The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Ubuntu 20.10 планируют перейти с iptables на nftables

27.08.2020 17:28

Следом за Fedora и Debian разработчики Ubuntu рассматривают возможность перехода на использование по умолчанию пакетного фильтра nftables. Для сохранения обратной совместимости предлагается использовать пакет iptables-nft, предоставляющий утилиты с тем же синтаксисом командной строки, как и в iptables, но транслирующий полученные правила в байткод nf_tables. Изменение планируется включить в состав осеннего выпуска Ubuntu 20.10.

Это вторая попытка перехода Ubuntu на nftables. Первая попытка была предпринята в прошлом году, но была отклонена из-за несовместимости с инструментарием LXD. Теперь в LXD уже имеется встроенная поддержка nftables и он может работать с новым бэкендом для фильтрации пакетов. Для пользователей, которым недостаточно прослойки для обеспечения совместимости, оставлена возможность установки классических утилит iptables, ip6tables, arptables и ebtables со старым бэкендом.

Напомним, что в пакетном фильтре nftables унифицированы интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком.

Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

  1. Главная ссылка к новости (https://lists.ubuntu.com/archi...)
  2. OpenNews: Выпуск пакетного фильтра nftables 0.9.5
  3. OpenNews: Для ядра Linux предложен новый пакетный фильтр bpfilter
  4. OpenNews: Релиз Linux-дистрибутива Fedora 32
  5. OpenNews: В Debian 11 предлагается по умолчанию задействовать nftables и firewalld
  6. OpenNews: Релиз iptables 1.6.0
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/53608-nftables
Ключевые слова: nftables, ubuntu
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (158) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Xasd6 (?), 17:29, 27/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    в archlinux я уже перещёл.

    не жалею. nft всё для людей

     
     
  • 2.4, tolstushka.ru (ok), 17:44, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > nft всё для людей

    Кроме хорошей задокументированности.
    "Записки на манжетах" в виде каких-то годами не обновлявшихся разрозненных wiki-страниц - не в счёт.

     
     
  • 3.10, Аноним (10), 17:59, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    https://wiki.nftables.org/wiki-nftables/index.php/Special:AllPages
     
     
  • 4.28, пох. (?), 19:02, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +10 +/
    вам и говорят, что вики-мусорка не является документацией.

     
  • 3.113, Аноним (113), 17:57, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Кроме хорошей задокументированности.

    После внедрения в популярные дистры должно появиться много статей по настройке.
    Кто знает, может через пару лет и появится подробное обучающее руководство по nft.

    Сейчас формат подробных howto считается LT;DR, всем подавай готовые правила на serverfault. Хорошо хоть не ролики на ютюбе... :)

     
  • 2.6, Аноним (10), 17:49, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    nft-cli очень бажный.
     
  • 2.95, Аноним (95), 12:55, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ребята подскажите LXD это ведь дальнейшее развитие LXC или как?

    в ubuntu lxc вроде свежее, а в debian unstable не очень и в nixos не очень,
    что мейнстрим?

     
     
  • 3.100, Аноним (100), 13:56, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для контейнеров-приложений - докер, для контейнеров с полноценной ОС - proxmox (openvz).
     
     
  • 4.117, Анон123 (?), 18:47, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Не путайте тёплое с мягким.

    Proxmox с этой ссаниной не запустится на нормальном ядре, нужно будет испохабить ведро испражнениями от parallels. Да и не всякое ядро возможно так испохабить - стоковое от ubuntu-20.04 - никак нет, стоковое от CentOS-8 - тоже нет.

     
     
  • 5.134, mikhailnov (ok), 17:09, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы перепутали OpenVZ и Proxmox и испражнения с технологиями, ставшими основой контейнерной виртуализации в Linux
     
  • 3.116, Анон123 (?), 18:44, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не, это параллельная ветка.
    В ней стараются сделать что-то докеро-подобное, только для lxc. Идея в том, что у докера есть registry и демон-супервизор, а у lxc такого нету. Вот они хотят это всё прикрутить к lxc. Прикостылить.
     
     
  • 4.141, Аноним (100), 22:35, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если к lxc добавить супервизор и реестр, получится докер. Если не добавлять супервизор, но добавить ресстр - podman. И они, кстати, работают со стандартизированным форматом контейнеров - OCI.
    Вряд ли каноникл сможет предложить что-то более интересно, чем несовместимую ни с чем собственную инфраструктуру, которая делает все то же самое, но полностью контролируется одной корпорацией. Как они пытались это сделать с Upstart и Mir, как сейчас пытаются со Snap.
     
  • 3.138, Роман (??), 21:32, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В дебиане можно поставить lxd из снапа (в 10ке по крайней мере)

    LXD - это такой LXC только для людей а не для страданий. Примерно как графическое окружение рабочего стола против работы только в консоли - вроди и в консоли почти все можно, но страдать придётся знатно.

     
     
  • 4.140, Аноним (100), 22:28, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В том смысле, LXD нужен в основном для любителей повозить мышу на сервере?
     
     
  • 5.149, Роман (??), 09:26, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    нет, мышки были для аналогии
     

  • 1.2, Аноним (2), 17:34, 27/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Debian давно перешел. Сперва непривычно, потом ничего, освоился.
     
     
  • 2.17, Аноним (-), 18:18, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    И это хорошо. Прогресс не обошел дебиан.
     
  • 2.49, Аноним (49), 23:17, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в 10? Хорошо, что я этого не заметил. Правила влом переписывать, но все работает.
     

  • 1.3, Наташа (??), 17:40, 27/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А есть сравнения почему nftables лучше? Ну там синтаксис лучше? Возможностей больше?
     
     
  • 2.7, Аноним (7), 17:52, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "nftables vs iptables" в гугле.
    Синтаксии на любителя. Возможностей больше.
     
     
  • 3.62, Аноним (62), 06:14, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Возможностей больше

    но пока даже старые возможности из iptables не все реализованы.

     
  • 2.8, Аноним (8), 17:57, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Можно сделать правила компактнее.
     
  • 2.13, Аноним (-), 18:12, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Да.
     
  • 2.40, Takishima (ok), 21:36, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Разработчик рассказывает:
    https://youtu.be/9Zr8XqdET1c?t=187
    https://youtu.be/9Zr8XqdET1c?t=513

    Вкратце:
    один и тот же код в iptables дублируется 4(!) раза для ipv4/6, bridge и arp, потому что в своё время копипастили

    нет стандартной библиотеки для работы с правилами (поэтому все запускают команду iptables, чтобы поменять что-то)

    несколько разных команд для управления ipv4/6, bridge, arp с различающимся синтаксисом

    кривая архитектура — загружается тупо блоб в ядро, а iptables -A/-D реально сводится к «скачать все правила, добавить/удалить 1 строку в userspace, загрузить все правила»

    ядро не знает что изменилось в правилах

    изменения не атомарные

    если два iptables меняют одновременно правила, один из них сфейлится и изменения могут потеряться

    и т.п.

     
     
  • 3.50, Аноним (49), 23:19, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    В общем ничего существенного. Обычно всем достаточно ipv4, а прочими утилитами и пользоваться не умеют.
     
     
  • 4.91, Аноним (100), 12:12, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Отучаемся говорить за всех.

    На базе моста и ebtables можно собрать такой умный свич, что готовым умным свичам и не снилось.

     
  • 3.106, Павел (??), 16:03, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так почему не решить все эти проблемы и оставить старый привычный синтаксис.
     
     
  • 4.110, Xasd6 (?), 17:24, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    для любителей старого синтаксиса есть прослойкасовместимости.

    а зачем было вообще "изобретать" новый синтаксис?

    выглядет поприятнее вот собственно и всё. при условии что сравнение производится человеком знающим оба варианта.

     
  • 4.122, Takishima (ok), 23:41, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Старый синтаксис ущербен до невозможности. Пора двигаться дальше.
     
  • 2.51, Your Mama (?), 23:19, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    nft лучше из-за:
    1. Производительности. исполнять байткод быстрее чем применять правила.
    2. Унификации. Все протоколы через один интерфейс. Не нужны больше ip6tables.
    3. Архитектуры. Грузится байткод, вся логика компиляции правил в байткод отделена в userspace утилитки. Unix-way во все поля.
    4. Расширяемости. Можешь любую логику скомпилить и в nf_tables загрузить.
     
     
  • 3.70, А10 (?), 07:51, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Простите, если спрошу что-то не то, но как Fail2ban работает с nftables (на сколько они совместимы)?
     
     
  • 4.81, Аноним (81), 10:15, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    nftables support was added in release 0.9.4.

    > actionban = <nftables> add element <table_family> <table> <addr_set> \{ <ip> \}

    чему тут быть несовместимым, если они по факту генерируют команду и дергают утилиту

     
  • 3.118, Анон123 (?), 19:02, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    1. Я надеюсь, вы понимаете, что время исполнения этого байткода на фоне времени работы файрволла - это настолько несущественный пшик, что им можно пренебречь? За сколько у вас отрабатывает iptables-restore? Менее пары секунд.

    2. Уверен, что костыли, применяемые для iptables, благополучно будут применены для nft.

    3. Надеюсь, вы в курсе, что вся логика iptables тоже работает в userspace.

    4. Ждём nginx на nftables а также сервера приложений на байткоде nft.


    Думаю, тут будет та же история, что и с lua в ядре NetBSD. на расширенную функциональность все завернут болт и будут пользовать nft, как ipt и материть поехавший синтаксис nft.

     
  • 2.145, Аноним (145), 00:39, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Добавлю сравнения и ощущения от перехода от себя Документация nftables на момен... большой текст свёрнут, показать
     
  • 2.159, Аноним (159), 16:35, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > унифицированы интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов

    etc

     

  • 1.5, Hellscream (?), 17:47, 27/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –12 +/
    Костыль на костыле и костылём подпирает... Когда уже IBM запилит нормальный FW в свою ось?
     
     
  • 2.14, Вася (??), 18:13, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Ждём, когда Леннарт напишет systemd-firewalld?

    WAIT! OH SHI~

     
     
  • 3.15, Hellscream (?), 18:16, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Ждём, когда Леннарт напишет systemd-firewalld?
    > WAIT! OH SHI~

    Зачем, если можно просто с*дить у OpenBSDишников?

     
     
  • 4.35, Daemon (??), 20:26, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Опередил. pf самое то :)
     
  • 4.77, zurapa (ok), 09:57, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Может хватить уже c*вать? Может стоит перейти на OpenBSD, поддержать проект, хотя бы на уровне пользователя этой системы. Я про серверный вариант использования, а не про Desktop.

    А то прикармливаете этих... в клетчатых рубашках с бородами винтажными и со смузи...

     
     
  • 5.85, Hellscream (?), 11:28, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Может хватить уже c*вать? Может стоит перейти на OpenBSD, поддержать проект, хотя
    > бы на уровне пользователя этой системы. Я про серверный вариант использования,
    > а не про Desktop.
    > А то прикармливаете этих... в клетчатых рубашках с бородами винтажными и со
    > смузи...

    OpenBSD — это лучшее, что сегодня есть в мире UNIX-Like, но у неё тоже имеется ряд очень серьёзных проблем, а именно: устаревшая файловая система и никакущая поддержка оборудования. Я бы и рад работать только с опёнком, но увы.

    p.s. А что плохого в смузи? Вкусно и полезно же.

     
     
  • 6.88, Аноним (100), 12:05, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > OpenBSD — это лучшее, что сегодня есть в мире UNIX-Like, но у неё тоже имеется ряд очень серьёзных проблем, а именно: устаревшая файловая система и никакущая поддержка оборудования. Я бы и рад работать только с опёнком, но увы.

    Именно эти "проблемы" и делают ее лучшей в мире UNIX-Like. "Чем хуже - тем лучше"

     
     
  • 7.92, Hellscream (?), 12:14, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> OpenBSD — это лучшее, что сегодня есть в мире UNIX-Like, но у неё тоже имеется ряд очень серьёзных проблем, а именно: устаревшая файловая система и никакущая поддержка оборудования. Я бы и рад работать только с опёнком, но увы.
    > Именно эти "проблемы" и делают ее лучшей в мире UNIX-Like. "Чем хуже
    > - тем лучше"

    Ну сорян, чё. OpenBSD разрабатывается сообществом энтузиастов, а не транскорпорациями, как Linux.

     
     
  • 8.101, Аноним (100), 13:57, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо этого стесняться ... текст свёрнут, показать
     
     
  • 9.108, Hellscream (?), 17:05, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Стесняться нужно не опятам, а дармовым бетатестерам IBMовской галере А опята чт... текст свёрнут, показать
     
  • 6.124, zurapa (ok), 09:39, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, хотя бы для того, чтобы поддержать и развивать проект Сейчас, может, чуть б... большой текст свёрнут, показать
     
     
  • 7.129, Hellscream (?), 10:12, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я могу поддержать OpenBSD донатами, разве что. Нет того уровня квалификации, который там требуется.

    p.s. Смузи — это просто фрукты/ягоды/орехи/овощи/зелень/мёд/etc. Полезная и вкусная штука же.

     
     
  • 8.142, Аноним (100), 22:38, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по недавно вылезавшим дыреням, высоких требований к уровню квалификации там... текст свёрнут, показать
     
     
  • 9.143, Hellscream (?), 22:54, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ты наверное лучше сможешь Иди покажи мужикам, как правильные посоны код пишу... текст свёрнут, показать
     
  • 7.154, Туретта Хуюндберг (?), 11:50, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > я не пробовал смузи, не знаю, что это, и куда заливается, но слышал, что дровосеки в клетчатых рубашках носящие городе имя девопс, любят его.

    Открою секрет: у смузи и гироскутеров целевая аудитория - дети, лет девяти.

    P.S. В вашей деревне, наверное, мужик зубы вставил и все подумали, что он метросексуал.
    А как слово "смузи" услышали, так дружно всей деревней ржали. Наши коровы смузи не дают.

     
  • 4.89, Аноним (100), 12:09, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем, если можно просто с*дить у OpenBSDишников?

    Можно, но не нужно. Все-таки, возможности pf весьма скромны в сравнении с nft.

     
     
  • 5.93, Hellscream (?), 12:19, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Зачем, если можно просто с*дить у OpenBSDишников?
    > Можно, но не нужно. Все-таки, возможности pf весьма скромны в сравнении с
    > nft.

    Хирургический скальпель и швейцарский нож.

     
     
  • 6.102, Аноним (100), 13:59, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    pf здесь скорее обломок ножовочного полотна. Работать можно, особенно если изолентой обмотать.
     
     
  • 7.112, Аноним (-), 17:47, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > pf здесь скорее обломок ножовочного полотна. Работать можно, особенно если изолентой обмотать.

    То ли дело "умный" дилдак из полиэстосиликона, с планкой Пикатинни, лазерным дальномером и 8к тачскрином. Казалось бы, тотальное превосходство в технологиях, все дела - а на деле годен только для ...


     
     
  • 8.126, zurapa (ok), 09:42, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты работал на ём Не рекомендуешь Просто как раз встал вопрос попробовать дилда... текст свёрнут, показать
     
  • 5.125, zurapa (ok), 09:41, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Зачем, если можно просто с*дить у OpenBSDишников?
    > Можно, но не нужно. Все-таки, возможности pf весьма скромны в сравнении с
    > nft.

    Это вы со знанием дела говорите?.. Не упрёк. Интересно развёрнутый ответ.

    Кстати nft, если не ошибаюсь от NetBSD'шников пошёл в массы.

     
  • 2.39, Anonymou (?), 21:14, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Звините, в какую из?)
     
  • 2.48, Аноним (48), 22:57, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Уже есть firewalld.
     
     
  • 3.80, zurapa (ok), 10:15, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Ага И между прочим поприятней в эксплуатации, чем iptables, если не старпёр при... большой текст свёрнут, показать
     
     
  • 4.146, Аноним (145), 02:39, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Глупости какие-то firewalld не умеет в SNAT, только маскарад Это первое что пр... большой текст свёрнут, показать
     

     ....большая нить свёрнута, показать (24)

  • 1.9, бублички (?), 17:58, 27/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > была отклонена из-за несовместимости с инструментарием LXD

    а Docker умеет nftables? что-то помню были проблемы и приходилось iptables пользоваться. так-же интересно как с этим делом например у Strongswan. да и у OpenVPN

     
     
  • 2.12, Аноним (10), 18:09, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Через рукоблудство только.
     
  • 2.87, Аноним (100), 12:03, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > а Docker умеет nftables?

    Docker умер уже больше года как. Кто этим будет заниматься?

     
     
  • 3.90, бублички (?), 12:11, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> а Docker умеет nftables?
    > Docker умер уже больше года как. Кто этим будет заниматься?

    умер твой мозг, включая спинной. приготовься, сейчас тебя отключат от системы поддержания функции сердца. пока

     
     
  • 4.147, Аноним (145), 03:30, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В зависимости от того что аноним выше имел в виду под Docker. Если формат контейнеров и синтаксис утилит или концепцию в целом, то ты прав. Если он говорит про Docker Swarm и демон докера, то есть про всякие управляющие части, то оно действительно умирает.
    nftables, cgroupsv2, eBPF где это всё? Docker был так озабочен поддержкой Windows, что теперь у него проблемы современным Linux. Тем временем Windows тихо и незаметно выкатывает WSL2, где будут работать другие container engines, а не только докер. Фееричность подставы столь былинна, что стоит задуматься не заключал ли часом Docker партнёрских контрактов с MS. =)
    Конечно оно пока шевелится, но доля OpenShift/OKD заставляет задуматься о перспективах "чистого" докера, в сравнении с подманом.
     
     
  • 5.148, бублички (?), 07:39, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо за информацию

     
  • 3.127, zurapa (ok), 09:46, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> а Docker умеет nftables?
    > Docker умер уже больше года как. Кто этим будет заниматься?

    Как умер?!

     
  • 2.158, klogg4 (ok), 14:21, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По поводу StrongSwan (да и OpenVPN) - не поддерживают, но это особо не мешает, т.к. правила всё равно лучше писать самостоятельно, чтобы разрешать доступ не ко всему подряд, а только к отдельным ресурсам. Я пока не знаю nft, поэтому поднимал правила для strongSwan через iptables-фронтенд. Это было на CentOS 8. Всё отлично работало.
     

  • 1.11, Аноним (11), 17:59, 27/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –19 +/
    Всё для мышковозов с подвёрнутыми штанишками. Это печально. Хотя погодите-ка.. Это же Ubuntu.  Печально это про дебиян. Хотя и он давно уже не тот, так что печалиться нечему.
     
     
  • 2.16, Аноним (-), 18:16, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Пока ты там крacноглaзил в консоли, я заработал на загородный дом с шикарным видом на горы и чистую речку. А все благодаря умению возить мышкой в нужном направлении. Продолжай и дальше нyдить и крacноглaзить, к 60 годам может закроешь ипотеку на свою однушку...
     
     
  • 3.18, Аноним (18), 18:29, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Торгуешь своей пятой точкой что ли? Ну зато денег много, хорошее дело. Некоторым людям комфортней жить без денег добытых таким путём, в этом тоже нет ничего предосудительного.
     
     
  • 4.26, пох. (?), 19:01, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Торгуешь своей пятой точкой что ли?

    ты-то своей на домик не наторговал, кому нужна твоя тощая и морщинистая?
    Вот и завидуешь...

    Ага, комфортнее ему жить без денег, хахаха.

     
     
  • 5.31, Аноним (18), 19:12, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так я не завидую, говорю же, надо использовать пока есть спрос. А насчёт денег… Если выбор между убиваться (с бессмысленной целью) и рисковать (в том числе свой и чужими жизнями) или жить без всего этого, то тут всё не так однозначно. Есть деньги -- хорошо, нет -- будут, идти по головам и гадить на ближнего ради них, это тоже не для каждого.
     
     
  • 6.59, Фрейд (?), 04:02, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А при чем здесь пятая точка? Чувак написал что возит мышкой, а ты как-то на попки съехал... О чем это говорит? ;)
     
     
  • 7.135, пох. (?), 17:26, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А при чем здесь пятая точка? Чувак написал что возит мышкой

    Ну мало ли, чего он там написал, чувак этот... Депардье тоже вон с пафосом писал, что "работал с 14 лет". А каким местом работал - это потом выяснилось как-то между делом.

    Зато у него виноградники во Франции, квартира в Грозном и паспорт в том же отделении выдан, что Боширову с Петровым.
    А ты доширак жрешь...

     
  • 6.155, Туретта Хуюндберг (?), 12:15, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А насчёт денег… Если выбор между убиваться (с бессмысленной целью)
    > ...это тоже не для каждого.

    Отмазки импотента.
    Сидеть в полной заднице и ничего не делать, оправдывая это своей высокодуховностью.

    А я не такая. Я жду трамвая.

     
     
  • 7.160, Аноним (18), 18:11, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я, конечно, могу понять подобную позицию, но ты либо цитировать не умеешь, либо у тебя проблемы с восприятием.
     
  • 5.34, Аноним (34), 19:45, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ну так это ж классика. Если у линуксоида чего-то нет, то это объявляется ненужным, а все, у кого оно есть - тупыми хомячками.
     
  • 3.21, Аноним (18), 18:45, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем ты себе плюсы накрутил? Ты вообще нормальный? Хотя, чего я спрашиваю, будто это не очевидно.
     
  • 3.36, Аноним (36), 20:33, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    hadjob? :)

    Мог быстрее, ротиком

     
     
  • 4.60, Фрейд (?), 04:03, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вам виднее, не отвлекайтесь от процесса, пожалуйста. ;)
     
  • 3.66, Аноним (66), 06:45, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Пока ты там крacноглaзил в консоли, я заработал на загородный дом с
    > шикарным видом на горы и чистую речку. А все благодаря умению
    > возить мышкой в нужном направлении. Продолжай и дальше нyдить и крacноглaзить,
    > к 60 годам может закроешь ипотеку на свою однушку...

    Это исповедь виндового девопсёра или же маня-фантазии мамкиного кодира?!

     
  • 3.94, Аноним (94), 12:34, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Без личного острова твои мечтания недостаточно влажные.
     
  • 3.128, zurapa (ok), 09:53, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прости Как твоё благосостояние повышает твою экспертную оценку, или тебя как сп... большой текст свёрнут, показать
     
  • 2.19, Hellscream (?), 18:37, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Либо запили форк ядра, либо топай на OpenBSD. чО ты ноешь? Linux это корпоративная собственность IBM, как они скажут, так и будет. Если они захотят, то хоть защитник виндавс сделают дефолтом и ты буешь это кушать.
     
     
  • 3.20, Аноним (18), 18:44, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тел ми моар.Зачем ты мешаешь юзерленд (который вообще гну) с нагромождением всяких поделок на моно, жс и питоне, с самим ядром? Отчасти ты прав конечно, вон голубая шапка захардкодила дбас и навязала вейланд, но я уверен мне просто не хватило желания и/или квалификации отвязать. Если будут навязывать откровенно зловредные компоненты, очевидно, что сразу полетит на помойку, но что-то этого пока не случилось и даже предпосылок особых нет. Речь то идёт об отдельных костыльных дистрибутивах, со всякими флатпаками и прочей шляпой, за счёт которых они пытаются занять хоть какую-нибудь нишу и усидеть в ней, но правда в том, что им пора отправляться на свалку истории.
     
     
  • 4.22, Hellscream (?), 18:52, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Да взять вот, например, тe же systemd, pulseaudio, gnome3. Как сообщество не бурлило говнами, какие только драмы не разворачивались, форкались топовые дистрибутивы и тд. И что всё это дало? Теперь эта лажа является корпоративным стандартом, а IMB чётко указала "свободному и независимому" сообществу на его место.
     
     
  • 5.27, Аноним (18), 19:02, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да всё нормально, apulse работает лучше пульсаудио (например, нет искажений звука и задержек), ladspa прекрасно с alsa работает -- у меня прямо сейчас включено несколько плагинов не обновлявшихся с 2003 (лучше ничего не придумали, вроде в пульсаудио что-то было), logind и udev идут отдельными пакетами от systemd (от второго ещё можно отказаться, а с consolekit всякие шапки постоянно создают проблемы и он не обновляется, но в принципе можно и отказаться от DE). Корпоративным стандартом является то, что максимально легко контролировать и чем можно удобно управлять централизованно. Это, кстати, одна из причин успеха венды. Сообщество продолжает жить по своим правилам, нет проблем.
     
     
  • 6.32, Hellscream (?), 19:15, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Сообщество полностью отстранено от разработки и продолжает подпираться костылями, вместо того, чтобы пользоваться грамотно спроектированной системой и участвовать в её развитии.

    Так будет более честно.

     
     
  • 7.42, Аноним (42), 21:57, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Бесплатный софт и никакой свободы.
     
  • 7.65, Аноним (65), 06:43, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    На самом деле сообщество не настолько организовано, а те кучки, что кое-как орга... большой текст свёрнут, показать
     
     
  • 8.76, Hellscream (?), 09:08, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Free Sostware as it is ... текст свёрнут, показать
     
  • 7.130, zurapa (ok), 10:13, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Сообщество полностью отстранено от разработки и продолжает подпираться костылями, вместо
    > того, чтобы пользоваться грамотно спроектированной системой и участвовать в её развитии.
    > Так будет более честно.

    Что вы подразумеваете под хорошо спроектированной системой?

     
     
  • 8.131, Hellscream (?), 10:21, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это OpenBSD, только с быстрой файловой системой, хорошей поддержкой оборудования... текст свёрнут, показать
     
  • 5.63, Аноним (62), 06:20, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Теперь эта лажа является корпоративным стандартом

    А какая разница какие стандарты у корпораций если ты в них не работаешь?

     
  • 4.24, пох. (?), 18:56, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Если будут навязывать откровенно зловредные компоненты

    то у тебя снова не хватит желания и квалификации.

    Жри с лопаты что дают, и благодарить повелителей не забывай!

     
     
  • 5.29, Аноним (18), 19:05, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я раньше патчил иксы, но потом меня перестал напрягать засраный лог, они же просто жалуются на недоступность компонентов и это никак не сказывается на работе. А вейланд или иксы в принципе вообще всё равно, лишь бы всё работало. В крайнем случае можно вообще выкинуть целиком и заменить на что-нибудь другое. Как например systemd заменяется на s6.
     
  • 2.25, пох. (?), 19:00, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Всё для мышковозов с подвёрнутыми штанишками. Это печально. Хотя погодите-ка.. Это же Ubuntu.  

    да, и они ПОСЛЕДНИЕ - остальные уже перешли. (так что, внезапно, не там вы ищете мышковозов)

    Все, забудьте - управляемого админом пакетного фильтра в линуксе нет. Есть невменяемые инструменты типа ufw и firewall-cmd, учите очередные нескучные синтаксисы.

     
     
  • 3.30, Hellscream (?), 19:09, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >учите очередные нескучные синтаксисы

    Которые через несколько лет обрастут новыми костылями либо вообще будут выброшены на помойку и заменены новыми супер мега ёба передовыми тулзами. Лол

     
     
  • 4.52, пох. (?), 00:12, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>учите очередные нескучные синтаксисы
    > Которые через несколько лет обрастут новыми костылями либо вообще будут выброшены на
    > помойку и заменены новыми супер мега ёба передовыми тулзами. Лол

    Конечно! Прогресс не остановить!

    Ведь индусы, преподающие на курсах очередной firewall-shitcmd, иначе бы остались без работы, когда вы уже один раз выучите. А так - у них каждый год есть что вам рассказать!

    Файрвола, правда, зато нет, ну так пакетный фильт в XXI веке сплошного 443/tcp тоже не особо-то и полезен, а никакого другого в линуксе не будет никогда.

    Иначе, опять же, могут пострадать бизнесы уважаемых спонсоров, типа там циски или елыпал...простите, палыальты.

     
     
  • 5.64, Аноним (62), 06:33, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а никакого другого в линуксе не будет никогда

    В линуксе будет тот файрвол, который нужен людям способным его написать, только и всего.

     
     
  • 6.67, пох. (?), 07:20, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    у вас опечатка в слове "пропихнуть" (в ведро).

    Да и не люди это, фейсбук с rhbm.

     
     
  • 7.103, Аноним (100), 14:01, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Естественно. Netfiler Core Team - те еще пропихиватели своих поделок, да.
     
  • 7.123, бублички (?), 00:25, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > "пропихнуть" (в ведро).

    уверен, это твоё любимое занятие, помимо размазывания бесконечных соплей под каждой новостью на OpenNET. в самовар пропихни для разнообразия, в ведро то скучно - от скуки с ума сходишь

     
  • 6.136, пох. (?), 17:44, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > В линуксе будет тот файрвол, который нужен людям способным его написать, только и всего.

    без конца переписывать, вы хотели сказать?
    А то ж уже два было. Причем каждый новый ломал что-то уже работавшее, и работавшее - хорошо, со словами "ну это было ненужно...нужно, но мне сейчас некогда, как только допилим, сразу добавим" и так далее.

    Ну и люди, способные что-то такого объема написать, нынче обычно способны на это потому, что кто-то оказался способен им заплатить, а не потому что им некуда девать свободное время.

    А то, что устраивает гугля с мордокнигой - может оказаться не очень удобным всем остальным.

     
  • 3.58, Аноним (48), 01:45, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Все, забудьте - управляемого админом пакетного фильтра в линуксе нет. Есть невменяемые инструменты типа ufw и firewall-cmd, учите очередные нескучные синтаксисы.

    Не в курсе, что firewall-cmd управляет firewalld? Никто вас не заставляет ставить firewalld. Nftables прекрасно настраивается сам по себе.

     
  • 2.71, Аноним (71), 07:51, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не все зациклены на деньгах.
     
     
  • 3.72, ryoken (ok), 08:39, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Покажите штук 5 этих невсех...
     
     
  • 4.137, пох. (?), 17:45, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Покажите штук 5 этих невсех...

    да, я бы тоже отжал у них немного мелочи.

     

     ....большая нить свёрнута, показать (40)

  • 1.23, Аноним (-), 18:55, 27/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    помянем
     
  • 1.37, Аноним (37), 20:39, 27/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    В слове nftables забыли букву "systemd"
     
     
  • 2.53, пох. (?), 00:12, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > В слове nftables забыли букву "systemd"

    все нормально, systemd-firewalld уже поддерживает nft. Собственно, он - одна из причин впихивания этого хлама.

     
     
  • 3.57, Аноним (48), 01:41, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Собственно, он - одна из причин впихивания этого хлама

    Неправда. Firewalld поддерживает iptables давно.

     
     
  • 4.68, пох. (?), 07:30, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >>Собственно, он - одна из причин впихивания этого хлама
    > Неправда. Firewalld поддерживает iptables давно.

    поддерживал. Но по очевидным причинам iptables плохо приспособлены к управлению нескучным демоном (да еще и с авторами, ниасилившими sed).

    Поэтому и получите это порождение сна разума. С абсолютно нечитаемой, неотлаживаемой, непригодной для cli (а вам зачем, есть же firewall-cmd) конфигурацией. А роботу - роботу на этим мелочи, понятно, похрен.

    Зато доделать несколько мелочей за Ржавым - не нашлось никого за двадцать лет. Сам он обещался кактолькотаксразу, но, видимо, ему на самом деле было не надо, работодатель за что-то другое платил, или он просто не понимал необходимости, не будучи админом - во всяком случае, ушел в туман так ничего из обещанного и не сделав.

     
     
  • 5.86, Аноним (48), 11:29, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Таблеточки прими.
     
  • 5.139, Роман (??), 21:56, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вероятно не всем очевидно что пилится это для роботов в общем-то в основном - дергать через АПИ, атомарность, убрать загрузку рулсета целиком - каким-нибудь условно Амазонам, Фейсбукам и прочим Редхатам, контейнерам и виртуалкам надо часто-часто менять правила изоляции, а затыки на выгрузку, парсинг и загрузку нового сета целиком им мешают.
    Ну и заодно, подозреваю что через netlink это всё делать удобнее [для программистов, не админов локалхоста, конечно].
     
     
  • 6.144, пох. (?), 22:59, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Вероятно не всем очевидно что пилится это для роботов

    Ну да, о том и речь. Не для людей.

    Теоретически, выхлопом могло бы стать появление настоящего файрвола, не пакетного фильтра из 90х, а практически, полагаю, будет очередное "как в винде" (как обычно - без наиболее ценных фич той винды, зато еще более неуправляемое), в "прочих редхатах", и - настоящие файрволы на этой базе - у мордокниги и амазонов, но с нами они не поделятся.

    Эту дэвушка не мы ужинали, не нам и танцевать :-(

     
     
  • 7.150, Роман (??), 09:29, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я не специалист по файрволам, но кажется чтобы сделать как в винде надо как-то чуть глубже интегрироваться с остальными подсистемами. Для людей у которых управление ООМ выносится на юзер левел и считается нормальным, такая интеграция кажется невозможной.
     
     
  • 8.153, пох. (?), 10:22, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    так в винде тоже файрвол донесен до юзерлевел - надо же как-то выснуть тебе под ... текст свёрнут, показать
     
     
  • 9.156, Роман (??), 12:25, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    То что он интегрирован с пользовательской частью это понятно, но может работать ... текст свёрнут, показать
     

  • 1.38, Иваня (?), 21:03, 27/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Неплох, но я в этом году не собираюсь переходить с Ubuntu 18.10
     
     
  • 2.41, Аноним (42), 21:55, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Держи в курсе. Мы волновались.
     
  • 2.45, Anm (?), 22:04, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я даже со slitaz 5.0 не собираюсь переходить :-)
     

  • 1.43, Аноним (43), 21:57, 27/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Осталось написать вменяемый GUI
     
     
  • 2.44, Аноним (10), 22:02, 27/08/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По типу ufw для одноклеточных?
     
     
  • 3.54, пох. (?), 00:16, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > По типу ufw для одноклеточных?

    ufw вообще-то предназначен для (написанных одноклеточными для таких же) postinstall скриптов, а не чтоб ты грязными лапами в него лазил (ты же можешь сломать скрипты!)

    А для людей предназначен cockpit. Ну и да, он поддерживает firewalld, а, стало бы, в новых версиях и nft. Но знать об этом хомячкам ничего не надо, да и нехомячкам бесполезно, ибо сломается.

     
     
  • 4.151, Роман (??), 09:33, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    вообще, если вылезти из локалхоста и представить что серверами управляют не админы вообще (на самом деле не хотят управлять, ну просто пока вот приходится немного), то ufw отлично ложится в использование cloud-init'ом (тот же пост инсталл конечно, только для системы).

    runcmd:
      - ufw allow OpenSSH
      - ufw enable
      - reboot

    такую нехитрую комбинацию осиливает +- любой разработчик и она в общем то safe enough для 99% случаев получается, в отличии от. Миллионы виртуалок по миру кивают мне вслед.

    И админ, заметим, не нужен при этом.

     
     
  • 5.157, пох. (?), 13:02, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    угу, угу, нинужен-нинужен.
    FritzFrog передает тебе пламенный привет.

    Илюшенька местный со своими 20k только до него лично докопавшихся червячков - кивает тебе вслед всеми 20k головами (или это у них жопа? Попробуй отличи.)

    _закрытый_ по умолчанию порт ssh (как, разумеется, и все остальные порты на вход) был в свое время даже в SuSE, не говоря уж о rh. Уже в 2000м году. Никакие чудо-новоделы в ведре для этого как раз были совершенно не нужны. Сложнее было обеспечить открытие только того и тем, кого надо, "неадмину" без элементарных знаний. Но админы не нужны, поэтому победили де6иллиан и его клоны, с отключенным начисто по умолчанию фильтром (до 2010 вообще без штатных механизмов) - ЭТО ди6илам ведь гораздо удобнее.

    Даже до высот "какввенде" (где половина файрвола открыта для "localnet" - очень удобно для какого aws с /12) не дошли - это ведь надо уметь на ходу определять что сегодня есть localnet - причем, подозреваю, в ядре это делается, а не userland каждый раз на ходу меняет правила.

    P.S. кстати, раз уж ты тут один из единиц, знающих про cloud-init, может можешь объяснить - как ему отключить удаление ssh server keys при каждой перезагрузке? (Можешь не объяснять, зачем он это делает, я догадываюсь что в тех пустых головах было.)

     
     
  • 6.161, Роман (??), 18:24, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пускай передаёт Понятно что у меня нет внутренней информации от хостеров или к... большой текст свёрнут, показать
     

  • 1.46, Никитушкин Андрей (?), 22:16, 27/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Информация для хомячков Linux опеннета:
    https://wiki.nftables.org/wiki-nftables/index.php/Supported_features_compared_
    https://wiki.nftables.org/wiki-nftables/index.php/Supported_features_compared_
    Это диверсия в области фильтрации пакетов для дистрибутивов Linux, если кто не понял или не в курсе...
     
  • 1.47, Аноним (47), 22:44, 27/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Насколько это совместимо с shorewall и ufw?
     
  • 1.55, Ilya Indigo (ok), 00:56, 28/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    sshguard с iptables работает значительно быстрее (добавление 20к IP-ков в бан при старте).
     
     
  • 2.56, бублички (?), 01:39, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ты что не напишешь, всё какой-то деревенский "выход из-за печки" - в красных шароварах и с гармонью. весь OpenNet с тебя прётся. открой для себя ipset
     
     
  • 3.74, Ilya Indigo (ok), 08:48, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Мне на мнение одного из многих анонимных аналитиков, вроде тебя и твоего друга (судя по комментам и мунусам), даже не начхать, Вас просто нет в плоскости моего мировосприятия.
     
     
  • 4.79, бублички (?), 10:13, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне на мнение одного из многих анонимных аналитиков, вроде тебя и твоего
    > друга (судя по комментам и мунусам), даже не начхать, Вас просто
    > нет в плоскости моего мировосприятия.

    ipset и множество других действительно пригодных инструментов для тебя тоже нет, ты в плоскости застрял со свим скудным восприятием мира. я давно понял что ты безграмотный и озлобленный тип. в очередной раз в этом убедился

     
     
  • 5.97, Алмаз Индиго (?), 13:00, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Человек индиго
     
     
  • 6.115, бублички (?), 18:34, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    да, из плоского мира, никак не научится мыслить объёмно или хотяб даже находить необходимые инструменты или информацию о них. так и вижу его в землянке с керосинкой
     
  • 2.61, Аноним (10), 05:16, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Говнокодер
     
  • 2.69, пох. (?), 07:43, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –7 +/
    > sshguard с iptables работает значительно быстрее (добавление 20к IP-ков в бан при
    > старте).

    это нимодно и нималадежна. Работать в смысле.

    И да, открой для себя убогий ipset (не забудь тщательно вызубрить еще один бессмысленный уродливый синтаксис, с раздельными правилами для отдельных адресов и блоков - смотри не перепутай что куда!). Очередное порождение сна разума неосиляторов юникс.

    (впрочем, этот бред скопипащен у *bsd, где ему нет альтернативы из-за отсутствия как раз линуксных tables - но когда это останавливало макаку?)

    Ты его, вероятно, полюбишь, после первой же попытки разобраться в том, почему пакеты не проходят сквозь nftшную невменяйку. В нем-то хотя бы есть 'test'.

     
     
  • 3.75, Ilya Indigo (ok), 09:00, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    А можно спросить, зачем мне открывать ipset для sshguard?
    Я прогуглил ipset на арчвики, это фреймвёрк для iptables для более удобного ручного добавления IP-ников в бан, в том числе и сразу всем сетом.
    1 ipset-у всё равно нужен iptables,
    2 Вручную бочить IP-ки мне не нужно, это автоматизированно делает sshguard.
    3 Я для себя как основной фаервол, например для создания NAT, уже открыл firewall-cmd, который управляет firwalld и не конфликтует с его правилами.
    4 Я попробовал перевести sshguard на ipset, и, видимо, он несовместим с firewalld.
    При запуске sshguard все правила открытия портов firwalld, видимо, затираются. С iptables такого не происходит.
     
     
  • 4.78, nekto (?), 10:06, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы неправы относительно ipset. Попробуйте на нагруженном линке обработать правила в которых много ип (20к) и посмотрите на загрузку процессора. Ipset нужен не для того, чтобы правила iptables упростить. Он как раз позволяет обрабатывать большое количество пакетов с минимальной нагрузкой на ядро. Разумеется, если у вас бегают пакетики с одного компа, вы ничего и не почувствуете. На трафике в 100К пакетов в секунду без ipset никак не обойтись.
    Что же касается nftables, то к нему придется привыкать.
     
     
  • 5.82, Ilya Indigo (ok), 10:19, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Благодарю за описание того, что такое ipset, и для чего он нужен.
    Никогда ранее про него не слышал, а с арчевики сразу не понятно для чего он нужен.
     
     
  • 6.84, бублички (?), 10:22, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ты элементарно не умеешь работать с информацией, не то что с правилами для блокирования 20 тысяч IP. тоже нашёл источник, ещё бы на гей.ру поискал
     
  • 5.105, Павел Отредиез (?), 15:54, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем ему производительность для ssh?
     
  • 5.111, пох. (?), 17:30, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    пробовал, проблем не увидел Правда, и смысла в этом тоже не очень много Вы себ... большой текст свёрнут, показать
     

  • 1.73, hubridmishkin (?), 08:42, 28/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот Ubuntu становится лучше хоть и сижу на manjaro, а Xubuntu с гавным в го*но катится в г***о.
     
  • 1.96, Аноним (95), 12:56, 28/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ребята подскажите LXD это ведь дальнейшее развитие LXC или как?
    в ubuntu lxc вроде свежее, а в debian unstable не очень и в nixos не очень,
    что мейнстрим?


     
     
  • 2.99, бублички (?), 13:52, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > ребята подскажите LXD это ведь дальнейшее развитие LXC или как?
    > в ubuntu lxc вроде свежее, а в debian unstable не очень и
    > в nixos не очень,
    > что мейнстрим?

    в какой-то мере да, зависит от твоих потребностей. подробности в google "lxc and lxd". есл продолжить о мнениях, то на мой взгляд Nixos сам по себе не очень. про какой Ubuntu и какой Debian ты говоришь? у меня в Debian 10 прекрасно работает lxc 4.0.2 из unstable ветки, в то время как в Ubuntu (лишь в Groovy) доступна 4.0.4, а для остальных (Focal, Eoan, Bionic) - та же 4.0.2, а-то и 3.0.х

     
  • 2.104, Аноним (104), 14:21, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    LXD это демон для LXC. Его развивает
    Ubuntu. Будущее технологии туманно, есть не решаемая проблема в архитектуре, поэтому это будет иметь ограниченное применение. Для не привилегированных контейнеров на любимом сервачке можно использовать смело. Для поддерживающей инфраструктуры то что надо, работает, обновляется, лишнего не берет, на хосте мусор не оставляет. Ставь proxmox живи счастливо.
     
  • 2.152, Роман (??), 09:38, 30/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    писал выше, дублирую
    В дебиане можно поставить lxd из снапа (в 10ке по крайней мере)

    LXD - это такой LXC только для людей а не для страданий. Примерно как графическое окружение рабочего стола против работы только в консоли - вроди и в консоли почти все можно, но страдать придётся знатно.

    Гуй приплетён для аналогии, конечно. LXC выглядит как работающий концепт, LXD выглядит как работающее решение.

     

  • 1.107, Секрет (?), 16:53, 28/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Зашёл в комментариях почитать отзывы/сравнения/советы, но кроме оскорблений ничего не увидел. Детский сад ... каждый раз себя ругаю, что до комментариев спускаюсь ...
    Ни кто не начал ещё UI на веб или cli писать для сабжа?
     
     
  • 2.119, Анон123 (?), 19:06, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Приступайте, уважаемый.
    Как протреблятствовать - это вы все такие готовые, а как что-то запилить самостоятельно - сразу пузыри пускаете.
     
  • 2.120, пох. (?), 19:31, 28/08/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ни кто не начал ещё UI на веб или cli писать для
    > сабжа?

    с разморозочкой вас - уже не то что начали, а собственно - сабж впихнули именно для того, чтобы удобно писать к нему *уи на веб.

    Разумеется, cockpit умеет в firewalld.

     
     
  • 3.133, Секрет (?), 12:43, 29/08/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот прям почти то! Но только простые вещи, DMZ сложное не построить ... спасибо за наводку!
     

  • 1.132, Аноним (132), 11:23, 29/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Как в этом модном молодёжном nftables ввести нужное каждому русскому человеку правило?

    iptables -A INPUT -p tcp -m tcp --sport 80 -m string --string "Location: http://lawfilter.ertelecom.ru" --algo bm --to 65535 -j DROP

     
     
  • 2.163, Никитушкин Андрей (?), 09:15, 01/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Никак (не поддерживается)! Я об этом писал выше.
    nftables - это осознанная диверсия в области фильтрации пакетов, для хомячков с Опеннета и ЛОРа.
     
  • 2.164, Никитушкин Андрей (?), 13:04, 01/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В вашем правиле для iptables конструкиця вида: "--to 65535" - совершенно ни к чему. Копипастить надо то, что нужно, а не то, что вам дают хавать (брать в рот - разг. америк.). Вообще это назвается скрипкиддингом.
     

  • 1.162, Сабир (?), 09:10, 31/08/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Синтаксис nft ужасный. Неужели нельзя придумать нормальный человеческий синтаксис, как например в фаерволе PF от OpenBSD.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру