание предметной области вот база для ра... весь текст скрыт [показать]
     
     
  • 6.272, ferux (ok), 19:30, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Да, это не костыльная система, запускать все приложения от отдельного пользовате... весь текст скрыт [показать]
     
     
  • 7.273, arisu (ok), 19:42, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    прикинь не костыльная тут ссылка проскакивала на slated, так вот ещё одна htt... весь текст скрыт [показать]
     
     
  • 8.275, ferux (ok), 20:08, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    так кто сказал, что нужно iptables -m owner --uid-owner отменить Я за то, ... весь текст скрыт [показать]
     
     
  • 9.277, arisu (ok), 20:52, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    171 это было-было-было, но прошло 187 ц был cmd-owner, но работало, говоря... весь текст скрыт [показать]
     
  • 6.274, Michael Shigorin (ok), 19:59, 22/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > вот база для размышлений:

    IMNSHO для такого уже становятся удобней контейнеры, поскольку изолирование на ФС с изолированием по сети ходят под ручку.

     
  • 4.227, Аноним (-), 16:35, 21/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Не, лучше так iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPU... весь текст скрыт [показать]
     
  • 2.73, 3draven (ok), 04:36, 20/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Я то же мечтать, хотеть быть правила на бинарник!
     
  • 2.165, Гость (?), 00:30, 21/10/2013 [^] [ответить]     [к модератору]  
  • –2 +/
    Ожидайте, в следующую итерацию в Линукс украдут и ipfw ... весь текст скрыт [показать]
     
     
  • 3.172, arisu (ok), 01:12, 21/10/2013 [^] [ответить]    [к модератору]  
  • +4 +/
    > украдут и ipfw.

    и как же bsd будет без ipfw тогда?

     
  • 3.216, Аноним (-), 16:08, 21/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > Ожидайте, в следующую итерацию в Линукс украдут и ipfw.

    А зачем Линуксу фаервол, имеющий проблемы с производительностью и масштабируемостью?

     
  • 3.265, anonymousZ (?), 17:07, 22/10/2013 [^] [ответить]    [к модератору]  
  • +/

    Самым первым фаерволом и linux и был  ipfwadm, фактически переписанный ipfw.
     
     ....нить скрыта, показать (21)

  • 1.40, commiethebeastie (ok), 02:48, 20/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Наконец-то можно закопать кучу костылей.
     
     
  • 2.43, ананим (?), 02:58, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Копалка пока ещё пока не отросла Лихорадочно искал в новости строки А то пришл... весь текст скрыт [показать]
     
  • 1.48, _KUL (ok), 03:13, 20/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    как раз у страуструпа начал читать про парсер с++ и там пример в книге, как раз про такой синтаксис. ну очень он не удобный, нежели линейные правила.
     
     
  • 2.80, ананим (?), 05:05, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Читать ещё пол-беды А вот сформировать, потом ещё и проверить валидность до фа... весь текст скрыт [показать]
     
  • 1.81, mma (?), 06:11, 20/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Посмотрим, довольно интересно, человеческий набор правил радует.
     
  • 1.82, Аноним (-), 06:29, 20/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Ну наконец то вливают наработки, эпохальное событие года 2 ждем уже.
     
     
  • 2.90, Ограбитель Корованов (?), 09:04, 20/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    >Ну наконец то вливают наработки, эпохальное событие года джва ждем уже.

    //исправил, не благодари

     
  • 1.88, www2 (??), 08:19, 20/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >table filter hook input priority 0;

    Точка с запятой в конце - обязательны? Чем объясняется, что в дальнейших правилах её нет?

    >ct state established accept
    >ct state related accept

    А как раньше ct state established,related accept уже нельзя?

     
     
  • 2.91, Аноним (-), 09:17, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Точка с запятой в конце - обязательны? Чем объясняется, что в дальнейших правилах её нет?

    C синтаксис xD

     
  • 2.222, Аноним (-), 16:21, 21/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > А как раньше ct state established,related accept уже нельзя?

    Да пожалуйста: ct state {established, related}

     
  • 1.117, ALex_hha (ok), 14:04, 20/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Это из оперы - "Чем грузины лучше" ;)

    [code]
    # iptables -t filter -A OUTPUT -d 1.2.3.4 -p tcp --dport 80 -j DROP
    [/code]

    и
    [code]
    # nft add rule ip filter output ip daddr 1.2.3.4 tcp dport 80 drop
    [/code]

    второе правилу ну никак не наглядней, хоть с какой стороны на него смотреть

     
     
  • 2.119, Andrey Mitrofanov (?), 14:07, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    К 2113 году всё изменится D Глаза смотрящего точно ... весь текст скрыт [показать]
     
  • 2.125, miha (??), 15:19, 20/10/2013 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален а вот интересно, такая перестановка в новом варианте зар... весь текст скрыт [показать]
     
     
  • 3.133, ананим (?), 16:12, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    хуже, когда будет так:
    # nft daddr 1.2.3.4 ip tcp add ip rule filter dport output 80 drop
    и сразу в глаза не бросается, т.к. не понятно где параметр, а где его атрибут.
     
  • 3.218, Аноним (-), 16:16, 21/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Нет, это не заработает daddr и saddr - уточняющие субселекторы селектора ip А ... весь текст скрыт [показать]
     
     
  • 4.233, Crazy Alex (ok), 02:10, 22/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    И ничему-то их SQL не научил... Тоже пытались сделать a-la человеческая речь.
     
     
  • 5.237, arisu (ok), 02:19, 22/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > И ничему-то их SQL не научил… Тоже пытались сделать a-la человеческая речь.

    и верно. то ли дело какое-нибудь @#%^%@#%. или вон как у sendmail — образец удобства и понятности.

     
     
  • 6.261, Crazy Alex (ok), 13:26, 22/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Ну так переборщить что угодно можно. Не пойму, чем тебя так смущает желание видеть явные отличия имен параметров от значений?
     
     
  • 7.264, ананим (?), 15:45, 22/10/2013 [^] [ответить]    [к модератору]  
  • +/
    человек не понимает разницу между параметрами программы и фронт-эндом по настройке этих параметров.

    зыж
    штоб править ему всю жизнь его виндовый (и бинарный) реестр хекс-эдитором! :D

     
  • 7.270, arisu (ok), 18:39, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    потому что это совсем не обязательно при правильном построении грамматики ты же... весь текст скрыт [показать]
     
     
  • 8.289, ананим (?), 21:28, 22/10/2013 [^] [ответить]    [к модератору]  
  • +/
    1. Абзацы, оглавления и т.д. не от хорошей жизни придумали.
    2. Даже в белитристике сплошным текстом не пишут.
    3. Фронт-энды удобством для пользователей должны заниматься.
     
  • 8.295, Crazy Alex (ok), 04:10, 23/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Ну ты сравнил. Сколько усилий надо приложить, чтобы естественным языком овладеть?
     
     
  • 9.296, arisu (ok), 04:13, 23/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Ну ты сравнил. Сколько усилий надо приложить, чтобы естественным языком овладеть?

    я не сравнил, я намекнул, что даже несоизмеримо более сложные грамматики обходятся почти без лишней фигни.

     
  • 7.281, Аноним (-), 21:03, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Потому что эти ясные отличия де-факто являются визуальным мусором и только уху... весь текст скрыт [показать]
     
     
  • 8.293, ананим (?), 00:43, 23/10/2013 [^] [ответить]     [к модератору]  
  • +/
    В вашем комментарии есть и , и , , и , и , и - Так что не нужно за... весь текст скрыт [показать]
     
  • 5.282, Аноним (-), 21:05, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Ну расскажите нам о проблемах тысяч админов из-за синтаксиса именно синтаксиса,... весь текст скрыт [показать]
     
  • 2.129, commiethebeastie (ok), 16:04, 20/10/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    Когда будет этих правил пару тысяч, тогда поймете разницу.
     
     
  • 3.135, ананим (?), 16:15, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    это точно.
    тогда выделение атрибутов от их параметров играет не малую роль.
     
  • 2.134, Адекват (ok), 16:13, 20/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    gt оверквотинг удален Ежишь петручио а если мне нужно не -d а -s как в... весь текст скрыт [показать]
     
     
  • 3.143, Аноним (-), 18:32, 20/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Очевидно, nft saddr 1 2 3 4 ip tcp add rule ip filter output dport 80 НО То... весь текст скрыт [показать]
     
     
  • 4.167, Гость (?), 00:35, 21/10/2013 [^] [ответить]    [к модератору]  
  • –2 +/
    > "dport" etc). В случае же nft придется подбирать названия цепочек специально

    Я вас умоляю, сделаете темплейты. Можно подумать серьезная конфигурация iptable без них обходится.

     
  • 4.224, Аноним (-), 16:27, 21/10/2013 [^] [ответить]     [к модератору]  
  • +/
    С чего вы взяли Такое ограничение пришлось бы вводить только в случае разрешенн... весь текст скрыт [показать]
     
  • 3.146, Igor (??), 19:07, 20/10/2013 [^] [ответить]    [к модератору]  
  • +/
    походу вот так
    nft add rule ip filter output ip saddr 1.2.3.4 tcp dport
     
     ....нить скрыта, показать (22)

  • 1.151, raven_kg (ok), 20:22, 20/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Хмм... Поцтерингом попахивает!
     
  • 1.152, Inome (ok), 20:49, 20/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Какие дебильные и длинные цепочки правил... Нет, чтобы доработать существующий iptables, они начинают пилить новый, ему замену с более убогим и неудобным синтаксисом, это пять!..
     
  • 1.173, arisu (ok), 01:15, 21/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    правила чем-то ferm напоминают.
     
  • 1.175, 3draven (ok), 03:12, 21/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Вообще, не знаю есть ли такое, но хотелось бы видеть что то вроде функционального языка программирования фаервола. Что бы ты написал

    main(packet){
    if(packet.port == 80 && packet.elf = "myrestrictedelfprogram"){
    return null;
    }

    }

    Транслятор это дело в байткод прокинул и отправил я ядро. Судя по всему от этого нового нетфильтра до идеи парсить произвольный код в байткод фильтра, рукой подать. Что то типа llvm для пакетного фильтра, где фронтенд на произвольном языке, бекенд на байткоде. Что бы правила были совсем гибкими, честно сказать не люблю идею таблиц как таковую.

     
     
  • 2.177, VolanD (ok), 06:20, 21/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Много букаф слишком, нет ... весь текст скрыт [показать]
     
     
  • 3.179, 3draven (ok), 07:17, 21/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Ну дак for, switch, while в руки и вперед Просто взять скриптовый язык и прикру... весь текст скрыт [показать]
     
     
  • 4.182, VolanD (ok), 07:26, 21/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Так то канеш красиво получается и не надо читать кучу манов, если синтаксис СИ-п... весь текст скрыт [показать]
     
     
  • 5.184, 3draven (ok), 07:31, 21/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Ну, текущую инфраструктуру все равно оставить можно, конечно, она живая и никому... весь текст скрыт [показать]
     
  • 5.187, 3draven (ok), 07:41, 21/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Главное, это дает резкое упрощение разработки для ядра, прототипирования, да и п... весь текст скрыт [показать]
     
     
  • 6.188, VolanD (ok), 07:59, 21/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Кстати да, всякие DPI легче разрабатывать, наверное ... весь текст скрыт [показать]
     
     
  • 7.189, 3draven (ok), 08:04, 21/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Шутки у вас Но, сейчас документация на системы и конфиги систем ядра, огромна... весь текст скрыт [показать]
     
     
  • 8.190, 3draven (ok), 08:07, 21/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Ведь как ни крути, а любому нетфильтру оперировать типом-классом packet, так что... весь текст скрыт [показать]
     
     
  • 9.191, pavel_simple (ok), 08:19, 21/10/2013 [^] [ответить]     [к модератору]  
  • +/
    java головного мозгу, вам термин overengineering поди не знаком ... весь текст скрыт [показать]
     
     
  • 10.200, 3draven (ok), 13:15, 21/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Ну вы там это, учите новые правила нетфильтра, флаг в руки :) А потом снова и снова, это особый кайф я погляжу и никакого овер, да.
     
     
  • 11.202, 3draven (ok), 13:28, 21/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Унификация средств конфигурирования и простого расширения подсистем ядра отделит... весь текст скрыт [показать]
     
  • 10.204, 3draven (ok), 13:52, 21/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    http://www.netbsd.org/gallery/presentations/mbalmer/fosdem2012/kernel_mode_lu
     
  • 3.180, 3draven (ok), 07:19, 21/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    сложнейшую маршрутизацию и прочее все туда же А сервисы ядра подключать как биб... весь текст скрыт [показать]
     
     
  • 4.183, 3draven (ok), 07:27, 21/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Причем так как язык очень высокоуровневый надо, то выделений памяти, буферов и п... весь текст скрыт [показать]
     
  • 4.195, ананим (?), 08:34, 21/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    >А сервисы ядра подключать как библиотеки языка. Типа если надо конфигурять нетфильтр, такая либа,

    Не поверишь.
    Называются модули ядра.

     
     
  • 5.201, 3draven (ok), 13:24, 21/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Подключать не к ядру, а к скрипту.
     
     ....нить скрыта, показать (16)

  • 1.178, Mr. Sneer (?), 07:06, 21/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Когда коту делать нечего, он яйца лижет, а программисты разрабатывают принципиально новый wayland/gnome3/systemd/nftables/gtk3/clang и т.д.

    И в каждой такой новости мы видим рассказы, как предшественник устарел, плох, не безопасен и т.д. Ужас да и только. И как только линукс взлетел со всем этим?

     
     
  • 2.197, const86 (ok), 11:38, 21/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > И как только линукс взлетел со всем этим?

    Дык 1% же, невысоко взлетел. Оказывается, это было из-за устаревшего iptables, но теперь-то жизнь наладится!

     
     
  • 3.198, Mr. Sneer (?), 12:00, 21/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Рано ей налаживаться - вот впилят в каждый дистрибутив wayland мы ведь все знаем... весь текст скрыт [показать]
     
     
  • 4.309, Аноним (-), 20:40, 20/01/2014 [^] [ответить]    [к модератору]  
  • +/
    > вот тут-то и нагрянет вендокаец, а линукс захватит все 146%!

    Судя по тому как интел въе над линуксом начал - это не просто так.

     
  • 3.308, Аноним (-), 20:39, 20/01/2014 [^] [ответить]     [к модератору]  
  • +/
    Ну да, а вон те 50 серверов, 50 планшеток, 80 смартов, 90 суперкомпьютеров, ... весь текст скрыт [показать]
     
  • 1.203, evilman (?), 13:43, 21/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Для всех хейтеров на заметку: для nftables подготовлена прослойка, которая полностью совместима с ip/ip6/arp/eb tables на уровне синтаксиса команд и интерфейса extensions. Т.о. можно не переучиваться. Во-вторых, все эти ваши экстеншены можно использовать из-под nftables без переделки. Ну и плюс новые плюшки, типа уже встроенных таблиц для хранения наборов данных, маппинга (а-ля tablearg), более дружелюбный к СМП "движок" с минимумом локов, избавление от ненужных дёрганий (не используете хук, так и система не будет проверять пустую цепочку), ну и по мелочи. Концептуально всё это очень похоже на ОпенБСДшный NPF, который чуть позже вышел, но был быстрее интегрирован в систему. Как-то так.
     
     
  • 2.231, Имярек (?), 22:54, 21/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Только он не в ОпенБСД, а в НетБСД: http://www.netbsd.org/~rmind/npf/

    И действительно, они как близнецы-братья.

     
  • 2.234, Crazy Alex (ok), 02:16, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Да сама фишка хорошая, синтаксис безумный Правила ж не надо читать, их надо ска... весь текст скрыт [показать]
     
     
  • 3.238, arisu (ok), 02:20, 22/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    слушай, переложи уже работу фильтрации пакетов на машину ну трудно же тебе кажд... весь текст скрыт [показать]
     
     
  • 4.253, ананим (?), 05:09, 22/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    для идиoтиков, тут про фильтрацию правил, а не пакетов.
    переложить это можно только на более компетентного админа. в твоём — случае практически на любого другого человека. но не на машину.
     
     
  • 5.254, arisu (ok), 05:29, 22/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    о, ещё один представитель племени пишущих правила в бессознательном состоянии с... весь текст скрыт [показать]
     
     
  • 6.263, ананим (?), 15:39, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    эт точно D arizu one arizu two да, вот так вы и живёте хорошо хоть признаёш... весь текст скрыт [показать]
     
  • 4.257, Crazy Alex (ok), 13:10, 22/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Хочешь сказать, что никогда пачку правил не смотрел глазами чтобы понять, что там подправить надо?
     
     
  • 5.266, arisu (ok), 18:18, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    хочу сказать, что рапарзивать 171 187 шибко сложнее, чем слова я им... весь текст скрыт [показать]
     
     
  • 6.301, Crazy Alex (ok), 11:41, 23/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну так речь же не о том, чтобы сплошные значки были Но вот эти sport dport явно... весь текст скрыт [показать]
     
     
  • 7.302, arisu (ok), 18:20, 23/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Прочтя в черноморской вечерке объявление 171 Сд пр ком в уд в н м од и... весь текст скрыт [показать]
     
  • 3.287, Аноним (-), 21:16, 22/10/2013 [^] [ответить]     [к модератору]  
  • –2 +/
    Синтаксис вашей речи не позволяет ее парсить, извините Пожалуйста, ставьте мину... весь текст скрыт [показать]
     
     
  • 4.300, Crazy Alex (ok), 11:36, 23/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Еще один. Разницу между атрибутом и параметром понимаем? Hint: почему в SQL принято ключевые слова писать большими буквами, а имена полей/таблиц - малыми?
     
     
  • 5.305, pavlinux (ok), 00:04, 27/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Наследие IBM System 360 и VAX VMS, Фортранщеги ваще капслок гвоздём прибивают ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (13)

  • 1.205, Аноним (196), 14:01, 21/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    взаимоинтеграция
    линукс на бздю и наоборот
    дополнительный фактор развития
    когда количество сущностей увеличивается, это не всегда баг системы
     
  • 1.206, Аноним (-), 15:29, 21/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Документация представлена в виде коротко "How to" ?
     
  • 1.215, V (??), 16:04, 21/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    вот и переписали ferm на C
     
  • 1.219, Аноним (-), 16:17, 21/10/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • –2 +/
    не то, чтобы это тянет на файрвол, но хоть какая-то движуха, изменения инновации... весь текст скрыт [показать]
     
     
  • 2.256, commiethebeastie (ok), 12:59, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Ниасилил А как должен выглядеть фаерволл Выскакивать окошко и раздаваться звук... весь текст скрыт [показать]
     
     
  • 3.271, arisu (ok), 18:41, 22/10/2013 [^] [ответить]    [к модератору]  
  • +/
    DPI ему не хватает. начальство, видимо, приказало.
     
     
  • 4.307, Аноним (-), 20:37, 20/01/2014 [^] [ответить]    [к модератору]  
  • +/
    > DPI ему не хватает. начальство, видимо, приказало.

    Тогда ему не хватает не DPI а мозгов и квалификации.

     
  • 3.291, Аноним (-), 22:04, 22/10/2013 [^] [ответить]     [к модератору]  
  • +/
    не позволять себя обходить, для начала ну а в идеале - написаным головой а не ж... весь текст скрыт [показать]
     
     
  • 4.298, commiethebeastie (ok), 08:52, 23/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > не позволять себя обходить, для начала.

    https://bugzilla.netfilter.org/


     
  • 1.303, ваноним (?), 04:08, 24/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > конечного автомата (pseudo-state machine)

    точно не finite state machine?

     
  • 1.306, Сталин (?), 04:55, 09/11/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Тут установка https://home.regit.org/netfilter-en/nftables-quick-howto/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor