URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 127506
[ Назад ]

Исходное сообщение
"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено opennews , 14-Май-22 10:36

Опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.8, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nf_tables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов...
Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57188

Содержание

Выпуск пакетного фильтра iptables 1.8.8,Аноним, 12:39 , 14-Май-22
- Выпуск пакетного фильтра iptables 1.8.8,Аноним, 13:34 , 14-Май-22
  - Выпуск пакетного фильтра iptables 1.8.8,пох., 13:45 , 14-Май-22
    - Выпуск пакетного фильтра iptables 1.8.8,andy, 21:43 , 14-Май-22
    - Выпуск пакетного фильтра iptables 1.8.8,Аноним, 23:53 , 14-Май-22
Выпуск пакетного фильтра iptables 1.8.8,Аноним, 13:55 , 14-Май-22
- Выпуск пакетного фильтра iptables 1.8.8,нонейм, 14:18 , 14-Май-22
  - Выпуск пакетного фильтра iptables 1.8.8,mikhailnov, 14:21 , 14-Май-22
    - Выпуск пакетного фильтра iptables 1.8.8,Аноним, 01:43 , 15-Май-22
  - Выпуск пакетного фильтра iptables 1.8.8,Онаним, 15:42 , 14-Май-22
    - Выпуск пакетного фильтра iptables 1.8.8,Аноним, 15:58 , 14-Май-22
  - Выпуск пакетного фильтра iptables 1.8.8,Анонус, 15:48 , 14-Май-22
    - Выпуск пакетного фильтра iptables 1.8.8,Аноним, 14:48 , 18-Май-22
  - Выпуск пакетного фильтра iptables 1.8.8,нонейм, 19:49 , 14-Май-22
  - Выпуск пакетного фильтра iptables 1.8.8,hefenud, 20:25 , 14-Май-22
    - Выпуск пакетного фильтра iptables 1.8.8,www2, 09:34 , 17-Май-22
  - Выпуск пакетного фильтра iptables 1.8.8,Аноним, 22:26 , 14-Май-22
  - Выпуск пакетного фильтра iptables 1.8.8,Fedd, 12:10 , 15-Май-22
    - Выпуск пакетного фильтра iptables 1.8.8,нонейм, 18:40 , 15-Май-22
Выпуск пакетного фильтра iptables 1.8.8,InuYasha, 19:35 , 14-Май-22
Выпуск пакетного фильтра iptables 1.8.8,Аноним, 20:40 , 14-Май-22
- Выпуск пакетного фильтра iptables 1.8.8,Аноним, 22:33 , 14-Май-22
- Выпуск пакетного фильтра iptables 1.8.8,нонейм, 18:50 , 15-Май-22
- Выпуск пакетного фильтра iptables 1.8.8,К.О., 05:29 , 16-Май-22

Сообщения в этом обсуждении

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено Аноним , 14-Май-22 12:39

Это тот случай когда из могилы постучали?

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено Аноним , 14-Май-22 13:34

Это тот редкий случай когда обеспечили обратную совместимость

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено пох. , 14-Май-22 13:45

не обеспечили. так,вид поделали. грант сам себя не попилит...

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено andy , 14-Май-22 21:43

> не обеспечили. так,вид поделали. грант сам себя не попилит...
Пох, ответь на вопрос пожалуйста, в ветке про проксмокс.

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено Аноним , 14-Май-22 23:53

Как ни странно пох даже прав - стопроцентной совместимости там внезапно нет. Но все же.

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено Аноним , 14-Май-22 13:55

я что-то пропустил? Запускаю скрипты с правилами iptables из rc.local
А выходит что самого iptables уже нет?

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено нонейм , 14-Май-22 14:18

да, некая совместимость осталась на уровне команд, поэтому и работает
Linux kernels have had packet filtering since the 1.1 series. The
  first generation, based on ipfw from BSD, was ported by Alan Cox in
  late 1994. This was enhanced by Jos Vos and others for Linux 2.0; the
  userspace tool `ipfwadm' controlled the kernel filtering rules. In
  mid-1998, for Linux 2.2, I reworked the kernel quite heavily, with the
  help of Michael Neuling, and introduced the userspace tool `ipchains'.
  Finally, the fourth-generation tool, `iptables', and another kernel
  rewrite occurred in mid-1999 for Linux 2.4.

моё развитие закончилось тоже на iptables (застал ipchains тоже)
люди, скажите, что учить, чтоб опять через 2-3 года не пришлось переучиваться?
или может синтаксис iptables как золотой стандарт останется?
Спасибо!

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено mikhailnov , 14-Май-22 14:21

> люди, скажите, что учить, чтоб опять через 2-3 года не пришлось переучиваться?
Думаю, что eBPF

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено Аноним , 15-Май-22 01:43

Нет такого.

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено Онаним , 14-Май-22 15:42

nft
А из ёBPF достаточно запомнить echo 1 > /proc/sys/kernel/unprivileged_bpf_disabled

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено Аноним , 14-Май-22 15:58

zsh: no such file or directory: /proc/sys/kernel/unprivileged_bpf_disabled

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено Анонус , 14-Май-22 15:48

>что учить
firewalld

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено Аноним , 18-Май-22 14:48

Зачем домохозяйке "firewalld"?

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено нонейм , 14-Май-22 19:49

https://github.com/rmind/npf
до пенсии хватит
там и DPDK поддержка есть

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено hefenud , 14-Май-22 20:25

2-3 года?
Чувак! iptables был с нами с 2.4.0 и пока еще не покинул нас, то есть добрые 20 лет(22 года почти)
Какие еще 2-3?
Сейчас ему на смену пришел nftables, который тоже пробудет теперь с нами лет 20
Про какие 2-3 ты говоришь?

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено www2 , 17-Май-22 09:34

>Сейчас ему на смену пришел nftables, который тоже пробудет теперь с нами лет 20
Откуда такая уверенность про 20 лет?
В FreeBSD как был ipfw изначально, так и остался. Новые функции появились, но это не обнуляет прошлый опыт. А тут опять новый велосипед.

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено Аноним , 14-Май-22 22:26

never cease to learn

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено Fedd , 15-Май-22 12:10

bpfilter

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено нонейм , 15-Май-22 18:40

не знал о таком, спасибо
Сравнение с iptables и nft:
https://www.phoronix.net/image.php?id=2021&image=linux_bpfil...

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено InuYasha , 14-Май-22 19:35

Что ж, за обратную совместимость всегда уважение. Даже не смотря на то что я сам iptables не трогал уже годы.

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено Аноним , 14-Май-22 20:40

> сосредоточено на компонентах для сохранения обратной совместимости
Подход здоровых человеков!
P.S. Подскажите, какие есть GUI-морды для быстрой настройки фаервола в Линукс? И чтоб из трея можно было быстро какие-то группы правил включать/выключать.

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено Аноним , 14-Май-22 22:33

вам виндовс нужен
какие ёпта группы правил?
GUI-морда - это xterm
вот вам сниппет моего конфига /etc/nftables.conf мож пригодится
#!/usr/sbin/nft -f
flush ruleset
table ip filter {
    chain input {
        type filter hook input priority 0; policy drop;
        # accept any localhost traffic
        iif lo accept
        iif wg0 accept
        # accept ICMP traffic
        ip protocol icmp accept
        # accept traffic originated from us
        ct state established,related accept
        # accept SSH, HTTP
        iif eth0 tcp dport ssh accept
        iif eth0 tcp dport http accept
        iif eth0 tcp dport https accept
        # iperf3
        iif eth0 tcp dport 5201 accept
        iif eth0 udp dport 5201 accept
        # accept DNS
        iif eth0 tcp dport 53 accept
        iif eth0 udp dport 53 accept
        # accept mail
        iif eth0 tcp dport { 25, 587, 993 } accept
    }
    chain output {
        type filter hook output priority 0;
    }
    chain prerouting {
        type nat hook prerouting priority -100;
        # mail DNAT
        iif eth0 tcp dport { 25, 587, 993 } dnat to 10.100.0.249
    }
    chain postrouting {
         type nat hook postrouting priority 100;
         # VPN NAT
         oifname "eth0" masquerade random,persistent
    }
}

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено нонейм , 15-Май-22 18:50

https://github.com/evilsocket/opensnitch

"Выпуск пакетного фильтра iptables 1.8.8"
Отправлено К.О. , 16-Май-22 05:29

dnf install firewall-config