Спустя два с половиной года с момента формирования прошлой стабильной ветки 1.6.x представлен (https://marc.info/?l=netfilter-devel&m=153086953903487&w=2) iptables 1.8.0 (https://netfilter.org/projects/iptables/), новый значительный релиз инструментария для управления пакетным фильтром Linux.
Основные изменения (https://netfilter.org/projects/iptables/files/changes-iptabl...):
- Обеспечено явное разделение классического фронтэнда iptables и нового фронтэнда, построенного поверх инфраструктуры пакетного фильтра nftables и позволяющего мигрировать на технологии nftables, продолжив использовать привычные инструменты и синтаксис iptables. Классический фронтэнд теперь поставляется с явным указанием в имени исполняемых файлов слова "-legacy", например iptables-legacy и iptables-legacy-save, а файлы фронтэнда на базе nftables вместо "-compat" теперь заканчиваются на "-nft", например, iptables-nft. При запуске iptables с командой '--version' выдаётся информация о типе фронтэнда (например "iptables v1.8 (legacy)" или "iptables v1.8 (nf_tables)");- Дистрибутивам рекомендуется устанавливать по умолчанию классческий фронтэнд для стабильных выпусков, а в экспериментальных версиях предлагать команды на базе nftables в качестве альтернативы c созданием симлинков iptables, ip6tables, iptables-restore и т.п., указывающих на xtables-nft-multi. В качестве плюсов применения варианта на базе nftables отмечается отсутствие необходимости применения опции "--wait" для решения проблем с одновременным запуском, поддержка монитринга набора правил при помощи сторонних фоновых процессов, предоставление возможностей для отладки правил (xtables-monitor --trace в сочетании с iptables-действием TRACE) и возможность добавления/удаления правил не меняя внутреннее состояние таких критериев как органичения и квоты;
- Применяемый для IPv6 критерий (match) 'srh' теперь может применяться для сопоставления с прошлым, следующим и последним идентификатором сеанса (SID);
- В действии (target) CONNMARK обеспечена поддержка операций битового сдвига для критериев restore-mark, set-mark и save-mark;
- В DNAT теперь допустимо использовать сдвинутые диапазоны portmap;- В бэкенд nf_tables добавлены новые команды:
- xtables-monitor - отображает изменения в наборе правил и информацию о трассировке пакетов для отладки правил.
- ebtables - функциональность для замены утилиты ebtables;
- arptables - функциональность для замены утилиты arptables;
- Добавлено семейство утилит 'translate' (ip6tables-translate, ip6tables-restore-translate, iptables-restore-translate, iptables-translate) для преобразования синтаксиса iptables в родные наборы правил nftables, воспринимаемые утилитой nft.URL: https://marc.info/?l=netfilter-devel&m=153086953903487&w=2
Новость: https://www.opennet.ru/opennews/art.shtml?num=48936
Так оно же deprecated
Тебе об этом и написали> Обеспечено явное разделение классического фронтэнда iptables и нового фронтэнда, построенного поверх инфраструктуры пакетного фильтра nftables и позволяющего мигрировать на технологии nftables, продолжив использовать привычные инструменты и синтаксис iptables.
Кто в курсе, возможно ли будет в новом фронтенде реализовать фильтрацию по процессам? Или может это уже будет реализовано?
google:// cgroups iptables
и как это юзать, например, для /usr/bin/deluge ?
можно использовать cgred (для помещения процесса в уникальную cgroup'у. в случае бинарника проблем не будет, если же это скрипт, тогда нужно писать обертку, которая будет выполнять скрипт, но перед этим этим помещать его в cgroup'у.
А чтобы скриптов не писать и не хакать систему, ну чтобы как у людей?
Опять полное невежество и непонимание, выставленное напоказ?В простом скрипте нет ничего плохого. Не зазорно пользоваться удобными ручками системы, автоматизируя действия скриптом. Проблемы линукса несколько сложнее, чем в твоих влажных фантазиях, вантуз. Вам, соскам мс, не понять. И пытаться не стоит.
Фильтрацию по процессам я мог сто лет как делать и без cgroups, но и это "хак". Без хаков никак?
man iptables прочитал и уже хакиром стал?
Я так долго собирался изучить наконец iptables, что он успел устареть? (((
4 января 2001 — Linux версии 2.4.0
Вот с той поры с нами в стабильном состоянии iptables. Ты родиться успел и вырасти.
Да нет, это ты депрекейтед (с рождения).
> В DNAT теперь допустимо использовать сдвинутые диапазоны portmap;А можно разжевать что это значит?
Уже в новость добавили описание.
Дзякую! Вообще годно. Не то что бы я часто использовал DNAT, но такой вариант с портами выглядит полезным, странно, что раньше не сделали.
Каждый, хотя бы раз в жизни, должен попробовать двухсторонний DNAT.
- Что Вы можете рассказать о пакетных фильтрах в Linux?
- ebtables!
А модуль netflow уже перенесли в nftables?
Увы нет.
nftables умеют что-нибудь новое, или синтаксис там понятнее? Или это просто "другое"?
Судя по новости синтаксис пофиксили. Если не пользоваться командой nft.
Теперь надо ещё подождать iptables-ebpf и совсем хорошо станет.
Понятней iptables это тебе на русском подворотном что ли? У iptables синтаксис предельно понятен, даже подобные тебе могут осилить. Отличия читай в новости про nft. Там все было разжевано так, что даже русский поймет.
Ну, т.е. продукт, сделанный "чужими для хищников" таки нашел своего поклонника )
Синтаксическая помойка из case-sensitive однобуквенных ключей, -\--параметров и case-sensitive-же ключевых слов, бешено переусложненная для простых вещей (Которых в жизни 95% так-то) обмазанная разнообразными костылями в три слоя = "предельно понятно"? Ей-ей, на этом фоне cmd в windows очень даже прилично смотрится, да. Хуже можно сделать только обмазав в четыре слоя <{)});> oh shi...
Первый год(то есть где-то 2001) case-sensitive бесил, а потом привык и вот уже 16 лет живу нормально. Пока мне nft кажется написанным чужими для хищников, но думаю привыкну с годами.
>Первый год(то есть где-то 2001) case-sensitive бесил, а потом привык и вот уже 16 лет живу нормально.Стокгольмский синдром, ага :).
>Пока мне nft кажется написанным чужими для хищников, но думаю привыкну с годами.Оно человекочитаемое хотя бы. Его можно показать бабушке\внучке и есть шанс, что они "по аналогии" сделают, что им нужно, а не убегут за святой водой при виде мешанины -t -A -p -j в одной строке.
Моей бабушке 92 года. Ей что iptables показывай, что nft, все равно скажет, что набор букв бусурманских :-D
Там очень много нового, и все довольно непривычное.
Мне нужно было перенаправить кучу IP-адресов в другую кучу IP-адресов. В iptables мне нужно добавлять по одному DNAT-правилу на каждый адрес, а в nftables я могу сделать одно правило со списком src ip → dst ip, и добавлять или удалять правило уже непосредственно из списка.
Ура! iptables победит этот новодел.
> iptables-legacyи сломаем все скрипты. вообще надо было так iptables-legacy-dont-use-its-deprecated
если уж делать западло, то по полной!
>и сломаем все скрипты. вообще надо было так iptables-legacy-dont-use-its-deprecatedесли уж делать западло, то по полной
И симлинк в /dev/null :))
Как там с libvirt? Точно не помню какой там фронт, но помню в доке что то типа «в случае проблем service iptables restart»