https://www.opennet.ru/openforum/vsluhforumID3/124348.html Опубликован выпуск пакетного фильтра nftables 0.9.9, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Одновременно опубликован выпуск сопутствующей библиотеки libnftnl 1.2.0, предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables. Необходимые для работы выпуска nftables 0.9.9 изменения включены в состав ядра Linux 5.13-rc1...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55214<br> https://www.opennet.ru/openforum/vsluhforumID3/124348.html#86 Tue, 01 Jun 2021 10:11:39 GMT Фильтрация по пользователям необходима для DAC это необходимо и очень удобно. Например разрешить пользователю tor ходить в инет, а остальным нет.<br><br>Есть таблица security и возможность привязки к MAC...<br><br>Мне лично необходима фича добавления и удаления правил при добавлении/удалении интерфейса и она уже есть давно.<br> https://www.opennet.ru/openforum/vsluhforumID3/124348.html#83 Fri, 28 May 2021 13:36:11 GMT А сколько сотен миллионов, 2? Я слышал только про плойки, и что-то вроде медиа-дрм приставок для тв. Ну, ещё сетевое железо где вся ценная логика в асиках. При этом, все пользователи в один голос уверяют, что это было большой ошибкой не смотря на все преимущества закрытого кода (а они есть?). Увы.<br> https://www.opennet.ru/openforum/vsluhforumID3/124348.html#82 Fri, 28 May 2021 10:51:28 GMT &gt; iptables-apply - это shell-скрипт, и к iptables не приколочен. Там буквально несколько <br>&gt; строчек поменять.<br><br>Угу и сделать это на тысячах машин как два пальца... и так с каждым новым апдайтом.<br> https://www.opennet.ru/openforum/vsluhforumID3/124348.html#81 Fri, 28 May 2021 10:13:55 GMT Завидую воину, у которого СТОЛЬКО врагов!<br><br> https://www.opennet.ru/openforum/vsluhforumID3/124348.html#80 Thu, 27 May 2021 19:33:04 GMT iptables-apply - это shell-скрипт, и к iptables не приколочен. Там буквально несколько строчек поменять.<br> https://www.opennet.ru/openforum/vsluhforumID3/124348.html#79 Thu, 27 May 2021 17:19:04 GMT &gt; Еще 15 лет назад захоронили и бетоном залили от греха подальше.<br><br>Только ритуальные пляски опеннетчиков не особо сказались на реальности (машинок с той же фрёй - не одна сотня миллионов). Увы.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/124348.html#78 Thu, 27 May 2021 14:54:37 GMT Вроде и не линукс-нуб, а всё ещё не вижу в чём тут проблема даже после указания на первую и очевидную проблему. Может быть потому что она только линукс-нубу и видна? Кого там обманывать, ядро? По остальному, если бинарник, с которого процесс запущен, уже имеет все права, то он может делать что угодно дальше. Интересует только "хозяин" и не зависимости, и противодействовать паразитированию на процессе с правами надо отдельно.<br> https://www.opennet.ru/openforum/vsluhforumID3/124348.html#77 Thu, 27 May 2021 12:39:13 GMT &gt; Пока они ссылаются на тот же файл всё в порядке (в теории).<br><br>На самом деле симлинки/хардлинки - это только первая и очевидная проблема, понятная любому линукс-нубу. Потом всплывает проблема, что процесс (исполняемый код) вообще-то с файлом на диске не сильно связан (например, динамические библиотеки вообще отношения к ядру не имеют - ld.so живёт в userspace и ядру о себе не рассказывает).<br> https://www.opennet.ru/openforum/vsluhforumID3/124348.html#76 Thu, 27 May 2021 12:10:10 GMT Среди маршрутизаторов SOHO-сегмента, заметим, где всякие продвинутые фичи не так уж и важны. Они могут до сих пор прекрасно на ядре 2.6.x с iptables 1.4 работать.<br>