Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Выпуск пакетного фильтра nftables 1.0.7, opennews (??), 14-Мрт-23, (0) [смотреть все] Лучший пакетный фильтр Хотя системы надо проектировать так, чтобы nftables ipta, Аноним (17), 14:01 , 14-Мрт-23, (17) // Лучший Уже 10 лет у них просят string hex match, в ответ используйте iptables , Аноним (20), 14:06 , 14-Мрт-23, (20) +2 // нет регулярок пичалько, Аноним (21), 14:10 , 14-Мрт-23, (21) // Регулярки - тяжесть , Аноним (63), 01:30 , 20-Мрт-23, (63) фильтровать айпишники по регуляркам и строкам вы там с дуба рухнули уже есть, Аноним (17), 14:16 , 14-Мрт-23, (23) // Причём тут IP Где я написал хоть слово про IP Мне содержимое пакетов надо анал, Аноним (26), 15:17 , 14-Мрт-23, (26) –1 и что же ты там по сырому потенциально зашифрованному телу пакета собрался фильт, Аноним (17), 15:30 , 14-Мрт-23, (27) Аноним, у тебя галлюцинации Где ты увидел слово зашифрованный трафик Сначала т, Аноним (26), 16:14 , 14-Мрт-23, (36) Приведи юзкейс уже для такого , Аноним (46), 20:29 , 14-Мрт-23, (46) +1 Непонятно почему человека заминусили У меня такой юзкейс в сторону бакэнда дела, _Kuzmich (ok), 08:27 , 15-Мрт-23, (51) +1 iptables -I INPUT -p tcp --sport 80 -m string --string Location http warning, saa (?), 18:23 , 19-Мрт-23, (61) пишешь нфтейблес пакеты перенаправлять в мою программу и там онализируешь , pfg21 (ok), 15:45 , 14-Мрт-23, (32) +2 Песец А вы мне подарите EPYC на 96 ядер, чтобы гонять трафик из ядра в userspace, Аноним (26), 16:13 , 14-Мрт-23, (35) –5 Значит просто, без задней мысли, пишешь нфтейблес пакеты перенаправлять в мой м, Аноним (39), 16:28 , 14-Мрт-23, (39) +2 50 мбайт с 96 ядер Такой поток пишется на жесткий диск 20 летней свежести о, Аноним (41), 19:11 , 14-Мрт-23, (41) Чел, чем ты там занимаешься , Аноним (46), 20:30 , 14-Мрт-23, (47) +2 Комменты пишет же, bergentroll (ok), 23:32 , 14-Мрт-23, (49) +2 Тебе лучше на чём-то из этого https www xilinx com products boards-and-kits al, Аноним (56), 12:21 , 15-Мрт-23, (56) fixed , Аноним (30), 15:37 , 14-Мрт-23, (30) –1 Изучаю базовые команды линуха Уже взялся тыкать iptables, но тут узнал, что это, Аноним (-), 14:35 , 14-Мрт-23, (25) // А в замен ничего не впиливают , Аноним (28), 15:34 , 14-Мрт-23, (28) по теме чем лучше написаны кучи статей, но сложных и мудреных iptables остае, pfg21 (ok), 15:44 , 14-Мрт-23, (31) iptables сейчас работает через nftables К тому же он проще, если его действитель, Аноним (33), 15:57 , 14-Мрт-23, (33) Лучше, ХЗ Сложнее на порядок и синтаксис ад - да, несомненно , Аноним (26), 16:15 , 14-Мрт-23, (37) +1 // Я голосую за приведения синтаксиса nftables к синтаксису rust И все будут довол, 1 (??), 09:09 , 15-Мрт-23, (52) Что в нём адово Синтаксис наподобие iproute2 , Аноним (56), 13:22 , 15-Мрт-23, (58) iptables никуда не денутся ещё всегда будут, просто потому что userspace API, Аноним (26), 16:18 , 14-Мрт-23, (38) // iptables - это не API ядра, это утилиты В ядре только, собственно, сам фильтр -, llolik (ok), 19:38 , 14-Мрт-23, (43) eBPF , Аноним (30), 15:35 , 14-Мрт-23, (29) не взлетит, пока доцкеры сидят на iptables, лютый ж.... (?), 17:17 , 14-Мрт-23, (40) +1   // Давно уже не использую iptables и вырубил его использование у докера вообще, тол, Аноним (42), 19:30 , 14-Мрт-23, (42)   // Волшебные номера вхардкожены, и - имена интерфейсов А тогда - не так всё просто, Аноним (63), 01:33 , 20-Мрт-23, (64)   Помнится мне обещали что ip4 скоро кончится, зато ip6 который мне присвоят не тр, Аноним (44), 19:48 , 14-Мрт-23, (44) // Наоборот же Не меньше, а больше брандмауэра, из-за отсутствия NAT Но ipv6 вс, Аноним (50), 06:17 , 15-Мрт-23, (50) +1 // И ещё более отличная, там где его нет , 1 (??), 09:10 , 15-Мрт-23, (53) +3 В Linux запилили NAT для IPv6 , Аноним (56), 13:17 , 15-Мрт-23, (57) // это не тот нат, что в ип4 , saa (?), 18:26 , 19-Мрт-23, (62) 1 IPv6 в РФ не присвоят, РКН против 2 Тебе безбожно врали , Аноним (56), 12:11 , 15-Мрт-23, (55) // Каво У меня пров 56 сети раздаёт Хошь подключай , Аноним (59), 15:01 , 15-Мрт-23, (59) Я не осилил, в отличие от iptables Это надо отдельно курс пройти по разработке , ChatGPT (?), 10:57 , 15-Мрт-23, (54) +2 17,25,29,40,44,54

Сообщения

[Сортировка по времени | RSS]

40. "Выпуск пакетного фильтра nftables 1.0.7"	+1 +/–
Сообщение от лютый ж.... (?), 14-Мрт-23, 17:17
не взлетит, пока доцкеры сидят на iptables
Ответить | Правка | Наверх | Cообщить модератору

	42. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (42), 14-Мрт-23, 19:30
	Давно уже не использую iptables и вырубил его использование у докера вообще, только мешается. Вот все достаточно просто: root@localhost:~# cat /etc/nftables.conf #!/usr/sbin/nft -f flush ruleset table inet filter {         chain input {                 type filter hook input priority 0; policy drop;                 ct state invalid counter drop comment "early drop of invalid packets"                 ct state {established, related} accept comment "established, related"                 iif lo accept comment "accept loopback"                 ip saddr 192.168.0.0/16 accept comment "accept private networks"                 ip saddr 172.16.0.0/12 accept comment "accept private networks"                 ip saddr 10.0.0.0/8 accept comment "accept private networks"                 ip protocol icmp accept comment "accept all ICMP types"                 #log prefix "Dropped: " flags all drop comment "dropped packets logger"                 #log prefix "Rejected: " flags all reject comment "rejected packets logger"                 counter comment "count dropped packets"         }         chain forward {                 type filter hook forward priority 0; policy accept;                 counter jump docker-user                 counter jump docker-isolation-stage-1                 oifname "docker0" ct state related,established counter accept                 oifname "docker0" counter jump docker                 iifname "docker0" oifname != "docker0" counter accept                 iifname "docker0" oifname "docker0" counter accept         }         chain output {                 type filter hook output priority 0; policy accept;         }         chain docker {         }         chain docker-isolation-stage-1 {                 iifname "docker0" oifname != "docker0" counter jump docker-isolation-stage-2                 counter return         }         chain docker-isolation-stage-2 {                 oifname "docker0" counter drop                 counter return         }         chain docker-user {                 counter return         } } table ip nat {         chain prerouting { type nat hook prerouting priority -100; policy accept;                 fib daddr type local counter jump docker         }         chain input { type nat hook input priority 100; policy accept; }         chain output { type nat hook output priority -100; policy accept;                 ip daddr != 127.0.0.0/8 fib daddr type local counter jump docker         }         chain postrouting { type nat hook postrouting priority 100; policy accept;                 oifname != "docker0" ip saddr 172.17.0.0/16 counter masquerade         }         chain docker{                 iifname "docker0" counter return         } }
	Ответить | Правка | Наверх | Cообщить модератору

	64. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (63), 20-Мрт-23, 01:33
	Волшебные номера вхардкожены, и - имена интерфейсов. А тогда - не так всё просто.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема