The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

21.02.2018 20:55  Для ядра Linux предложен новый пакетный фильтр bpfilter

Разработчики подсистемы NetFilter выставили на обсуждение патчи с начальной реализацией нового пакетного фильтра bpfilter, который со временем может заменить ныне поддерживаемые механизмы фильтрации пакетов nftables и iptables. Несмотря на все свои достоинства интенсивность внедрения механизма Nftables оставляет желать лучшего и iptables до сих пор остаётся более востребован и не желает повторять судьбу ipchains и ipfwadm.

В nftables логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). При этом последние годы в ядре Linux поставляется универсальная встроенная виртуальная машина BPF с JIT, для которой активно ведётся работа по улучшению производительности, функциональности и безопасности. Чтобы не поддерживать две разные виртуальные машины, выполняющие сходные задачи, и для достижения более высокой производительности у разработчиков возникла идея построения пакетного фильтра на основе штатного BPF-движка ядра Linux.

В итоге был подготовлен прототип нового пакетного фильтра bpfilter, иллюстрирующий идею применения BPF для фильтрации пакетов. Наиболее важным решением в предложенном прототипе стало желание обеспечить полную совместимость с наборами правил iptables, т.е. bpfilter сможет выступить в роли прозрачной замены iptables, полностью совместимой со всеми существующими конфигурациями (администраторам не придётся изучать новый синтаксис правил). Для достижения данной задачи планируется обеспечить совместимость на уровне API, который использует утилита iptables для взаимодействия с ядром (штатную утилиту можно будет пересобрать с реализацией API на базе bpfilter).

Bpfilter обрабатывает запросы API iptables и транслирует их в программы BPF, привязываемые к различным подсистемам. Например, при помощи XDP (eXpress Data Path) можно запустить BPF-программу на уровне сетевого драйвера, с возможностью прямого доступа к DMA-буферу пакетов для высокопроизводительной обработки. Трансляция правил выполняется целиком в пространстве пользователя, что упрощает отладку и повышает безопасность. Для повышения производительности также может применяться JIT-компиляция BPF в машинные инструкции для архитектур x86_64, arm64, ppc64, sparc64, mips64, s390x и arm32, или задействование аппаратных механизмов выполнения BPF на уровне сетевого адаптера (например, Netronome NFP SmartNIC).

Харальд Вельте (Harald Welte), один из основных разработчиков netfilter/iptables, поставил под сомнение идею полной эмуляции API iptables через BPF для обеспечения прозрачной замены iptables, так как полностью повторить поведение iptables будет слишком трудно, а наличие различий при обработке существующих наборов правил iptables может привести к возникновению неожиданных проблем с безопасностью.

К тому же некоторые элементы дизайна iptables нельзя назвать удачными и повторение API iptables в bpfilter может привести к тому, что допущенные 18 лет назад ошибки проектирования iptables закрепятся ещё на 10 лет. Например, API iptables не предоставляет способа добавления/замены единичного правила или небольшого набора правил, а может только целиком очистить и перезагрузить всю конфигурацию. Данная особенность делает внесение изменений в межсетевой экран неудобным и существенно усложняет координацию одновременного внесения изменений несколькими обработчиками. Недовольство также вызывает необходимость разделения наборов правил для IPv4 и IPv6.

Вельте предложил не фокусироваться только на повторении iptables, а реализовать в bpfilter эмуляцию nftables API, который спроектирован с учётом недостатков iptables и больше соответствует современным реалиям. Возможность использования API nftables позволит поддержать тех, кто уже перешёл на nftables, а для остающихся на iptables будет стимулировать миграцию.

Дэвид Миллер (David Miller), мэйнтейнер сетевой подсистемы ядра, возразил, что iptables до сих пор существенно более распространён и реализация его интерфейса позволит достичь широкого охвата при тестировании. Вельте парировал тем, что в наиболее крупных областях применения, таких как Docker и Kubernetes, используются утилиты командной строки, а не iptables API, поэтому нет смысла в эмуляции API как такового для проведения тестирования в подобных системах.

Миллер также обратил внимание на то, что nftables так и не решил проблемы с производительностью подсистемы фильтрации пакетов, сместив вместо этого внимание на сетевые технологии в пространстве пользователя. Nftables может стать одним из тех экспериментов, которые позволяют разобраться в некоторой проблемной области, но никогда не получают распространения в реальной практике. При этом, bpfilter ещё очень далеко до интеграции в ядро, так как представления о его производительности пока носят лишь теоретический характер, код достаточно сырой, отсутствуют многие возможности, а некоторые функции не могут быть реализованы через BPF и требуют дополнительной поддержки в ядре (например, отслеживание соединений).

  1. Главная ссылка к новости (https://lwn.net/SubscriberLink...)
  2. OpenNews: Несколько релизов в рамках проекта Netfilter
  3. OpenNews: Разработчики Netfilter представили замену iptables
  4. OpenNews: Google представил Cilium, сетевую систему для Linux-контейнеров, основанную на BPF
  5. OpenNews: Критические уязвимости в подсистеме eBPF ядра Linux
  6. OpenNews: Выпуск пакетного фильтра nftables 0.4, идущего на смену iptables
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: bpfilter, netfilter, firewall
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, mimocrocodile, 22:16, 21/02/2018 [ответить] [смотреть все]
  • +31 +/
    Какая у них интеллектуальная дискуссия, а был бы Линус обозвал бы всех макаками
     
     
  • 2.92, Аноним, 14:36, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    Если б они сказали Мы запилили новый bpfilter, с новой версией все старые iptab... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.154, Аноним, 19:56, 24/02/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Да их и сейчас не лишне назвать Потому что если вгружать мутные блобы из юзермо... весь текст скрыт [показать]
     
  • 1.2, vitalif, 22:25, 21/02/2018 [ответить] [смотреть все]  
  • +13 +/
    > идею применения Berkeley Packet Filter для фильтрации пакетов

    какая свежая идея, бинго

     
     
  • 2.96, anonymoused, 16:27, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И почему-то не слышно воплей что бсд не нужен.
    Все аналитики в школе?
     
     
  • 3.127, Джон Ленин, 11:37, 23/02/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    В Беркли всё ещё химичат с алгоритмами TCP IP, так-как у них актуальны проблемы ... весь текст скрыт [показать]
     
  • 3.157, Аноним, 20:19, 24/02/2018 [^] [ответить] [смотреть все]  
  • +/
    А что, нужен Кому и нахрена Они могут делать хоть что-то лучше других Грантое... весь текст скрыт [показать]
     
  • 1.3, Аноним, 22:32, 21/02/2018 [ответить] [смотреть все]  
  • –7 +/
    А как жо Firewalld?..
     
     
  • 2.5, Аноним, 22:45, 21/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    надстройка над Iptables же
     
     
  • 3.33, Аноним, 07:16, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    вот-вот Сразу видна квалификация -d разработчиков только очередную обертку и ... весь текст скрыт [показать]
     
     
  • 4.45, Аноним, 10:08, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Кроме оберток и не нужно ничего да и обертка не нужна, впилили бы механизмы заг... весь текст скрыт [показать]
     
     
  • 5.80, Аноним, 13:06, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Может пиплам некогда заниматься тестированием, да и рисковано!
     
  • 5.98, anonymoused, 16:32, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Механизмы есть, см как реализовано в redhat Пипл оценил, что в новом фаерволе... весь текст скрыт [показать]
     
  • 4.118, Аноним, 02:26, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Блин, httpd - обертка над протоколом http оказывается А что до квалификации, fi... весь текст скрыт [показать]
     
  • 3.76, Alex_hha, 13:00, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    > надстройка над Iptables же

    который в свою очередь надстройка над netfilter

     
  • 1.4, Аноним, 22:40, 21/02/2018 [ответить] [смотреть все]  
  • +12 +/
    тык чтоже?: nftables учить или нет?
     
     
  • 2.39, EuPhobos, 09:24, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +16 +/
    systemd-tables учи заранее..
     
     
  • 3.129, Джон Ленин, 11:55, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Который будет всего-лишь парсером конфигов с их ивент-активацией Pulse vs... весь текст скрыт [показать]
     
  • 3.144, Аноним, 04:19, 24/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Эврика, пойду фичреквест на гитхабе закатаю!
     
  • 1.7, cat666, 22:58, 21/02/2018 [ответить] [смотреть все]  
  • –3 +/
    Например, API iptables не предоставляет способа добавления или замены единичног... весь текст скрыт [показать]
     
     
  • 2.9, Аноним, 23:18, 21/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Не путайте API iptables и утилиту iptables Из FAQ 4 5 Is there an C C API ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, cat666, 23:20, 21/02/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Спасибо за грамотный ответ Не думал, что всё так запущено ... весь текст скрыт [показать]
     
     
  • 4.74, ананим.orig, 13:00, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Года 4 назад обсуждали тут Обсуждали код, не слова из мануала, а код Логика ра... весь текст скрыт [показать]
     
     
  • 5.81, Аноним, 13:09, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Как соблюсти последовательность и логику при добавлении правила
    и не запороть?
     
     
  • 6.99, anonymoused, 16:36, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Добавляй user define chains на каждый случай ... весь текст скрыт [показать]
     
  • 6.115, ананим.orig, 23:42, 22/02/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    ну, все операции атомарны и thtrad safe а логику 8212 а вам то за что з п пла... весь текст скрыт [показать]
     
  • 6.147, XoRe, 16:25, 24/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Использовать -I CHAIN номер-правила вместо -A CHAIN ... весь текст скрыт [показать]
     
  • 5.119, Аноним, 02:29, 23/02/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    Что, всего половину логики программы iptables надо написать, а не всю Офигитель... весь текст скрыт [показать]
     
  • 3.14, пох, 00:28, 22/02/2018 [^] [ответить] [смотреть все]  
  • +4 +/
    а в чем и зачем там вообще весь api , если правила добавлять он не умеет И ком... весь текст скрыт [показать]
     
     
  • 4.56, DPDKguy, 11:28, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    простите, что именно используется и где мысль о том, что где-то можно хранить о... весь текст скрыт [показать]
     
     
  • 5.60, пох, 12:28, 22/02/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    нет, я не идиот Это не оригинальный набор правил , в этом все и дело Если я и... весь текст скрыт [показать]
     
     
  • 6.66, DPDKguy, 12:45, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    сложно вам, наверное начать можно с того, что просто хранить текущий рулесет в ... весь текст скрыт [показать]
     
     
  • 7.108, _, 19:10, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Просто только простейшим Вон амёбы, как выяснили британские учонные Tm - всегд... весь текст скрыт [показать]
     
  • 2.32, Riv1329, 07:10, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    При добавлении еденичного правила, iptables выгружает через api весь набор прави... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.38, Аноним, 09:17, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Ну дык это блобик загружаемый в ядро И только особо приближенные понимают как... весь текст скрыт [показать]
     
  • 3.61, пох, 12:31, 22/02/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    там есть commit то есть оно почти-атоммарное И внутри оно немножко менее ... весь текст скрыт [показать]
     
     
  • 4.155, Аноним, 19:59, 24/02/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    Ну то-есть ты сам описал предпосылки почему systemd должен стать центральным дис... весь текст скрыт [показать]
     
  • 1.11, Аноним, 23:25, 21/02/2018 [ответить] [смотреть все]  
  • +/
    Когда пробую новую конфигурацию добавляю правила по-одному Неужели при этом все... весь текст скрыт [показать]
     
     
  • 2.17, Аноним, 00:50, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Да, именно так все и происходит
     
  • 2.27, Аноним, 05:23, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да, но пофиг, - реальных проблем с производительностью это не создает
     
     
  • 3.43, DeadLoco, 09:51, 22/02/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    Только накопленная статистика слетает, а так ничего.
     
     
  • 4.44, Аноним, 09:58, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    раньше, вплоть до 2.6.27 не слетала
     
  • 2.159, КО, 10:17, 26/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Тут проблема в чем В том, что многие забывают, что система слегка не однозадач... весь текст скрыт [показать] [показать ветку]
     
  • 1.12, EHLO, 23:55, 21/02/2018 [ответить] [смотреть все]  
  • +1 +/
    >и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters)

    Опять этот троян.

    >Несмотря на все свои достоинства интенсивность внедрения механизма Nftables оставляет желать лучшего

    Усложненный синтаксис и встроенный троян, сомнительные такие достоинства.

     
     
  • 2.83, АНОНИМ, 13:12, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    почему троян?
     
     
  • 3.106, EHLO, 17:04, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Самосгенерированный код будет выполняться в режиме ядра и парсить заголовки кажд... весь текст скрыт [показать]
     
     
  • 4.107, АНОНИМ, 18:43, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    спасибо за пояснение
     
  • 4.128, Джон Ленин, 11:52, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    А то, что статические правила существуют сначала в виде текста, и после парсинга... весь текст скрыт [показать]
     
     
  • 5.132, EHLO, 12:45, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Бинарник 8800 исполняемый код Текстовые правила в обоих случаях статические ... весь текст скрыт [показать]
     
     
  • 6.135, Аноним, 16:21, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Ну согласен же, не говоря о том, что выполняющийся в машине код должен иметь п... весь текст скрыт [показать]
     
  • 6.142, Джон Ленин, 22:17, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Генерящийся код может быть следствием псевдо-ооп, когда ветвящийся процесс обща... весь текст скрыт [показать]
     
  • 1.13, asdasdasd, 00:23, 22/02/2018 [ответить] [смотреть все]  
  • +3 +/
    > интенсивность внедрения механизма Nftables оставляет желать лучшего и iptables до сих пор остаётся более востребован

    Потому-что iptables знакомый во всех местах, существует тонна документации, примеров и генераторов правил (тот-же Firewall Builder), не говоря уже о том, что такие вещи востребованы на серверах, а кто в здравом уме будет переводить что-то рабочее, на что-то другое и ловить кучу косяков, которые фиг отследишь?

     
     
  • 2.15, пох, 00:40, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    если вы используете генераторы , то вам должно быть глубоко похрен apt-get upg... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, sadasd, 02:46, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Чукча не мыслитель, чукча писатель ГОТОВЫЕ утилки которые генерируют iptables ... весь текст скрыт [показать]
     
     
  • 4.23, ., 03:11, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    пока ещё - убунопроблемы У меня в демьянах кое где вообще по крону ... весь текст скрыт [показать]
     
  • 4.36, пох, 09:04, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    я и говорю - своими мозгами вы _даже_ это сгенерировать не можете, вам подавай ... весь текст скрыт [показать]
     
     
  • 5.40, Аноним, 09:31, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Вот вот, плохие новости, НО вот оно это но как всегда в самый неподходящий моме... весь текст скрыт [показать]
     
     
  • 6.63, пох, 12:36, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    конечно А разработчики не любят лишний раз морщить ум свои-то ценные идеи куд... весь текст скрыт [показать]
     
     
  • 7.100, anonymoused, 16:45, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Справедливости ради стоит отметить, что разработчики ведут себя так при явной по... весь текст скрыт [показать]
     
  • 4.97, Аноним, 16:29, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Что-то надобие sbin iptables -F sbin iptables -A INPUT -p tcp --tcp-flags ALL... весь текст скрыт [показать]
     
     
  • 5.102, anonymoused, 16:51, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Что действительно надо, так это перед типичным для линуксойдов изобретением вело... весь текст скрыт [показать]
     
     
  • 6.156, Аноним, 20:01, 24/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Что, ты тоже повзрослел до WinXP, как другой гражданин?
     
  • 5.162, DPDKguy, 13:53, 27/02/2018 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален сблеванул ужасно и крайне неэффективно ... весь текст скрыт [показать]
     
  • 2.22, ., 03:09, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    А где ты видел в IT, в последнее время, здравый ум Чем хуже - тем лучше ... весь текст скрыт [показать] [показать ветку]
     
  • 2.79, Alex_hha, 13:05, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Леня и его систымДы ... весь текст скрыт [показать] [показать ветку]
     
  • 1.16, Аноним, 00:50, 22/02/2018 [ответить] [смотреть все]  
  • +/
    Эй! Я еще с iptables на nftables не переучился!
     
  • 1.18, Anonymous Coward, 01:36, 22/02/2018 [ответить] [смотреть все]  
  • +2 +/
    Самое приятное в этой ситуации, что на основе этого можно сделать порт pf. Чтобы наконец-то можно было просто написать человекочитаемый pf.conf вместо этого ада с правилами iptables через шеллскрипты.
     
     
  • 2.21, pavlinux, 02:54, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Покажи как в pf conf будет выглядить правило делать MIRROR на все UDP пакеты из... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, ., 03:12, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    А как в iptables? Или ты так, для почесать ниже хвоста?
     
     
  • 4.25, angra, 03:44, 22/02/2018 [^] [ответить] [смотреть все]  
  • +8 +/
    Ну, если опустить установку и загрузку необходимых для этого модулей, то как то так:
    -A INPUT -p udp --sport 1:1023 -m ttl --ttl-lt 50 -m geoip --src-cc CN -m time --timestart 23:00 --timestop 08:00 -j MIRROR
    -A FORWARD -p udp --sport 1:1023 -m ttl --ttl-lt 50 -m geoip --src-cc CN -m time --timestart 23:00 --timestop 08:00 -j MIRROR
     
     
  • 5.28, Аноним, 05:33, 22/02/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    То есть iptables выполняет ф-цию крона? А как же unix-way и все такое?
     
     
  • 6.29, angra, 05:53, 22/02/2018 [^] [ответить] [смотреть все]  
  • +4 +/
    В каком месте cron это выполнение действия в определенное время, а здесь одно и... весь текст скрыт [показать]
     
     
  • 7.125, Агроном, 07:36, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Кеонечно не unixway, поскольку вывод списка файлов это частный случай поиска ... весь текст скрыт [показать]
     
  • 5.62, PnDx, 12:36, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Зачем напрямую дёргать ассемблер iptables, если для декларативного описания це... весь текст скрыт [показать]
     
     
  • 6.65, пох, 12:45, 22/02/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    действительно, зачем нужна конфигурация из пяти удобочитаемых строк, когда можн... весь текст скрыт [показать]
     
     
  • 7.70, PnDx, 12:57, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Вот как раз diff прекрасно выгладит Потому что 1 Декларация модульная Нужное... весь текст скрыт [показать]
     
     
  • 8.112, angra, 21:58, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Конечно всем учить iptables не нужно И уж тем более ferm не нужно Для этих нев... весь текст скрыт [показать]
     
  • 8.146, Аноним, 04:32, 24/02/2018 [^] [ответить] [смотреть все]  
  • +/
    А чего в примере скобки разные Это баг или фича Впрочем у блинлайна, мегавони,... весь текст скрыт [показать]
     
     
  • 9.161, PnDx, 12:23, 26/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Это кривая копипаста А вы таки хотели, чтобы я слил для иллюстрации чуть мень... весь текст скрыт [показать]
     
  • 7.121, pavlinux, 03:15, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Жжуть,опять маны читать надо ... весь текст скрыт [показать]
     
  • 6.164, DPDKguy, 13:55, 27/02/2018 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален этот велосипед примерно так же ужасен, как и неэффективе... весь текст скрыт [показать]
     
  • 5.149, ЫЫЫыыЫЫЫ, 17:15, 24/02/2018 [^] [ответить] [смотреть все]  
  • +/
    что за модули?
     
  • 4.120, pavlinux, 03:05, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    > А как в iptables? Или ты так, для почесать ниже хвоста?

    слив засчитан.

     
     
  • 5.138, _, 20:27, 23/02/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Слив в чём В том что чел не знал что в иптаблах есть работа с таймстампом В Б... весь текст скрыт [показать]
     
     
  • 6.145, Аноним, 04:23, 24/02/2018 [^] [ответить] [смотреть все]  
  • +/
    С фига ли Пакеты можно по PID фильтровать Разумеется только для локальных проц... весь текст скрыт [показать]
     
  • 6.151, EHLO, 17:59, 24/02/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Нет, в Линуксе для этого системы мандатного управления доступом, а не пакетный ф... весь текст скрыт [показать]
     
     
  • 7.153, Аноним, 19:16, 24/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Или просто namespaces То же самое но в 20 раз проше ... весь текст скрыт [показать]
     
  • 3.58, Аноним, 11:33, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    что-то наподобие pass quick in proto udp from geoip-cn to any port 0 1023 m... весь текст скрыт [показать]
     
     
  • 4.165, DPDKguy, 13:58, 27/02/2018 [^] [ответить] [смотреть все]  
  • +/
    а можно ли показать то же самое, но для трафика внутри gre-туннеля который бегае... весь текст скрыт [показать]
     
  • 3.101, A. Stahl Is Gay, 16:49, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Гм Как-то так etc pf conf table geoip-china persist file etc geoip c... весь текст скрыт [показать]
     
     
  • 4.113, angra, 22:05, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    А вот аноним выше уверен, что может При таких разногласиях выходит, что не тако... весь текст скрыт [показать]
     
     
  • 5.114, Anonymous Coward, 22:30, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Мб он плохо man прочитал Эта опция там для scrub Почему же ... весь текст скрыт [показать]
     
     
  • 6.117, angra, 00:00, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Всё может быть Я pf не знаю и мне не особо интересно, кто из них прав Меня в п... весь текст скрыт [показать]
     
  • 3.136, ПавелС, 18:18, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Ты злодей :)
     
  • 2.37, пох, 09:16, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    чтобы ради ftp держать user-space демон, а протоколы посложнее вообще не работал... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.104, A. Stahl Is Gay, 16:59, 22/02/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    А демон для ftp тут причем o0 Ась gt оверквотинг удален У iptables нет конфи... весь текст скрыт [показать]
     
     
  • 4.168, Аноним, 16:38, 27/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Аха Что Никогда не понимал таких чудаков Именно это и надо использовать Толь... весь текст скрыт [показать]
     
  • 3.137, ПавелС, 18:22, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален У меня дак все понятно Я используюсь dns имена и службы... весь текст скрыт [показать]
     
  • 2.163, DPDKguy, 13:54, 27/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    вы можете прямо сейчас взять nftables и писать в подобном стиле ... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, pavlinux, 02:51, 22/02/2018 [ответить] [смотреть все]  
  • +2 +/
    Руки прям чешутся всё пихать в ядро.
     
     
  • 2.50, Аноним, 10:29, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну прям таки всё Компилять правила в байткод предлается вне ядра Или ты прелае... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.122, pavlinux, 03:31, 23/02/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    У многих железяк есть схемы PCI - DMA - CPU и обратно ... весь текст скрыт [показать]
     
  • 2.105, A. Stahl Is Gay, 17:01, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если они все сделают по-человечески, кода в ядре станет меньше, потому что все д... весь текст скрыт [показать] [показать ветку]
     
  • 1.26, leap42, 04:58, 22/02/2018 [ответить] [смотреть все]  
  • –8 +/
    Noooo В бытность сетевиком всякие файерволы доводилось настраивать, страшнее ip... весь текст скрыт [показать]
     
     
  • 2.41, пох, 09:44, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    я надеюсь, тебя уволили и больше ты к сетевому оборудованию не подходишь Справк... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, Аноним, 10:12, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    плюсую разделение на таблицы и цепочки, а также модульность сделали iptables ст... весь текст скрыт [показать]
     
     
  • 4.69, пох, 12:56, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    ipchains, на самом деле iptables скопировал идею, уже годами отлаженную, к сожа... весь текст скрыт [показать]
     
  • 3.48, Аноним, 10:16, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален Да, гибкость и возможности всяких тонких настроек в ... весь текст скрыт [показать]
     
  • 3.53, Pofigist, 10:45, 22/02/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    То есть с zbfw ты разобраться так и не смог Да и если ты путаешь в одну кучу zb... весь текст скрыт [показать]
     
  • 3.59, DPDKguy, 12:26, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    ну-ну давайте изобразите одним правилом разный набор действий на 4 src ip ... весь текст скрыт [показать]
     
     
  • 4.64, Аноним, 12:38, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    угу сэкономим несколько строк в конфиге и получим нечитаемое месиво.
     
     
  • 5.67, DPDKguy, 12:48, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    отлично ваш вариант напомню, что у нас 4к адресов ок, префиксов и для каждого... весь текст скрыт [показать]
     
     
  • 6.73, пох, 12:59, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    покажите Я хочу эту образцовую глупость увидеть адреса не показывайте, не хоч... весь текст скрыт [показать]
     
     
  • 7.77, Pofigist, 13:03, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Ну на самом деле может быть 4к _разных_ инспектов Но таки да - глупость ра... весь текст скрыт [показать]
     
  • 7.166, DPDKguy, 14:00, 27/02/2018 [^] [ответить] [смотреть все]  
  • +/
    https wiki nftables org wiki-nftables index php Dictionaries ... весь текст скрыт [показать]
     
  • 7.167, DPDKguy, 14:15, 27/02/2018 [^] [ответить] [смотреть все]  
  • +/
    можно начать с простого 4k адресов из какой-нибудь 10 8 и такое же количество ... весь текст скрыт [показать]
     
  • 6.75, Pofigist, 13:00, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Ну расскажи по 4к разных action Не умете структурировать задачу Ваши проблем... весь текст скрыт [показать]
     
  • 3.68, juniper рулит, 12:50, 22/02/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    увольняют и не подпускают к сетевому оборудованию клоунов, которые isr к фаервол... весь текст скрыт [показать]
     
     
  • 4.71, Pofigist, 12:58, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Стандартный компонент isr - zbfw, рассказать как расшифровывается сия аббревиату... весь текст скрыт [показать]
     
     
  • 5.78, пох, 13:04, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    а банальнейший nbar мы как iptables ами будем имитировать - цепочку u32 на кажды... весь текст скрыт [показать]
     
     
  • 6.84, Pofigist, 13:18, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Формально nbar - абсолютно отдельная фича, никак не привязанная к ipfw, что разу... весь текст скрыт [показать]
     
  • 3.143, Аноним, 02:05, 24/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Бро, дай я тебя обниму Вынуждено приходится настраивать кучу легаси на ipfw с 1... весь текст скрыт [показать]
     
  • 2.123, pavlinux, 03:40, 23/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Какой нахрен ты сетевик, если даже примитивный iptables ниасилил D От настро... весь текст скрыт [показать] [показать ветку]
     
  • 1.34, Аноним, 08:30, 22/02/2018 [ответить] [смотреть все]  
  • +/
    Какую задачу решает bpfilter, заменяя iptables и используя правила iptables Щоб... весь текст скрыт [показать]
     
     
  • 2.35, An, 08:35, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Там же написано "у вас нет гемора с iptables, будет" )
     
     
  • 3.72, Аноним, 12:59, 22/02/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Потому что будет гемор с bpfilter? Логично!
     
  • 2.42, пох, 09:50, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    нет, щоб пропихнуть в ведро эту поделку, а потом радостно клепать интуитивноприя... весь текст скрыт [показать] [показать ветку]
     
  • 1.49, Аноним, 10:16, 22/02/2018 [ответить] [смотреть все]  
  • +/
    ух ты, есть же, кто думает пр ообратную совместимость Аргумент весомый, однако ... весь текст скрыт [показать]
     
  • 1.52, Аноним, 10:40, 22/02/2018 [ответить] [смотреть все]  
  • +/
    А что мешает сейчас дополнить этот API соответстующими возможностями ... весь текст скрыт [показать]
     
  • 1.54, Ne01eX, 11:01, 22/02/2018 [ответить] [смотреть все]  
  • +2 +/
    И стоило переводить это 1 Со времён 2 4 iptables модули сетевых фильтров могут... весь текст скрыт [показать]
     
     
  • 2.82, пох, 13:09, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    стоило - надо ж заранее готовить запасной аэродром э типа, в 2 2 вообще-то б... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.85, Аноним, 13:38, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    емнип, в 2 2 для ipchains были nat-хелперы, но не полноценные модули, как у ipta... весь текст скрыт [показать]
     
     
  • 4.87, Аноним, 13:39, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    да и ipchains так себе был - очень мало функционала даже tcp режектить не умел ... весь текст скрыт [показать]
     
  • 3.86, Pofigist, 13:39, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Типовая задача - некая IDS обнаруживает аномалиb и дает FW команду блокировать а... весь текст скрыт [показать]
     
     
  • 4.88, Аноним, 13:47, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    ipset... весь текст скрыт [показать]
     
     
  • 5.91, Pofigist, 14:24, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Разумеется IDS и FW работают на разных машинах И не на одной ... весь текст скрыт [показать]
     
     
  • 6.111, пох, 20:58, 22/02/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    ну напиши себе мега-api, которое будет через libastral передавать эту информацию... весь текст скрыт [показать]
     
     
  • 7.126, Pofigist, 11:10, 23/02/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    Я ждал этого ответа Еще раз - там не 2 сарвера, один с IDS, другой с FW - там и... весь текст скрыт [показать]
     
     
  • 8.133, pavlinux, 12:53, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Пока ты выглядишь как диванный аналитик копипастивший тролльные фразочки Вчера ... весь текст скрыт [показать]
     
     
  • 9.134, Pofigist, 13:59, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Нда у всех гордых админов локалоста есть сугубо неправильное мнение что самая... весь текст скрыт [показать]
     
     
  • 10.139, _, 20:38, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Не, ну конечно с Российским филиалом Horns and hooves Inc тут никто не сравнится... весь текст скрыт [показать]
     
  • 7.150, ПавелС, 17:31, 24/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Можно логировать пакеты не попавшие в правила Юзерспейсная программа вполне сп... весь текст скрыт [показать]
     
  • 6.124, pavlinux, 03:55, 23/02/2018 [^] [ответить] [смотреть все]  
  • +3 +/
    ping -c1 -p 0xdeadbeef 192 168 0 FW Надеюсь обработчик ICMP меток осилишь напи... весь текст скрыт [показать]
     
     
  • 7.140, _, 20:39, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    :)
    Злой ты! Хотя тяпница и праздник, когда галифе пропей, но ...
     
     
  • 8.141, _, 20:41, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Му-ха-ха, с-оптимизировал продай в сразу - пропей ... весь текст скрыт [показать]
     
  • 5.110, пох, 20:50, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    вероятно, да, один из немногих хороших способов применения этой фигни Хотя я, к... весь текст скрыт [показать]
     
     
  • 6.130, Pofigist, 11:57, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Не бывает хороших хостов - кругом враги До-да - любой хост можно скомпрометиров... весь текст скрыт [показать]
     
  • 1.57, amonymous, 11:32, 22/02/2018 [ответить] [смотреть все]  
  • +/
    Вот. Нужен просто компилятор привычных правил iptables/nft в bpf плюс возможность писать свои фильтры на любом IL. Если последней не будет - и это не взлетит.
     
  • 1.89, Аноним, 14:11, 22/02/2018 [ответить] [смотреть все]  
  • –2 +/
    2018, а фаерволлы до сих пор не умеют в правила per file и per process без косты... весь текст скрыт [показать]
     
     
  • 2.90, Аноним, 14:20, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    не осилил - так и скажи
     
     
  • 3.93, Аноним, 14:40, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    если Вы осилили - примеры в студию пожалуйста Единственный способ оградить отд... весь текст скрыт [показать]
     
     
  • 4.116, Аноним, 23:57, 22/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Дали им неймспесы сетевые 8212 нет, не хотим Хотим страдать Ну страдайте, ч... весь текст скрыт [показать]
     
     
  • 5.131, Аноним, 12:21, 23/02/2018 [^] [ответить] [смотреть все]  
  • +/
    еще раз - как это решает проблему с запуском гуевого софта от пользователя?
     
     
  • 6.160, КО, 11:07, 26/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Так напиши свою запускалку, чтоб запускала файл в определенном неймспейсе И пус... весь текст скрыт [показать]
     
  • 3.95, Аноним, 15:25, 22/02/2018 [^] [ответить] [смотреть все]  
  • –4 +/
    Честно пытался, но нишмог, да Меня даже не удивляет, что воз и ныне там В IT в... весь текст скрыт [показать]
     
  • 2.109, пох, 20:39, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    потому что как в 78м не было в ip пакете, нипаверишь, ну никаких указаний какому... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.152, ПавелС, 18:14, 24/02/2018 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален Входящие соединения конечно анонимны, но для этого тогда... весь текст скрыт [показать]
     
  • 1.94, Аноним, 14:46, 22/02/2018 [ответить] [смотреть все]  
  • +/
    Во времена systemd звучит прямо как фантастика, прямо даже удивительно что ещё г... весь текст скрыт [показать]
     
  • 1.148, XoRe, 16:27, 24/02/2018 [ответить] [смотреть все]  
  • +/
    > При этом, bpfilter ещё очень далеко до интеграции в ядро, так как представления о его производительности пока носят лишь теоретический характер

    Не знал, что все так запущено.

     
  • 1.170, mumu, 03:45, 04/03/2018 [ответить] [смотреть все]  
  • +/
    Всё было просто замечательно пока я не дочитал до строчки "Харальд Вельте..." После чего мне внезапно захотелось кого-то вздёрнуть не рее.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor