URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 125911
[ Назад ]

Исходное сообщение
"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено opennews , 20-Ноя-21 12:32

Опубликован выпуск пакетного фильтра nftables 1.0.1, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Необходимые для работы выпуска nftables 1.0.1 изменения включены в состав ядра Linux 5.16-rc1...
Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56192

Содержание

Выпуск пакетного фильтра nftables 1.0.1,А где же каменты, 12:32 , 20-Ноя-21
- Выпуск пакетного фильтра nftables 1.0.1,Stanislav, 12:35 , 20-Ноя-21
- Выпуск пакетного фильтра nftables 1.0.1,Аноним, 13:32 , 20-Ноя-21
- Выпуск пакетного фильтра nftables 1.0.1,Аноним, 19:14 , 20-Ноя-21
- Выпуск пакетного фильтра nftables 1.0.1,Аноним, 19:14 , 20-Ноя-21
Выпуск пакетного фильтра nftables 1.0.1,Аноним, 13:22 , 20-Ноя-21
- Выпуск пакетного фильтра nftables 1.0.1,Аноним, 13:41 , 20-Ноя-21
Выпуск пакетного фильтра nftables 1.0.1,Ilya Indigo, 15:11 , 20-Ноя-21
- Выпуск пакетного фильтра nftables 1.0.1,Аноним, 16:12 , 20-Ноя-21
  - Выпуск пакетного фильтра nftables 1.0.1,Ilya Indigo, 16:50 , 20-Ноя-21
    - Выпуск пакетного фильтра nftables 1.0.1,onanim, 18:17 , 20-Ноя-21
      - Выпуск пакетного фильтра nftables 1.0.1,onanim, 18:18 , 20-Ноя-21
    - Выпуск пакетного фильтра nftables 1.0.1,Онаним, 23:15 , 20-Ноя-21
    - Выпуск пакетного фильтра nftables 1.0.1,Онаним, 23:16 , 20-Ноя-21
      - Выпуск пакетного фильтра nftables 1.0.1,onanim, 08:57 , 21-Ноя-21
        
        Выпуск пакетного фильтра nftables 1.0.1,Онаним, 09:09 , 21-Ноя-21
        
        Выпуск пакетного фильтра nftables 1.0.1,onanim, 10:57 , 21-Ноя-21
    - Выпуск пакетного фильтра nftables 1.0.1,Аноним, 12:26 , 21-Ноя-21
    - Выпуск пакетного фильтра nftables 1.0.1,лютый жабби__, 11:44 , 22-Ноя-21
      - Выпуск пакетного фильтра nftables 1.0.1,Аноним, 13:40 , 22-Ноя-21
Выпуск пакетного фильтра nftables 1.0.1,Аноним, 17:28 , 20-Ноя-21
- Выпуск пакетного фильтра nftables 1.0.1,john_erohin, 19:55 , 20-Ноя-21
- Выпуск пакетного фильтра nftables 1.0.1,Аноним, 00:02 , 21-Ноя-21
  - Выпуск пакетного фильтра nftables 1.0.1,анонимуслинус, 00:21 , 21-Ноя-21
Выпуск пакетного фильтра nftables 1.0.1,Аноним, 22:46 , 20-Ноя-21
- Выпуск пакетного фильтра nftables 1.0.1,InuYasha, 10:57 , 21-Ноя-21
Выпуск пакетного фильтра nftables 1.0.1,Аноним, 09:36 , 22-Ноя-21

Сообщения в этом обсуждении

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено А где же каменты , 20-Ноя-21 12:32

Какие преимущества перед openbsd pf?

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Stanislav , 20-Ноя-21 12:35

Есть на значительно бОльшем числе реальных серверов, выставленных голой жопой в инет для зарабатывания денег.

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Аноним , 20-Ноя-21 13:32

Из коробки в ванилле.

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Аноним , 20-Ноя-21 19:14

А какой юзкейс у вас для нетбзд? Просто интересно.

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Аноним , 20-Ноя-21 19:14

А какой юзкейс у вас для опенбзд? Просто интересно.

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Аноним , 20-Ноя-21 13:22

Все ещё её научили его отрабатывать нормальными кодами ошибки на не определённые ситуации.

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Аноним , 20-Ноя-21 13:41

Patches are WELCOME.
// b.

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Ilya Indigo , 20-Ноя-21 15:11

> Сокращено потребление памяти при загрузке больших set- и map-списков.
> Ускорена перезагрузка set- и map-списков.
Ждём выпуска 5.16 что бы проверить.

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Аноним , 20-Ноя-21 16:12

Ну кстати сеты у него внатуре очень тормозные при любых внешних манипуляциях с ними, в отличие от старого доброго ipset

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Ilya Indigo , 20-Ноя-21 16:50

> Ну кстати сеты у него внатуре очень тормозные при любых внешних манипуляциях
> с ними, в отличие от старого доброго ipset
У меня sshguard уже с 50к айпишиками и на sshg-fw-nft-sets инициализация растягивается до часа, но если через sshg-fw-iptables (я так понимаю он ipset использует), то это занимает несколько минут.
По этому продолжаю использовать в sshguard и firewalld (если там использовать одно а там другое будет очень плохо) iptables.

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено onanim , 20-Ноя-21 18:17

> 50к айпишиками
зачем отдельные IP? я почти все страны заблокировал подсетями, iptables+ipset полёт нормальный.
bash-4.2# iptables-save|grep blacklist|wc -l
198
bash-4.2# ipset save|wc -l
16942

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено onanim , 20-Ноя-21 18:18

> 198
это страны; подсети для каждой страны записаны в ipset.

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Онаним , 20-Ноя-21 23:15

VPN для доступа к боевым SSH уже отменили?

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Онаним , 20-Ноя-21 23:16

Не то, чтобы я сильно против, но это ж надо ж так извращаться.
Сертификаты на доступе в виртуальную подсеть, дальше RSA/EC ключи для SSH.
Зачем вообще SSH голой жопой в паблик-то вывешивать?

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено onanim , 21-Ноя-21 08:57

> Зачем вообще SSH голой жопой в паблик-то вывешивать?
а что не так? это же не Proftpd или Exim)

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Онаним , 21-Ноя-21 09:09

Ну вот у чела 50к адресов в фильтре, чтобы в этот самый SSH не долбили.
Если всё так просто, как вы говорите - зачем они ему?

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено onanim , 21-Ноя-21 10:57

> Ну вот у чела 50к адресов в фильтре, чтобы в этот самый
> SSH не долбили.
> Если всё так просто, как вы говорите - зачем они ему?
вот и я чуть выше недоумеваю - зачем блокировать 50к долбящих SSH, если можно просто заблокировать большинство стран, откуда даже теоретически не возможны посетители, а против долбления со всяких Amazon и Digitalocean прописать одно простое правило iptables - не чаще одной долбёжки в 30 секунд.

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Аноним , 21-Ноя-21 12:26

Надо полагать, что вышеобозначенные продукты написаны жопой, потому что даже мой самопал на sh загружает 80к айпишников при хреновой реализации (one by one) ну минуты две от силы.

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено лютый жабби__ , 22-Ноя-21 11:44

>У меня sshguard уже с 50к айпишиками
бред, перевешай с 22 на 3хххх-4хххх и никто не найдёт

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Аноним , 22-Ноя-21 13:40

еще и древний рецент, никто не отменял

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Аноним , 20-Ноя-21 17:28

Фильтры какие-то - черт ногу сломит, другое дело Защитник Виндовс. Просто работает и все!!

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено john_erohin , 20-Ноя-21 19:55

> Защитник Виндовс. Просто работает и все!!
ложь. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1170
и что-то еще было, я сейчас не помню.

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Аноним , 21-Ноя-21 00:02

Только никто не знает, как оно там работает.

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено анонимуслинус , 21-Ноя-21 00:21

даже ребята и мелкософта не знают. куда уж нам)))

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Аноним , 20-Ноя-21 22:46

Филькина грамота это все ваши писульки. Защитник Виндовс - тру остальное тлен!

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено InuYasha , 21-Ноя-21 10:57

как ни старайся, тебе до Фрактала и КвертиРега ещё жиреть и жиреть...

"Выпуск пакетного фильтра nftables 1.0.1"
Отправлено Аноним , 22-Ноя-21 09:36

Они создание документации специально игнорят?