The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск пакетного фильтра iptables 1.8.8

14.05.2022 10:31

Опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.8, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов.

В новой версии:

  • В утилиту iptables-translate, преобразующую правила iptables в наборы правил nftables, добавлена поддержка выражений connlimit и tcpmss, для блоков sctp и multiport реализована возможность использования опций "--chunk-types" и "--ports".
  • Упрощён перевод в правила nftables блоков conntrack и опции "--tcp-flags".
  • В libxtables запрещена работа при вызове из исполняемых файлов с флагом setuid.
  • В утилите iptables-nft разрешено удаление встроенных цепочек.
  • В iptables-nft добавлен парсер правил из утилиты arptables-nft.
  • В утилите arptables-nft добавлена поддержка команд '-C' и '-S', реализована индексация правил для команд '-I' и '-R', добавлена поддержка синтаксиса счётчиков '-c N,M'.
  • В таблицах *NAT прекращена поддержка указания разом нескольких диапазонов адресов IPv4.
  • Реализована возможность включения отладочного вывода в iptables-restore, iptables-nft и ebtables-nft через повторное указание опции '-v'.
  • Повышена производительность утилит iptables-save и iptables-restore.


  1. Главная ссылка к новости (https://www.mail-archive.com/n...)
  2. OpenNews: Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7
  3. OpenNews: В Ubuntu 20.10 планируют перейти с iptables на nftables
  4. OpenNews: Релиз iptables 1.8.0
  5. OpenNews: Разработчики Netfilter официально объявили инструментарий iptables устаревшим
  6. OpenNews: Выпуск пакетного фильтра nftables 1.0.2
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/57188-iptables
Ключевые слова: iptables, netfilter
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (23) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.9, Аноним (9), 12:39, 14/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Это тот случай когда из могилы постучали?
     
     
  • 2.10, Аноним (10), 13:34, 14/05/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Это тот редкий случай когда обеспечили обратную совместимость
     
     
  • 3.11, пох. (?), 13:45, 14/05/2022 [^] [^^] [^^^] [ответить]  
  • –5 +/
    не обеспечили. так,вид поделали. грант сам себя не попилит...
     
     
  • 4.24, andy (??), 21:43, 14/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > не обеспечили. так,вид поделали. грант сам себя не попилит...

    Пох, ответь на вопрос пожалуйста, в ветке про проксмокс.

     
  • 4.27, Аноним (-), 23:53, 14/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как ни странно пох даже прав - стопроцентной совместимости там внезапно нет. Но все же.
     

  • 1.12, Аноним (12), 13:55, 14/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    я что-то пропустил? Запускаю скрипты с правилами iptables из rc.local
    А выходит что самого iptables уже нет?
     
     
  • 2.13, нонейм (?), 14:18, 14/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    да, некая совместимость осталась на уровне команд, поэтому и работает

    Linux kernels have had packet filtering since the 1.1 series. The
      first generation, based on ipfw from BSD, was ported by Alan Cox in
      late 1994. This was enhanced by Jos Vos and others for Linux 2.0; the
      userspace tool 'ipfwadm' controlled the kernel filtering rules. In
      mid-1998, for Linux 2.2, I reworked the kernel quite heavily, with the
      help of Michael Neuling, and introduced the userspace tool 'ipchains'.
      Finally, the fourth-generation tool, 'iptables', and another kernel
      rewrite occurred in mid-1999 for Linux 2.4.


    моё развитие закончилось тоже на iptables (застал ipchains тоже)

    люди, скажите, что учить, чтоб опять через 2-3 года не пришлось переучиваться?

    или может синтаксис iptables как золотой стандарт останется?

    Спасибо!

     
     
  • 3.14, mikhailnov (ok), 14:21, 14/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > люди, скажите, что учить, чтоб опять через 2-3 года не пришлось переучиваться?

    Думаю, что eBPF

     
     
  • 4.28, Аноним (28), 01:43, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нет такого.
     
  • 3.15, Онаним (?), 15:42, 14/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    nft
    А из ёBPF достаточно запомнить echo 1 > /proc/sys/kernel/unprivileged_bpf_disabled
     
     
  • 4.17, Аноним (17), 15:58, 14/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    zsh: no such file or directory: /proc/sys/kernel/unprivileged_bpf_disabled
     
  • 3.16, Анонус (?), 15:48, 14/05/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >что учить

    firewalld

     
  • 3.21, нонейм (?), 19:49, 14/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://github.com/rmind/npf

    до пенсии хватит

    там и DPDK поддержка есть

     
  • 3.22, hefenud (ok), 20:25, 14/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    2-3 года?
    Чувак! iptables был с нами с 2.4.0 и пока еще не покинул нас, то есть добрые 20 лет(22 года почти)
    Какие еще 2-3?
    Сейчас ему на смену пришел nftables, который тоже пробудет теперь с нами лет 20
    Про какие 2-3 ты говоришь?
     
     
  • 4.33, www2 (??), 09:34, 17/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Сейчас ему на смену пришел nftables, который тоже пробудет теперь с нами лет 20

    Откуда такая уверенность про 20 лет?

    В FreeBSD как был ipfw изначально, так и остался. Новые функции появились, но это не обнуляет прошлый опыт. А тут опять новый велосипед.

     
  • 3.25, Аноним (25), 22:26, 14/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    never cease to learn
     
  • 3.29, Fedd (ok), 12:10, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    bpfilter
     
     
  • 4.30, нонейм (?), 18:40, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    не знал о таком, спасибо

    Сравнение с iptables и nft:
    https://www.phoronix.net/image.php?id=2021&image=linux_bpfilter_performance_sh

     

  • 1.20, InuYasha (??), 19:35, 14/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что ж, за обратную совместимость всегда уважение. Даже не смотря на то что я сам iptables не трогал уже годы.
     
  • 1.23, Аноним (23), 20:40, 14/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > сосредоточено на компонентах для сохранения обратной совместимости

    Подход здоровых человеков!

    P.S. Подскажите, какие есть GUI-морды для быстрой настройки фаервола в Линукс? И чтоб из трея можно было быстро какие-то группы правил включать/выключать.

     
     
  • 2.26, Аноним (25), 22:33, 14/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    вам виндовс нужен
    какие ёпта группы правил?
    GUI-морда - это xterm
    вот вам сниппет моего конфига /etc/nftables.conf мож пригодится
    #!/usr/sbin/nft -f

    flush ruleset

    table ip filter {
        chain input {
            type filter hook input priority 0; policy drop;

            # accept any localhost traffic
            iif lo accept

            iif wg0 accept

            # accept ICMP traffic
            ip protocol icmp accept

            # accept traffic originated from us
            ct state established,related accept

            # accept SSH, HTTP
            iif eth0 tcp dport ssh accept
            iif eth0 tcp dport http accept
            iif eth0 tcp dport https accept

            # iperf3
            iif eth0 tcp dport 5201 accept
            iif eth0 udp dport 5201 accept

            # accept DNS
            iif eth0 tcp dport 53 accept
            iif eth0 udp dport 53 accept

            # accept mail
            iif eth0 tcp dport { 25, 587, 993 } accept
        }
        chain output {
            type filter hook output priority 0;
        }

        chain prerouting {
            type nat hook prerouting priority -100;

            # mail DNAT
            iif eth0 tcp dport { 25, 587, 993 } dnat to 10.100.0.249
        }
        chain postrouting {
             type nat hook postrouting priority 100;

             # VPN NAT
             oifname "eth0" masquerade random,persistent
        }
    }

     
  • 2.31, нонейм (?), 18:50, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/evilsocket/opensnitch
     
  • 2.32, К.О. (?), 05:29, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    dnf install firewall-config
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру