Опубликован выпуск пакетного фильтра nftables 0.9.8, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.8 изменения включены в состав ядра Linux 5.11-rc1...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54419
Помню был такой "agnitum outpost firewall" на окнах.Вот такой же на linux надо.Удобный понятный наглядный прост в использовании умных знаний не требовал.
Вам надо просто поставить окна.
Где все как вы любите - удобно, наглядно, и no user-servicable parts inside.
а чо вы его минусуете? Он прав так-то
У нас УЖЕ есть одна винда. И в ней - почти нормальный и почти application firewall, все как он любит.А вот тем кому надо было _управляемый_ а не "мышом покликать он сам разберется лучше тебя" - куды теперь бечь?
"он сам разберется лучше тебя"
Обернуть те же функции в гуй? Не, не линукс-вэй...
>обернуть те же функции в гуйОно либо примитивное донельзя выйдет, либо толком неуправляемое без справочника перед глазами. Даёшь 10000 кнопок! И все равно может не хватить.
А чего вы так ополчились на мышь?
> куды теперь бечь?да)) это точно)) на линуксе переписали конфиг в стиле json и будут переписывать каждую среду. а на *bsd он залип на уровне basic'a (ipfw) и реплик старых версий fw от openbsd и solaris.
>> bsd он залип на уровне basic'a (ipfw)Про pf слышали?
Так сделай интерфейс, пришли патч, кто мешает? Это опенсорс, детка.
А эту невероятную херню кто делал? Аааа, ну да, ну да - sponsored by facebook. Это впопенсос детка.Что пейсбук оплатил - то и жрете с лопаты. А чего не оплатил - ждете патчей, потом будете ждать ебилдов.
Не поверишь, у меня он сейчас стоит)
а куда он, кстати, делся?
Яндекс купил Агнитум, потом закрыл его.
Или как в Comodo, а то достало, одно выучишь, как его дропнули и заменили другим. Нет, ну правда, настраивать фаервол в консоли?
> Помню был такой "agnitum outpost firewall" на окнах.Вот такой же на linux надо.Удобный понятный наглядный прост в использовании умных знаний не требовал.Есть fwbuilder.
Да есть есть еще gufw.ИМХО не дотягивают они даже близко до agnitum по удобству и понятливости.
Хотелось бы что-нибудь типа tinywall, чтобы исходящий траф разрешать только определённым приложениям (ну входящий настраивать это бонусом), но это придётся bpf бинари от юзера загружать в ядро постоянно. А там тебе и жит, и всё остальное -- такой-то вектор для атак. И ещё бы добавить в ksysguard просмотр исходящих/входящих соединений процесса. Эх, мечты, вот файрвол у венды годный (особенно для десктопа), тут не поспоришь.
как вы думаете, по какой цене могли бы продавать авторы такого продукта, чтобы его еще как-то массово покупали пользователи Linux? Какие дистрибутивы должны поддерживаться?
Посмотрите Open Snitch.
cat /etc/sysconfig/nftables.conftable inet filter {
chain input {
type filter hook input priority 0; policy drop;
ct state established,related accept comment "Accept traffic originated from us"iif lo accept comment "Accept all loopback connections"
ip protocol icmp accept comment "Accept ICMP"
ip6 nexthdr icmpv6 accept comment "Accept ICMPv6"udp dport 5353 counter accept comment "Accept mDNS/UDP (resolved)"
udp dport 5060 counter accept comment "Accept SIP/UDP (Baresip)"
tcp dport { 5060, 5061 } counter accept comment "Accept SIP/TCP (Baresip)"
udp dport { 16384-16389 } counter accept comment "Accept RTP (Baresip)"tcp dport 9881 counter accept comment "Accept Torrent/TCP (Transmission)"
udp dport 9881 counter accept comment "Accept Torrent/UDP (Transmission)"counter comment "Count any other traffic"
}chain forward {
type filter hook forward priority 0; policy drop;
}chain output {
type filter hook output priority 0; policy accept;
}
}^^^ вот это разве непонятно? по-моему проще чем что-то по менюшкам натыкивать...
Зачем ipv6, или не отключили примочку в ядре для одинаковости (ц) правил с ipv4?
просто клиент при копипасте со стека забыл удалить ненужное.Ибо синтаксис г-но и эта простыня совершенно нечитаема даже при том что полезного не умеет ровно вот ничего (хоть ssh от сканов бы прикрыл). Ну ладно хоть icmp не зобанил, как у них принято. Хотя лишние тоже невредно бы и пофильтровать.
Теперь смотрим на не особо сложный гнороутер под столом - пяток сеток, две терминируются не на нем и нужно пробрасывать туннели через нат, пригоршня разных сервисов доступных в разных комбинациях с разных направлений (потому что незачем в сторону стораджа пускать виндовые машины, пусть и trusted сегмента, все равно им там делать нечего), прикидываем как ЭТА простыня в нескучном синтаксисе будет выглядеть и как будешь добавлять еще один хост через пол-года, когда уже подзабудешь что и зачем тут было... плюемся, идем узнавать, сколько стоит бу циско asa 5520. Ну оок - в штатах от 70, но если спалишься на таможне - отберут. В дефаултсити от 15000, краденые. В целом, и недорого. Одна даже с ssm, бесполезен без подписки, зато можно поиграться.
Потому что линyпсь - всьо даже в качестве гуанороутеров. Доломали и это.
все очень просто. нужен генератор правил типа firehol.
пусть он делает неоптимально, зато все понятно и не надо учить очередной собачий язык.> незачем в сторону стораджа пускать виндовые машины, пусть и trusted сегмента, все равно им там делать нечего
проблемы "уровня приложения" решаем на "сетевом уровне" ? ай молодца казахский хакер.
ps: в цисках невозможен недорогой апгрейд. циски могут быть протроянены либо с завода, либо в "черном кабинете" перевозчика (например US Post). IOS для цисок пишут чурки^Wиндусы.
Сема, в asa линукса на бекплейне. ))
они там используются для сугубо специфической цели - кое-как прочитать с флэшки единственный бинарник по имени asa. ВСЬО.Ни сетевой стек, ни б-же упаси, фиревал от этого линукса не используется. Только фича чтения бинарника и привязки к адресам. А, планировщик тоже не используется, до недавнего времени этот бинарник был строго single thread, потом, правда, _ssl_vpn_ и только он стал многотредовым, догадайся, почему так. Ну а до того тот же самый бинарник им qnx загружал, просто помер тот дедуля, который умел его готовить.
У ssm10 - там полноценный линyпсь (то есть внутри асы есть еще одна железка с еще одним линyпсом) и в нем, собственно, что-то донельзя похожее на древние версии snort, но с совершенно другими и управлением, и особенностями работы. Главное, впрочем, сохранено - без коммерческой подписки на правила бесполезен феерично.
так я и написал - на бекплейне. Не Микроштык же.
> так я и написал - на бекплейне. Не Микроштык же.Ну вон у ios-xr тоже типа на бэкплейне (кто бы понял где у этой штуки бэкплейн), но там вполне себе полноценный линукс, даже с rpm в 6ой серии. И оно реально и пачку демонов там держит, и еще хз что и сбоку бантик, и в шелл можно вывалиться, только непонятно что там делать, и даже top запустить (только еще меньше понятно для чего).
А тут просто лоадер, чтоб не трахаться, тот бинарник по физическим адресам вручную размещать.
В XR QNX на <6.0. Linux только в 6.0 появился. И не на бекплейне, а на RSP и процессорах плат.
У XE Linux на подложке, под ним в виртуалке крутится IOS.Но насчёт ASA - нет, увы. Там именно что сетевой стек используется от линуксов, и файрволит тоже какой-то драйвер в них. Из железного - только акселерация VPN, всё остальное софт.
> Но насчёт ASA - нет, увы. Там именно что сетевой стек используется от линуксовне используется. Я, в отличие от некоторых, запускал. Единственное, что там от того стека - интеловские драйвера сетевух, и то не факт что не патченные чтоб поменьше лезли куда не надо. А дальше байтики идут мимо штатных поделок.
Да, софт, только не лап4тый.
Твой линoops умеет при отказе подхватить траффик (_включая_ ipsec, и, разумеется, сохраняя состояния файрвола для открытых соединений) соседним ящиком прозрачно для окружающих?
А эта вот конструкция - умеет. Причем еще со времен pix где линyпсятиной и не пахло.
Состояние файрвола через мониторинг conntrackd я передавал, да, нужно костылять, но по факту работает.
ASA дерьмо, так-то. Всё тот же linux с нескучным синтаксисом конфига, в котором даже два IP на один интерфейс не повесить.
> Ибо синтаксис г-но и эта простыня совершенно нечитаема ... Доломали и это.ППКС:( индусские менеджеры из RH мля просто угробить линукс решили.
А теперь запрети конкретному приложению доступ в сеть на лету, после запуска оного, для тестов, что именно у него сеть отвалилась. И так сто раз за час пока дебажишь.
> А теперь запрети конкретному приложению доступ в сеть на лету, после запуска
> оного, для тестов, что именно у него сеть отвалилась. И так
> сто раз за час пока дебажишь.ну брателла, эт тебе в wsl ;-) Там вендофиревалл все это умеет.
А у этих, л@п4...нутыпонял, не, это слишком сложно.Вот сломать что до этого работало хоть как-то - эт пожалуйста, это могем.
Конечно виндопользователям проще по 10 раз кликать для включение и отключение правила, но я не вижу никаких сложностей сделать это с nft. Ищу пид процесса, а потом по пиду хоть дроп, хоть реджект делаю НА ЛЕТУ. Да хоть tc ему наверну, если нужно посмотреть как с плохим интернетом работать будет. Ну и конечно же написать скрипт, который это делает - 10 минут, если в первый раз. А потом этот скрипт могу и в тесты добавить, ведь я же не мышко-кликательный холоп, чтобы на каждый билд вручную тестить отсутствие интернета.
> Ищу пид процессаа процесс уже отправил в базу запрос delete from без where. Ну, ок, ищи дальше. Он, правда, уже и завершился.
И так у вас все. А в винде надо кликнуть ровно ОДИН раз - потому что она умеет разрешать доступ на уровне программ, а не процессов. Ну, или не хочешь кликать - "напиши скрипт", это тоже минут десять если синтаксис powershell подглядывать в гугле.
Как же тупейшие лап4е фанатики достали...
Признать что объект их др-рва имеет хоть малейший недостаток - абсолютно не в силах. Зато гордятся умением дро-ть с подвыподвертами.
Если ты запускаешь процесс, цель которого дропнуть базу, а ты должен успеть запретить ему соединение через фаервол, то видимо я попал на специальную олимпиаду для умственно особенных.В моей реальности я либо изначально запускаю сомнительный бинарь в ограниченном, на сколько требует моя паранойя, окружении, где не то что в интернет без моего разрешения не выйти, а даже сокет не создать. Либо я ТЕСТИРУЮ поведение программы при отсутствии сети или её пропажи во время работы, тогда описанный выше алгоритм.
> Если ты запускаешь процесс, цель которого дропнуть базу,цель, вероятно, в чем-то другом, а это специфическая особенность кода, и мы сейчас отлаживаем вообще не ее.
Это был вырожденный пример, понятный даже тупоголовым пингвинам, а не конкретное описание ситуации.> а ты должен успеть
а мне не надо успевать. Этой программе запрещено заранее и впредь до дальнейших указаний, остальным можно. (Собственно, и не всем остальным, а только явно перечисленным и конкретно куда, у нормальных ос с этим все нормально, главное - за мурзилой не забудь прибрать, ее установщик еще и в файрвол нагадил, а то ж телеметрия застревала.) У вас без нечеловеческих усилий так не получится, вы только "uid" осилили? Ну так имейте честность уже наконец признать, что ваш фетиш умеет не все, и приходится для элементарных вещей дрть в присядку.
> В моей реальности я либо изначально запускаю сомнительный бинарь в ограниченном, на
> сколько требует моя паранойя, окружении, где не то что в интернетв твоей реальности ты, похоже, хеловрота ни одного не отладил.
>этой программе запрещено впредь и до дальнейших указанийКак в Винде такая фича реализована?
>>этой программе запрещено впредь и до дальнейших указаний
> Как в Винде такая фича реализована?полное имя - часть контекста процесса, и может быть проверено.
Для сервисов, где "полное имя" rundll - там как-то сложно, и настраивается оно несколько иначе тоже.
>>>этой программе запрещено впредь и до дальнейших указаний
>> Как в Винде такая фича реализована?
> полное имя - часть контекста процесса, и может быть проверено.
> Для сервисов, где "полное имя" rundll - там как-то сложно, и настраивается
> оно несколько иначе тоже.Мне не совсем ясно, что мешает это реализовать в Лине?
Т.е. ядро всегда знает, какой программе соответствует процесс? Даже если одной программой порождено несколько процессов?
> Т.е. ядро всегда знает, какой программе соответствует процесс?вообще-то да, при discard надо же ж снова откуда-то прочитать его код суметь.
Но там, скорее всего, очень сложно будет отделить мух от котлет, оно не под это заточено.Пиши отдельную трекалку, которая создаст немодифицируемый из userspace (это важно) объект ядра, и будет таскать его за процессом до следующего exec.
>>>этой программе запрещено впредь и до дальнейших указаний
>> Как в Винде такая фича реализована?
> полное имя - часть контекста процесса, и может быть проверено.
> Для сервисов, где "полное имя" rundll - там как-то сложно, и настраивается
> оно несколько иначе тоже.И это.. получается с помощью системда это должно быть несложно реализовать? ))
Но почему-то не реализовано.
>>>этой программе запрещено впредь и до дальнейших указаний
>> Как в Винде такая фича реализована?
> полное имя - часть контекста процесса, и может быть проверено.
> Для сервисов, где "полное имя" rundll - там как-то сложно, и настраивается
> оно несколько иначе тоже.И самое интересное: как это должен уметь обработать пакетный фильтр? Либо он только часть фаервол, либо никак. Поясни, если ошибаюсь.
> И самое интересное: как это должен уметь обработать пакетный фильтр? Либо он только часть фаерволтолько часть.
Но в принципе, кто тебе в линуксе мешал? В контекст процесса мы (чисто технически) лазить умеем - uid-то по твоему где берет? А что у нас нельзя угадать, чем порожден процесс, или придется в ядре отдельную систему трекинга городить, со своими багами и локапами - нуууу извиниииите, есть у технологий 70го года некоторые и ограничения, к сожалению. Ты когда их в 90е выбирал, мог бы и понимать, чем пожертвовал.Правильная реализация, естественно, делается за счет проброса (уже отобранных немногочисленных, заметим, пакетов) в userland (позволяя в том числе и то самое окошко под руку сунуть с кнопкой ok), и это у нас ТОЖЕ было двадцать лет назад. Но никто так и ниасилил ничего качественного и рабочего - место тут проклятое.
>[оверквотинг удален]
> что у нас нельзя угадать, чем порожден процесс, или придется в
> ядре отдельную систему трекинга городить, со своими багами и локапами -
> нуууу извиниииите, есть у технологий 70го года некоторые и ограничения, к
> сожалению. Ты когда их в 90е выбирал, мог бы и понимать,
> чем пожертвовал.
> Правильная реализация, естественно, делается за счет проброса (уже отобранных немногочисленных,
> заметим, пакетов) в userland (позволяя в том числе и то самое
> окошко под руку сунуть с кнопкой ok), и это у нас
> ТОЖЕ было двадцать лет назад. Но никто так и ниасилил ничего
> качественного и рабочего - место тут проклятое.В 90-е ч гонял на велике, купался в речьке и стрелял из рогатки :-)
> В 90-е ч гонял на велике, купался в речьке и стрелял из рогатки :-)иппать ты лох!
Ну в смысле - ну в 90е-то легко было промахнуться в выборе (та винда которая по 95 включительно, все же, была сильно так себе, nt4 позволить себе могли не только лишь все), но после-то?!Эх, если бы мое знакомство с юниксом состоялось в начале 200х, хер бы я эту глупость совершил.
> она умеет разрешать доступ на уровне программ, а не процессов.надоел.
man iptables-extensions | grep -i uidкак запустить "программу" (или "процесс" или пачку процессов) от спец.юзера, надеюсь объяснять не надо.
> а процесс уже отправил в базу запрос delete from без where
и опять мы видим стремление порешать вопросы прикладного уровня на уровенне сетевом.
да что с тобой не так ?
>> она умеет разрешать доступ на уровне программ, а не процессов.
> надоел.взаимно. Почему вы такие т-пые и упертые, и не можете признать ни одного недостатка своего фетиша, даже когда уже носом ткнули?
> man iptables-extensions | grep -i uid
> как запустить "программу" (или "процесс" или пачку процессов) от спец.юзера, надеюсь объяснятьлучше расскажи как ты трахаешься на лыжах и в гамаке.
Почему в венде-поганой мне не надо для этого "от спец юзера" (охереть удобно при отладке, когда программа еще и пересобирается на каждый запуск) - а у тебя оно вот так и ты этим еще и гордишься?
> и опять мы видим стремление порешать вопросы прикладного уровня на уровенне сетевом.
нет в ip никаких "уровней", тебя нае...ли.
Ай, молодец какой - нашёл единственного ответившего, прочёл в его словах то, чего там отродясь не было и гордо экстраполировал на всех пользователей Линукс. Бурные продолжительные аплодисменты.Нормальный админ *вначале* всё планирует и соответственно настраивает конфигурацию. А уж кто натыкивать горазд, а кто в консоли предпочитает - это уже спор о вкусе фломастеров. То есть бессмысленный по определению.
Каким "нормальным" бы админ ни был, если он приходит работать в "зоопарк", где всё уже "спланировано" лет 10 назад, ни о каком планировании кроме "а вот хорошо бы через пару лет обновить цынтос до 7го на роторе и почтовике" речи нет. )
> Каким "нормальным" бы админ ни был, если он приходит работать в "зоопарк",
> где всё уже "спланировано" лет 10 назад, ни о каком планировании
> кроме "а вот хорошо бы через пару лет обновить цынтос до
> 7го на роторе и почтовике" речи нет. )зависит от должности и от масштаба (бардака в) компании. Бывало что и приглашали зоопарк разогнать по вольерам, и переделать чтоб работало надежно.
Хотя, если роутер на центос, можно смело идти дальше сразу же, не тратя время.
И это не всегда так. Конторы иногда переезжают, расширяют офис и т.д. и т.п.Вот в таких случаях и представляется иногда возможность уменьшить долю хаоса. Помимо соблюдения основной директивы "не чини то, что работает".
Раз тут упомянут CentOS (который с конца этого года прикажет долго работать), один чёрт придётся менять эту операционку - опять же повод внести чуть больше порядка (в понимании конкретного админа, конечно).
Всякое бывает.
Берёте дефолтный раымный конфиг для декстопа:# nft --handle --numeric list table inet filter
table inet filter { # handle 7
chain input { # handle 1
type filter hook input priority 0; policy drop;
ct state 0x1 counter packets 1940 bytes 86636 drop comment "early drop of invalid packets" # handle 5
ct state { 0x2, 0x4 } counter packets 2236693022 bytes 230372893649 accept comment "accept all connections related to connections made by us" # handle 6
iif "lo" accept comment "accept loopback" # handle 7
iif != "lo" ip daddr 127.0.0.0/8 counter packets 0 bytes 0 drop comment "drop connections to loopback not coming from loopback" # handle 8
iif != "lo" ip6 daddr ::1 counter packets 0 bytes 0 drop comment "drop connections to loopback not coming from loopback" # handle 9
tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x0 counter packets 0 bytes 0 drop # handle 10
tcp flags & (0x1 | 0x2) == 0x1 | 0x2 counter packets 0 bytes 0 drop # handle 11
tcp flags & (0x2 | 0x4) == 0x2 | 0x4 counter packets 0 bytes 0 drop # handle 12
tcp flags & (0x1 | 0x2) == 0x1 | 0x2 counter packets 0 bytes 0 drop # handle 13
tcp flags & (0x1 | 0x4) == 0x1 | 0x4 counter packets 0 bytes 0 drop # handle 14
tcp flags & (0x1 | 0x10) == 0x1 counter packets 0 bytes 0 drop # handle 15
tcp flags & (0x10 | 0x20) == 0x20 counter packets 0 bytes 0 drop # handle 16
tcp flags & (0x1 | 0x10) == 0x1 counter packets 0 bytes 0 drop # handle 17
tcp flags & (0x8 | 0x10) == 0x8 counter packets 0 bytes 0 drop # handle 18
tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20 counter packets 0 bytes 0 drop # handle 19
tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x0 counter packets 0 bytes 0 drop # handle 20
tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x1 | 0x8 | 0x20 counter packets 0 bytes 0 drop # handle 21
tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x1 | 0x2 | 0x8 | 0x20 counter packets 0 bytes 0 drop # handle 22
tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x1 | 0x2 | 0x4 | 0x10 | 0x20 counter packets 0 bytes 0 drop # handle 23
ct state 0x2,0x4 counter packets 0 bytes 0 accept # handle 24
}chain forward { # handle 2
type filter hook forward priority 0; policy drop;
}chain output { # handle 3
type filter hook output priority 0; policy accept;
}
}Потом с помощью lsof -p <pid> у вашего приложения смотрите, куда оно ломится. И всё что не нравится в chain output добавляете. всё. И ничего дебажить не нужно.
> Берёте дефолтный раымный конфиг для декстопа:это разумный? Вот этот вот фееричный бред?!
> Потом с помощью lsof -p <pid> у вашего приложения смотрите, куда оно
> ломится. И всё что не нравится в chain output добавляете. всё.c помощью lsof... все понятно. "Специалисты" на марше.
> И ничего дебажить не нужно.
Угу, угу.
>>c помощью lsof... все понятно.tcpdump уже не в моде :)
>>>c помощью lsof... все понятно.
> tcpdump уже не в моде :)Уж хотя бы strace, если мы танцуем от процесса (линукс, чай, опять же). А то окажется там банальный protobuf - и что ви таки хотели увидеть тем lsof'ом?
Вот это вот дефолтное удолбище - одна из причин, по которой nf так до сих пор и не взлетел массово, хотя он крут.
> Вот это вот дефолтное удолбище - одна из причин,вовсе нет. Хотя за такое, конечно, отдельно надо кастрировать.
Дефолтный susefirewall скажем, тоже был нужен только чтоб было что сразу выбросить (ладно бы "как в венде", но еще и неимоверно засорял dmesg совершенно ненужной информацией). А чего-то вменяемого, хотя бы аккуратно заранее разобранного по разным веткам, в дефолтах не было ни у кого.
Величайшего прогресса в этой области достигла redhat, которая хотя бы умела без ручного вмешательства сохранять твои правки при шатдауне и восстанавливать при загрузке.
Это ничуть не помешало делать на iptables весьма нетривиальные и при том удобоуправляемые конструкции.на nft так не получится. там только нанимать фейсбучного макака, чтоб он наговнякал каких-нибудь чудо-скриптов, которые, кстати, есть тоже за тебя будут. Оно просто не предназначено для ручного управления, by design.
"Подсветочка в mcedit" - это только в совсем тривиальных случаях спасет.
Справедливости ради, "Подсветочка в mcedit" регулярно ломается и на баш-скриптах ) Фаерволлам нужен интерактивный IDE с дебаггером.ЗЫ: а вообще для каждого конфига в прынуксе нужен свой IDE (размером с MS Casual Studio чтоб было больнее), раз так ненавидят идею реестра а-ля Вандовс.
> Величайшего прогресса в этой области достигла redhat, которая хотя бы умела без ручного вмешательства сохранять твои правки при шатдауне и восстанавливать при загрузке.Мнэ. А почему у меня это всегда в Debian/Ubuntu было? Пакет iptables-persistent
И вот какого х-я его нет по умолчанию в любой установленной системе, и надо пойти найти то, незнамочто, для тривиальнейшей операции? (ufw в убунте тоже, разумеется, нет пока не поставишь вручную - откуда-то предварительно надо еще о его существовании узнать)А я тебе скажу, какого: ты просто родиться опоздал. Выпекли это чудо лет всего десять назад, и, разумеется, все страдавшие де6иллианом, к тому времени давным-давно выработали "полезную" привычку пихать хуки в interfaces.
Ну вот такое всегда у де6иллианоидов - память как у рыбки, "всегда было".У редхата - да, "всегда было". Примерно с версии 6, когда в ядре завелись iptables. У suse еще раньше. И у обоих, что характерно - изначально с политикой DROP.
Результат на лицо - 90% зомби-ботов - де6иллианчики и бубунточки. Потому что чтоб на кого еще попасть ssh'ем с паролем test/test - надо б было не забыть его вручную открыть. А у вас - все настежь.
> У редхата - да, "всегда было". Примерно с версии 6, когда в ядре завелись iptables.С RHEL-5 AFAIR. И не забыть "service iptables save" в конце (если ещё от консоли не отвалился). Прямо как в цисках.
Правда, в 5-м нужно было ещё "руками" (в sysconfig/iptables кажись) хэлперы втыкать. Чтобы всякие там sip работали.
>> У редхата - да, "всегда было". Примерно с версии 6, когда в ядре завелись iptables.
> С RHEL-5 AFAIR. И не забыть "service iptables save" в конце (если
> ещё от консоли не отвалился). Прямо как в цисках.если отвалился - после ребута привалится обратно, в том и смысл был.
> Правда, в 5-м нужно было ещё "руками" (в sysconfig/iptables кажись) хэлперы втыкать.
> Чтобы всякие там sip работали.я даже не поленился открыть то что тут чувак "с сорокалетним опытом дро4ки дерьмианов" толкает, чтобы убедиться - ТАДАМ, ты не поверишь - они там модули грузить до сих пор не научились. Так что sip (мне больше tftp, правда) по прежнему только у rh.
>> У редхата - да, "всегда было". Примерно с версии 6, когда в ядре завелись iptables.
> С RHEL-5 AFAIR.упс, не заметил. Чувак, твой "rhel5" - это 2010й.
"версия 6" - это на десять лет раньше. Да, там уже до этого мегасложного откровения додумались.
Малыш, мне 40 лет. Я использую Debian с 2001 года. Ты в то время еще не родился. Продолжай дальше писать глупости про «еще не родился, ко-ко-ко»
> Малыш, мне 40 лет.ну и зачем ты тут разговариваешь со своим "малышом"?
> Я использую Debian с 2001 года. Ты в
А я его выбросил окончательно в 1998м. Решив что настолько горбатую поделку даже могила не исправит. Не ошибся, что характерно.
Но ты продолжай про "always have been". А то ж взять да и посмотреть историю этого недоделка, это ж "пользующим с 2001 года" непосильная магия.
Упс, а что, оно за те десять лет модули-то грузить так и не научилось?
Видимо, этим недоделком вообще никто кроме тебя и не пользуется никогда.Или просто нужен еще один чудо-пакет с еще одним тривиальным скриптом из двух строчек?
Если с этим pid другое приложение запустилось?
>разумный конфигурацию.Разумный-то он разумный.... Вот читать такое и врагу не пожелаешь.
>>разумный конфигурацию.
> Разумный-то он разумный.... Вот читать такое и врагу не пожелаешь.Читать-то пожалуйста, заметить что в 16й строчке вместо 0x10 написано 1 - вот это попробуй.
Чуждый разум это понапроектировал.
> А теперь запрети конкретному приложению доступ в сеть на летуДля твоей задачи подходят cgroups, или заморачивайся с connection mark (если ты реально Ъ-джедай).
На таком уровне всё элементарно.
Но это конечный ПК, с одним инетом, без форварда, без динамических афроамериканских списков, полностью открытый на выход.
А вот если посложнее - там начинается.
Документация неполная и в разных местах иногда противоречит сама себе.
Продукт очень сырой, то и дело натыкаешься на "особенности".
Но потенциально не так всё плохо, если до ума доведут, много вкусностей.
Потихоньку дополняю себе файл подсветки синтаксиса для mcedit - гораздо понятнее и удобнее становится.
Ну и зачем тебе файрвол не на сервере? Или у тебя запущены какие-то службы на внешнем интерфейсе, к которым ты не хочешь, чтобы коннектились? Может в консерватории что-то подправить?
> Ну и зачем тебе файрвол не на сервере? Или у тебя запущены какие-то службы на внешнем интерфейсе, к которым ты не хочешь, чтобы коннектились? Может в консерватории что-то подправить?я ip-телефонией занимаюсь, у меня, как можно заметить по правилам, часто запущен SIP клиент, и мне можно позвонить напрямую, без серверов вообще (по работе надо для тестов), потому upnp/nat-pmp, потому нужен firewall
> я ip-телефонией занимаюсь, у меня, как можно заметить по правилам, часто запущен
> SIP клиент, и мне можно позвонить напрямую, без серверов вообще (по
> работе надо для тестов), потому upnp/nat-pmp, потому нужен firewallи именно по этой причине единственный на васян-десктопе, в общем-то, опасный протокол - у тебя торчит во весь мир, включая китайские ботофермы. А conntrack_sip - не, не наш метод.
Ну да, ну да, модные современные именно так все настраивают.
>> я ip-телефонией занимаюсь, у меня, как можно заметить по правилам, часто запущен
>> SIP клиент, и мне можно позвонить напрямую, без серверов вообще (по
>> работе надо для тестов), потому upnp/nat-pmp, потому нужен firewall
> и именно по этой причине единственный на васян-десктопе, в общем-то, опасный протокол
> - у тебя торчит во весь мир, включая китайские ботофермы. А
> conntrack_sip - не, не наш метод.
> Ну да, ну да, модные современные именно так все настраивают.опасный протокол это что? у вас во дворе придумали, да? ещё раз: там торчит клиент, на который я сам себе звоню ради тестов, иногда коллеги или друзья. никаких PBX/SBC, интересных ботам, там нет и в помине.
conntrack_sip - нерабочее г*в*о, телефонисты выключают это первым делом (оно толком не может в SIP и неправильно подменяет ip, от чего звонки часто перестают проходить, настроек нет)
> опасный протокол это что? у вас во дворе придумали, да? ещё раз:Телефонисты придумали. И, самое главное - клиентов понаписали.
Лучше б уж - во дворе, у тамошних пацанов меньше мозги набекрень.> conntrack_sip - нерабочее г*в*о, телефонисты выключают это первым делом (оно толком не
> может в SIP и неправильно подменяет ip, от чего звонки частоconntrack вообще ничего не подменяет. Он обеспечивает попадание в related rtp пакетов.
> перестают проходить, настроек нет)Это для nat, а не conntrack. Проблема не в том что неправильно подменяет, а в том что не угадаешь как с точки зрения порождений телефонистов "правильно" и не подменят ли те еще разок, для надежности.
Настройка есть, называется iptables. Но ты, похоже, не умеешь, раз даже nat от conntrack не отличаешь.
Этот порт открыт для всего интернета.
Файрвол у тебя закрывает все КРОМЕ этого порта. Ещё раз поясни свою стратегию защиты: что и от чего защищается?
> Этот порт открыт для всего интернета.он там и ждет весь интернет.
> Файрвол у тебя закрывает все КРОМЕ этого порта. Ещё раз поясни свою
потому что это "десктоп", там логично так сделать, а исключения описать правилами.
Другое дело, что надо очень верить в надежность своего sip-софтфона, чтоб вот именно так это настроить. Ну или не держать на том "десктопе" лишнего. (Не в смысле нечего прикрывать, а в смысле - поломают, откачу снапшот vm)
> стратегию защиты: что и от чего защищается?
да в общем, как-бы, умеющему - понятно, а неумеющему не поможет.
> Этот порт открыт для всего интернета.
> Файрвол у тебя закрывает все КРОМЕ этого порта. Ещё раз поясни свою
> стратегию защиты: что и от чего защищается?ещё раз: роутер с upnp, он без вопросов прокидывает любые порты любому софту (и это именно то, чего я хочу), любому устройству из локалки (у меня их семь)
на тачке должна торчать в инет только телефония (нужна для работы), вот и вся стратегия
Для админа да проще.А для пользователя нет.Что и тормозит использование linux.
> Для админа да проще.А для пользователя нет.Что и тормозит использование linux.А у пользователя есть уже целых ДВЕ операционные системы, не считая ведроида, где сделали ему как проще. Тому аутпосту - 20 лет! И было бы хорошо затормозить скатывание линукса в "еще более удобно еще более т-ым пользователям", чтобы они его обходили десятой дорогой, и вместе с ними подобные "разработчики" свалили нахрен.
Тогда, может быть, снова придут те, кому надо не для т-го пользователя и совсем т-го разработчика, а для админа "проще".
Хотя, конечно, уже не придут никогда.
> вот это разве непонятно?да не, "counter accept comment" - счетчик принял коммент! че тут непонятного-то. отлично все.
type filter hook input priority foo bar bar foo bar foo foo bar bar foo foo foo 0; - да зашибись!
Ну страшненькая ведь простынка :-(
Тот без антивируса еще который был? Знатная вещь.
Когда уже 1.0 будет? Надоела эта вечная бета.
Если не нравится вечная бэтп, то большая часть бесплатных гнулинукс не для тебя.
о, инвестор нарисовался!
Там ещё дофига фиксить и допиливать.
Ну и на фига его тогда везде насовали и заменили работающему iptables.
Тестировать-то надо. И желательно бесплатно.
> Тестировать-то надо. И желательно бесплатно.Я полагаю, платиновому спонсору в общем-то наплевать. Сам потестирует.
Вот угнаться за бесконечными stable api nonsense ему тоже не под силу, поэтому - пропихнуто в мэйнлайн, так проще.
Ну и выбросят этот "инносенс". Уже приступили, не смотри на медленное запрягание.
> Ну и на фига его тогда везде насовали и заменили работающему iptables.во-первых, по прежнему полу-работающему. Только он уже deprecated, поэтоу ураааа, можно ничего не чинить!
во-вторых, не нафига, а на денежки платинового спонсора. Он как раз и не собирался руками эти простыни редактировать.
С тобой софтом не поделится, да и нахер тебе фейсбук дома?
С цацкой все ясно. А что в iptables-1.8.7 то поменяли ? Вообще непонятно новость какбы упоминает iptables в заголовке..
Сломали все, раньше было лучше
> С цацкой все ясно. А что в iptables-1.8.7 то поменяли ?Написано ж - еще более улучшили кривовраппер, и он теперь позволяет хотя бы выводить правила в том же порядке, в котором вводили. Еще через пару лет будет и исполнять в нем же, а не рандомом.
Все что надо знать о современном состоянии iptables, не так ли?
А ты думал - ipsec sa match починят? Может, тебе еще и gre nat починить, совсем оборзел?!
За двадцать гребаных лет переписывания переписанного ниасилен даже чекер. который в новой-модной-bpf-помойке невозможен в принципе.
Ну и славненько. А за двадцать лет то что должно было произойти ? Эта фигня была по фану написана
и впринципе то всех все утстраивает. Кому надо - либо сами не могут даже сформулировать что им надо, а кто может - не хватит денег и сил это реализовать. Так что улыбаемся и машем.
> Ну и славненько. А за двадцать лет то что должно было произойти ?Хотя бы то что Рыжий обещал "как только, так сразу". И нап-дел, как обычно.
> Эта фигня была по фану написана
До этой фигни была другая фигня - которая, в отличие от нее, хотя бы умела человеческим образом сказать, проходит через нее пакет с такими вот параметрами, или нет. Ну там еще много чего попереломали, кажется, как раз gre в том числе, но может и казаться (в смысле, может он и там не работал уже/еще). Про другие поломанные модули Рыжий точно кричал что это мелочи и как только, так непременно. А потом просто исчез.
> Так что улыбаемся и машем.
В смысле, бежим хватать ту краденую циску за пятнарик, пока другие не утащили? Я до понедельника подумаю, да. За ssm это хорошая цена (хотя, конечно, нах не нужен и только жрать электричество будет).
Интересно, работает ли по сей день генератор лицензий...
> В смысле, бежим хватать ту краденую циску за пятнарик,Быдлопровайдинг это побочный эффект. Жаловаться на то что таких не обращают внимание и не фиксят "нужды" - просто глупо.
>> В смысле, бежим хватать ту краденую циску за пятнарик,
> Быдлопровайдинг это побочный эффект.мальчик, ты совсем дурак? Я ее себе под стол поставлю, вместо линуксного ненужно. Которое во-первых сил уже нет поддерживать, во-вторых, у этой штуки 4 гигабитных ethernet и 400 (ну ок, в реале около 200) мегабит ipsec сквозь них. Подобное под столом будет стоить дороже, а не дешевле, и сетевухи, и процессор понадобятся приличные. У этой внутри, кстати, какой-то чуть ли не селерон3. (такой у десятой, а у этой не помню уже что, чуть помощнее - ей хватает)
У провайдера совсем другие железки и он не покупает краденое. Это кастрюля для энтерпрайзов - устаревшая, с технологиями 200х, но вашему линуксонедофиреволу и это недоступно. Краденые pa7000 к сожалению бесполезны без подписок, а их не украдешь. ("технология" 201x в виде индусских рабов, да уж)
> Жаловаться на то что таких не обращают внимание и не фиксят "нужды" - просто глупо.
То ли дело пейсбук и другие платиновые спонсоры! Шва6одка. Жрите с лопаты что они соизволят вам отсыпать.
> Краденые pa7000чур меня чур, даже даром не нужно как и всякие ЧП (собратья пальто) со своими ЭнДжи.
>> Краденые pa7000
> чур меня чур, даже даром не нужно как и всякие ЧП (собратьяну да, ну да - лучше ковырять дома вот тот п-ц с tcp flags 0x10...
А я бы вот был вполне счастлив написать что-нибудь вроде deny application googleanal
без лишних телодвижений.
> А я бы вот был вполне счастлив написать что-нибудь вроде deny application
> googleanal
> без лишних телодвижений.я только за, но "больно" очень, ибо лучше чтобы не было вовсе, чем есть и через Ж. В случае с "л и н у п с о м" (МАТ ФИЛЬТР БЛОКИРУЕТ ЭТО СЛОВО :)) можно спокойно все отладить и выявить проблему (именно выявить, не решить), а в случае с "Ы" (Ынтерпрайзным) - придется п*здеть с саппортом индусским, который будет тебя футболить на уровень выше и пройдет минимум месяц пока поймут в чем проблема и остается еще и подождать когда зарелизят, а зарелизят и поди куча других багов сплывет. Короче, больше головной боли с этими ЭнДжи. Лучше уж простой тупой L3 ФВ. А покупать ЭнДжи и юзать в роли L3 - поговорка про курей :)
>> Краденые pa7000и кстати, да, gre nat/conntrack для многих источников-приемников у них тоже работал, это я с особой ненавистью проверял, потому что именно тогда и вляпался.
Впрочем, это неинтересно, он у асы тоже работает.
Вангую что через пару лет nftables устареет и на смену ему придет systemd-tables
systemd-nettablesd
> systemd-nettablesdон у меня называется -firewalld. Уже давно пришел, уютно устроился и смотрит на вас добрыми-добрыми глазками.
А, не это п-ц пришел. У firewalld глазков нету.Конечно же мы уже почти совсем поддеживаем в нем и nft.
Глаза Лени не могут быть добрыми ро определению
А вот кстати неплохо бы, да.
Потому что rh'вый firewalld - конченное удолбище, а в рамки системды оно себе вполне ляжет. Например каждый набор правил софта - своим "юнитом".
> себе вполне ляжет. Например каждый набор правил софта - своим "юнитом".да, представляю какая красота - снова три набора заклинаний-завываний чтобы как-то построить порядок запуска, и снова шибкоумный менеджер всего решит за тебя что можно тут что-то и поулучшать, поэтому правило с allow all однажды запустит раньше чем с deny.
Мечта...
Да не, чего-чего, а с порядком запуска у системды всё хорошо.
Как раз таки печально не указать пререквизиты правильно - что очень часто встречается, тогда да, запустит как попало.
> Да не, чего-чего, а с порядком запуска у системды всё хорошо.Просто прекрасно. Сколько там у нее заклинаний для этой цели - пять, или больше уже?
А поскольку "Result is RESULT" и нормально отслеживать завершение запуска она не научится никогда - хоть двадцать пять напиши, не поможет. Как там у тебя с systemd-networkd-wait-online.service , все хорошо, да?
А что с ним должно быть не так?
У меня монтирование ряда FS на старт сети завязано, после стартует всё остальное.
Никаких затруднений не испытываю.
> А что с ним должно быть не так?А что с ним может быть "так"? Не работает оно. Как всегда у вас.
> У меня монтирование ряда FS на старт сети завязано
Это _netdev в fstab, небось, у тебя.
Очередной костыль.Впрочем, он тоже иногда глючит.
Но большинство монтируемого просто виснет до победного результата, поэтому как раз и обеспечивает требуемую задержку для всего остального.
> Но большинство монтируемого просто виснет до победного результата, поэтому как раз и
> обеспечивает требуемую задержку для всего остального.Ну у меня это в принципе и есть желаемое поведение: если что-то смонтировать не удалось - не стартовать в принципе, иначе возможны эксцессы. Хотя кое-где для некритичных маунтов выкручены вниз таймауты.
> Это _netdev в fstab, небось, у тебя.А fstab себя сам монтирует? Ой, да это же…
man systemd-fstab-generator* Раньше магия по-другому называлась, но сам себя fstab никогда не монтировал.
>> Это _netdev в fstab, небось, у тебя.
> А fstab себя сам монтирует? Ой, да это же…
> man systemd-fstab-generatorну так и почитай там что такое _netdev. Что, опять не написано, вместо мана билиберда какая-нибудь? Ну даже и не знаю, сгенери и посмотри.
Оно не работает. Точнее, оно работает только потому что виснет в процессе монтирования при недоступной сети.
Когда не виснет - все ломается.
Поддержку ipv4 пора удалять как устаревший протокол. Ну раз i386 и FTP убрали
И к ICMP прикрутить сертификаты, а то совсем не секурно
FTP на уровне ядра и не было никогда.
оно действительно быстрее, чем iptables? есть смысл переезжать, если у меня под десять тысяч строк в iptables-save?
очевидно, что это зависит не от количества тысяч строк, а от того, есть у тебя прямо сейчас какие-то проблемы с этим количеством или нет. И не решает ли их просто разнесение по разным веткам, если еще не, или даже переход на ipset (на мой взгляд бесполезен, но на десятке тысяч я не мерял, может и есть какой профит)Скорее всего - управлять этой махиной тебе станет сильно сложнее чем сейчас. Вон, посмотри на этих героев, которым "подсветка синтаксиса" понадобилась, разбираться что они сами же и наколбасили. Я-то обхожусь grep в основном.
С другой стороны - legacy версию явно скоро не доломают так просто объявят устаревшей и переезжать куда-то все равно придется.
Лично я планирую на промышленные файрволы для периметра, и ufw/firewalld для хостов. Прикрыть пару портов хватит и этого,а ковыряться в кошмарном синтаксисе - пусть пейсбук будет.
>Лично я планирую на промышленные файрволы для периметрапромышленный? эт какой-такой промышленный а?
> промышленный? эт какой-такой промышленный а?это у которого в рекламе написано "industrial" и "enterprise level".
И чтоб обязательно встроенный бекдор от лучших индусов Бангалора.
Туда бы ещё добавить словечко NGFW :)
> Туда бы ещё добавить словечко NGFW :)ngfw не украсть - там весь ng в том что где-то в Бангалоре команда из сорока прикованных индусов день и ночь анализирует дампы и лепит новые правила.
Без подписки ценой примерно в стоимость самой коробки (которая тоже не 15 тыщ, причем и не $$ даже) бесполезно, он даже не запустится у тебя.
Внутри, кстати, вполне себе теперь может оказаться линyпс с nft. Почему же нет, для этой цели он вполне пригоден, и не надо ничего самим разрабатывать, кроме той руки, в которой кнут для индусни.
bpf загрузит не в память, а в asic, разьве что.
>Внутри, кстати, вполне себе теперь может оказаться линyпс с nft.так и есть
> Почему же нет, для этой цели он вполне пригоден
такое же гамно если честно, при 1M pps валится. устал багрепортить, индусия.
Не, nft нету. Там ядро 2.6, тогда такого еще не придумали.
>вполне себе теперь может оказаться линyпс с nft.Это не утверждение, а предположение. Через пару лет вероятней и окажется с nft.
>>вполне себе теперь может оказаться линyпс с nft.
> Это не утверждение, а предположение. Через пару лет вероятней и окажется с
> nft.неисключено, что именно эти ребята и спонсируют.
Сам понимаешь, от обычных iptables им проку никакого, только лишние тормоза были бы, и пока все приходится делать самим. Они будут неимоверно счастливы ограничиться bpf-загрузчиком.
Перенос в ipset, по накопленной статистике, сказывается на производительности уже после пары сотен однотипных правил (ясен пень, что зависит от скорости конкретного железа или его эмуляции).Помимо того, что элементарно проще разбираться в десятке правил с ipset, чем в жуткой простыне, что была бы вместо него.
> Перенос в ipset, по накопленной статистике, сказывается на производительности уже после
> пары сотен однотипных правил (ясен пень, что зависит от скорости конкретногопо "накопленной статистике" не на чем сказываться. Вообще никак эти пары сотен не видны.
> Помимо того, что элементарно проще разбираться в десятке правил с ipset, чем
> в жуткой простыне, что была бы вместо него.чем простыня ipset отличается в лучшую сторону от точно такой же в виде chain?
Тем, что теперь вместо одного места, надо смотреть в два?
> по "накопленной статистике" не на чем сказываться. Вообще никак эти пары сотен не видны.У вас это любимое занятие, я погляжу - делать выводы о том, чего в глаза не видели?
> чем простыня ipset отличается в лучшую сторону от точно такой же в виде chain?
> Тем, что теперь вместо одного места, надо смотреть в два?Тем, что в случае ipset это уже не простыня.
>> по "накопленной статистике" не на чем сказываться. Вообще никак эти пары сотен не видны.
> У вас это любимое занятие, я погляжу - делать выводы о том,
> чего в глаза не видели?да, да, конечно же не видел.
Кончай бредить. Увидеть вшивые сотни правил невозможно НИКАК, разьве что на i386/20.
Скорее ты увидишь разницу между отсутствием и наличием загруженного модуля iptables вообще.
Увидеть можно тысячу - ну увидел, аж целых пара миллисекунд, ужос-ужос, дальше пошел.>> чем простыня ipset отличается в лучшую сторону от точно такой же в виде chain?
>> Тем, что теперь вместо одного места, надо смотреть в два?
> Тем, что в случае ipset это уже не простыня.о да, да, конечно же не простыня,это другое.
> да, да, конечно же не видел.Единственное мало-мальски осмысленное среди вороха букв. Понятно, что вы тужились иронизировать, но ответили точно и по существу.
Остальное - белый шум (ну не признаетесь же вы, в самом деле, что могли чего-то не видеть и о чём-то не знать).
на ipset https://www.dbsysnet.com/wp-content/uploads/2016/03/ipset3.png
> на ipset https://www.dbsysnet.com/wp-content/uploads/2016/03/ipset3.png1) непонятно, что такое "responce" и "request" в контексте фаерволла.
2) почему-то нет графиков для ipfw и pf.
>> на ipset https://www.dbsysnet.com/wp-content/uploads/2016/03/ipset3.png
> 1) непонятно, что такое "responce" и "request" в контексте фаерволла.понятно только что до 15000 эффект неразличим приборами (ты правда можешь достоверно хоть в каком сценарии померять 5ms? ) и с моими представлениями это вполне совпадает. Вероятно актуально для косплеящих клаудфлерь на коленке (помнится, qrator очень гордились что у них все именно из г-на и палок) а не для админов.
> 2) почему-то нет графиков для ipfw и pf.
потому что г-но оне. Совершенно нечитаемое, п-цки неудобно управляемое, не полнофункциональное, да еще и тормоз. ipset скосплеен именно с их set/table - именно потому что у них во-первых, не 5ms, во вторых, поскольку оба - плоские убожища 92го года изобретения - даже десяток однотипных правил приходится заводить в виде таблицы, чтобы еще хоть что-то было можно потом понять в этой простыне.
Сравнивать их может только особый талант, который только из дерьма и работать обучен.
Если встаёт вопрос об ipset - лучше сразу таки на nft, потому что одно дело мейнтейнить один конфиг файрвола, другое дело - два оторванных друг от друга.
> Если встаёт вопрос об ipset - лучше сразу таки на nft, потому
> что одно дело мейнтейнить один конфиг файрвола, другое дело - два
> оторванных друг от друга.наоборот. "майнтейнить" простыню в десять тыщ строк, перемешанную с конфигом файрвола - это для особых любителей на лыжах в гамаке.
В конфиге файрвола только (например):
define ext1_if = enp1s0.10
define ext2_if = enp1s0.11
define ext_ifs = { $ext1_if, $ext2_if }
add table ip filter
add chain ip filter fin { type filter hook input priority filter; policy drop ; }
# Собственно, вот это:
add set ip filter bad_src_ranges { type ipv4_addr; size 65536; flags interval; }
add rule ip filter fin iif $ext_ifs ip saddr @bad_src_ranges dropИ, по желанию, отдельно или тут же:
nft add element ip filter bad_src_ranges { x1.x2.x3.0/23, y1.y2.y3.y4-y1.y2.y5.y6, z1.z2.z3.z4 }
п-ц то какой.Я сломал глаза, пытаясь эту фигню прочесть.
у меня именно правила ipset...
предварительно укороченные с помощью aggregate - блокирую больших братьев по AS.
короче, понял - пока не закончится поддержка Centos 7, оставляю iptables.
Я бы поглядел. Вполне возможно, что удастся сгруппировать в пару сотен.
Коллеги (особенно пох :) ), подскажите, у линухе уже можно реализовать мою мечту когда можно в одном месте назначить PORT_SSH=999, IFACE_WAN=enp2s45f968wtf; и потом во всех остальных местах вот эти дефайны использовать? А не так чтобы grep -r /etc каждый раз чтобы найти, где ж ещё этот сраный enp2s45f968wtf используется.
> Коллеги (особенно пох :) ), подскажите, у линухе уже можно реализовать мою
> мечту когда можно в одном месте назначить PORT_SSH=999, IFACE_WAN=enp2s45f968wtf; и потом
> во всех остальных местах вот эти дефайны использовать?Не советую, оно его тебе завтра еще разок переименует - и все сломается.
Можно. Хошь m4 используй, не хошь - cpp.
Собственно, другим способом с новым-модным nft работать и не получится. Только генерить его уродливые конфиги чем-то, что имеет человекочитаемый.В прошлые-то годы, если мне такого хотелось, я мог просто переименовать eth0 в wan. Но сейчас этим занимается systemd-govnod, и не спрашивает, во что бы я там хотел его переименовать.
М-да, не радужно. системду я ещё не изучал на этот предмет. но вообще переимновать сам девайс было бы лучше всего....наверное. Но тот же порт или влан всё равно было бы неплохо где-нибудь обозначить. Вот только конфиг ССШ не умеет же переменные окружения (не умел, пкм).
http://manpages.ubuntu.com/manpages/bionic/man5/systemd.link...может поможет, там примеры есть
Отличная диверсия, кстати, спасибо, хер кто потом найдет, почему на этом хосте вместо enp2s45f968wtf оказался wtfenp2s45f968
(Или почему все сломалось нахрен, когда ты заменил сгоревшую карту на такую же.)
> Или почему все сломалось нахрен, когда ты заменил сгоревшую карту на такую же.Далеко ходить не надо :)
Device eth0 does not seem to be present, delaying initialization
# rm /etc/udev/rules.d/70-persistent-net.rules
Поглядел ман, спасибо. Теоретичеси, половину вопроса решает, возможно
[Link]
Name=МойУютный
А пока ждём когда в линукс завезут глобалы или реестр.
> Далеко ходить не надо :)Не, это у тебя какая-то немодная-устаревшая херня, так было в конце нулевых, где тебя забыли разморозить. Мне даже целый один раз на самом деле пригодилось - попалась специфическая машина, каждый раз инитившая одни и те же сетевухи в разном порядке (ну не чинить же, действительно, само непредсказуемое поведение ведра, что вы, в самом деле).
Нынче этот самый eth0 увидеть - большая редкостная удача, и та доступна _исключительно_ благодаря майнтейнерам убунты, поднявшим шум, когда фичу с отключением переименования во что попало по тихому выпилили из системды. Достаточно громко орали, что ее после нытья про немодность и нотабаг все же запилили взад. Неизвестно, надолго ли.
(Разумеется, в любом случае для этого нужен параметр в командной строке ядра, и другие ужимки и прыжки (в убунте за тебя их уже проделал майнтейнер)
А простым смертным - eno2p42353265wtf - а переименовали его из eth0 или из eth5 - какая, в общем-то, разница?
>Не, это у тебя какая-то немодная-устаревшая херня, так было в конце нулевыхпочему же udev и щас живет, пример выше при смене мака происходит, ибо удев правило прописано с матчингом по маку.
> А простым смертным - eno2p42353265wtf - а переименовали его из eth0 или
> из eth5 - какая, в общем-то, разница?л и н у п с ведь не для простых смертных, а для самоубийц :)
>>Не, это у тебя какая-то немодная-устаревшая херня, так было в конце нулевых
> почему же udev и щас живет, пример выше при смене мака происходит,сейчас удев - интегрированный кусок shittyd. Ничего при смене мака не происходит (чаще всего) потому что он там третьим приоритетом, а первым то ли номер слота, то ли я хз вообще что это.
Еще пока можно кое-как отключить, но это ненадолго да и для здоровья вредно (та помойка, где eth0 каждый раз новый - у меня все еще жива, уж лучше пусть будет ens123456 чем такое). А фиксированный порядок скана слотов умер вместе с 2.4.32, наверное.
> л и н у п с ведь не для простых смертных, а
> для самоубийц :)для прикованных рабов, просто. Остальные давно сбежали :-(
> Но тот же портдарю идею - /etc/services
Это будет диверсия похлеще .link - никто вообще нихрена понять не сможет!
О, это будет круто )
> Только генерить его уродливые конфиги чем-то, что имеет человекочитаемый.1) а я о чем писал ?
2) типа у циски конфиги не уродливые.> Но сейчас этим занимается systemd-govnod
у кого как. у меня не занимается.
> 2) типа у циски конфиги не уродливые.они %банутые, но хотя бы - читаемые, если не использовать совсем кривые практики.
И отлаживаемые наживую, что ценно - можно вместо "пристального вглядывания" в простыни правил просто позвать packet tracer и посмотреть, на каком конкретно фильтре оно этим пакетом подавилось (причем это не сбоку-кривая-приблуда, а виртуальный пакет реально прогоняется по всей цепочке, даже с поднятием ipsec туннелей если потребуются, это еще ж для людей делали, а не для рабов сцукенберга)Что позволяет, при большом желании, их вообще не писать руками а генерить чем-то (потому что не придется читать понагенеренное - достаточно посмотреть, где ошибка, и читать уже в компактном и понятном исходнике).
За эти-то деньги - просто даром, считай, четыре таких сетевухи столько же или дороже. И никаких внезапно превращений eno2wtf в wtfeno2 и вообще угадай как его сегодня зовут, ethernet0 был и остается ethernet0.
подведем итоги. линукс виноват в том что:1) не выдал забесплатно стандартный генератор правил с визардом (есть 2 нестандартных, 1 из них без визарда, чисто текстовый конфиг).
2) не выдал забесплатно трассировщик пакетов.
3) имеет наглость развиваться куда попало и перетряхивать сетевую подсистему.
по пп.1-2: а вам не кажется, что вы немного ЗАЖРАЛИСЬ ?
> не выдал забесплатно стандартный генератор правил с визардоммне он нахер не нужен. Мне нужен человекочитаемый конфиг. У вас он был, теперь его нет.
> не выдал забесплатно трассировщик пакетов
как будто у вас за деньги есть способ посмотреть, в каком месте и по какой причине пакет вот с такими src/dst/proto/port ушел не туда или отброшен? Ну же, куда занести 20 тыщ? А то таки продавцам краденых цисок достанутся, я нашел что искал.
Да, ваша поделка этому разучилась. В 98м, как ни смешно - частично умела.> имеет наглость развиваться куда попало
вовсе не куда попало, а куда рулит пейсбук. А поскольку я не пейсбук - мне от этого развития никакой пользы нет, одни проблемы. Удивительно, да?
> по пп.1-2: а вам не кажется, что вы немного ЗАЖРАЛИСЬ ?
не желаю жрать пейсбучье г-цо с лопаты, зато6ешплатное?! Ага. Могу себе позволить за деньги удобное. И работодателя могу выбрать не настолько феноменально бедного и жадного (мне в зарплату эти деньги все равно не могут заплатить, там совсем другие налоги будут)
Интересно: есть ли хоть кто-то, (кроме марсиан-разарбов) кто в nftables продвинулся дальше написания примитивных правил?
Я уверен, что в фейсбуке их полно таких.Только вот зачем, учитывая что времени и геморроя на отладку (если отлаживать, конечно, а не наваять херню и через день убежать ваять другую херню) банально жалко?
Чуть менее примитивное:
работа домашнего роутера через двух провайдеров одновременно, с афроамериканскими списками, в т.ч. динамическими.
Пока куцый врапер в iptables не уберут, народ на эту модную реплику пытающуюся стать pf-ом навряд пойдет