Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Для включения в состав ядра Linux предложен VPN WireGuard, opennews (ok), 06-Окт-18, (0) [смотреть все] Что-то эта штука не выглядит как то, что должно быть в ядре Они бы ещё туда ауд, A.Stahl (ok), 14:37 , 06-Окт-18, (1) –34 // Оно как раз и обгоняет OpenVPN за счёт того, что выполнено в виде модуля ядра Т, AnonPlus (?), 14:42 , 06-Окт-18, (3) +14 // Если аудиоплеер впихнуть в ядро, то он тоже будет обгонять юзерспейсные плееры , A.Stahl (ok), 14:52 , 06-Окт-18, (5) –8 // Аудиоплееры не страдают от тормознутости и не нагружают заметно процессор А в, AnonPlus (?), 15:19 , 06-Окт-18, (9) А что он забыл на роутерах , Crazy Alex (ok), 16:49 , 06-Окт-18, (21) –9 Вломился вот и спрашивает что там про меня Crazy Alex думает , НяшМяш (ok), 17:30 , 06-Окт-18, (26) +7 Действительно, VPN на роутере Что может быть глупее Разве что фаервол на роуте, Fyjybv755 (?), 17:44 , 06-Окт-18, (30) +22 OpenVPN на роутере - это 10 mbps, потому что армовая дрянь, которая там стоит, н, abi (?), 09:27 , 08-Окт-18, (96) +1 Не ARM, а MIPS OpenVPN такая дрянь, что даже на мощных x86 гигабит не тянет , имя (?), 00:05 , 10-Окт-18, (132) Современные ARM таки и с openvpn могут довольно много Однако в целом openvpn да, Аноним (-), 11:40 , 12-Окт-18, (139) Подключать роутер в качестве клиента Либо поднять на роутере сервер и подключат, AnonPlus (?), 23:42 , 06-Окт-18, (59) +1 А на самом деле, зачем Обычно впн идет как приложение для виндового трея , Аноним (64), 04:38 , 07-Окт-18, (64) Куда идёт , Shwarma (?), 14:34 , 09-Окт-18, (130) А куда еще засунуть vpn, чтобы на всех домашних устройствах не испытывать послед, KonstantinB (ok), 05:20 , 07-Окт-18, (66) Роутер как бы самое логичное место для того чтобы на нем vpn запустить Он всегд, Аноним (-), 11:42 , 12-Окт-18, (140) Ту часть плеера, которая критична по скорости, уже давно впихнули Слышали про т, Fyjybv755 (?), 17:48 , 06-Окт-18, (32) +7 Будешь рассуждать про отсутствие поводов для впихивания, когда тебе придется объ, shatsky (?), 11:01 , 07-Окт-18, (69) Вы передаёте в аудиоплеер гигасы данных в секунду Зачем , Аноним (120), 19:12 , 08-Окт-18, (120) А то, что в ядре есть модули для CIFS и NFS 8212 достаточно прикладных штук, , marios (ok), 00:22 , 14-Окт-18, (157) Пральна, т-щ Линус , нужно втащить в ядро бОООльше минималистичного, а то оно ко, Andrey Mitrofanov (?), 16:39 , 06-Окт-18, (20) –6 Ну не прям чтобы восхищался, он просто заметил что оно не такое дерьмо, как Open, gpyra (ok), 18:19 , 07-Окт-18, (88) +2 Таня же писала код , DmA (??), 09:28 , 08-Окт-18, (97) // Ну и Таня Ланге - профессор в нидердланском университете, на страничке опубликов, DmA (??), 09:40 , 08-Окт-18, (98) Нет Опровергните, тогда изменю мнение, основанное на обучении в бауманке , Аноним (-), 10:47 , 08-Окт-18, (100) да я тоже думаю, что нет таких , DmA (??), 12:50 , 08-Окт-18, (109) Полностью согласен с Вами, гражданин Незачем вот это повсеместное шифрование, о, Майор (??), 18:36 , 06-Окт-18, (35) +9 // А чего вы тогда свою переписку не выкладываете в Интернет, чтобы все могли её чи, DmA (??), 09:11 , 09-Окт-18, (124) // чтобы враги государственного строя и вражеские шпионы не могли ее прочитать, раз, товарищ майор (?), 09:54 , 10-Окт-18, (135) +1 Ядро станет еще более монолитным , Аноним (62), 01:39 , 07-Окт-18, (62) Вот уж чего надо выкинуть из ядра, так это долбаный ipsec с его нагромождениями , KonstantinB (ok), 05:18 , 07-Окт-18, (65) –2 // да-да, ведь никуда кроме распоследней версии линукса гордому админу локалхоста п, нах (?), 10:42 , 08-Окт-18, (99) // Задачи внезапно разные Мне, скажем, на перечисленные задачи по барабану, нереле, KonstantinB (??), 19:51 , 08-Окт-18, (121) внезапно, да Поэтому я может и буду где-то в очень узкоспециальных строго линy, нах (?), 12:34 , 09-Окт-18, (126) Только вот беда, реально в ойписеке ничего кроме psk с предопределенными пирами , Аноним (125), 10:53 , 09-Окт-18, (125) мой корпоративный vpn с xauth с сертификатом и отдельно mschap2 поверх, доступны, нах (?), 12:39 , 09-Окт-18, (127) Почему с tinc ом нет сравнений Хотя, полагаю он будет где-то около openvpn, т к, Аноним (2), 14:37 , 06-Окт-18, (2) // По производительности - да, Вы правы, не очень из-за юзер-пейса По простоте нас, tensor (?), 00:36 , 07-Окт-18, (60) Производительность это хорошо, но не главное Главное - это аудит самих алгоритм, mikevmk (??), 14:50 , 06-Окт-18, (4) // Судя по новости сделали Хотя надо бы посмотреть отчет и кто делал , evkogan (?), 16:35 , 06-Окт-18, (19) +2 Да бог с ними - с алгоритмами Вполне достаточно будет взбрыка на какой-нибудь ос, КО (?), 22:00 , 06-Окт-18, (54) +1 https www wireguard com formal-verification , KonstantinB (ok), 05:24 , 07-Окт-18, (67) // I has undergone all sorts of formal verification, covering aspects of , Andrey Mitrofanov (?), 16:55 , 07-Окт-18, (83) // От этого никто не застрахован, конечно Но что будет на порядки меньше, чем в ips, KonstantinB (??), 18:15 , 07-Окт-18, (87) –1 А если UDP заблокирован , Аноним (11), 15:47 , 06-Окт-18, (11) –2 // Это поможет, привет из Китаяhttps github com wangyu- udp2raw-tunnelhttps git, Аноним (12), 15:52 , 06-Окт-18, (12) а если интернет вообще отключили примерно так же , Аноним (14), 16:24 , 06-Окт-18, (14) +3 В смысле, добрые админы выпускают наружу только через HTTP-прокси Тогда живите , Fyjybv755 (?), 17:40 , 06-Окт-18, (28) –2 // this http method does not allowed Будешь ты тут мне трудовую дисциплину наруш, недобрый админ (?), 09:59 , 10-Окт-18, (136) +1 // Для таких умников есть тунели которые в HTTP запросах TCP пропихивают, чо А , Аноним (145), 11:54 , 12-Окт-18, (145) а где будет этот впн если оба или один из пиров за натом , Аноним (13), 15:54 , 06-Окт-18, (13) –2 // Если только один пир за натом то никаких проблем не будет если на нем включить о, Аноним (16), 16:31 , 06-Окт-18, (16) +3 Для таких случаев есть ZeroTier https www reddit com r linux comments 7c0zkw , Shevchuk (ok), 18:23 , 06-Окт-18, (34) https peervpn net, Анонимная триада (?), 18:51 , 06-Окт-18, (39) // На фоне WireGuard он, мягко говоря, так себе 1 Примерно 300 кило кода, на все с, Аноним (146), 13:34 , 12-Окт-18, (146) https www freelan org, Анонимная триада (?), 18:54 , 06-Окт-18, (40) // А это вообще кошмар какой-то, плюсатый, с бустом, скунсом, и дюжиной огромных ли, Аноним (146), 13:38 , 12-Окт-18, (147) Было бы отлично, но ситуацию усугубляет то, что на впсках один хрен дистры предл, Аноним_ка (?), 16:58 , 06-Окт-18, (23) –3 // Ну, если уж так сильно хочется - выбираем kvm xen виртуализацию и собираем ядрыш, merifri (ok), 17:20 , 06-Окт-18, (24) +3 // Хм А хотя про репы я и не подумал, а в репах наверняка будет все , Аноним_ка (?), 17:52 , 06-Окт-18, (33) А в чем проблема найти full virt за сравнимые деньги, в пределах 1-2 Их есть , Аноним (146), 13:40 , 12-Окт-18, (148) VPS на базе OpenVZ Да там пофиг, какое ядро, все равно без высочайшего позволен, Fyjybv755 (?), 17:37 , 06-Окт-18, (27) Это проблема тех ВПСок, которыми ты пользуешься, не , Аноним (-), 18:39 , 06-Окт-18, (36) На нормальных ВПСках тебе дают возможность творить с системой что хочешь, нужно , Я русского поймал (?), 20:18 , 06-Окт-18, (46) +1 // Подтверждаю, нормальный VPSки FTW , Аноним (48), 20:26 , 06-Окт-18, (48) +1 // И главное они уже давно стоят вполне вменяемых денег Многие хостеры с кривым ov, Аноним (-), 13:46 , 12-Окт-18, (149) Производительность у WireGuard отличная, особенно в сравнении с OpenVPN, который, sec (?), 18:41 , 06-Окт-18, (37) +5 // Да, я тоже уже хотел свой роутер выкидывать и брать новый, ибо OpenVPN плохо тян, Гентушник (ok), 21:18 , 06-Окт-18, (53) +2 // скорость хорошая это сколько, если не секрет И на каком железе , Злой Админ (?), 13:14 , 09-Окт-18, (129) Там и подборка алгоритмов нормальная и в ядре к тому же Понятное дело что openv, Аноним (-), 13:47 , 12-Окт-18, (150) –1 Внезапно, WireGuard 8212 тоже однопоточный Не так давно обходил сей прескорб, PnDx (ok), 11:48 , 08-Окт-18, (103) Когда завезут в микротик, джунипер, аарис и циску , Анонимная триада (?), 19:05 , 06-Окт-18, (41) –2 // Когда они асилят нормальные ОСи, а не самописные костыли В общем исходники-то от, mumu (ok), 22:32 , 06-Окт-18, (57) +1 А нафига он в кошках-то Там своя реализация VPN отличная , Pofigist (?), 01:01 , 07-Окт-18, (61) +3 // Ох, как сказать отличная Насколько понимаю в этом wireguard накосячить можно ма, Аноним (73), 12:21 , 07-Окт-18, (73) // В таких случаях просто даем ему готовый конфиг А вообще если настройкой любого , Pofigist (?), 17:14 , 07-Окт-18, (84) +1 Естественно ты всё говоришь как надо Вот только жизнь иногда умеет шутить И пр, Аноним (73), 00:48 , 08-Окт-18, (95) с цисками в минимальном варианте - около 15 строчек конфига около пяти если все, нах (?), 10:51 , 08-Окт-18, (101) Угу, или федорка, где в 100500 версии лёниного пoдeлия опять и снова все передел, Аноним (123), 08:54 , 09-Окт-18, (123) Циска тебе априори не подконтрольна - сорцов у тебя нет, так что предлагается ве, Аноним (-), 13:49 , 12-Окт-18, (151) А что такой аарис , А (??), 01:38 , 11-Окт-18, (138) Лично мне он понравился Заводится влёт , есть в OpenWRT debian Ubuntu et, ABATAPA (ok), 20:20 , 06-Окт-18, (47) +3 Помогите разобраться в его настройке, скорее всего в правилах iptables На сервер, Ilya Indigo (ok), 20:35 , 06-Окт-18, (50) –2 // -AllowedIPs 192 168 13 1 24 AllowedIPs 0 0 0 0 0, Аноним (51), 20:53 , 06-Окт-18, (51) +1 // Если я так делаю то интернет на клиенте вообще перестаёт работать и у меня не п, Ilya Indigo (ok), 11:49 , 07-Окт-18, (70)   // Покажите iptables-save и ip ro sh на сервере , Fyjybv755 (?), 13:14 , 07-Окт-18, (77)   default via 192 168 0 1 dev enp0s10 proto dhcp src 192 168 0 2 metric 10192 168 , Ilya Indigo (ok), 15:59 , 07-Окт-18, (80)   делай раз - apt purge ufw - все равно ты им пользоваться не обучен Или что у те, нах (?), 11:01 , 08-Окт-18, (102) +1   Благодарю Среди этого мусора я и впрямь это не разглядел У меня не Ubuntu с ufw , Ilya Indigo (ok), 16:47 , 08-Окт-18, (112) –1   да я в их сортах не того как вижу проделки интуитивно-приятных, так и удаляю , нах (?), 17:17 , 08-Окт-18, (114) +1   В инторнетах объявлен год Linux как в windows Новости в 11 , Andrey Mitrofanov (?), 17:36 , 08-Окт-18, (115) +1   В инторнетах объявлен год Linux как в windows ГООООД Are you serious about , нах (?), 12:45 , 09-Окт-18, (128) +1   Вот именно Теперь пора смеяться над теми, кто Вот сам пару раз попользовал, Andrey Mitrofanov (?), 08:50 , 10-Окт-18, (134)   Проконсультируйте меня по iptables, пожалуйста Нужна ли вообще эта строчка в кон, Ilya Indigo (ok), 17:57 , 08-Окт-18, (116) –1   нет, потому что это неправильная строчка Правильная выглядит как-то так -A FORW, пох (?), 19:59 , 08-Окт-18, (122) +1   И что характерно - оба этих дружественных креатива годны только под деинсталл , Аноним (-), 13:55 , 12-Окт-18, (152)   И тут мы понимаем, какой дизигн-фичур был _решающим_ в успехе system-d I I , Andrey Mitrofanov (?), 14:19 , 12-Окт-18, (154)   То-есть на клиенте разрешен только маскарад без выхода в сеть , Аноним (55), 22:20 , 06-Окт-18, (55) // Если сделать то, что указано выше, разрешить клиенту полностью ходить через vpn,, Ilya Indigo (ok), 11:53 , 07-Окт-18, (71) // https technofaq org posts 2017 10 how-to-setup-wireguard-vpn-on-your-debian-gn, Аноним (79), 14:54 , 07-Окт-18, (79) +1 Благодарю за ссылки Первая похожая на арчевиковскую, по которой я настраивал,htt, Ilya Indigo (ok), 17:27 , 07-Окт-18, (85) Клиент подключен к интернету, только не имеет выделенного реального IP , Ilya Indigo (ok), 12:34 , 07-Окт-18, (75) sysctl net ipv4 ip_forward 1, KonstantinB (ok), 11:54 , 07-Окт-18, (72) // Это у меня прописано и на сервере и на клиенте , Ilya Indigo (ok), 12:23 , 07-Окт-18, (74) // На клиенте не надо Вроде выглядит правильно за исключением уже упомянутого 0 0 , KonstantinB (ok), 16:17 , 07-Окт-18, (81) Если я могу зайти по ssh на 192 168 13 1 с клиента на сервер и наоборот, то пр, Ilya Indigo (ok), 16:27 , 07-Окт-18, (82) А wg что выдает Туннель-то установлен Если нет, то попробуйте настроить безо вс, KonstantinB (??), 18:11 , 07-Окт-18, (86) sudo wginterface wg0 public key private key hidden listening port 54589, Ilya Indigo (ok), 18:36 , 07-Окт-18, (89) В последних релизах wg-quick стал творить странное и прописывать в тэйбл 0xca6c , Я русского поймал (?), 20:50 , 07-Окт-18, (90) +1 Благодарю Вас за желание мне помочь - Вроде разобрался, проблема была в firewa, Ilya Indigo (ok), 18:37 , 08-Окт-18, (119) –1 На сервере сделайте так etc wireguard wg0 conf Interface PrivateKey xxxxxxxxx, ABATAPA (ok), 20:55 , 07-Окт-18, (91) +2 Большая благодарность Заработало - 3 -ne 3 case 3 in iptables -, Ilya Indigo (ok), 17:10 , 08-Окт-18, (113) –1 А чем отличаются Ваши правилаiptables -t nat -I POSTROUTING -s 192 168 13 0 24 , Ilya Indigo (ok), 18:22 , 08-Окт-18, (117) –2 Лучше применять те, которые понимаешь I , Andrey Mitrofanov (?), 18:24 , 08-Окт-18, (118) –1 ssh работает поверх TCP Используй iperf или netcat , Аноним (93), 22:59 , 07-Окт-18, (93) В новости не расскрывается как этот впн позволяет обходить двойной нат и прочее,, Аноним (52), 20:59 , 06-Окт-18, (52) –3 // Имеется ввиду одна сторона Никаких проблем нет с прохождением, обычный UDP траф, Озорной Гусь (?), 22:23 , 06-Окт-18, (56) По идее, надо STUN TURN прикручивать , Аноним (93), 23:04 , 07-Окт-18, (94) // То есть сделать tinc Уже сделали, работает , Pilat (ok), 00:13 , 11-Окт-18, (137) // А в нем крипто нормальное сделали все-таки в итоге Ну то-есть 25519 и прочие Ch, Аноним (-), 03:12 , 13-Окт-18, (155) You can further change the configuration as needed either by manually editing , Pilat (ok), 03:15 , 13-Окт-18, (156) Мне не надо BOTH Весь пойнт DJBшной крипты - в том что критичный криптокод небо, Аноним (160), 02:38 , 14-Окт-18, (160) Штука нужная хорошая Но какие же гавнистые и агресивные там разработчики это пр, Аноним (58), 23:25 , 06-Окт-18, (58) // А нельзя ли пруфца на это дело В чем их агрессия проявляется Глядя на реализаци, Аноним (160), 02:29 , 14-Окт-18, (159) Новость, конечно отличная, но когда же будет клиент для винды , Ващенаглухо (ok), 12:36 , 08-Окт-18, (107) –1 // Когда кто-нибудь его напишет Сам Джейсон точно этого делать не будет, я догадыв, KonstantinB (ok), 17:09 , 09-Окт-18, (131) Не понимаю смысла в нормальном впн под систему с встроенным кейлоггером А для т, Аноним (153), 14:01 , 12-Окт-18, (153) Значение знают А также какой это ППЦ даже для hello world , Аноним (110), 13:03 , 08-Окт-18, (110) –1 // Значение значительное, значит ся Вон чуть выше, http www opennet ru openfor, Andrey Mitrofanov (?), 13:52 , 08-Окт-18, (111) Большой недостаток WireGuard - для сети узлов A,B,C он не свяжет узлы A и C, есл, Pilat (ok), 00:08 , 10-Окт-18, (133) // Ну это уже вопрос поиска баланса между количеством фич и простотой , marios (ok), 00:24 , 14-Окт-18, (158) Из однопоточного юзерспейсного tinc на практике не удается выжать больше 600Mbps, Аноним (161), 23:36 , 29-Окт-18, (161) –1 1,2,4,11,13,23,37,41,47,50,52,58,107,110,133,161

Сообщения

[Сортировка по времени | RSS]

	70. "Для включения в состав ядра Linux предложен VPN WireGuard"	+/–
	Сообщение от Ilya Indigo (ok), 07-Окт-18, 11:49
	Если я так делаю. то интернет на клиенте вообще перестаёт работать и у меня не пингуется ни одна сеть кроме 192.168.13.0/24 и DNS-ников.
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Для включения в состав ядра Linux предложен VPN WireGuard"	+/–
	Сообщение от Fyjybv755 (?), 07-Окт-18, 13:14
	> Если я так делаю. то интернет на клиенте вообще перестаёт работать и > у меня не пингуется ни одна сеть кроме 192.168.13.0/24 и DNS-ников. Покажите iptables-save и ip ro sh на сервере.
	Ответить | Правка | Наверх | Cообщить модератору

	80. "Для включения в состав ядра Linux предложен VPN WireGuard"	+/–
	Сообщение от Ilya Indigo (ok), 07-Окт-18, 15:59
	> ip ro sh default via 192.168.0.1 dev enp0s10 proto dhcp src 192.168.0.2 metric 10 192.168.0.0/24 dev enp0s10 proto kernel scope link src 192.168.0.2 192.168.0.1 dev enp0s10 proto dhcp scope link src 192.168.0.2 metric 10 192.168.13.0/24 dev wg0server proto kernel scope link src 192.168.13.1 > sudo iptables-save https://ilya.pp.ua/iptables-save.log
	Ответить | Правка | Наверх | Cообщить модератору

	102. "Для включения в состав ядра Linux предложен VPN WireGuard"	+1 +/–
	Сообщение от нах (?), 08-Окт-18, 11:01
	делай раз - apt purge ufw - все равно ты им пользоваться не обучен. Или что у тебя там стоит такое, понасоздававшее автоматический нечитаемый мусор? делай два - в расчищенном от интуитивно-приятного мусора фильтре iptables -L FORWARD (я почистил за тебя) -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i lo -j ACCEPT -A FORWARD -m conntrack --ctstate INVALID -j DROP -A FORWARD -j REJECT --reject-with icmp-host-prohibited #а до этих строчек управление уже никогда не дойдет -A FORWARD -i wg0server -j ACCEPT -A FORWARD -o wg0server -j ACCEPT ping, кстати, у тебя при этом должен работать - это единственное, что разрешено (причем - неправильно) в твоем интуитивно-приятном файрволе.
	Ответить | Правка | Наверх | Cообщить модератору

	112. "Для включения в состав ядра Linux предложен VPN WireGuard"	–1 +/–
	Сообщение от Ilya Indigo (ok), 08-Окт-18, 16:47
	> -A FORWARD -j REJECT --reject-with icmp-host-prohibited > #а до этих строчек управление уже никогда не дойдет > -A FORWARD -i wg0server -j ACCEPT > -A FORWARD -o wg0server -j ACCEPT Благодарю! Среди этого мусора я и впрямь это не разглядел. > apt purge ufw ... У меня не Ubuntu с ufw. У меня openSUSE с firewalld.
	Ответить | Правка | Наверх | Cообщить модератору

	114. "Для включения в состав ядра Linux предложен VPN WireGuard"	+1 +/–
	Сообщение от нах (?), 08-Окт-18, 17:17
	да я в их сортах не того... как вижу проделки интуитивно-приятных, так и удаляю - еще не хватало терять время, изучая "тут точно-точно просто пустое правило, или я не заметил чего" "одна windows у меня уже и так есть". Правда, все идет к тому, что кругом будет "как в windows".
	Ответить | Правка | Наверх | Cообщить модератору

	115. "Для включения в состав ядра Linux предложен VPN WireGuard"	+1 +/–
	Сообщение от Andrey Mitrofanov (?), 08-Окт-18, 17:36
	> "одна windows у меня уже и так есть". Правда, все идет к > тому, что кругом будет "как в windows". "" В инторнетах объявлен год Linux "как в windows".  Новости в 11! ""
	Ответить | Правка | Наверх | Cообщить модератору

	128. "Для включения в состав ядра Linux предложен VPN WireGuard"	+1 +/–
	Сообщение от нах (?), 09-Окт-18, 12:45
	"" В инторнетах объявлен год Linux "как в windows" ГООООД? Are you serious about that? Лет десяток уже, не меньше, линyпс бодро шлепает ластами в этом единственном направлении.
	Ответить | Правка | Наверх | Cообщить модератору

	134. "Для включения в состав ядра Linux предложен VPN WireGuard"	+/–
	Сообщение от Andrey Mitrofanov (?), 10-Окт-18, 08:50
	> "" В инторнетах объявлен год Linux "как в windows" > ГООООД? Are you serious about that? Лет десяток уже, не меньше, линyпс > бодро шлепает ластами в этом единственном направлении. Вот именно!  Теперь пора смеяться над теми, кто...  Вот сам пару раз попользовал это "они делают из здесь как в" -- и заметил, что-то как-то "как у всех" шуточка.  Непорядок.
	Ответить | Правка | Наверх | Cообщить модератору

	116. "Для включения в состав ядра Linux предложен VPN WireGuard"	–1 +/–
	Сообщение от Ilya Indigo (ok), 08-Окт-18, 17:57
	Проконсультируйте меня по iptables, пожалуйста. Нужна ли вообще эта строчка в конце правил? -A FORWARD -j REJECT --reject-with icmp-host-prohibited Правильней будет разобраться почему она там появляется и сделать так, чтобы она не прописывалась или просто в PostUp вместо -A заменить -I ?
	Ответить | Правка | К родителю #114 | Наверх | Cообщить модератору

	122. "Для включения в состав ядра Linux предложен VPN WireGuard"	+1 +/–
	Сообщение от пох (?), 08-Окт-18, 19:59
	> Нужна ли вообще эта строчка в конце правил? нет, потому что это неправильная строчка. Правильная выглядит как-то так: -A FORWARD -p tcp -j REJECT --reject-with icmp-admin-prohibited -A FORWARD -j DROP (или -P FORWARD DROP) (совсем правильная - отдельное правило для udp с rate-limiter) и этими строчками должен всегда кончаться набор правил для INPUT и FORWARD. но я все же рекомендую прочитать man iptables, и научиться их писать самому, без всяких интуитивно-приятных уродцев, которые даже gratious-deny не умеют, оказывается, правильно реализовать. > Правильней будет разобраться почему она там появляется она там появляется, потому что без нее твой файрвол превращается в тыкву, начиная форвардить что попало куда попало или становится крайне трудноотлаживаемым (если таки -P DROP), и добавляет ее туда твой firewalld. После чего ты лезешь поверх него руками, что тоже неправильно. Нужно либо уж привыкать жить "как в винде", и искать как настраивается firewalld не лазя в iptables в обход инструмента управления, либо таки научиться ими пользоваться. Второе может оказаться зряшной тратой времени, потому что завтра их таки выпилят и заменят неадекватным уродцем или даже двумя сразу. К тому же у нас еще есть доскер и куча другого интуитивно-приятного хлама, лазящего в фильтры в обход админа системы, потому что их авторы обоснованно считают его тупырем, неспособным их настроить руками. С -I - да, будет работать, но не понимая что делаешь, ты можешь понаделать дырок.  А понимания у тебя, как я погляжу, нет.
	Ответить | Правка | Наверх | Cообщить модератору

	152. "Для включения в состав ядра Linux предложен VPN WireGuard"	+/–
	Сообщение от Аноним (-), 12-Окт-18, 13:55
	> У меня не Ubuntu с ufw. > У меня openSUSE с firewalld. И что характерно - оба этих "дружественных" креатива годны только под деинсталл. Лучше все же RTFMнуть про нормальный айпитаблес. Хотя, конечно, парни в индии строят дома как-то так: берут несколько фанерок, сверху кусок шифера - обана, дом готов. Вот firewalld и ufw - очень в духе такого софтостроя.
	Ответить | Правка | К родителю #112 | Наверх | Cообщить модератору

	154. "Для включения в состав ядра Linux предложен VPN WireGuard"	+/–
	Сообщение от Andrey Mitrofanov (?), 12-Окт-18, 14:19
	>> У меня не Ubuntu с ufw. >> У меня openSUSE с firewalld. > И что характерно - оба этих "дружественных" креатива годны только под деинсталл. И тут мы понимаем, какой дизигн-фичур был _решающим_ в "успехе" system-d! :-D > Лучше все же RTFMнуть про нормальный айпитаблес. Хотя, конечно, парни в А потом RTFM-нуть в норм.генерато правиля для.   А перед этим таковой найти...   //я firehol взял, но давно это было > индии строят дома как-то так: берут несколько фанерок, сверху кусок шифера > - обана, дом готов. Вот firewalld и ufw - очень в > духе такого софтостроя. Ну, если Вы так говорите...
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема