forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Выпуск пакетного фильтра nftables 0.4, opennews (ok), 17-Дек-14, (0) [смотреть все]

Наконец-то маскарад доделали, а то вообще неприлично было , ACCA (ok), 00:09 , 17-Дек-14, (1) +3
А шейпинг встроили , Аноним (-), 01:02 , 17-Дек-14, (2) //

Dummynet, не , Аноним (-), 01:20 , 17-Дек-14, (4)
man tc же , Аноним (-), 13:29 , 17-Дек-14, (19)
За это отвечает другая подсистема ядра QoS Зачем дублировать функциональность , Аноним (-), 12:21 , 19-Дек-15, (74)

Всё бы хорошо, но чертовы правила, состоящие из слов в одном регистре как-то оче, Crazy Alex (ok), 01:16 , 17-Дек-14, (3) //

Отправляйся-ка SQL читать, дядя Нечего нам здесь регистры менять , Аноним (-), 06:20 , 17-Дек-14, (5) –6
ИМХО дело привычки Зато правила стали лаконичней и уютно структурируются, а не , llolik (ok), 08:43 , 17-Дек-14, (7) +2 //

У народа какой-то патологический сидром футуризма - всё, что новое по определени, pavlinux (ok), 12:39 , 17-Дек-14, (14) +2 //

Выстрой-ка пооптимальнее, чтобы нагрузка на процессор была поменьше Напиши комм, Аноним (-), 14:26 , 17-Дек-14, (20)

Зачем комментарии, там в командах все написано Вот тут ещё можно, пару строчек , pavlinux (ok), 22:59 , 17-Дек-14, (34)

Вот это удобно, да , Аноним (-), 06:03 , 18-Дек-14, (39)

Там просили чтобы нагрузка на процессор была поменьше , pavlinux (ok), 15:21 , 18-Дек-14, (43)

Открою страшную тайну - можно было просто правило с -i lo перенести повыше, чтоб, Аноним (-), 15:38 , 18-Дек-14, (51)

Наглядно на тему работая над кодом програмы её можно ускорить на 10-15 , а рабо, Аноним (-), 17:10 , 18-Дек-14, (53)
cat proc net ip_conntrack 124 wc 30 420 4478cat proc net ip_connt, pavel_simple (ok), 17:24 , 18-Дек-14, (56)

Вы таки полагаете, что доказали одним конкретным случаем некую всеобъемлющую зак, Аноним (-), 18:03 , 18-Дек-14, (60)

я таки пологаю что Павлин троль, накинул так, что никто и не заметил потому-чтоi, pavel_simple (ok), 18:27 , 18-Дек-14, (63)

Хм, и правда Значит, фиговый из павлина переводчик На чем основано такое заявле, Аноним (-), 19:26 , 18-Дек-14, (64)
на опыте -- ибо это МСЭкто сказал , pavel_simple (ok), 19:41 , 18-Дек-14, (66)
Доколе вы будете читать мои примеры как Святое писание D Начинали по CodingSty, pavlinux (ok), 18:49 , 20-Дек-14, (69)
Павлин -- а это ты точно мне пейсал -- а то я чито-то не понимаю всмысле ничег, pavel_simple (ok), 20:42 , 20-Дек-14, (70)

Открою вторую страшную тайну, можно ещё lo в raw в NOTRACK запихнуть Чтобы во, AlexAT (ok), 21:29 , 18-Дек-14, (67) +1

Эталонное насрано с мешаниной из больших и маленьких букв в качестве optional-, User (??), 15:24 , 17-Дек-14, (24)

Видишь ли, в этом насрано глав мгновенно выхватывает ESTABLISED,RELATED - и , Crazy Alex (ok), 19:32 , 17-Дек-14, (29)

Вот только все остальные, хвала Аллаху, милостивому и милосердному, привычку выд, User (??), 21:30 , 17-Дек-14, (31) –1

Чё ты гонишь Видимо них я не читаешь доки, книги, маны Ну так забей в гугле , pavlinux (ok), 23:08 , 17-Дек-14, (35)

То-то, я смотрю, большинство админов настраивает iptables методом бездумной , Аноним (-), 15:41 , 18-Дек-14, (52)

getopt Что в ответ может предложить носитель языга , Аноним (-), 06:32 , 18-Дек-14, (41)

Bison , Аноним (-), 15:26 , 18-Дек-14, (45)

Ну-ну , Аноним (-), 21:32 , 20-Дек-14, (71)

С непонятно кем встроенными бекдорами Читай недавнюю новость на opennet Поэт, Аноним (-), 12:36 , 19-Дек-15, (75)

Спорим, что конфиг будет очень критичен к количеству отступов от края, и если кт, Адекват (ok), 07:31 , 18-Дек-14, (42) –6

Вы проиграли И так будет с каждым, кто не читал, но осуждает , Аноним (-), 15:32 , 18-Дек-14, (48) +1
Там блоки формируются с помощью Так что не надо сравнивать с Питоном , Аноним (-), 12:42 , 19-Дек-15, (76)

Когда всё, что нужнодля понимания, в одной строке, а не в начале блока, находяще, Crazy Alex (ok), 13:08 , 17-Дек-14, (15)

А чё толку, те же яйцы, только капслок держатьnft ADD SET FILTER set1 TYPE IPV, pavlinux (ok), 12:21 , 17-Дек-14, (13) +1 //

Смотря как капсы расставлять Но мне в прицнипе не нравится, что подумали об у, Crazy Alex (ok), 13:11 , 17-Дек-14, (17) //

Айпитаблес - и для машины не удобен, ибо длинные цепочки правил все нагибают и з, Аноним (-), 13:23 , 17-Дек-14, (18)

Только когда дизайнили новое - о машине подумали, а о человеке не особенно, Crazy Alex (ok), 15:12 , 17-Дек-14, (22)

Умалишённые - не люди О нормальных людях подумали , Аноним (-), 06:04 , 18-Дек-14, (40) –1

Мы, умалишенные, не согласный с вашим не толерантным комментарием Держите минус, Аноним (-), 15:24 , 18-Дек-14, (44)
Это в тебе гармонЪ играет, половое созревание, то-сё Ну ниче, вырастишь, пой, Аноним (-), 17:20 , 18-Дек-14, (54) +2

Парадокс в том, что большинство людей в данном случае оказались по одну сторону , Аноним (-), 18:05 , 18-Дек-14, (61)

Да ладно вам спорить Радуйтесь, что не XML-е , Аноним (-), 21:42 , 18-Дек-14, (68)

Такому админу для настройки фаервола нужен эникей-ассистент, который будет стоят, Аноним (-), 15:36 , 18-Дек-14, (50) //

Стесняюсь спросить ЧЕМ у вас админ фаервол настраивает , Аноним (-), 17:22 , 18-Дек-14, (55)

Эээм а как вы книжки читаете , User (??), 14:35 , 17-Дек-14, (21) +3 //

Отлично читаю Абзацы, большие буквы, знаки препинания, приличный шрифт и тому п, Crazy Alex (ok), 15:14 , 17-Дек-14, (23) //

Ну вот вам в примере выше все перечисленное, кроме разве что больших букв code , User (??), 15:32 , 17-Дек-14, (25) +2

Еще раз объясняю В варианте iptables для того, чтобы найти нужный участок, прав, Crazy Alex (ok), 20:26 , 17-Дек-14, (30)

Ах вот откуда берутся м Hчудаки, которые пишут названия таблиц капсом, из-за чег, Аноним (-), 15:35 , 18-Дек-14, (49)

А ты парсер и форматер написал, чтоб сделай мне красива было Мне правильный S, pavlinux (ok), 00:56 , 18-Дек-14, (36) +2

Первое больше похоже на nftables, второе больше похоже на iptables ИМХО , Аноним (-), 15:28 , 18-Дек-14, (46)
Очень надеюсь что павлин - хороший мaльчик и вложенные селекты и юнион выделил е, Аноним (-), 17:28 , 18-Дек-14, (57)

Открою вам страшную тайну синтаксис nftables надо не парсить глазами , а прост, Аноним (-), 15:31 , 18-Дек-14, (47) //

В большинстве случаев правила файрволла читать сплошняком как раз не нужно Ну, Crazy Alex (ok), 19:33 , 18-Дек-14, (65)

пейсать и фантацировать это не одно и то-же BPF зачастую реализуется в виде вирт, pavel_simple (ok), 08:19 , 17-Дек-14, (6)
И чем оно лучше PF , я (?), 08:44 , 17-Дек-14, (8) //

в отличие от PF у nftables нет фатального недостатка , savant (ok), 09:16 , 17-Дек-14, (9) +1
Кстати да, меня тоже поражает стремление лялексоедов запилить очередной ни с чем, Аноним (-), 17:12 , 17-Дек-14, (27) //

как давно PF имеет возможность обрабатывать на разных ядрах есть аналог TPROXY, , pavel_simple (ok), 17:27 , 17-Дек-14, (28) +4 //

gt оверквотинг удален Ээээм Cisco IOS А от desktop ного, мать его за ногу, , User (??), 21:38 , 17-Дек-14, (32) –2

gt оверквотинг удален тот, кто считает что для десктопного юзера можно ждать, pavel_simple (ok), 21:52 , 17-Дек-14, (33)

Не так давно Это про знание каратэ, джиу-джитсу, айкидо и других страшных слов , Аноним (-), 17:50 , 18-Дек-14, (58)

в каком слове оригинального вопроса шла речь о синтаксисе как в рамках указанно, pavel_simple (ok), 17:57 , 18-Дек-14, (59) +1
Еще скажите, что оно нормально масштабируется хотя бы на 4-6 ядер DОчевидно, во, Аноним (-), 18:10 , 18-Дек-14, (62) +1

Покажите мне пример конфига Netfilter, и я скажу - практически применимо или нет, robux (ok), 09:16 , 17-Дек-14, (10) //

D , pavlinux (ok), 12:17 , 17-Дек-14, (12) //

Странный конфиг, Crazy Alex (ok), 13:10 , 17-Дек-14, (16) +2 //

Метка же, GOTO D DGOTO , pavlinux (ok), 00:58 , 18-Дек-14, (37) +1

Оно конечно правильно, но подскажите что там с маркировкой пакетов для tc ip ro, anonymousZ (?), 16:01 , 17-Дек-14, (26) //

А по мануалить b meta b code length Length of the packet in bytes meta leng, pavlinux (ok), 01:03 , 18-Дек-14, (38)

а как он скриптуется например, в iptables можно так iptables -F wan_in_fltfor s, Аноним (-), 17:51 , 21-Дек-14, (72) //

ты только-что понтанулся неумением пользоваться netfilter ом нищим тут не подаю, pavel_simple (ok), 18:23 , 21-Дек-14, (73)

Сообщения [Сортировка по времени | RSS]

14. "Выпуск пакетного фильтра nftables 0.4" +2 +/–

Сообщение от pavlinux (ok), 17-Дек-14, 12:39

> Зато правила стали лаконичней и уютно структурируются, а не как при "старом режиме"
> порянка текста экранов на несколько без отступов, структуры и часто бывает что и комментариев
У народа какой-то патологический сидром футуризма - всё, что новое по определению лучше.
Маяковский тоже это любил, застрелился (или помогли), так что вы аккуратнее.

table ip filter {
     chain input {
          type filter hook input priority 0;

          # accept traffic originated from us
          ct state established,related accept

          # accept any localhost traffic
          iif lo accept

          # count and drop any other traffic
          counter drop
     }
}

iptables -t filter -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -I INPUT -i lo -j ACCEPT
iptables -t filter -Z

Это просто нириально тяжело!

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от Аноним (-), 17-Дек-14, 14:26

Выстрой-ка пооптимальнее, чтобы нагрузка на процессор была поменьше. Напиши комментарии, как в первом случае. Тогда и поговорим.

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от pavlinux (ok), 17-Дек-14, 22:59

> Напиши комментарии, как в первом случае. Тогда и поговорим.
Зачем комментарии, там в командах все написано.
Вот тут ещё можно, пару строчек.
proto gre and ((ip[((ip[0]&0xf)<<2):4] & 0xff7fffff) = 0x3001880b) and
                   (
                    (
                     (ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) +
                   12)]=0x21) and ((ip[((((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] &
                   0x80) >> 5) + 12)+1 +12):4] & 0xffffff00 = 0x52754000) or
                   ((ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+1
                   +9]=17) and ((ip[(((((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80)
                   >> 5) + 12)+1 +((ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] &
                   0x80) >> 5) + 12)+1]&0xf)<<2))+12):4]=0x64323a69) )))
                    ) or (
                     (ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) +
                   12):2]=0xff03) and (ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] &
                   0x80) >> 5) + 12)+2]=0x21) and ((ip[((((ip[0]&0xf)<<2) +
                   ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+3 +12):4] & 0xffffff00 =
                   0x52754000) or ((ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] &
                   0x80) >> 5) + 12)+3 +9]=17) and ((ip[(((((ip[0]&0xf)<<2) +
                   ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+3 +((ip[(((ip[0]&0xf)<<2)
                   + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) +
                   12)+3]&0xf)<<2))+12):4]=0x64323a69) )))
                    ) or (
                     (ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) +
                   12):4]=0xff030021) and ((ip[((((ip[0]&0xf)<<2) +
                   ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+4 +12):4] & 0xffffff00 =
                   0x52754000) or ((ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] &
                   0x80) >> 5) + 12)+4 +9]=17) and ((ip[(((((ip[0]&0xf)<<2) +
                   ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+4 +((ip[(((ip[0]&0xf)<<2)
                   + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) +
                   12)+4]&0xf)<<2))+12):4]=0x64323a69) )))
                    ) or (
                     (ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) +
                   12):2]=0x0021) and ((ip[((((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] &
                   0x80) >> 5) + 12)+2 +12):4] & 0xffffff00 = 0x52754000) or
                   ((ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+2
                   +9]=17) and ((ip[(((((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80)
                   >> 5) + 12)+2 +((ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] &
                   0x80) >> 5) + 12)+2]&0xf)<<2))+12):4]=0x64323a69) )))
                    )
                   )

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от Аноним (-), 18-Дек-14, 06:03

Вот это удобно, да?

Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от pavlinux (ok), 18-Дек-14, 15:21

> Вот это удобно, да?
Там просили "чтобы нагрузка на процессор была поменьше."

Ответить | Правка | Наверх | Cообщить модератору

51. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от Аноним (-), 18-Дек-14, 15:38

>> Вот это удобно, да?
> Там просили "чтобы нагрузка на процессор была поменьше."
Открою страшную тайну - можно было просто правило с -i lo перенести повыше, чтобы оно не дергало conntrack на локальных пакетах.

Ответить | Правка | Наверх | Cообщить модератору

53. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от Аноним (-), 18-Дек-14, 17:10

Наглядно на тему: работая над кодом програмы её можно ускорить на 10-15%, а рабоная над алгоритмом - на пару порядков! :)

Ответить | Правка | Наверх | Cообщить модератору

56. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от pavel_simple (ok), 18-Дек-14, 17:24

>>> Вот это удобно, да?
>> Там просили "чтобы нагрузка на процессор была поменьше."
> Открою страшную тайну - можно было просто правило с -i lo перенести
> повыше, чтобы оно не дергало conntrack на локальных пакетах.
cat /proc/net/ip_conntrack |wc
     30     420    4478
cat /proc/net/ip_conntrack |grep -c 127.0.0.1
0
на друой машине
cat /proc/net/ip_conntrack | wc
  10208  142628 1505300
cat /proc/net/ip_conntrack | grep -c 127.0.0.1
30
оптимизатор унылый

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

60. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от Аноним (-), 18-Дек-14, 18:03

Вы таки полагаете, что доказали одним конкретным случаем некую всеобъемлющую закономерность?

Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от pavel_simple (ok), 18-Дек-14, 18:27

> Вы таки полагаете, что доказали одним конкретным случаем некую всеобъемлющую закономерность?
я таки пологаю что Павлин троль, накинул так, что никто и не заметил потому-что

iptables -t filter -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -I INPUT -i lo -j ACCEPT
iptables -t filter -Z
сии правила делают инсерт -- но не читавшим соответствующий ман этого не понять.
, кроме того ответственно заявляю что на МСЭ общение на интерфейсе lo минимально, и даже если МСЭ имеет такие нестандартные функции как transparent http/ftp proxy поиск в контраке делали не дибилы, о чём сведующие люди могли поинтересоваться в find ./ -iname '*conntrac*'

Ответить | Правка | Наверх | Cообщить модератору

64. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от Аноним (-), 18-Дек-14, 19:26

> сии правила делают инсерт
Хм, и правда. Значит, фиговый из павлина переводчик.
> кроме того ответственно заявляю что на МСЭ общение на интерфейсе lo минимально
На чем основано такое заявление?
> поиск в контраке делали не дeбилы
Тем не менее, это наиболее тяжелая операция во всем процессе обработки пакетов фаерволом.

Ответить | Правка | Наверх | Cообщить модератору

66. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от pavel_simple (ok), 18-Дек-14, 19:41

>> сии правила делают инсерт
> Хм, и правда. Значит, фиговый из павлина переводчик.
>> кроме того ответственно заявляю что на МСЭ общение на интерфейсе lo минимально
> На чем основано такое заявление?
на опыте -- ибо это МСЭ
>> поиск в контраке делали не дeбилы
> Тем не менее, это наиболее тяжелая операция во всем процессе обработки пакетов
> фаерволом.
кто сказал?

Ответить | Правка | Наверх | Cообщить модератору

69. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от pavlinux (ok), 20-Дек-14, 18:49

>> Вы таки полагаете, что доказали одним конкретным случаем некую всеобъемлющую закономерность?
> я таки пологаю что Павлин троль, накинул так, что никто и не заметил потому-что
> iptables -t filter -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -t filter -I INPUT -i lo -j ACCEPT
> iptables -t filter -Z
> сии правила делают инсерт -- но не читавшим соответствующий ман этого не
> понять.
Доколе вы будете читать мои примеры как Святое писание? :D
Начинали по CodingStyle... Закончим, как всегда ассемблерными вставками в фирмварь сетевухи?!

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

70. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от pavel_simple (ok), 20-Дек-14, 20:42

>>> Вы таки полагаете, что доказали одним конкретным случаем некую всеобъемлющую закономерность?
>> я таки пологаю что Павлин троль, накинул так, что никто и не заметил потому-что
>> iptables -t filter -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> iptables -t filter -I INPUT -i lo -j ACCEPT
>> iptables -t filter -Z
>> сии правила делают инсерт -- но не читавшим соответствующий ман этого не
>> понять.
> Доколе вы будете читать мои примеры как Святое писание? :D
> Начинали по CodingStyle... Закончим, как всегда ассемблерными вставками в фирмварь сетевухи?!
Павлин? -- а это ты точно мне пейсал? -- а то я чито-то не понимаю.
всмысле ничего не понимаю.. вот, совсем запутался Ж:(

Ответить | Правка | Наверх | Cообщить модератору

67. "Выпуск пакетного фильтра nftables 0.4" +1 +/–

Сообщение от AlexAT (ok), 18-Дек-14, 21:29

Открою вторую страшную тайну, можно ещё lo в raw в NOTRACK запихнуть... Чтобы вообще conntrack не дёргало.

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

24. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от User (??), 17-Дек-14, 15:24

> Это просто нириально тяжело!
Эталонное "насрано" с мешаниной из больших и маленьких букв в качестве optional-argument'ов, сочетание '-' и '--' в одной команде, UPPERCASE в качестве option-argument'ов, практически полное отсутствие сколько-нибудь вменяемой мнемоники для всего этого - в общем, дети, почитайте GNU/POSIX Utility Syntax Guidelines И НЕ ДЕЛАЙТЕ ТАК БОЛЬШЕ!!!1111АДЫНАДЫНАДЫН
А еще лучше - посмотрите, как это сделано хотя бы в IPFW (Про PF молчу) и сделайте так же. Впрочем, за неимением гербовой - сойдет и первый вариант

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

29. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от Crazy Alex (ok), 17-Дек-14, 19:32

Видишь ли, в этом "насрано" глав мгновенно выхватывает "ESTABLISED,RELATED" - и контекст для понимания готов, я уже знаю, о чем речь. Так же и таргет большими буквами четко виден, даже если за ним идут параметры. То есть можно быстро понять, о чем правило, а потом, если надо, смотреть детали. А мнемоника... Полтора десятка общеупотребимых параметров запоминается элементарно, а за остлаьным раз в пол-года в справочник заглянуть не проблема. Ну так это всегда так - распространённое помнишь, об остальном - читаешь при надобности.
А в ipfw-подобном синтаксисе вот этих подсказок нет, там надо именно читать всё простыню. В принципе, так как здесь, в отличие от ipfw, имеем не параметры командной строки в простыне sh-скрипта, а отдельные файлы, редакторы, скорее всего, будут поддерживать раскраску, что может и снять проблему.

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск пакетного фильтра nftables 0.4" –1 +/–

Сообщение от User (??), 17-Дек-14, 21:30

>Видишь ли, в этом "насрано" глав мгновенно выхватывает "ESTABLISED,RELATED" - и контекст для понимания готов, я уже знаю, о чем речь.
Вот только все остальные, хвала Аллаху, милостивому и милосердному, привычку выделять каждое второе ВАЖНОЕ слово КАПСОМ почему-то не подхватили. Хотя... О, точно - MS PowerShell напоминает. Точно такое же "насрано" с CamelCase-Где-Надо--и-Где-Не-НАДО, раскраска всего и вся "под радугу" и вечная необходимость квотить пробелы... спасибо, обойдусь.
> А мнемоника... Полтора десятка общеупотребимых параметров запоминается элементарно, а за остлаьным раз в пол-года в справочник заглянуть не проблема. Ну так это всегда так - распространённое помнишь, об остальном - читаешь при надобности.
Заменить "запоминается" на "задрачивается" и ага. Вот только для большинства *nix'оводов firewall не является "предметом наипервейшей необходимости" - 99,95% *nix-инсталляций имеют firewall с десятком правил (Или не имеют его вовсе, ага), для которых многослойная архитектура iptables явно избыточна, достаточно плоского firewall'а, а там, где сложность реально нужна давным-давно стоят cisco-juniper-brocade. Как-то так.
В отличие от - набор правил ipfw\pf\ipf именно что ЧИТАЕТСЯ любым носителем английского языка, минимально знакомым с предметной областью. Не надо ничего "задрачивать", в простых случаях (Которых абсолютное большинство) берешь, читаешь и пишешь по образцу. Profit!

Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от pavlinux (ok), 17-Дек-14, 23:08

> Вот только все остальные, хвала Аллаху, милостивому и милосердному,
> привычку выделять каждое второе ВАЖНОЕ слово КАПСОМ почему-то не подхватили.
Чё ты гонишь? Видимо них...я не читаешь доки, книги, маны. Ну так забей в гугле Linux Firewall Howto
Первые три ссцылки:
http://www.howtogeek.com/177621/the-beginners-guide-to-iptab.../
http://doc.norang.ca/iptables.html
http://www.comentum.com/unix-linux-ip-firewall.html

Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от Аноним (-), 18-Дек-14, 15:41

> Чё ты гонишь? Видимо них...я не читаешь доки, книги, маны. Ну так
> забей в гугле Linux Firewall Howto
То-то, я смотрю, большинство "админов" "настраивает" iptables методом бездумной копипасты из гугла, и допиливает напильником под свои нужды при помощи а) ненаучного тыка б) создания тем "памагите пажалуйста" на каком-нибудь LOR-е.

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от Аноним (-), 18-Дек-14, 06:32

getopt. Что в ответ может предложить носитель языга?

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

45. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от Аноним (-), 18-Дек-14, 15:26

> getopt. Что в ответ может предложить носитель языга?
Bison.

Ответить | Правка | Наверх | Cообщить модератору

71. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от Аноним (-), 20-Дек-14, 21:32

Ну-ну.

Ответить | Правка | Наверх | Cообщить модератору

75. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от Аноним (-), 19-Дек-15, 12:36

>где сложность реально нужна давным-давно стоят cisco-juniper-brocade
С "непонятно кем" встроенными бекдорами. Читай недавнюю новость на opennet. Поэтому доверие к такой "защите" стремится к нулю.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

42. "Выпуск пакетного фильтра nftables 0.4" –6 +/–

Сообщение от Адекват (ok), 18-Дек-14, 07:31

Спорим, что конфиг будет очень критичен к количеству отступов от края, и если кто-то не дай бог сделает лишний отступ или на один меньше - правило не будет работать, просто молча на будет работать без объяснения причин ?

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

48. "Выпуск пакетного фильтра nftables 0.4" +1 +/–

Сообщение от Аноним (-), 18-Дек-14, 15:32

> Спорим, что конфиг будет очень критичен к количеству отступов от края, и
> если кто-то не дай бог сделает лишний отступ или на один
> меньше - правило не будет работать, просто молча на будет работать
> без объяснения причин ?
Вы проиграли.
И так будет с каждым, кто не читал, но осуждает.

Ответить | Правка | Наверх | Cообщить модератору

76. "Выпуск пакетного фильтра nftables 0.4" +/–

Сообщение от Аноним (-), 19-Дек-15, 12:42

Там блоки формируются с помощью {...}. Так что не надо сравнивать с Питоном.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	14. "Выпуск пакетного фильтра nftables 0.4"	+2 +/–
	Сообщение от pavlinux (ok), 17-Дек-14, 12:39
	> Зато правила стали лаконичней и уютно структурируются, а не как при "старом режиме" > порянка текста экранов на несколько без отступов, структуры и часто бывает что и комментариев У народа какой-то патологический сидром футуризма - всё, что новое по определению лучше. Маяковский тоже это любил, застрелился (или помогли), так что вы аккуратнее. table ip filter { chain input { type filter hook input priority 0; # accept traffic originated from us ct state established,related accept # accept any localhost traffic iif lo accept # count and drop any other traffic counter drop } } iptables -t filter -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t filter -I INPUT -i lo -j ACCEPT iptables -t filter -Z Это просто нириально тяжело!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от Аноним (-), 17-Дек-14, 14:26
	Выстрой-ка пооптимальнее, чтобы нагрузка на процессор была поменьше. Напиши комментарии, как в первом случае. Тогда и поговорим.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от pavlinux (ok), 17-Дек-14, 22:59
	> Напиши комментарии, как в первом случае. Тогда и поговорим. Зачем комментарии, там в командах все написано. Вот тут ещё можно, пару строчек. proto gre and ((ip[((ip[0]&0xf)<<2):4] & 0xff7fffff) = 0x3001880b) and ( ( (ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)]=0x21) and ((ip[((((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+1 +12):4] & 0xffffff00 = 0x52754000) or ((ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+1 +9]=17) and ((ip[(((((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+1 +((ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+1]&0xf)<<2))+12):4]=0x64323a69) ))) ) or ( (ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12):2]=0xff03) and (ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+2]=0x21) and ((ip[((((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+3 +12):4] & 0xffffff00 = 0x52754000) or ((ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+3 +9]=17) and ((ip[(((((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+3 +((ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+3]&0xf)<<2))+12):4]=0x64323a69) ))) ) or ( (ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12):4]=0xff030021) and ((ip[((((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+4 +12):4] & 0xffffff00 = 0x52754000) or ((ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+4 +9]=17) and ((ip[(((((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+4 +((ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+4]&0xf)<<2))+12):4]=0x64323a69) ))) ) or ( (ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12):2]=0x0021) and ((ip[((((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+2 +12):4] & 0xffffff00 = 0x52754000) or ((ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+2 +9]=17) and ((ip[(((((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+2 +((ip[(((ip[0]&0xf)<<2) + ((ip[((ip[0]&0xf)<<2)+1] & 0x80) >> 5) + 12)+2]&0xf)<<2))+12):4]=0x64323a69) ))) ) )
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от Аноним (-), 18-Дек-14, 06:03
	Вот это удобно, да?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от pavlinux (ok), 18-Дек-14, 15:21
	> Вот это удобно, да? Там просили "чтобы нагрузка на процессор была поменьше."
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от Аноним (-), 18-Дек-14, 15:38
	>> Вот это удобно, да? > Там просили "чтобы нагрузка на процессор была поменьше." Открою страшную тайну - можно было просто правило с -i lo перенести повыше, чтобы оно не дергало conntrack на локальных пакетах.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от Аноним (-), 18-Дек-14, 17:10
	Наглядно на тему: работая над кодом програмы её можно ускорить на 10-15%, а рабоная над алгоритмом - на пару порядков! :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от pavel_simple (ok), 18-Дек-14, 17:24
	>>> Вот это удобно, да? >> Там просили "чтобы нагрузка на процессор была поменьше." > Открою страшную тайну - можно было просто правило с -i lo перенести > повыше, чтобы оно не дергало conntrack на локальных пакетах. cat /proc/net/ip_conntrack \|wc 30 420 4478 cat /proc/net/ip_conntrack \|grep -c 127.0.0.1 0 на друой машине cat /proc/net/ip_conntrack \| wc 10208 142628 1505300 cat /proc/net/ip_conntrack \| grep -c 127.0.0.1 30 оптимизатор унылый
	Ответить \| Правка \| К родителю #51 \| Наверх \| Cообщить модератору


	60. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от Аноним (-), 18-Дек-14, 18:03
	Вы таки полагаете, что доказали одним конкретным случаем некую всеобъемлющую закономерность?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	63. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от pavel_simple (ok), 18-Дек-14, 18:27
	> Вы таки полагаете, что доказали одним конкретным случаем некую всеобъемлющую закономерность? я таки пологаю что Павлин троль, накинул так, что никто и не заметил потому-что iptables -t filter -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t filter -I INPUT -i lo -j ACCEPT iptables -t filter -Z сии правила делают инсерт -- но не читавшим соответствующий ман этого не понять. , кроме того ответственно заявляю что на МСЭ общение на интерфейсе lo минимально, и даже если МСЭ имеет такие нестандартные функции как transparent http/ftp proxy поиск в контраке делали не дибилы, о чём сведующие люди могли поинтересоваться в find ./ -iname 'conntrac'
	Ответить \| Правка \| Наверх \| Cообщить модератору


	64. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от Аноним (-), 18-Дек-14, 19:26
	> сии правила делают инсерт Хм, и правда. Значит, фиговый из павлина переводчик. > кроме того ответственно заявляю что на МСЭ общение на интерфейсе lo минимально На чем основано такое заявление? > поиск в контраке делали не дeбилы Тем не менее, это наиболее тяжелая операция во всем процессе обработки пакетов фаерволом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	66. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от pavel_simple (ok), 18-Дек-14, 19:41
	>> сии правила делают инсерт > Хм, и правда. Значит, фиговый из павлина переводчик. >> кроме того ответственно заявляю что на МСЭ общение на интерфейсе lo минимально > На чем основано такое заявление? на опыте -- ибо это МСЭ >> поиск в контраке делали не дeбилы > Тем не менее, это наиболее тяжелая операция во всем процессе обработки пакетов > фаерволом. кто сказал?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	69. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от pavlinux (ok), 20-Дек-14, 18:49
	>> Вы таки полагаете, что доказали одним конкретным случаем некую всеобъемлющую закономерность? > я таки пологаю что Павлин троль, накинул так, что никто и не заметил потому-что > iptables -t filter -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -t filter -I INPUT -i lo -j ACCEPT > iptables -t filter -Z > сии правила делают инсерт -- но не читавшим соответствующий ман этого не > понять. Доколе вы будете читать мои примеры как Святое писание? :D Начинали по CodingStyle... Закончим, как всегда ассемблерными вставками в фирмварь сетевухи?!
	Ответить \| Правка \| К родителю #63 \| Наверх \| Cообщить модератору


	70. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от pavel_simple (ok), 20-Дек-14, 20:42
	>>> Вы таки полагаете, что доказали одним конкретным случаем некую всеобъемлющую закономерность? >> я таки пологаю что Павлин троль, накинул так, что никто и не заметил потому-что >> iptables -t filter -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> iptables -t filter -I INPUT -i lo -j ACCEPT >> iptables -t filter -Z >> сии правила делают инсерт -- но не читавшим соответствующий ман этого не >> понять. > Доколе вы будете читать мои примеры как Святое писание? :D > Начинали по CodingStyle... Закончим, как всегда ассемблерными вставками в фирмварь сетевухи?! Павлин? -- а это ты точно мне пейсал? -- а то я чито-то не понимаю. всмысле ничего не понимаю.. вот, совсем запутался Ж:(
	Ответить \| Правка \| Наверх \| Cообщить модератору


	67. "Выпуск пакетного фильтра nftables 0.4"	+1 +/–
	Сообщение от AlexAT (ok), 18-Дек-14, 21:29
	Открою вторую страшную тайну, можно ещё lo в raw в NOTRACK запихнуть... Чтобы вообще conntrack не дёргало.
	Ответить \| Правка \| К родителю #51 \| Наверх \| Cообщить модератору


	24. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от User (??), 17-Дек-14, 15:24
	> Это просто нириально тяжело! Эталонное "насрано" с мешаниной из больших и маленьких букв в качестве optional-argument'ов, сочетание '-' и '--' в одной команде, UPPERCASE в качестве option-argument'ов, практически полное отсутствие сколько-нибудь вменяемой мнемоники для всего этого - в общем, дети, почитайте GNU/POSIX Utility Syntax Guidelines И НЕ ДЕЛАЙТЕ ТАК БОЛЬШЕ!!!1111АДЫНАДЫНАДЫН А еще лучше - посмотрите, как это сделано хотя бы в IPFW (Про PF молчу) и сделайте так же. Впрочем, за неимением гербовой - сойдет и первый вариант
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	29. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от Crazy Alex (ok), 17-Дек-14, 19:32
	Видишь ли, в этом "насрано" глав мгновенно выхватывает "ESTABLISED,RELATED" - и контекст для понимания готов, я уже знаю, о чем речь. Так же и таргет большими буквами четко виден, даже если за ним идут параметры. То есть можно быстро понять, о чем правило, а потом, если надо, смотреть детали. А мнемоника... Полтора десятка общеупотребимых параметров запоминается элементарно, а за остлаьным раз в пол-года в справочник заглянуть не проблема. Ну так это всегда так - распространённое помнишь, об остальном - читаешь при надобности. А в ipfw-подобном синтаксисе вот этих подсказок нет, там надо именно читать всё простыню. В принципе, так как здесь, в отличие от ipfw, имеем не параметры командной строки в простыне sh-скрипта, а отдельные файлы, редакторы, скорее всего, будут поддерживать раскраску, что может и снять проблему.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Выпуск пакетного фильтра nftables 0.4"	–1 +/–
	Сообщение от User (??), 17-Дек-14, 21:30
	>Видишь ли, в этом "насрано" глав мгновенно выхватывает "ESTABLISED,RELATED" - и контекст для понимания готов, я уже знаю, о чем речь. Вот только все остальные, хвала Аллаху, милостивому и милосердному, привычку выделять каждое второе ВАЖНОЕ слово КАПСОМ почему-то не подхватили. Хотя... О, точно - MS PowerShell напоминает. Точно такое же "насрано" с CamelCase-Где-Надо--и-Где-Не-НАДО, раскраска всего и вся "под радугу" и вечная необходимость квотить пробелы... спасибо, обойдусь. > А мнемоника... Полтора десятка общеупотребимых параметров запоминается элементарно, а за остлаьным раз в пол-года в справочник заглянуть не проблема. Ну так это всегда так - распространённое помнишь, об остальном - читаешь при надобности. Заменить "запоминается" на "задрачивается" и ага. Вот только для большинства nix'оводов firewall не является "предметом наипервейшей необходимости" - 99,95% nix-инсталляций имеют firewall с десятком правил (Или не имеют его вовсе, ага), для которых многослойная архитектура iptables явно избыточна, достаточно плоского firewall'а, а там, где сложность реально нужна давным-давно стоят cisco-juniper-brocade. Как-то так. В отличие от - набор правил ipfw\pf\ipf именно что ЧИТАЕТСЯ любым носителем английского языка, минимально знакомым с предметной областью. Не надо ничего "задрачивать", в простых случаях (Которых абсолютное большинство) берешь, читаешь и пишешь по образцу. Profit!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от pavlinux (ok), 17-Дек-14, 23:08
	> Вот только все остальные, хвала Аллаху, милостивому и милосердному, > привычку выделять каждое второе ВАЖНОЕ слово КАПСОМ почему-то не подхватили. Чё ты гонишь? Видимо них...я не читаешь доки, книги, маны. Ну так забей в гугле Linux Firewall Howto Первые три ссцылки: http://www.howtogeek.com/177621/the-beginners-guide-to-iptab.../ http://doc.norang.ca/iptables.html http://www.comentum.com/unix-linux-ip-firewall.html
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от Аноним (-), 18-Дек-14, 15:41
	> Чё ты гонишь? Видимо них...я не читаешь доки, книги, маны. Ну так > забей в гугле Linux Firewall Howto То-то, я смотрю, большинство "админов" "настраивает" iptables методом бездумной копипасты из гугла, и допиливает напильником под свои нужды при помощи а) ненаучного тыка б) создания тем "памагите пажалуйста" на каком-нибудь LOR-е.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от Аноним (-), 18-Дек-14, 06:32
	getopt. Что в ответ может предложить носитель языга?
	Ответить \| Правка \| К родителю #31 \| Наверх \| Cообщить модератору


	45. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от Аноним (-), 18-Дек-14, 15:26
	> getopt. Что в ответ может предложить носитель языга? Bison.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	71. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от Аноним (-), 20-Дек-14, 21:32
	Ну-ну.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	75. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от Аноним (-), 19-Дек-15, 12:36
	>где сложность реально нужна давным-давно стоят cisco-juniper-brocade С "непонятно кем" встроенными бекдорами. Читай недавнюю новость на opennet. Поэтому доверие к такой "защите" стремится к нулю.
	Ответить \| Правка \| К родителю #31 \| Наверх \| Cообщить модератору


	42. "Выпуск пакетного фильтра nftables 0.4"	–6 +/–
	Сообщение от Адекват (ok), 18-Дек-14, 07:31
	Спорим, что конфиг будет очень критичен к количеству отступов от края, и если кто-то не дай бог сделает лишний отступ или на один меньше - правило не будет работать, просто молча на будет работать без объяснения причин ?
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	48. "Выпуск пакетного фильтра nftables 0.4"	+1 +/–
	Сообщение от Аноним (-), 18-Дек-14, 15:32
	> Спорим, что конфиг будет очень критичен к количеству отступов от края, и > если кто-то не дай бог сделает лишний отступ или на один > меньше - правило не будет работать, просто молча на будет работать > без объяснения причин ? Вы проиграли. И так будет с каждым, кто не читал, но осуждает.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	76. "Выпуск пакетного фильтра nftables 0.4"	+/–
	Сообщение от Аноним (-), 19-Дек-15, 12:42
	Там блоки формируются с помощью {...}. Так что не надо сравнивать с Питоном.
	Ответить \| Правка \| К родителю #42 \| Наверх \| Cообщить модератору