1.1, Anonymousw (?), 22:41, 27/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
не успели выпустить как уже для сборки нужен патч :))
conntrack-tools - 1.2.0
___________________________________________
--- ./src/nfct-extensions/timeout.c 2012-05-26 16:53:14.933950376 +0300
+++ ./timeout.c 2012-05-27 21:36:01.000000000 +0300
@@ -96,7 +96,7 @@
goto err_free;
}
- nfct_timeout_snprintf(buf, sizeof(buf), t, 0);
+ nfct_timeout_snprintf(buf, sizeof(buf), t, NFCT_TIMEOUT_O_DEFAULT, 0);
printf("%s\n", buf);
err_free:
___________________________________________
| |
|
2.3, arisu (ok), 06:46, 28/05/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
это почти что закон природы: как только решаешь, что «пора» и делаешь хотя бы beta-релиз, сразу после него находится дубовый баг.
| |
|
3.4, Аноним (-), 13:02, 28/05/2012 [^] [^^] [^^^] [ответить]
| –2 +/– |
Ну да, давайте отсутствие у свободных проектов отдела QA будем объяснять законами природы.
| |
|
4.5, arisu (ok), 13:08, 28/05/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ну да, давайте отсутствие у свободных проектов отдела QA будем объяснять законами
> природы.
что-то "несвободным" проектам наличие этих отделов всё равно никак не помогает.
ты, впрочем, теоретик (это не предположение), тебе видней, как коней в вакууме пасти.
| |
|
5.7, Аноним (-), 14:25, 28/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
> ты, впрочем, теоретик (это не предположение), тебе видней, как коней в вакууме пасти.
Он необязательно теоретик. Но вот что он проповедник религии "свободное ПО отстой" - это очевидно.
| |
|
6.8, arisu (ok), 14:27, 28/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Он необязательно теоретик.
теоретик-теоретик. иначе просто улыбнулся бы, потому что «#$$#%@#!!1111 во вчерашнем релизе МЕГАБАГ!!!111111» — это таки знакомо всем, кто делал оные релизы; неважно, [F]OSS ли или проприетарщина.
| |
|
7.9, Аноним (-), 14:31, 28/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
Не исключено, что про себя и улыбнулся. Но так как данный конкретный случай можно использовать как знамение для проповеди своей религии - он так и сделал.
| |
|
|
|
|
|
|
1.6, Аноним (-), 14:23, 28/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Про предыдущий релиз 1.4.13 новости не было, а там, между прочим, добавили критерий rpfilter (раньше его можно было задать только для интерфейсов в целом через sysctl), а еще сделали поддержку IPv6 для критериев ecn и addrtype.
А в следующем релизе conntrack-tools ожидается поддержка юзерспейсных хелперов (сейчас они работают только в ядре). Уже готовы юзерспейсные хелперы для RPC и Oracle TNS. Рулиться это дело будет тоже через nfct.
Да, и еще недавно вышла интересная статья по теме хелперов https://home.regit.org/netfilter-en/secure-use-of-helpers/ Всем админам рекомендуется.
| |
|
2.13, Аноним (-), 20:36, 28/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
А еще в 1.4.13 добавили поддержку nfacct, и тогда же выпустили nfacct и libnetfilter_acct.
Тоже очень важный момент, совершенно не освещенный в новостях.
| |
|
1.10, Аноним (-), 15:04, 28/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
не ради троллинга, а с целью повышения самообразованности поясните какова практическая ценность данных опций.
| |
|
2.11, Аноним (-), 15:46, 28/05/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
Во-первых, теперь можно независимо задавать настройки conntrack для разных соединений, причем выбор соединений возможен с помощью всех инструментов, доступных в таблице raw (включая ipset). Одно из наиболее очевидных применений - борьба с (D)DoS атаками (для подозрительных источников задаются небольшие таймауты). Также можно сокращать значения таймаутов (и соответственно уменьшать расход ресурсов) на основе информации о топологии сети и задержках (для подсетей с малым временем пинга таймауты можно задавать поменьше).
Во-вторых, теперь поддерживается синхронизация ожиданий. Это важно при организации кластерных фаерволов, которые должны пропускать соединения по протоколам, использующим связанные соединения (например, FTP). В частности, если срезу после передачи PASV от клиента на удаленный сервер, активная нода кластера ушла в даун, есть шансы, что сменщик уже будет знать о соединении данных и корректно пропустит его (без синхронизации ожиданий это соединение в такой ситуации было бы заблокировано без вариантов).
| |
|
|