forum.opennet.ru

"Выпуск пакетного фильтра nftables 0.9.5"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Выпуск пакетного фильтра nftables 0.9.5"	+1 +/–
Сообщение от Andrew (??), 07-Июн-20, 12:29
Поддерживаю вопрос с ударением на слове "читаемом" :) Текущий вывод nft list ruleset трудно назвать читаемым...вот, примерно как JSON - вывод больше для машины, чем для человека. Предположим, что разные обвязки (тот же firewalld) успешно абстрагируют "пользователя" от необходимости читать этот вывод и прыгать между ссылками на цепочки беря на себя управление...но, при этом они же не гарантируют соответствия между своим ожидаемым (сохраненные в конфигурации) состоянием и текущими правилами (поскольку последние, как прежде в iptables и т.д. могли быть модифицированы напрямую в обход обвязки). Итого, остаётся только ждать появления или способствовать появлению 100500+ разных обвязок которые будут читать, парсить и делать вывод nft понятным для людей (структурированным и последовательным).
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Выпуск пакетного фильтра nftables 0.9.5, opennews, 07-Июн-20, 10:56 [смотреть все]

А на лтс 5 4 не будет работать новая версия , Аноним, 07-Июн-20, 10:56 (1) //
- ну и извращения Чтобы прописать простое правило мне еще и кодить надо Вопрос н, expert, 07-Июн-20, 12:59 (17) //
  - ну дык, никто не запрещает сделать конвертилку из команд иптейблес в байт-код нф, pfg21, 08-Июн-20, 16:46 (81)
- Будет работать даже на 3 13, но только в том объеме, который реализован в ядре , Аноним, 07-Июн-20, 19:40 (46)
Как посмотреть текущие правила в читаемом виде , Аноним, 07-Июн-20, 11:39 (2) //
- nft list rulesetОбязательно под рутом , Аноним, 07-Июн-20, 12:04 (5)
- nft list ruleset, DesSolo, 07-Июн-20, 12:05 (6)
- Поддерживаю вопрос с ударением на слове читаемом Текущий вывод nft list rul , Andrew, 07-Июн-20, 12:29 (11) //
  - Ага всетаки аналога iptables -L не предполагается Да чтож такое то, microsoft, 07-Июн-20, 12:34 (13)
  - Насчёт JSON любопытства ради добавил к команде флаг -j Format output in JSON , Andrew, 07-Июн-20, 12:54 (15)
  - Тем не менее, уже четверть века, по мнению большинства, эталоном читаемых правил, Аноним, 07-Июн-20, 16:56 (26) //
    - Большинства пользующихся BSD , Аноним, 07-Июн-20, 18:39 (39)
    - В вашем примере нет ссылок, зачем вы его показали , Аноним, 08-Июн-20, 03:54 (60)
    - Пока туда не завезут кастомных цепочек, набор правил хотя бы в 30-40 правил неиз, Аноним, 08-Июн-20, 13:36 (71)
  - С дуба рухнул Для машин это ни в одном глазу неудобно, это для двуногих перекур, Аноним, 07-Июн-20, 17:17 (31)
  - Осталось yaml впилить , Аноним, 07-Июн-20, 22:00 (52)
и с этим дерьмом теперь придется жить , gogo, 07-Июн-20, 11:49 (3) //
- всё, как в Win э-эмм простите, а оно уже умеет в разбор трафика на уровне пр, крокодил мимо.., 07-Июн-20, 12:03 (4) //
  - По-моему еще во времена iptables выкинули Рекомендутся uid gid, возможно cgroup, Аноним, 07-Июн-20, 12:11 (7) //
    - ну-да, ну-да ненужно 8482 ога особенно на выделенном серваке контроль, крокодил мимо.., 07-Июн-20, 12:17 (8)
      - Для _серверных_ приложений т е демонов 8212 уже давно есть https www fre, Аноним, 07-Июн-20, 16:51 (25)
        
        Замечательный движок опеннета побил якорь в ссылке в предпросмотре было нормаль, Аноним, 07-Июн-20, 17:07 (27)
        
        Т е я правильно понял, что всем, кто захочет что-то позакрывать для, допустим, , InuYasha, 08-Июн-20, 16:39 (77)
        
        Садись, два и линейкой по рукам За что линейкой За то, что пошёл править дистр, Аноним, 08-Июн-20, 19:46 (83)
        Правильно systemctl edit mysql serviceНеправильно Не надо мыслить категориями , Аноним, 08-Июн-20, 21:44 (85)
        
        Мало того, что простреливаем свою ногу, так ещё и кладём мину замедленного дейст, Andrew, 09-Июн-20, 10:44 (87)
        Извините, не сдержался, хочу набросить Я например знаю что и куда правильно писа, RomanCh, 09-Июн-20, 14:12 (90)
        
        Лол Это пользовательское в юниксе случайно образовалось, там были хомяки, а п, Вебмакака, 09-Июн-20, 18:09 (91)
        
        Да в общем-то в юниксах, и не только в них, много чего случайно образовалось И , RomanCh, 09-Июн-20, 23:51 (92)
        
        Да А вы думали, только дедам можно что-то менять Не было принято, так щас буде, Вебмакака, 10-Июн-20, 09:22 (93)
        Мы ничего не думали Мы видим что деды вполне нормально для своих времён сделали, RomanCh, 10-Июн-20, 17:37 (95)
        
        На сколько я помню, usr - Unix System Resources, RHEL Fan, 10-Июн-20, 17:14 (94)
        
        По воспоминаниями из книжек - таки User, а не Unix Педивикия говорит то же само, RomanCh, 10-Июн-20, 17:44 (96)
        
        Вообще, функционал интересный, жаль только, что появился он сравнительно не давн, Andrew, 09-Июн-20, 10:46 (88)
      - А как вообще можно представить фильтр по приложению Номер pid указать, или ar, Аноним, 08-Июн-20, 19:17 (82)
    - На уровне приложения-то и нужно больше всего В на век телеметрии , And, 07-Июн-20, 12:19 (9)
      - Ничего ничего зайдеш под безопасным рутом и правила то накарябаеш , microsoft, 07-Июн-20, 12:31 (12)
      - Как правило, основные отправители телеметрии 8212 это браузеры Будете им запр, Аноним, 07-Июн-20, 17:12 (30)
        
        Разумеется firejail squid с white-листами, Takishima, 07-Июн-20, 18:07 (38)
        
        И некоторое количество возни с ssl_bump, если нужна полноценная L7-фильтрация Ре, Аноним, 08-Июн-20, 15:45 (75)
        
        Ну, можно с peek splice жить, по крайней мере по хостам резать доступ 8212 уж, Takishima, 08-Июн-20, 16:44 (78)
        
        uMatrix это до некоторой степени умеет, приколитесь , Аноним, 08-Июн-20, 01:27 (56)
        
        Боюсь, что со встроенной в браузер телеметрией он ничего поделать не сможет , Аноним, 08-Июн-20, 15:42 (74)
        
        Ungoogled chromium жеА в Firefox е почти всё отключается в конфиге кроме firefo, Takishima, 08-Июн-20, 16:46 (80)
        
        Что-то после историй с Brave, сборочкам от Васи верить не очень хочется , Аноним, 08-Июн-20, 21:46 (86)
  - Это можно сделать сделать с помощью дополнительных модулей - Dtrace, Bpftrace, и, Бармалей., 07-Июн-20, 16:33 (24) //
    - iptables сто лет умеет в фильтры по pid, например , Аноним, 07-Июн-20, 17:18 (32)
      - Сто лет НЕ умеет, если быть точным С тех, как в Linux появилась поддержка SMP , Аноним, 07-Июн-20, 17:24 (34)
  - -j NFQUEUE, Аноним, 08-Июн-20, 13:39 (72)
- Всё повторяется 20 лет назад то же самое было 8212 уютный тёплый ламповый i, Takishima, 07-Июн-20, 19:38 (45) //
  - С чего это тоже самое Абсолютно разные ситуации , Аноним, 08-Июн-20, 04:00 (61)
аналог netmap так и не завезли , Аноним, 07-Июн-20, 12:23 (10)
Когда уже в линукс портируют нормальный файрвол Тео, дай свет безумцам , ZiP File, 07-Июн-20, 12:50 (14) //
- firewall-config, Сейд, 07-Июн-20, 12:57 (16) //
  - Нормальный это про Agnitum Outpost, нггнш, 07-Июн-20, 13:22 (20) //
    - ого, а он еще жив , microsoft, 07-Июн-20, 14:39 (21)
      - это не отменяет его качества, нггнш, 07-Июн-20, 17:49 (36)
        
        Да вообще-то глючная штука , Аноним, 08-Июн-20, 01:29 (57)
- Выше на nftables ругаются именно из-за pf-подобного синтаксиса Получается, pf уж, Аноним, 07-Июн-20, 17:09 (28) //
  - Где вы там его увидели Или вам раз фигурные скобки есть 8212 значит pf , Аноним, 08-Июн-20, 04:03 (62) //
    - Проще надо быть Фигурные скобки есть 8212 значит, JSON Просто у pf и nftable, Аноним, 08-Июн-20, 15:38 (73)
Синтаксис вроде всем хорош, но выглядит удолбищно Как-то надо это всё упрощать , Онаним, 07-Июн-20, 13:16 (18)
То есть допустим неip daddr y и отдельно setа что-то вроде z filter daddr , Онаним, 07-Июн-20, 13:20 (19)
Годная новость https github com devkid nftables-systemd вообще сказка , srgazh, 07-Июн-20, 15:04 (22)
Только смысл в этой новизне Нфт также работает через тот же нетфильтр и все, ед, Бармалей., 07-Июн-20, 16:29 (23) //
- Плюс в том, что iptables 8212 кривая хрень с кучей легаси, которое пришло вре, Takishima, 07-Июн-20, 18:01 (37) //
  - Вот когда в модерн кул тремендоус эмайзинг инструменте будет совпадать документа, OpenEcho, 07-Июн-20, 19:18 (41) //
    - iptables не умел jsonДа и вообще, кому нужен json этот адовый Это откуда такое , Takishima, 07-Июн-20, 19:27 (43)
      - Тем кто понимает зачем он нужен репрезентация сравнение мониторинг на фронт , OpenEcho, 07-Июн-20, 20:25 (47)
        
        Гы, ну речь не про JSON вообще 8212 а про json вывод nftables Зачем Ну у мен, Takishima, 07-Июн-20, 21:04 (49)
        
        Я ж уже сказал - затем что удобно парсить на фронэнде мониторинге, т к формат п, OpenEcho, 07-Июн-20, 21:44 (50)
        
        Даже интересно стало, что вы там мониторите через json в фаерволе , Аноним, 07-Июн-20, 21:58 (51)
        
        Сходство рулсетов в кластере, OpenEcho, 07-Июн-20, 22:01 (53)
        
        Что-то велосипедом попахивает В кластере по определению такие вещи должны быть , Takishima, 07-Июн-20, 22:05 (55)
        
        Ну, вот на этом, пожалуй и закончим, сорри, совсем забыл что нахожусь на ресурсе, OpenEcho, 08-Июн-20, 07:23 (65)
        Смузи допей сначала, потом оркестраторы для администрирования пакет-фильтров при, Аноним, 08-Июн-20, 08:32 (66)
        
        А у тебя борода отклеилась и свитер без оленей Такие вещи делаются так, как адек, Takishima, 08-Июн-20, 10:36 (69)
        
        К сожалению, раскидать правила тем же Ansible не равно убедиться в том, что прав, Andrew, 08-Июн-20, 10:32 (68)
        
        Ну так не надо им этого разрешать apt-get purge -y dockerЕсли надо отдельные кон, Takishima, 08-Июн-20, 10:42 (70)
        
        У вас уже есть готовое решение для парсинга Или может быть, когда нибудь Для De, Takishima, 07-Июн-20, 22:02 (54)
  - А да, чуть не забыл, предложенный новый синтакс nft export vm jsonвыдает та, OpenEcho, 07-Июн-20, 19:22 (42) //
    - Минусовальщики, обьясните плиз, в чем мой то криминал , OpenEcho, 07-Июн-20, 20:27 (48)
      - Ты виноват лишь тем что хочется им кушать троллям каким-то , Аноним, 08-Июн-20, 01:32 (59)
      - Ты посмел сомневатся в великих людях придумавших и написавших nft , Аноним, 08-Июн-20, 04:07 (63)
Местами очень-очень напоминающий https minnie tuhs org cgi-bin utree pl file N, анонн, 07-Июн-20, 17:10 (29) //
- Ну, чтобы развеять подозрения, вы можете подать в суд на мерзких линукcятников , аннонн, 07-Июн-20, 17:23 (33) //
  - О, узнаю старых знакомых бедолаг Но ник у меня теперь зарегистрирован, так что , анонн, 07-Июн-20, 17:42 (35)
  - А что есть нечествой Это не черствой Или не честной , Аноним, 08-Июн-20, 01:31 (58)
У меня только один вопрос к авторам nftables почему нельзя было просто сделать , Ананимус, 07-Июн-20, 18:58 (40) //
- Опять учиться, какая боль, да Никакие правила там не надо заканчивать Это нуж, Takishima, 07-Июн-20, 19:31 (44) //
  - Было бы чему учиться , Аноним, 08-Июн-20, 04:10 (64)
  - Когда есть возможность ставить - ставь - правило башника и сишника, сам, InuYasha, 08-Июн-20, 16:45 (79)
- Потому что поколение сменилось Если раньше был K I S S , то теперь одни понты в, Аноним, 08-Июн-20, 08:34 (67) //
  - Да, раньше и трава зеленее была , Аноним, 08-Июн-20, 15:47 (76)
Оболочка nft крайне неудобная кривая и баговпнная , Аноним, 08-Июн-20, 20:17 (84)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру