Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Выпуск пакетного фильтра nftables 1.0.2, opennews (??), 21-Фев-22, (0) [смотреть все] +2 Не, забавно, конечно, а может, и удобно Но каждый раз когда начинают сыпать сах, InuYasha (??), 23:38 , 21-Фев-22, (1) +3 // Скрыто модератором, Аноним (4), 00:04 , 22-Фев-22, (4) +5 // Скрыто модератором, YetAnotherOnanym (ok), 01:21 , 22-Фев-22, (7) +1 это типа конкатенация такаяПосле оптимизации все, что в скобках можно выписать в, Аноним (36), 12:59 , 22-Фев-22, (36) А ICMP и IGMP не фильтрует что ли , Аноним (2), 23:40 , 21-Фев-22, (2) // Фильтрует Но для примера лучше самые попсовые , llolik (ok), 23:45 , 21-Фев-22, (3) RК сожалению, ничего лучше pf в мире брандмауэров до сих пор не придумано , Ан (??), 01:10 , 22-Фев-22, (5) +4 // Я вот тоже все поглядываю на замены, но что то не вижу альтернатив Вот где еще, Azudim (??), 02:16 , 22-Фев-22, (10) +2 // Надо структурировать задачи и подойти к её решению со стороны zone based firewal, Аноним (14), 05:50 , 22-Фев-22, (14) –1 media-sound mpdLatest version available Latest version installed Not Insta, Аноним (32), 11:55 , 22-Фев-22, (32) –4 // http mpd sourceforge net , Sin2x (ok), 12:28 , 22-Фев-22, (35) +4 дык проще простого, пиши програмку с читабельным конфигом, которая компеляет ент, pfg21 (ok), 12:26 , 22-Фев-22, (34) Ну если на мир смотреть через дырку в сортире, кроме жопы ничего и не видно прос, пох. (?), 10:18 , 03-Мрт-22, (50) Поправил тебя Можешь не благодарить P S И находятся же еще в мире странные сущ, Anon090807 (?), 09:42 , 22-Фев-22, (19) –2 // Ну если быть совсем точным, то iptables - это не брандмауэр, а набор управляющих, llolik (ok), 10:25 , 22-Фев-22, (22) +2 А есть возможность с IPTABLES прослушать трафик на всех портах разом и выяснить , Azudim (??), 14:49 , 22-Фев-22, (41) // modprobe nf_logiptables -t raw -I PREROUTING критерий выбора пакета -j TRACE, Аноним (4), 18:31 , 22-Фев-22, (45) только nf_log_ipv4 угу, очередное поулучшайкали sysctl который это активировал, , пох. (?), 13:04 , 03-Мрт-22, (51) Agnitum Outpost Firewall, Аноним (31), 11:40 , 22-Фев-22, (31) –2 Какой-то ад, по-моему Пфом по функционалу оно не стало А синтаксис для среднес, Аноним (6), 01:15 , 22-Фев-22, (6) +11 // Я тут с дебиана 9 на 11 переводил VDSку, так и не разобрался, даже по статьям св, Аноним (8), 01:37 , 22-Фев-22, (8) +2 // Через прослойку вполне нормальный подход Все знакомые так делали Импорт, экспо, mumu (ok), 01:49 , 22-Фев-22, (9) // Зная о том как пишутся костыли гхм прослойки и прочие трансляторы, я бы переписа, Аноним (6), 02:48 , 22-Фев-22, (11) Что уж, перепишите А мне - оно и так работает , Sultan (?), 10:29 , 22-Фев-22, (24) Там сложность в том, что в iptables куча сторонних модулей, трансляцию синтаксис, Sultan (?), 11:22 , 22-Фев-22, (30) Кто ж виноват, что Вы не готовились заранее Да и правила iptables в большинстве , Аноним (14), 05:48 , 22-Фев-22, (13)   // А как сделать перенаправление с виртуального dev tap_vpn на внешний интерфейс , Аноним (8), 09:44 , 22-Фев-22, (20)   Тут сумбур какой-то Опишите задачу ясней Половина ответа содержится в правильн, Sultan (?), 10:34 , 22-Фев-22, (25)   При запуске сервера запускается это ip address add 192 168 250 1 24 dev tap_vb0i, Аноним (43), 16:30 , 22-Фев-22, (43) –1   table inet filter set nat type ipv4_addr flags interval , Аноним (47), 11:07 , 24-Фев-22, (47)   и dnsmasq занимается динамическими IP, Аноним (43), 16:32 , 22-Фев-22, (44)   А по-моему, там всё отлично Именованные списки sets и maps - очень удобны, жаль, Аноним (14), 05:38 , 22-Фев-22, (12) –1 // пример в студию, Sw00p aka Jerom (?), 06:52 , 22-Фев-22, (16) // Точно так же, как в iptables Синтетический пример iif eth0 iif eth0 ii, Sultan (?), 10:26 , 22-Фев-22, (23) gt оверквотинг удален это что за пример по какому линейному списку если прави, Sw00p aka Jerom (?), 12:08 , 22-Фев-22, (33) Правила могут пересекаться как для разных интерфейсов, так и для сервисов В гугл, Sultan (?), 13:09 , 22-Фев-22, (37) –2 Кулсисопы негодуе, а сетевикам - каеф xD s, leap42 (ok), 06:39 , 22-Фев-22, (15) +1 // Сетевики, однако, на цисках давно, и даже sdn все нихрена не на голых tables В , User (??), 10:05 , 22-Фев-22, (21) –1 // Пиоэнэры админят свои циски привет 90е с венды через pussy exe, пока профи сид, leap42 (ok), 16:22 , 22-Фев-22, (42) +1 // Вы так говорите, как будто в этом есть что-то плохое Ага На всех трех Настраив, User (??), 07:19 , 23-Фев-22, (46) и сплошной ALLOW для всех А потом нвидия такая ой, даже верилоги поперли - кт, пох. (?), 13:09 , 03-Мрт-22, (52) Один из немногих вменяемых фильтров пакетов , Sultan (?), 11:10 , 22-Фев-22, (29) После systemd хоть камни с неба, Аноним (17), 06:55 , 22-Фев-22, (17) +3 что то не осилил как такую конструкцию втащить -A PREROUTING -p tcp -m tcp --dpo, Аноним (18), 08:22 , 22-Фев-22, (18) // https stackoverflow com a 69178498 например, Аноним (4), 10:36 , 22-Фев-22, (26) С ipset надо переписывать на named sets и named maps Например -A PREROUTING -m , Sultan (?), 11:09 , 22-Фев-22, (28) Шли годы А документации по nftables нет, пара кривых, устаревших вики-страниц, Аноним (27), 10:42 , 22-Фев-22, (27) +3 // man nft, Аноним (39), 13:54 , 22-Фев-22, (39) –2 как будто документация по iptables была чем-то хороша Последней качественной лин, пох. (?), 13:11 , 03-Мрт-22, (53) Раз уж упомянули скажите, а вы SCTP часто используете , March_13 (?), 13:12 , 22-Фев-22, (38) // Я сказал демону sshd использовать SCTP Работает Но не тестировал пропускную сп, Аноним (32), 14:02 , 22-Фев-22, (40) 1,2,5,6,15,17,18,27,38

Сообщения

[Сортировка по времени | RSS]

	13. "Выпуск пакетного фильтра nftables 1.0.2"	+/–
	Сообщение от Аноним (14), 22-Фев-22, 05:48
	Кто ж виноват, что Вы не готовились заранее? Да и правила iptables в большинстве случаев транслируются в nft без проблем, затем доводятся на свой вкус. sets там просто шикарны. Я использую такой скрипт для nftables: <quote> #!/usr/bin/bash BACKUP_DIR="/var/backups/nftables" NFTCONF_SRC="/etc/nftables.conf" YR=$(date +'%Y') MN=$(date +'%m') DY=$(date +'%d') TM=$(date +'%H%M') if nft -c -f ${NFTCONF_SRC}; then     if [[ ! -d ${BACKUP_DIR}/${YR}/${MN} ]]; then         mkdir -p ${BACKUP_DIR}/${YR}/${MN}     fi     cp /etc/nftables.conf ${BACKUP_DIR}/${YR}/${MN}/nftables.conf-${YR}${MN}${DY}-${TM}     /usr/sbin/nft flush ruleset     /usr/sbin/nft -f ${NFTCONF_SRC}     echo '#!/usr/sbin/nft -f' > /etc/nftables.conf     echo "" >> /etc/nftables.conf     echo "flush ruleset" >> /etc/nftables.conf     echo "" >> /etc/nftables.conf     nft -s list ruleset >> /etc/nftables.conf fi </quote> Это позволяет избежать многих граблей. В отличие от недоразумений вроде ufw и firewald - оно управляемо, т.к. не вносит гору информационного шума и оставляет возможность оптимизации порядка правил по счётчикам пакетов.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	20. "Выпуск пакетного фильтра nftables 1.0.2"	+/–
	Сообщение от Аноним (8), 22-Фев-22, 09:44
	А как сделать перенаправление с виртуального /dev/tap_vpn на внешний интерфейс? Т.е. подключаюсь к сети сервера, но чтобы в инет через него?
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Выпуск пакетного фильтра nftables 1.0.2"	+/–
	Сообщение от Sultan (?), 22-Фев-22, 10:34
	Тут сумбур какой-то. Опишите задачу ясней. Половина ответа содержится в правильно сформулированном вопросе. Если вы приходите по впн, терминируемом сервером, то нужен просто NAT типо такого: table ip nat {         set lans {                 type ipv4_addr                 flags interval                 auto-merge                 elements = { 192.168.0.11,                              192.168.0.12,                              192.168.0.15-192.168.0.20 }         }         chain PREROUTING {                 type nat hook prerouting priority dstnat; policy accept;         }         chain INPUT {                 type nat hook input priority 100; policy accept;         }         chain POSTROUTING {                 type nat hook postrouting priority srcnat; policy accept;                 oif "eno2" ip saddr @lans counter masquerade         }         chain OUTPUT {                 type nat hook output priority -100; policy accept;         } }
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Выпуск пакетного фильтра nftables 1.0.2"	–1 +/–
	Сообщение от Аноним (43), 22-Фев-22, 16:30
	При запуске сервера запускается это: ip address add 192.168.250.1/24 dev tap_vb0 iptables -t nat -A POSTROUTING -s 192.168.250.0/24 -j SNAT --to-source 8x.14x.4x.20x и как это через nft?
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Выпуск пакетного фильтра nftables 1.0.2"	+/–
	Сообщение от Аноним (47), 24-Фев-22, 11:07
	table inet filter { ... set nat {         type ipv4_addr         flags interval         elements = {                 192.168.1.0/24,                 192.168.250.0/24         } ...     chain POSTROUTING {         type nat hook postrouting priority srcnat; policy accept;         oifname "OUT_INTERFACE" ip saddr @nat counter snat to 8x.14x.4x.20x     } }
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Выпуск пакетного фильтра nftables 1.0.2"	+/–
	Сообщение от Аноним (43), 22-Фев-22, 16:32
	и dnsmasq занимается динамическими IP
	Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема