The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

19.12.2015 10:54  Релиз iptables 1.6.0

Представлен iptables 1.6.0, первый выпуск новой значительной ветки инструментария для управления пакетным фильтром Linux. Ветка 1.6 сформирована спустя восемь лет с момента выпуска прошлой стабильной ветки 1.4.x и включает в себя ряд нарушающих совместимость изменений, а также первую официальную реализацию инструментария iptables-compat, построенного поверх инфраструктуры пакетного фильтра nftables.

Новый слой совместимости iptables-compat позволяет мигрировать на nftables, продолжив использовать привычные инструменты, не отказываясь от синтаксиса iptables и постепенно внедряя новый синтаксис nft. Работающая поверх nftables прослойка включает в себя утилиты iptables-compat, iptables-compat-save, iptables-compat-restore, ip6tables-compat, ip6tables-compat-save, ip6tables-compat-restore, ebtables-compat и arptables-compat, которые являются аналогами штатных утилит без метки "-compat" и используют тот же самый код разбора опций.

Напомним, что подсистема Nftables примечательна унификацией интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов, а также оставлением в ядре лишь общего интерфейса, не зависящего от конкретного протокола и предоставляющего базовые функции извлечения данных из пакетов, операций с данными и управления потоком. Логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя. Синтаксис правил nft не похож на iptables, основан на реальной грамматике и отличается использованием иерархических блочных структур вместо линейной схемы.

Из изменений iptables 1.6.0, нарушающих совместимость, отмечается удаление устаревших действий (target) MIRROR и SAME, а также прекращение поддержки критерия (match) "unclean", который уже достаточно давно исключён из состава ядра Linux. Кроме того, в новом выпуске представлена достаточно большая порция мелких исправлений и улучшений, которые затрагивают действия CT, REJECT, SET, SNAT, SNPT, DNPT, SYNPROXY и TEE, а также критерии ah, connlabel, cgroup, devgroup, dst, icmp6, ipcomp, ipv6header, quota, set, socket и string.

  1. Главная ссылка к новости (http://lists.netfilter.org/pip...)
  2. OpenNews: Выпуск пакетного фильтра nftables 0.4, идущего на смену iptables
  3. OpenNews: Разработчики Netfilter представили замену iptables
  4. OpenNews: Новая версия пакетного фильтра для Linux - iptables 1.4.0
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: iptables, netfilter, linux, nftables
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 12:32, 19/12/2015 [ответить] [смотреть все]
  • –18 +/
    Давно смигрировал на netfilter Последний год всё достаточно стабильно К сожале... весь текст скрыт [показать]
     
     
  • 2.7, pavlinux, 13:48, 19/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +18 +/
    Вот объясните анонимы, нахрена вы пишете ради того, чтобы написать?!
    Иль очкуете, что херню напишете? Ну тогда да, netfilter - это и есть iptables.
     
     
  • 3.13, Andrey Mitrofanov, 14:03, 19/12/2015 [^] [ответить] [смотреть все]  
  • +8 +/
    > Вот объясните анонимы, нахрена вы пишете ради того, чтобы написать?!
    > Иль очкуете, что херню напишете? Ну тогда да, netfilter - это и
    > есть iptables.

    АнОним "хотел" написать nftables же, и ссылка на новость про него есть под этой новостью. Но не смог!  Наверное, в глаза ни одного, ни другого, ни третьего не видел.  Мы-то с тобой не "очкуем херню пистать", но надо же дать чуть простора мОлодёжи -- пусть же и им можно будет. Не изверги ж мы!

     
     
  • 4.20, Аноним, 14:33, 19/12/2015 [^] [ответить] [смотреть все]  
  • +3 +/
    Вы не просто не очкуете, вы ее активно пишите.
     
     
  • 5.21, Andrey Mitrofanov, 14:38, 19/12/2015 [^] [ответить] [смотреть все]  
  • +3 +/
    Успех Нейден читатель опенета, понявши, что я написал Он почему-то это пытает... весь текст скрыт [показать]
     
     
  • 6.33, Аноним, 19:30, 19/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Рад доставить удовольствие.
     
     
  • 7.48, 808, 05:23, 20/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Почём?
     
  • 4.45, pavlinux, 01:36, 20/12/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    Я и говорю, описка по-Фрейду Были бы тут лайки нормальные, с указанием того к... весь текст скрыт [показать]
     
  • 3.67, Аноним, 16:58, 21/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Сейчас netfilter все-таки уже ближе nftables, а iptables - это надстройка над nf... весь текст скрыт [показать]
     
  • 2.35, stalker37, 20:01, 19/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Гмм его что реально не впилили в nftables Они там свято верят что у всех чисты... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, Аноним, 12:41, 19/12/2015 [ответить] [смотреть все]  
  • +/
    Я конечно всего пару раз его использовал за все время пользования, но почему его... весь текст скрыт [показать]
     
     
  • 2.44, pavlinux, 01:22, 20/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Его выпилили из iptables сто-питсот лет назад, как деструктивная фича Шло толь... весь текст скрыт [показать] [показать ветку]
     
  • 2.60, Адекват, 14:49, 21/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Конечно делал, для over 100k строчек правил есть прирост производительности, по ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.77, Аноним, 18:11, 21/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Ну зачем сразу XML, у нас тут не юникс какой-нибудь А бинарный формат, точнее, ... весь текст скрыт [показать]
     
  • 1.3, Аноним, 12:49, 19/12/2015 [ответить] [смотреть все]  
  • –15 +/
    Ему более 15 лет, поэтому не нужно, устарело и должно быть заменено на что-нибуд... весь текст скрыт [показать]
     
     
  • 2.4, lbccom, 13:04, 19/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    у Firewalld что под капотом? ;)
     
     
  • 3.5, Аноним, 13:38, 19/12/2015 [^] [ответить] [смотреть все]  
  • –8 +/
    Какая разница Iptables устарел по определению Айти ушагало далеко вперёд, всё ... весь текст скрыт [показать]
     
     
  • 4.18, Аноним, 14:25, 19/12/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    json RESTful api firewall ?
     
  • 4.22, Нимано, 14:39, 19/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Интель и Кингстон наверняка, с превеликим удовольствием, проспонсируют переписыв... весь текст скрыт [показать]
     
     
  • 5.37, Аноним, 20:17, 19/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Проспонсируют это очень мало вероятно, но ты можешь открыть проект на кикстартер... весь текст скрыт [показать]
     
  • 2.24, Аноним, 14:49, 19/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Даёшь Firewalld по умолчанию!

    agnitumoutpostd :)

     
     
  • 3.26, Andrey Mitrofanov, 15:17, 19/12/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    >>Firewalld
    > agnitumoutpostd :)

    Гадость какая.   //iddqd уже вносили?

     
     
  • 4.43, Аноним, 00:58, 20/12/2015 [^] [ответить] [смотреть все]  
  • +/
    idkfa добавить не забудьте, чтоб уж точно никто не прорвался, а то мало ли ... весь текст скрыт [показать]
     
  • 3.61, Адекват, 14:52, 21/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    >> Даёшь Firewalld по умолчанию!
    > agnitumoutpostd :)

    antihumanfirewalld

     
  • 1.6, vitalikp, 13:38, 19/12/2015 [ответить] [смотреть все]  
  • –5 +/
    В одном месте я видел ваш новый синтаксис!
     
     
  • 2.8, vitalikp, 13:52, 19/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –4 +/
    Я конечно все понимаю, но можно было оставить синтаксис хотя бы здесь такой как ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Andrey Mitrofanov, 14:30, 19/12/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    Как я Вас понимаю Кинулся -- ан systemd кругом Заговор, насилие и вольюмтари... весь текст скрыт [показать]
     
     
  • 4.25, vitalikp, 14:58, 19/12/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    В его словах куда больше смысла, чем в ваших Не переживайте найдутся люди и без... весь текст скрыт [показать]
     
     
  • 5.27, Andrey Mitrofanov, 15:25, 19/12/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    Его - это Ричарда, Била или девелоперз-девелоперз-Стива Я отказываюсь сравни... весь текст скрыт [показать]
     
     
  • 6.28, vitalikp, 15:28, 19/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Прошу прощение, забыл уточнить Столлмана, конечно ... весь текст скрыт [показать]
     
  • 3.31, Аноним, 16:53, 19/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Не льсти себе Cходи помойся Спорим ниасилишь Тупые горлопаны вроде тебя тольк... весь текст скрыт [показать]
     
  • 2.15, Andrey Mitrofanov, 14:14, 19/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    А надо было шчёлкнуть по ссылочке, и прочитать там so the syntax remains th... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, vitalikp, 14:21, 19/12/2015 [^] [ответить] [смотреть все]  
  • –3 +/
    Ага, префикс "-compat" просто так сделали.

    Ну ну.

     
     
  • 4.23, Andrey Mitrofanov, 14:46, 19/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Конечно И анонсий на таробрском напейсали -- нас, православных пейзан путають ... весь текст скрыт [показать]
     
  • 4.55, Ананас, 09:45, 21/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Ну так в нормальном дистрибутиве полюбасу симлинки сделают и переключалку Не сс... весь текст скрыт [показать]
     
  • 2.32, robux, 17:10, 19/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Согласен на все 100 Этот новый синтаксис прости, Г-ди пусть прикрутят сб... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, нидсмоардайвесити, 21:18, 19/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    diversity-я ... весь текст скрыт [показать]
     
  • 3.62, Адекват, 15:01, 21/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Нихрена, только xml, и только прибитый гвоздями к systemd На каждое правило пиш... весь текст скрыт [показать]
     
     
  • 4.68, Аноним, 17:00, 21/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    XML - это слишкому юниксвейно, он в инитах солярки и мака используется Разрабы ... весь текст скрыт [показать]
     
  • 3.70, Аноним, 17:06, 21/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Не учите меня жить, и я не скажу вам, куда вы можете идти - ответил бы на это ... весь текст скрыт [показать]
     
     
  • 4.74, Andrey Mitrofanov, 17:23, 21/12/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Вот мне интересно, сий отрок воспитан двумя папами и горд этим или в лесу и ... весь текст скрыт [показать]
     
     
  • 5.76, Аноним, 18:10, 21/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Похоже, вас задело за живое :)
     
  • 2.53, freehck, 09:39, 21/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Я этой бучи не понимаю Посмотрел, что будет Красивые синтаксис на командах с п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.69, Аноним, 17:02, 21/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    А может, просто у человека очень ограничен объем памяти, и новые знания и навыки... весь текст скрыт [показать]
     
  • 1.30, Некто, 16:20, 19/12/2015 [ответить] [смотреть все]  
  • +/
    Нужно! А то приходилось самому собирать из гита и мейнтейнить...
     
  • 1.34, Аноним, 19:46, 19/12/2015 [ответить] [смотреть все]  
  • +/
    кто использоваол модуль string он позволяет проверять совпадения больше 255 си... весь текст скрыт [показать]
     
     
  • 2.36, stalker37, 20:06, 19/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Там ещё 1 весёлость - не работает если пакетики фрагментированы судя по всему... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.54, freehck, 09:40, 21/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Конечно Скользящее окно как-никак ... весь текст скрыт [показать]
     
  • 1.38, Gib_adm, 20:31, 19/12/2015 [ответить] [смотреть все]  
  • +/
    Мне как-то всегда было сложно понять такие действия.
    Возможно в душе я консерватор, но есть некие фундаментальные вещи с которыми работаешь и уже делаешь все на автомате или заготовленными шаблонами. А тут говорят мол, вот вам nftables - пользуйтесь. Который скорее всего так или иначе придет на замену штатно. Теперь для выполнения обычных задач при настройке сервера придется либо менять nftables на iptables или изучать новый синтаксис. Не у всех есть на это время и желание.

    Я категорически считаю, что можно было бы и iptables допилить до нужного состояния с нужными/новыми возможностями.

    Синтаксис в nftables для меня не удобен, т.к. читать строку за правило мне куда проще, чем разбираться в блоках.

    Но это ИМХО.

     
     
  • 2.71, Аноним, 17:12, 21/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И это очень плохо Делать на автомате может и компьютер, а человек нужен для тог... весь текст скрыт [показать] [показать ветку]
     
  • 2.88, Аноним, 10:34, 23/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    nftables под капотом намного лучше, так что миграция неизбежна. Привыкнем.
     
  • 1.42, Аноним, 00:07, 20/12/2015 [ответить] [смотреть все]  
  • +3 +/
    Что интересно, минусуют тех кто радуется тому, что поломали синтаксис в очередно... весь текст скрыт [показать]
     
  • 1.46, Аноним, 01:49, 20/12/2015 [ответить] [смотреть все]  
  • –1 +/
    Хотелось бы объяснить старперам которые не хотят учить новый синтаксис откуда он... весь текст скрыт [показать]
     
     
  • 2.50, EHLO, 12:48, 20/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Который загружается в ядро и исполняется для обработки любого трафика Хочу Знат... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.73, Аноним, 17:20, 21/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Начнем с простого - как в старом синтаксисе создать новую базовую цепочу типа... весь текст скрыт [показать]
     
     
  • 4.75, Andrey Mitrofanov, 17:36, 21/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Как обычно, connmark This module matches the netfilter mark field associa... весь текст скрыт [показать]
     
     
  • 5.78, Аноним, 18:13, 21/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Я вижу Ответ совсем мимо Совсем-совсем ... весь текст скрыт [показать]
     
  • 4.79, EHLO, 23:12, 21/12/2015 [^] [ответить] [смотреть все]  
  • +/
    Умница, кавычки поставил, понимаешь, что это не вопрос синтаксиса Если добавил ... весь текст скрыт [показать]
     
  • 4.81, Адекват, 09:20, 22/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    iptables -N chain ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (6)

  • 1.47, HorekRediskovich, 05:19, 20/12/2015 [ответить] [смотреть все]  
  • +/
    > Вообще не хочешь учиться - вон из профессии.

    бред, по причине, мне например не влом разобратся с новым синтаксисом но покажт мне эквивалентный хэндбукс для nftables как у iptables

     
     
  • 2.82, anonymous, 12:52, 22/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    wiki nftables org ... весь текст скрыт [показать] [показать ветку]
     
  • 1.49, Black Paladin, 12:01, 20/12/2015 [ответить] [смотреть все]  
  • +/
    Когда с ipchains на iptables переходили - столько не ворчали, поспокойнее все проходило.
     
  • 1.52, iCat, 04:01, 21/12/2015 [ответить] [смотреть все]  
  • +/
    >...Nftables примечательна унификацией интерфейсов фильтрации пакетов для IPv4, IPv6...

    IPv6.
    Блин... Сколько лет уже этот "вэшесть" уже внедряют?
    Никого не настораживает такой период "становления" такой "стройной и удачной" архитектуры?
    Ну ведь адресов-то хватит на все холодильники и виртуалочки на планете! Ан нет, не приживается что-то... Может - человечество другое нужно для "вэшесть"?

     
  • 1.58, pauk, 13:37, 21/12/2015 [ответить] [смотреть все]  
  • –1 +/
    Круто что еще обновляется.
    Круто что добавили инструментарий COMPAT.
    Я не старпер, но на новый синтаксис у меня не стоит. Старый намного удобнее и понятнее. Нет, новый синтаксис выучить не проблема, но под старый у меня куча кода написана, впрочем тоже уже старого.. И вообще, мне кажется, все эти изменения в структуре nftables можно было сделать и без внедрения нового синтаксиса.. Может конечно я не вникал глубоко и не понимаю какие преимущества новый синтаксис имеет перед старым, но пока я этого не понимаю - я реально не понимаю зачем он нужен.. Похоже, пока будет работать инструментарий COMPAT и пока не осознаю преимущества nft - буду пользоваться старым синтаксисом.
     
     
  • 2.59, rob pike, 14:15, 21/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Для этого надо много думать Это сейчас немодно ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.63, Andrey Mitrofanov, 15:06, 21/12/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Круто что добавили инструментарий COMPAT Ога Особенно, если при ближайшем р... весь текст скрыт [показать]
     
     
  • 4.83, pauk, 14:18, 22/12/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Вообще то изменения были сделаны с изменением синтаксиса, в том самом nftables, ... весь текст скрыт [показать]
     
     
  • 5.85, Andrey Mitrofanov, 15:23, 22/12/2015 [^] [ответить] [смотреть все]  
  • +/
    В iptables 1 4 21 синтаксис не менялся, в -compat утилитах в версии 1 6 0 пишут,... весь текст скрыт [показать]
     
  • 2.72, Аноним, 17:18, 21/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Скажу по секрету - он проще и логичнее Но чтобы это осознать, нужно в нем хотя ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.80, EHLO, 23:46, 21/12/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    Разобраться там не долго, даже ты думаешь что осилил В tcpdump похожие фильтры ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (6)

  • 1.84, Аноним, 14:37, 22/12/2015 [ответить] [смотреть все]  
  • –2 +/
    Ну почему их ручонки постоянно, что-то меняют и усложняют Ну почему Где старый... весь текст скрыт [показать]
     
     
  • 2.87, Andrey Mitrofanov, 10:19, 23/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Потому что упрощать -- сложнее Там вверху, в новости же Сколько ж можно-т... весь текст скрыт [показать] [показать ветку]
     
  • 2.89, Moomintroll, 15:03, 23/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Нигде Такого никогда не было и уже никогда не будет P S ACCEPT... весь текст скрыт [показать] [показать ветку]
     
  • 1.86, ziplex, 09:51, 23/12/2015 [ответить] [смотреть все]  
  • +/
    Вот пример dnat в iptables
    % iptables -t nat -A PREROUTING -p tcp --dport 1000 -j DNAT --to-destination 1.1.1.1:1234
    % iptables -t nat -A PREROUTING -p udp --dport 2000 -j DNAT --to-destination 2.2.2.2:2345
    % iptables -t nat -A PREROUTING -p tcp --dport 3000 -j DNAT --to-destination 3.3.3.3:3456

    А вот новый синтаксис
    % nft add rule nat prerouting dnat \
          tcp dport map { 1000 : 1.1.1.1, 2000 : 2.2.2.2, 3000 : 3.3.3.3} \
          : tcp dport map { 1000 : 1234, 2000 : 2345, 3000 : 3456 }

    Помоему  ничего такого заурядного чем то на vyOs правила похоже в плане блочной структуры. Думаю для многих переход не станет такой уж большой проблемой.

     
     
  • 2.90, vitalikp, 14:14, 24/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Я ничего не имею против блочной структуры, кому удобно -- пользуйтесь Но наличи... весь текст скрыт [показать] [показать ветку]
     
  • 2.91, iCat, 06:26, 30/12/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Или я чего-то не понял, или ты сделал ошибку в пробросе udp 2000 на 2 2 2 2 2345... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList