Для ядра Linux предложен новый пакетный фильтр bpfilter,
opennews (?), 21-Фев-18, (0) [смотреть все]
- Какая у них интеллектуальная дискуссия, а был бы Линус обозвал бы всех макаками,
mimocrocodile (?), 22:16 , 21-Фев-18, (1) +31 //
- какая свежая идея, бинго,
vitalif (ok), 22:25 , 21-Фев-18, (2) +13 //
- И почему-то не слышно воплей что бсд не нужен Все аналитики в школе ,
anonymoused (?), 16:27 , 22-Фев-18, (96) //
- В Беркли всё ещё химичат с алгоритмами TCP IP, так-как у них актуальны проблемы ,
Джон Ленин (?), 11:37 , 23-Фев-18, (127) –1
- А что, нужен Кому и нахрена Они могут делать хоть что-то лучше других Грантое,
Аноним (-), 20:19 , 24-Фев-18, (157)
- А как жо Firewalld ,
Аноним (-), 22:32 , 21-Фев-18, (3) –7 //
- надстройка над Iptables же,
Аноним (-), 22:45 , 21-Фев-18, (5) +7 //
- вот-вот Сразу видна квалификация -d разработчиков только очередную обертку и ,
Аноним (-), 07:16 , 22-Фев-18, (33) //
- Кроме оберток и не нужно ничего да и обертка не нужна, впилили бы механизмы заг,
Аноним (-), 10:08 , 22-Фев-18, (45)
- Может пиплам некогда заниматься тестированием, да и рисковано ,
Аноним (-), 13:06 , 22-Фев-18, (80)
- Механизмы есть, см как реализовано в redhat Пипл оценил, что в новом фаерволе,
anonymoused (?), 16:32 , 22-Фев-18, (98)
- Блин, httpd - обертка над протоколом http оказывается А что до квалификации, fi,
Аноним (-), 02:26 , 23-Фев-18, (118)
- который в свою очередь надстройка над netfilter,
Alex_hha (?), 13:00 , 22-Фев-18, (76)
- тык чтоже nftables учить или нет ,
Аноним (-), 22:40 , 21-Фев-18, (4) +12 //
- Например, API iptables не предоставляет способа добавления или замены единичног,
cat666 (ok), 22:58 , 21-Фев-18, (7) –3 //
- Не путайте API iptables и утилиту iptables Из FAQ 4 5 Is there an C C API fo,
Аноним (-), 23:18 , 21-Фев-18, (9) +2 //
- Спасибо за грамотный ответ Не думал, что всё так запущено ,
cat666 (ok), 23:20 , 21-Фев-18, (10) +1 //
- Года 4 назад обсуждали тут Обсуждали код, не слова из мануала, а код Логика рабо,
ананим.orig (?), 13:00 , 22-Фев-18, (74)
- Как соблюсти последовательность и логику при добавлении правилаи не запороть ,
Аноним (-), 13:09 , 22-Фев-18, (81)
- Добавляй user define chains на каждый случай ,
anonymoused (?), 16:36 , 22-Фев-18, (99)
- ну, все операции атомарны и thtrad safeа логику 8212 а вам то за что з п плат,
ананим.orig (?), 23:42 , 22-Фев-18, (115) –1
- Использовать -I CHAIN номер-правила вместо -A CHAIN ,
XoRe (ok), 16:25 , 24-Фев-18, (147)
- Что, всего половину логики программы iptables надо написать, а не всю Офигитель,
Аноним (-), 02:29 , 23-Фев-18, (119) –2
- а в чем и зачем там вообще весь api , если правила добавлять он не умеет И кому,
пох (?), 00:28 , 22-Фев-18, (14) +4 //
- При добавлении еденичного правила, iptables выгружает через api весь набор прави,
Riv1329 (?), 07:10 , 22-Фев-18, (32) //
- Когда пробую новую конфигурацию добавляю правила по-одному Неужели при этом все ,
Аноним (-), 23:25 , 21-Фев-18, (11)
//
- Да, именно так все и происходит,
Аноним (-), 00:50 , 22-Фев-18, (17) +2
- Да, но пофиг, - реальных проблем с производительностью это не создает,
Аноним (-), 05:23 , 22-Фев-18, (27)
//
- Тут проблема в чем В том, что многие забывают, что система слегка не однозадач,
КО (?), 10:17 , 26-Фев-18, (159)
- Опять этот троян Усложненный синтаксис и встроенный троян, сомнительные такие до,
EHLO (?), 23:55 , 21-Фев-18, (12) +1 //
- почему троян ,
АНОНИМ (?), 13:12 , 22-Фев-18, (83) //
- Самосгенерированный код будет выполняться в режиме ядра и парсить заголовки кажд,
EHLO (?), 17:04 , 22-Фев-18, (106) //
- спасибо за пояснение,
АНОНИМ (?), 18:43 , 22-Фев-18, (107)
- А то, что статические правила существуют сначала в виде текста, и после парсинга,
Джон Ленин (?), 11:52 , 23-Фев-18, (128)
- Бинарник 8800 исполняемый код Текстовые правила в обоих случаях статические ,
EHLO (?), 12:45 , 23-Фев-18, (132)
- Ну согласен же, не говоря о том, что выполняющийся в машине код должен иметь п,
Аноним (-), 16:21 , 23-Фев-18, (135)
- Генерящийся код может быть следствием псевдо-ооп, когда ветвящийся процесс обща,
Джон Ленин (?), 22:17 , 23-Фев-18, (142)
- Потому-что iptables знакомый во всех местах, существует тонна документации, прим,
asdasdasd (?), 00:23 , 22-Фев-18, (13) +3 //
- если вы используете генераторы , то вам должно быть глубоко похрен apt-get upgr,
пох (?), 00:40 , 22-Фев-18, (15) +1 //
- Чукча не мыслитель, чукча писатель ГОТОВЫЕ утилки которые генерируют iptables ,
sadasd (?), 02:46 , 22-Фев-18, (19) //
- пока ещё - убунопроблемы У меня в демьянах кое где вообще по крону ,
. (?), 03:11 , 22-Фев-18, (23)
- я и говорю - своими мозгами вы _даже_ это сгенерировать не можете, вам подавай ,
пох (?), 09:04 , 22-Фев-18, (36)
- Что-то надобие sbin iptables -F sbin iptables -A INPUT -p tcp --tcp-flags ALL N,
Аноним (-), 16:29 , 22-Фев-18, (97)
- А где ты видел в IT, в последнее время, здравый ум Чем хуже - тем лучше ,
. (?), 03:09 , 22-Фев-18, (22) +3
- Леня и его систымДы ,
Alex_hha (?), 13:05 , 22-Фев-18, (79) +1
- Эй Я еще с iptables на nftables не переучился ,
Аноним (-), 00:50 , 22-Фев-18, (16)
- Самое приятное в этой ситуации, что на основе этого можно сделать порт pf Чтобы,
Anonymous Coward (?), 01:36 , 22-Фев-18, (18) +2 //
- Покажи как в pf conf будет выглядить правило делать MIRROR на все UDP пакеты из,
pavlinux (ok), 02:54 , 22-Фев-18, (21) +1 //
- А как в iptables Или ты так, для почесать ниже хвоста ,
. (?), 03:12 , 22-Фев-18, (24) //
- Ну, если опустить установку и загрузку необходимых для этого модулей, то как то ,
angra (ok), 03:44 , 22-Фев-18, (25) +9
- То есть iptables выполняет ф-цию крона А как же unix-way и все такое ,
Аноним (-), 05:33 , 22-Фев-18, (28) –2
- Зачем напрямую дёргать ассемблер iptables, если для декларативного описания це,
PnDx (ok), 12:36 , 22-Фев-18, (62)
- действительно, зачем нужна конфигурация из пяти удобочитаемых строк, когда можн,
пох (?), 12:45 , 22-Фев-18, (65) +1
- Вот как раз diff прекрасно выгладит Потому что 1 Декларация модульная Нужное ,
PnDx (ok), 12:57 , 22-Фев-18, (70)
- Конечно всем учить iptables не нужно И уж тем более ferm не нужно Для этих нев,
angra (ok), 21:58 , 22-Фев-18, (112)
- А чего в примере скобки разные Это баг или фича Впрочем у блинлайна, мегавони,,
Аноним (-), 04:32 , 24-Фев-18, (146)
- Жжуть,опять маны читать надо ,
pavlinux (ok), 03:15 , 23-Фев-18, (121)
- gt оверквотинг удален этот велосипед примерно так же ужасен, как и неэффективе,
DPDKguy (?), 13:55 , 27-Фев-18, (164)
- что за модули ,
ЫЫЫыыЫЫЫ (?), 17:15 , 24-Фев-18, (149)
- слив засчитан ,
pavlinux (ok), 03:05 , 23-Фев-18, (120)
- Слив в чём В том что чел не знал что в иптаблах есть работа с таймстампом В БСД,
_ (??), 20:27 , 23-Фев-18, (138) +1
- С фига ли Пакеты можно по PID фильтровать Разумеется только для локальных проц,
Аноним (-), 04:23 , 24-Фев-18, (145)
- Нет, в Линуксе для этого системы мандатного управления доступом, а не пакетный ф,
EHLO (?), 17:59 , 24-Фев-18, (151) –1
- что-то наподобие pass quick in proto udp from geoip-cn to any port 0 1023 mi,
Аноним (-), 11:33 , 22-Фев-18, (58) //
- Гм Как-то так etc pf conf table geoip-china persist file etc geoip chi,
A. Stahl Is Gay (?), 16:49 , 22-Фев-18, (101) //
- Ты злодей ,
ПавелС (ok), 18:18 , 23-Фев-18, (136)
- чтобы ради ftp держать user-space демон, а протоколы посложнее вообще не работал,
пох (?), 09:16 , 22-Фев-18, (37) //
- вы можете прямо сейчас взять nftables и писать в подобном стиле ,
DPDKguy (?), 13:54 , 27-Фев-18, (163)
- Руки прям чешутся всё пихать в ядро ,
pavlinux (ok), 02:51 , 22-Фев-18, (20) +2 //
- Ну прям таки всё Компилять правила в байткод предлается вне ядра Или ты прелае,
Аноним (-), 10:29 , 22-Фев-18, (50) //
- Если они все сделают по-человечески, кода в ядре станет меньше, потому что все д,
A. Stahl Is Gay (?), 17:01 , 22-Фев-18, (105)
- Noooo В бытность сетевиком всякие файерволы доводилось настраивать, страшнее ip,
leap42 (ok), 04:58 , 22-Фев-18, (26) –8 //
- я надеюсь, тебя уволили и больше ты к сетевому оборудованию не подходишь Справка,
пох (?), 09:44 , 22-Фев-18, (41) +2 //
- плюсую разделение на таблицы и цепочки, а также модульность сделали iptables ст,
Аноним (-), 10:12 , 22-Фев-18, (46) //
- gt оверквотинг удален Да, гибкость и возможности всяких тонких настроек в ,
Аноним (-), 10:16 , 22-Фев-18, (48)
- То есть с zbfw ты разобраться так и не смог Да и если ты путаешь в одну кучу zb,
Pofigist (?), 10:45 , 22-Фев-18, (53) –1
- ну-ну давайте изобразите одним правилом разный набор действий на 4 src ip ,
DPDKguy (?), 12:26 , 22-Фев-18, (59) //
- угу сэкономим несколько строк в конфиге и получим нечитаемое месиво ,
Аноним (-), 12:38 , 22-Фев-18, (64)
- отлично ваш вариант напомню, что у нас 4к адресов ок, префиксов и для каждого,
DPDKguy (?), 12:48 , 22-Фев-18, (67)
- покажите Я хочу эту образцовую глупость увидеть адреса не показывайте, не хочу,
пох (?), 12:59 , 22-Фев-18, (73)
- Ну на самом деле может быть 4к _разных_ инспектов Но таки да - глупость ра,
Pofigist (?), 13:03 , 22-Фев-18, (77)
- https wiki nftables org wiki-nftables index php Dictionaries,
DPDKguy (?), 14:00 , 27-Фев-18, (166)
- можно начать с простого 4k адресов из какой-нибудь 10 8 и такое же количество п,
DPDKguy (?), 14:15 , 27-Фев-18, (167)
- Ну расскажи по 4к разных action Не умете структурировать задачу Ваши проблемы,
Pofigist (?), 13:00 , 22-Фев-18, (75)
- увольняют и не подпускают к сетевому оборудованию клоунов, которые isr к фаервол,
juniper рулит (?), 12:50 , 22-Фев-18, (68) –1 //
- Бро, дай я тебя обниму Вынуждено приходится настраивать кучу легаси на ipfw с 1,
Аноним (-), 02:05 , 24-Фев-18, (143)
- Какой нахрен ты сетевик, если даже примитивный iptables ниасилил D От настрой,
pavlinux (ok), 03:40 , 23-Фев-18, (123) –1
- Какую задачу решает bpfilter, заменяя iptables и используя правила iptables Щоб,
Аноним (-), 08:30 , 22-Фев-18, (34) //
- Там же написано у вас нет гемора с iptables, будет ,
An (??), 08:35 , 22-Фев-18, (35) +5 //
- нет, щоб пропихнуть в ведро эту поделку, а потом радостно клепать интуитивноприя,
пох (?), 09:50 , 22-Фев-18, (42)
- ух ты, есть же, кто думает пр ообратную совместимость Аргумент весомый, однако Р,
Аноним (-), 10:16 , 22-Фев-18, (49)
- А что мешает сейчас дополнить этот API соответстующими возможностями ,
Аноним (-), 10:40 , 22-Фев-18, (52)
- И стоило переводить это 1 Со времён 2 4 iptables модули сетевых фильтров могут ,
Ne01eX (ok), 11:01 , 22-Фев-18, (54) +2 //
- стоило - надо ж заранее готовить запасной аэродром э типа, в 2 2 вообще-то бы,
пох (?), 13:09 , 22-Фев-18, (82) +1 //
- емнип, в 2 2 для ipchains были nat-хелперы, но не полноценные модули, как у ipta,
Аноним (-), 13:38 , 22-Фев-18, (85) //
- Типовая задача - некая IDS обнаруживает аномалиb и дает FW команду блокировать а,
Pofigist (?), 13:39 , 22-Фев-18, (86) //
- ipset,
Аноним (-), 13:47 , 22-Фев-18, (88)
- Разумеется IDS и FW работают на разных машинах И не на одной ,
Pofigist (?), 14:24 , 22-Фев-18, (91)
- ну напиши себе мега-api, которое будет через libastral передавать эту информацию,
пох (?), 20:58 , 22-Фев-18, (111) +2
- Я ждал этого ответа Еще раз - там не 2 сарвера, один с IDS, другой с FW - там и,
Pofigist (?), 11:10 , 23-Фев-18, (126) +2
- Можно логировать пакеты не попавшие в правила Юзерспейсная программа вполне сп,
ПавелС (ok), 17:31 , 24-Фев-18, (150)
- ping -c1 -p 0xdeadbeef 192 168 0 FW Надеюсь обработчик ICMP меток осилишь напис,
pavlinux (ok), 03:55 , 23-Фев-18, (124) +3
- вероятно, да, один из немногих хороших способов применения этой фигни Хотя я, к,
пох (?), 20:50 , 22-Фев-18, (110)
- Вот Нужен просто компилятор привычных правил iptables nft в bpf плюс возможност,
amonymous (?), 11:32 , 22-Фев-18, (57)
- 2018, а фаерволлы до сих пор не умеют в правила per file и per process без косты,
Аноним (-), 14:11 , 22-Фев-18, (89) –2 //
- не осилил - так и скажи,
Аноним (-), 14:20 , 22-Фев-18, (90) //
- если Вы осилили - примеры в студию пожалуйста Единственный способ оградить отде,
Аноним (-), 14:40 , 22-Фев-18, (93) //
- Честно пытался, но нишмог, да Меня даже не удивляет, что воз и ныне там В IT во,
Аноним (-), 15:25 , 22-Фев-18, (95) –4
- потому что как в 78м не было в ip пакете, нипаверишь, ну никаких указаний какому,
пох (?), 20:39 , 22-Фев-18, (109) //
- Во времена systemd звучит прямо как фантастика, прямо даже удивительно что ещё г,
Аноним (-), 14:46 , 22-Фев-18, (94)
- Не знал, что все так запущено ,
XoRe (ok), 16:27 , 24-Фев-18, (148)
- Всё было просто замечательно пока я не дочитал до строчки Харальд Вельте По,
mumu (ok), 03:45 , 04-Мрт-18, (170)
1,2,3,4,7,11,12,13,16,18,20,26,34,49,52,54,57,89,94,148,170
|
Вариант для распечатки
