Опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.8, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nf_tables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57188
Это тот случай когда из могилы постучали?
Это тот редкий случай когда обеспечили обратную совместимость
не обеспечили. так,вид поделали. грант сам себя не попилит...
> не обеспечили. так,вид поделали. грант сам себя не попилит...Пох, ответь на вопрос пожалуйста, в ветке про проксмокс.
Как ни странно пох даже прав - стопроцентной совместимости там внезапно нет. Но все же.
я что-то пропустил? Запускаю скрипты с правилами iptables из rc.local
А выходит что самого iptables уже нет?
да, некая совместимость осталась на уровне команд, поэтому и работаетLinux kernels have had packet filtering since the 1.1 series. The
first generation, based on ipfw from BSD, was ported by Alan Cox in
late 1994. This was enhanced by Jos Vos and others for Linux 2.0; the
userspace tool `ipfwadm' controlled the kernel filtering rules. In
mid-1998, for Linux 2.2, I reworked the kernel quite heavily, with the
help of Michael Neuling, and introduced the userspace tool `ipchains'.
Finally, the fourth-generation tool, `iptables', and another kernel
rewrite occurred in mid-1999 for Linux 2.4.
моё развитие закончилось тоже на iptables (застал ipchains тоже)люди, скажите, что учить, чтоб опять через 2-3 года не пришлось переучиваться?
или может синтаксис iptables как золотой стандарт останется?
Спасибо!
> люди, скажите, что учить, чтоб опять через 2-3 года не пришлось переучиваться?Думаю, что eBPF
Нет такого.
nft
А из ёBPF достаточно запомнить echo 1 > /proc/sys/kernel/unprivileged_bpf_disabled
zsh: no such file or directory: /proc/sys/kernel/unprivileged_bpf_disabled
>что учитьfirewalld
Зачем домохозяйке "firewalld"?
https://github.com/rmind/npfдо пенсии хватит
там и DPDK поддержка есть
2-3 года?
Чувак! iptables был с нами с 2.4.0 и пока еще не покинул нас, то есть добрые 20 лет(22 года почти)
Какие еще 2-3?
Сейчас ему на смену пришел nftables, который тоже пробудет теперь с нами лет 20
Про какие 2-3 ты говоришь?
>Сейчас ему на смену пришел nftables, который тоже пробудет теперь с нами лет 20Откуда такая уверенность про 20 лет?
В FreeBSD как был ipfw изначально, так и остался. Новые функции появились, но это не обнуляет прошлый опыт. А тут опять новый велосипед.
never cease to learn
bpfilter
не знал о таком, спасибоСравнение с iptables и nft:
https://www.phoronix.net/image.php?id=2021&image=linux_bpfil...
Что ж, за обратную совместимость всегда уважение. Даже не смотря на то что я сам iptables не трогал уже годы.
> сосредоточено на компонентах для сохранения обратной совместимостиПодход здоровых человеков!
P.S. Подскажите, какие есть GUI-морды для быстрой настройки фаервола в Линукс? И чтоб из трея можно было быстро какие-то группы правил включать/выключать.
вам виндовс нужен
какие ёпта группы правил?
GUI-морда - это xterm
вот вам сниппет моего конфига /etc/nftables.conf мож пригодится
#!/usr/sbin/nft -fflush ruleset
table ip filter {
chain input {
type filter hook input priority 0; policy drop;# accept any localhost traffic
iif lo acceptiif wg0 accept
# accept ICMP traffic
ip protocol icmp accept# accept traffic originated from us
ct state established,related accept# accept SSH, HTTP
iif eth0 tcp dport ssh accept
iif eth0 tcp dport http accept
iif eth0 tcp dport https accept# iperf3
iif eth0 tcp dport 5201 accept
iif eth0 udp dport 5201 accept# accept DNS
iif eth0 tcp dport 53 accept
iif eth0 udp dport 53 accept# accept mail
iif eth0 tcp dport { 25, 587, 993 } accept
}
chain output {
type filter hook output priority 0;
}chain prerouting {
type nat hook prerouting priority -100;# mail DNAT
iif eth0 tcp dport { 25, 587, 993 } dnat to 10.100.0.249
}
chain postrouting {
type nat hook postrouting priority 100;# VPN NAT
oifname "eth0" masquerade random,persistent
}
}
https://github.com/evilsocket/opensnitch
dnf install firewall-config