forum.opennet.ru

"Выпуск пакетного фильтра nftables 0.9.3"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Выпуск пакетного фильтра nftables 0.9.3"	+/–
Сообщение от Аноним (95), 08-Дек-19, 02:57
firewalld решает 4 задачи: - унификация интерфейса iptables/nftables. Даже если iptables нет и даже утилит обратной совместимости нет, то оно универсальное. - предложить готовый набор простых правил для большинства. Это самое статистическое большинство (видимо из клиентов редхата), ему не хочется знать iptables, ему надо 80-й и 443-й порт открыть, а тем кто делает NAT им и маскарада хватит. SNAT будьте любезны через rich-rule писать - применяет гуманитарный подход работы с интерфейсами типа "частный", "доверенный", "публичный" итд в привязке к NetworkManager - позволяет использовать системный рабочий фаервол для тех людей, которые хотят свои правила. Не вырубать фаервол и изобретать велосипед, а доопределить то что есть. Это касается только бекенда nft, в iptables так нельзя by design. Но справедливости ради, он убог, плохо документирован, многословен и пишет конфиги в xml. А что есть что-то лучше для менеджмента фаервола из юзерспейса? Не вручную правила ядру кормить, а именно пользовательский интерфейс управления?
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Выпуск пакетного фильтра nftables 0.9.3, opennews, 05-Дек-19, 12:20 [смотреть все]

Богомерзкий json Можно погибнуть в этом нагромождении скобочек, запятых и форма, pin, 05-Дек-19, 12:20 (1) //
- Это не JSON - не хватает двоеточий между параметром и значением и кавычек для ст, Moomintroll, 05-Дек-19, 12:32 (2) //
  - Богомерзкий n-ginx , Andrey Mitrofanov_N0, 05-Дек-19, 12:48 (5) //
    - Бо-й nginx , Аноним, 05-Дек-19, 14:13 (19)
- зато сразу понятна как целевая аудитория, так и стремление исключить любые ручны, крокодил мимо.., 05-Дек-19, 12:36 (3) //
  - К нему в качестве фронтенда идет firewalld firewall-cmd --add-service httpsЧем п, Аноним, 05-Дек-19, 12:54 (8) //
    - firewalld по-умолчанию является фронтендом к iptables, который в свою очередь в , Аноним, 05-Дек-19, 13:08 (10)
      - А объясните дураку еще одну вещь Если firewalld - фронтэнд к iptables nftables -, Аноним, 05-Дек-19, 13:37 (12)
        
        Я не изучал как именно это работает, но думаю он использует libxtables libnftnl , Аноним, 05-Дек-19, 13:59 (15)
        
        Спасибо, Аноним, 05-Дек-19, 14:01 (17)
      - А глянуть в официальную документацию религия не позволяет https firewalld org , anon123, 05-Дек-19, 15:21 (24)
        
        А я и заглянул Вот сюда https firewalld org documentation direct options htm, Аноним, 05-Дек-19, 15:28 (26)
        
        https firewalld org documentation man-pages firewalld richlanguage html, anon123, 05-Дек-19, 18:37 (40)
        
        А теперь попробуй с помощью этих правил разрешить ip forward между интерфейсами , Аноним, 05-Дек-19, 20:05 (48)
    - Я не могу представить ни себя и ни другого админа, который будет делать через fi, pin, 05-Дек-19, 14:54 (21)
      - Ну я делал роутер на firewalld и networkd Просто потому что захотелось упоротьс, Аноним, 05-Дек-19, 15:04 (23)
      - Там есть rich rules, которые всё это вполне позволяют, anon123, 05-Дек-19, 15:22 (25)
        
        Именно Они там есть потому, что firewalld только бестолковая обертка , pin, 05-Дек-19, 15:37 (27)
        А нафиг оно нужно то если первоисточник иптаблес проще логичнее для понимания , привет, 06-Дек-19, 10:55 (70)
        
        ну вот решение и найдено - удалить нахрен iptables, чтобы под капотом был набор , пох., 06-Дек-19, 16:28 (86)
        firewalld решает 4 задачи - унификация интерфейса iptables nftables Даже если i , Аноним, 08-Дек-19, 02:57 (95)
        
        лол Теперь у вас есть ТРИ совершенно разных интерфейса и три нескучных синтакси, пох., 09-Дек-19, 07:16 (97)
        
        В редхате чтобы не слушал кто-то другой делает SELinux , RHEL Fan, 09-Дек-19, 10:20 (99)
        
        Не, он такого не умеет в targeted mode, а остальные, собственно, для красоты, п, пох., 09-Дек-19, 12:06 (101)
  - вы отстали от жизни cockpit и html5 наше всьо детально копировать внешность нел, пох., 05-Дек-19, 16:18 (32) //
    - Это был сарказм , _hide_, 06-Дек-19, 13:34 (79)
      - нет, попробуй через iptables ограничить доступ, предположим, netcat у только вну, пох., 06-Дек-19, 16:33 (87)
        
        Сам придумал проблему, сам ее решай iptables ом , pin, 06-Дек-19, 17:15 (88)
        
        Это не надуманная проблема, это реальный блокер линукса на десктопе Разрешить з, Аноним, 08-Дек-19, 03:08 (96)
        
        Ну, в винде проблема другая, там пользователь тычет в разрешить не особо задум, RHEL Fan, 09-Дек-19, 10:30 (100)
        
        А потом всем неткатам на машине А потом произвольно придуманной группе процессо, имя, 06-Дек-19, 19:22 (90)
  - Лучше винбокс Эх, вот бы винбокс , работающий поверх стандартных линуксов, а не, Аноноим, 05-Дек-19, 19:53 (47)
- Двоешник, это ни разу не json , Аноним, 05-Дек-19, 19:25 (43)
- Это вообще ни в каком виде не JSON Кроме упомянутых JSON характекрен заковычи, all_glory_to_the_hypnotoad, 05-Дек-19, 22:29 (50)
Оно, конечно, может быть и удобнее, но конфиг iptables читается куда легче А эт, Аноним, 05-Дек-19, 12:44 (4) //
- А вы пишите для него правила в стиле iptables, раз вам так читабельнее nft add r, Аноним, 05-Дек-19, 14:00 (16) //
  - жесть какая, Аноним, 05-Дек-19, 14:55 (22)
  - вы, похоже, очередной вчерародившийся, все старье нинужна,ниниужна если это г-, пох., 05-Дек-19, 15:55 (28) //
    - Не знаю как кто, но я разобрался с nftables за 1 день Его структурный синтаксис, Аноним, 05-Дек-19, 23:04 (51)
      - разобрался - это кое-как ман прочитал Я так тоже могу, и не за один день, а за п, пох., 06-Дек-19, 10:20 (61)
        
        Для этого в nft изобрели даже сохраняемые комментарии , InuYasha, 06-Дек-19, 11:39 (75)
        
        угу, в nft, изобрели как вы достали, вчерародившиеся , пох., 06-Дек-19, 12:18 (76)
        
        Переделал все свои правила iptables в nftables Получилось короче , Аноним, 06-Дек-19, 14:19 (81)
    - Чтобы получить хоть что-то читаемое пришлось писать так add rule inet fw forwar, sabitov, 06-Дек-19, 19:37 (91)
- Синтаксис другой, но хороший, легко читаемый Есть возможность всё красиво отфор, InuYasha, 06-Дек-19, 11:36 (74)
Документация к нему есть Не записки на манжетах в виде десятка разрозненных wi, Аноним, 05-Дек-19, 12:48 (6) //
- Документацию у авторов отобрали санитары, Аноним, 05-Дек-19, 12:54 (7)
- man 8 nft недостаточно хорош , Аноним, 05-Дек-19, 12:59 (9)
- конечно нет, и не будет никогда, повторять подвиг автора lartc, которому ни одна, пох., 05-Дек-19, 15:58 (29)
- Есть, но некоторые мелочи из неё неочевидны например, что нельзя там одну хрень, InuYasha, 06-Дек-19, 11:30 (73)
Годнота, раньше на iptables-ах пользовался ferm, на фряхе пф-ом Перешел на nfta, Аноним, 05-Дек-19, 13:14 (11)
Они хотят nftables и бздунам пропихнуть , Аноним, 05-Дек-19, 13:52 (13) //
- Базовую систему нет, не б3дунов, а винукс Фо избавляют от GPLv3 зависимосте, Andrey Mitrofanov_N0, 05-Дек-19, 13:58 (14) //
  - А что так-то, Микрософт же тепереча стал борцом с патентами, участник OIN В GP, Аноним, 05-Дек-19, 14:05 (18)
Классный инструмент, спасиб, Иваня, 05-Дек-19, 14:31 (20)
Помер Линукс , Николашка, 05-Дек-19, 16:04 (30) //
- скорее, сделался вечноживой Но в целом, да, тот линукс - давным-давно мертв А, пох., 05-Дек-19, 16:13 (31) //
  - Оно появилось лет за 5 - 6 до покупки Шляпы ещё , Аноним, 05-Дек-19, 23:07 (52) //
    - Поболе , Аноним, 06-Дек-19, 00:27 (54)
    - причем тут оно , это просто еще один червяк в трупе, тыщи их Линух как нормаль, пох., 06-Дек-19, 10:21 (62)
      - Конкретно, когда P S Кто тебя заставляет использовать, к примеру, тот же system, Аноним, 06-Дек-19, 14:34 (82)
        
        я в неподдерживаемую маргинальную хрень - не могу, потому что работаю ей за день, пох., 06-Дек-19, 14:58 (83)
        
        Если есть волкодавы - можешь к нам приехать - волков бить - по 20 тр за шкуру пл, сосед, 11-Дек-19, 17:17 (102)
на него можно перетащить правила iptables не снимая свитера вроде был какой то , Аноним, 05-Дек-19, 17:15 (33) //
- конвертер год назад, когда я попытался им воспользоваться, ниасилил тривиальный , пох., 05-Дек-19, 18:08 (36) //
  - я тоже мануально переходил но синтаксис очень понравился, хотя есть некоторые н, InuYasha, 06-Дек-19, 11:28 (71) //
    - с этого места поподробнее - что стало удобнее , кроме чудовищного синтаксиса, н, пох., 06-Дек-19, 15:00 (84)
    - о да, они все за одно systecmt start proftpd echo 0 pgrep proftpd echo 1, pin, 06-Дек-19, 17:23 (89)
      - вы просто отсталый замшелый мамонт, неспособный зазубрить новый ненужный интерфе, пох., 09-Дек-19, 10:03 (98)
Есть VPN провайдер с кучей серваков по всему миру, IP адреса и подсети у них не , Olololo, 05-Дек-19, 18:04 (34) //
- Похожая идея описана тут, но у меня нету никаих ошибок при запуске второго конне, Olololo, 05-Дек-19, 18:05 (35)
- Это лог первого коннекта sbin ip link set dev tun0 up mtu 1500 sbin ip addr add , Olololo, 05-Дек-19, 18:10 (37)
- нет, нерешаема То есть была бы решаема с некоторыми нехорошими глюками , если , пох., 05-Дек-19, 18:17 (38) //
  - Нет, они лезут правильно один в tun0, другой в tun1, это просто лог старый Тем , Olololo, 05-Дек-19, 18:23 (39) //
    - тогда иди в форумы тут и не место, и сотрут быстро и приведи там нормальные , пох., 05-Дек-19, 19:43 (44)
  - Если в комп поставить несколько сетевых карт, подключить их к самодельным маршру, Olololo, 05-Дек-19, 18:41 (41) //
    - RaspberryPI, Урри, 05-Дек-19, 18:45 (42)
    - такой вариант лишь продемонстрирует твою криворукость Все можно сделать в преде, пох., 05-Дек-19, 19:45 (45)
    - росбери его на пи , Аноним, 05-Дек-19, 19:47 (46)
    - Откуда у людей такие наркоманские идеи , Аноним, 05-Дек-19, 22:10 (49)
      - люди ниасилили пяток страниц майкрософтовского учебника что нужно знать про tcp, пох., 06-Дек-19, 10:23 (63)
- Проблема решается, используя VDS и баундинг Просто, вместо реальных сетевых инт, Аноним, 06-Дек-19, 01:01 (55) //
  - вы бредите , пох., 06-Дек-19, 10:24 (64) //
    - Вы не понимаете , Аноним, 06-Дек-19, 15:13 (85)
- Если мне не изменяет склероз маршрут прописывается лишь если это указано в конфи, Ананимас009, 06-Дек-19, 04:55 (57) //
  - у него там все пичально - если присмотришься, там оно тунель сносит и заново соз, пох., 06-Дек-19, 08:16 (58) //
    - tun оно не сносит, во втором логе нужно заменить tun1 на tun0 Оно только маршру, Olololo, 06-Дек-19, 10:54 (69)
  - У меня стоит машина на Linux и рядом iMac Машина на Linux через один из VPN сер, Olololo, 06-Дек-19, 10:49 (68)
чейта как-то стремно надеюсь iptables еще долго не выкинут, ф, 06-Дек-19, 00:20 (53) //
- Там net-tools уже выкидывают Сабж я так и не осилил, но думаю рано или поздно, Аноним, 06-Дек-19, 04:01 (56) //
  - Их уже 20 лет выкидывают и никак выкинуть не могут С iptables так же будет , Аноним, 06-Дек-19, 09:00 (59) //
    - net-tools сломать очень сложно - слишком примитивен в отличие от используемого , пох., 06-Дек-19, 10:26 (65)
больше виртуальных машин Что-то линукс быстро работает аж подозрительно , Аноним, 06-Дек-19, 09:09 (60) //
- и эксплойтов этой х-ни давно что-то не публиковали хотя бы kernel unprivileged, пох., 06-Дек-19, 10:28 (66) //
  - мне больше интересно при каком PPS оно загнется , Аноним, 06-Дек-19, 10:38 (67) //
    - зависит же ж, что ты на нем наbpf ал iptables-то тоже можно все собрать в один , пох., 06-Дек-19, 11:30 (72)
      - Я не удивлюсь, если он окажется быстрее Без тестов сложно сказать, как оно буде, Ordu, 06-Дек-19, 13:04 (78)
        
        угу, а так же для очень нетривиального траблшутинга, когда компилятор что-то теб, пох., 06-Дек-19, 13:46 (80)
        
        Компилируй для траблшутинга без оптимизаций, проблем-то Я всегда в сложных случ, Ordu, 06-Дек-19, 21:22 (92)
        
        Тебе не надоело каждый раз портянки бредового текста строчить Какие тесты, како, Аноним, 06-Дек-19, 23:09 (93)
        
        Чужие ошибки -- это конечно ленивый способ учиться, но люди тупые, они даже ошиб, Ordu, 07-Дек-19, 10:14 (94)
- Виртуальные машины -- это круто, это повышает надёжность На компьютере Apollo к, Ordu, 06-Дек-19, 12:56 (77)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру