The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск пакетного фильтра nftables 0.9.9"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от opennews (ok), 26-Май-21, 10:38 
Опубликован выпуск пакетного фильтра nftables 0.9.9, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Одновременно опубликован выпуск сопутствующей библиотеки libnftnl 1.2.0, предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables. Необходимые для работы выпуска nftables 0.9.9 изменения включены в состав ядра Linux 5.13-rc1...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55214

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск пакетного фильтра nftables 0.9.9"  +4 +/
Сообщение от llolik (ok), 26-Май-21, 10:38 
Пункт 2 - это, фактически, индивидуальные фильтры для приложений? Как говорится, двадцать лет ждали.
Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск пакетного фильтра nftables 0.9.9"  +5 +/
Сообщение от crypt (ok), 26-Май-21, 10:42 
если по UID, то уже давно было. совсем бесполезно, вот ты и не знал. привязка к конкретной группе процессов имела бы смысл.
Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск пакетного фильтра nftables 0.9.9"  +1 +/
Сообщение от Аноним (8), 26-Май-21, 10:46 
> привязка к конкретной группе процессов имела бы смысл.

Еще со времен iptables было.

Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от crypt (ok), 26-Май-21, 12:49 
да? где?
Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск пакетного фильтра nftables 0.9.9"  +1 +/
Сообщение от Аноним (8), 26-Май-21, 13:09 
man iptables-extensions
/cgroup
Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск пакетного фильтра nftables 0.9.9"  +2 +/
Сообщение от llolik (ok), 26-Май-21, 10:56 
> совсем бесполезно, вот ты и не знал

Да знать-то знал, но это всё-таки немного не то и, согласен с утверждением, что в общем случае это бесполезно чуть менее чем совсем.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

36. "Выпуск пакетного фильтра nftables 0.9.9"  –1 +/
Сообщение от Аноним (36), 26-Май-21, 15:27 
> что в общем случае это бесполезно чуть менее чем совсем.

"старый, но не бесполезный!" (С) Терминатор Генезис

Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск пакетного фильтра nftables 0.9.9"  –3 +/
Сообщение от Валик (?), 26-Май-21, 15:31 
а если ты знал
> Как говорится, двадцать лет ждали.

то чего ж ты тогда ждал?
уж молчал бы лучше, ждун., а то чем дальше - тем все глубже получается...
> в общем случае это бесполезно чуть менее чем совсем.

а дай-ка я угадаю чего ты ждал и что для тебя "полезно". ты ждал чего-то, а-ля виндовенький аутпост-фаерволл, так ведь?
боюсь что в этом случае для тебя тоже плохие (или хорошие- это смотря как посмотреть, но в любом случае весьма неожиданные) новости - подобный функционал легко скриптовался в самом начале бородатых нулевых с помощью AppArmor, нескольких консольных команд и такой-то матери в лице unix-way.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

40. "Выпуск пакетного фильтра nftables 0.9.9"  +2 +/
Сообщение от llolik (ok), 26-Май-21, 15:49 
> а-ля виндовенький аутпост-фаерволлю так ведь

Не только.

> подобный функционал легко скриптовался в самом начале бородатых нулевых с помощью AppArmor, нескольких консольных команд и такой-то матери в лице unix-way.

А давай я тебе скажу, юный саркастичный друг, что многим нужны не только правила в стиле "Пущать"/"Не пущать" (deny network, deny capabilty *), а гораздо более гибкие.

Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Sw00p aka Jerom (?), 26-Май-21, 23:40 
>не только правила в стиле "Пущать"/"Не пущать"

но и постирать, приготовить, убрать, спать уложить :)

Ответить | Правка | Наверх | Cообщить модератору

86. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (86), 01-Июн-21, 13:11 
Фильтрация по пользователям необходима для DAC это необходимо и очень удобно. Например разрешить пользователю tor ходить в инет, а остальным нет.

Есть таблица security и возможность привязки к MAC...

Мне лично необходима фича добавления и удаления правил при добавлении/удалении интерфейса и она уже есть давно.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

28. "Выпуск пакетного фильтра nftables 0.9.9"  +2 +/
Сообщение от Аноним (28), 26-Май-21, 14:16 
Нет, это совсем бесполезно. Вот правила для конкретного файла на диске это очень полезно.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

35. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (8), 26-Май-21, 15:24 
Да, нефиг файлу ~/.xsession-errors в интернет лазить.
Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск пакетного фильтра nftables 0.9.9"  +1 +/
Сообщение от Аноним (28), 26-Май-21, 15:39 
Именно, в венде давно файлы в интернет по белому списку выпускают (ещё и логируют все соединения файла и их можно в реальном времени наблюдать).
Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (28), 26-Май-21, 15:40 
Хотя конечно в венде запущенный файл не удалить. Но и в линуксе можно залочить удаление пока запущен.
Ответить | Правка | Наверх | Cообщить модератору

65. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (65), 27-Май-21, 00:15 
> правила для конкретного файла

А как же inodes/хардлинки и симлинки?

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

67. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (28), 27-Май-21, 00:27 
> А как же inodes/хардлинки и симлинки?

Пока они ссылаются на тот же файл всё в порядке (в теории). Но можно и отдельно, а заодно и хэш файла записать, чтобы не подменили.

Ответить | Правка | Наверх | Cообщить модератору

77. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (77), 27-Май-21, 15:39 
> Пока они ссылаются на тот же файл всё в порядке (в теории).

На самом деле симлинки/хардлинки - это только первая и очевидная проблема, понятная любому линукс-нубу. Потом всплывает проблема, что процесс (исполняемый код) вообще-то с файлом на диске не сильно связан (например, динамические библиотеки вообще отношения к ядру не имеют - ld.so живёт в userspace и ядру о себе не рассказывает).

Ответить | Правка | Наверх | Cообщить модератору

78. "Выпуск пакетного фильтра nftables 0.9.9"  +1 +/
Сообщение от Аноним (28), 27-Май-21, 17:54 
Вроде и не линукс-нуб, а всё ещё не вижу в чём тут проблема даже после указания на первую и очевидную проблему. Может быть потому что она только линукс-нубу и видна? Кого там обманывать, ядро? По остальному, если бинарник, с которого процесс запущен, уже имеет все права, то он может делать что угодно дальше. Интересует только "хозяин" и не зависимости, и противодействовать паразитированию на процессе с правами надо отдельно.
Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск пакетного фильтра nftables 0.9.9"  –3 +/
Сообщение от Аноним (4), 26-Май-21, 10:44 
Уже 5.13 используете? Камикадзе? :)
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. "Выпуск пакетного фильтра nftables 0.9.9"  +2 +/
Сообщение от Аноним (6), 26-Май-21, 10:45 
Некоторые и -next юзают и ничего.
Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск пакетного фильтра nftables 0.9.9"  +5 +/
Сообщение от Аноним (36), 26-Май-21, 11:58 
Лучшая смерть воина - в бою, пожарного - в огне, альпиниста - в горах,...
... линуксоида - в kernel panic.
Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск пакетного фильтра nftables 0.9.9"  +2 +/
Сообщение от Annoynymous (ok), 26-Май-21, 12:34 
Хороший альпинист — старый альпинист.
Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск пакетного фильтра nftables 0.9.9"  +2 +/
Сообщение от Аноним (21), 26-Май-21, 12:58 
Хороший пожарник — старый пожарник.
Хороший воин — старый воин.
...
Хороший X — старый X.
Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск пакетного фильтра nftables 0.9.9"  +6 +/
Сообщение от Ононон (?), 26-Май-21, 13:26 
Хороший Хрыч - Старый Хрыч.
Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (36), 26-Май-21, 14:46 
Хороший нуб или юзер умирает в постели в собственном г.
... или умудряется подорваться на Debian stable.
... подорваться на Ubuntu простительно даже джедаю при условии хотя бы элементарных скиллов регенерации конечностей.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

26. "Выпуск пакетного фильтра nftables 0.9.9"  –2 +/
Сообщение от нах.. (?), 26-Май-21, 13:54 
При этом воин в посмертии отправляется в Вальгаллу (правда, ненадолго), пожарный в ад, альпинист танцевать на гребне с горными чертями, а линуксоид в то самое место где "здесь же, но системным администратором".

/поправляет молот тора на шее.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

30. "Выпуск пакетного фильтра nftables 0.9.9"  +2 +/
Сообщение от Аноним (36), 26-Май-21, 14:48 
> /поправляет молот тора на шее.

че с Тором сделал?

Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от нах.. (?), 26-Май-21, 16:29 
>> /поправляет молот тора на шее.
> че с Тором сделал?

принес ему в жертву пару лап4@-х, а ты думал? Такие штуки без кровавой жертвы не выдают.


Ответить | Правка | Наверх | Cообщить модератору

54. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (28), 26-Май-21, 18:47 
Почему не пару бзунов с ведной? Специально до полюса плавал? Скорее всего, ты ошибся, и взял тех же бзунов.
Ответить | Правка | Наверх | Cообщить модератору

60. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от нах.. (?), 26-Май-21, 22:16 
> Почему не пару бзунов с ведной?

The Gods DON'T CARE about your sacrifice!
патамушта.

Да не, зачем так далеко - в ближайшем опенспейсе полно этого барахла.

Ну ок, не в ближайшем а в следующем, в ближайшем рабы Диасофт, там, понятно, винда, бесполезные юниты.

Ответить | Правка | Наверх | Cообщить модератору

62. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (-), 26-Май-21, 23:37 
> Почему не пару бзунов с ведной? Специально до полюса плавал? Скорее всего,
> ты ошибся, и взял тех же бзунов.

Потому что "бзуны с ведной" только в опеннетном фольклоре остались, а вот лап4@-х c ней же (или макосью) - хоть этим самым местом жуй?

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

64. "Выпуск пакетного фильтра nftables 0.9.9"  –1 +/
Сообщение от Аноним (8), 27-Май-21, 00:05 
> Потому что "бзуны с ведной" только в опеннетном фольклоре остались

Да, BSD уже того. На дворе 2021 год, кстати.

Ответить | Правка | Наверх | Cообщить модератору

69. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (-), 27-Май-21, 03:49 
>> Потому что "бзуны с ведной" только в опеннетном фольклоре остались
> Да, BSD уже того. На дворе 2021 год, кстати.

Да, 2021 год на дворе, т.е. опеннетные лап4@-ые ее уже 21 год хоронят.

Ответить | Правка | Наверх | Cообщить модератору

74. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (8), 27-Май-21, 15:05 
Еще 15 лет назад захоронили и бетоном залили от греха подальше.
Ответить | Правка | Наверх | Cообщить модератору

79. "Выпуск пакетного фильтра nftables 0.9.9"  +1 +/
Сообщение от Аноним (-), 27-Май-21, 20:19 
> Еще 15 лет назад захоронили и бетоном залили от греха подальше.

Только ритуальные пляски опеннетчиков не особо сказались на реальности (машинок с той же фрёй - не одна сотня миллионов). Увы.


Ответить | Правка | Наверх | Cообщить модератору

83. "Выпуск пакетного фильтра nftables 0.9.9"  –1 +/
Сообщение от Аноним (28), 28-Май-21, 16:36 
А сколько сотен миллионов, 2? Я слышал только про плойки, и что-то вроде медиа-дрм приставок для тв. Ну, ещё сетевое железо где вся ценная логика в асиках. При этом, все пользователи в один голос уверяют, что это было большой ошибкой не смотря на все преимущества закрытого кода (а они есть?). Увы.
Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

66. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (28), 27-Май-21, 00:25 
Именно. Какой смысл приносить в жертву то, чего как этого самого за баней? Это неуважение прямо какое-то.
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

81. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Викинг (??), 28-Май-21, 13:13 
Завидую воину, у которого СТОЛЬКО врагов!

Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от llolik (ok), 26-Май-21, 10:51 
> Уже 5.13 используете? Камикадзе? :)

Ну в LTS-то оно доползёт ближайшие пару лет.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

15. "Выпуск пакетного фильтра nftables 0.9.9"  +4 +/
Сообщение от Аноним (8), 26-Май-21, 11:36 
Не факт, что перед этим его стабилизируют или хотя бы протестируют.
Одна из причин, почему мы с убунты съехали - под вывеской LTS по факту роллинг ключевых компонентов. Если бы нам был нужен роллинг, мы бы сразу взяли арч.
Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Самый Лучший Гусь (?), 26-Май-21, 13:39 
Вам LTS или ехать?
Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск пакетного фильтра nftables 0.9.9"  +1 +/
Сообщение от нах.. (?), 26-Май-21, 13:56 
им - ехать, а не катиться (под откос)

Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск пакетного фильтра nftables 0.9.9"  +1 +/
Сообщение от Аноним (8), 26-Май-21, 10:45 
Нет, это пункт 4 (впрочем, в systemd уже несколько лет как реализовано на основе eBPF).

Пункт 2 скорее для всяких firewalld и fail2ban, которым нужно фаерволом рулить.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

11. "Выпуск пакетного фильтра nftables 0.9.9"  +1 +/
Сообщение от llolik (ok), 26-Май-21, 10:50 
Понял. Спасибо за разъяснения.
Ответить | Правка | Наверх | Cообщить модератору

71. "Выпуск пакетного фильтра nftables 0.9.9"  –1 +/
Сообщение от Аноним (71), 27-Май-21, 08:42 
Ненужнод не применяется в реальности в OpenWRT, а именно OpenWRT является наиболее распространенным дистрибутивом в среде маршрутизаторов. В том числе фхорки, включая всяких сяоми с самыми популярными роутерами по причине крайней доступности всякие 3g, 3gv2, R3 Pro и пачки новых.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

76. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (8), 27-Май-21, 15:10 
Среди маршрутизаторов SOHO-сегмента, заметим, где всякие продвинутые фичи не так уж и важны. Они могут до сих пор прекрасно на ядре 2.6.x с iptables 1.4 работать.
Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором  –2 +/
Сообщение от acroobat (ok), 26-Май-21, 10:44 
Ответить | Правка | Наверх | Cообщить модератору

7. Скрыто модератором  +/
Сообщение от Аноним (4), 26-Май-21, 10:46 
Ответить | Правка | Наверх | Cообщить модератору

9. Скрыто модератором  +2 +/
Сообщение от Аноним (8), 26-Май-21, 10:47 
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск пакетного фильтра nftables 0.9.9"  +1 +/
Сообщение от Аноним (14), 26-Май-21, 10:59 
> Linux 5.13

Там еще новый Sandbox (Landlock) обещают... С нетерпением ждём!

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (31), 26-Май-21, 14:57 
это который на расте чтоли?
Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск пакетного фильтра nftables 0.9.9"  +2 +/
Сообщение от Annoynymous (ok), 26-Май-21, 12:35 
> полное прохождение всех цепочек обработки правил применяется только для первого пакета, а все остальные пакеты в потоке пробрасывать напрямую.

Потенциальная дырень.

Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск пакетного фильтра nftables 0.9.9"  +2 +/
Сообщение от Сергей (??), 26-Май-21, 16:22 
Очень нужная фича в ситуации, когда поток входит в интерфейс и выходит через него же.

Ситуация:
- компьютер выполняет роль роутера (Router-on-Stick);
- в компьютере только одна сетевая карта с одним портом или с несколькими портами, управляемыми одним чипом коммутации;

Типичный пример - бордеры (серверы провайдеров, через которые трафик клиентов ходит в интернет).

Обычно пакет проходит через несколько стадий:
1) Копирование пакета из сетевухи в систему.
Чтобы пакет попал в пакетный фильтр системы, этот пакет должен быть вначале скопирован с из чипа сетевухи в оперативную память компьютера.
2) Анализ пакета пакетным фильтром.
Первый входящий пакет проходит через сотни-тысячи правил, а иногда и через сотни тысяч правил.
На прохождение пакета через пакетный фильтр из большого набора правил необходимо существенное время.
3) Манипуляции над пакетом (изменение содержимого заголовков пакета).
В пакетном фильтре система определяет, что пакет необходимо отправить через тот же интерфейс, по которому пакет пришел в систему.
Система производит манипуляции над заголовком пакета (меняет адреса получателя, если там NAT - то ещё адрес отправителя и порты отправителя/получателя, и ещё кое-какие манипуляции по мелочи).
4) Копирование пакета из системы в сетевуху.
Чтобы пакет попал на выход сетевухи, этот пакет необходимо скопировать из оперативки компьютера в сетевуху.

Системе ни разу не интересно гонять пакеты вхолостую из сетевухи в систему и обратно, если уже по первому пакету понятно, что эти пакеты и дальше будут гоняться по тому же пути, да ещё и тратить на это драгоценные миллисекунды (на высоконагруженной системе важны даже микросекунды).

Чтобы устранить задержки на безтолковый анализ, система просто пнёт сетевуху командой "пропускай дальнейшие входящие пакеты вот этого потока в том же направлении, в котором ушёл первый исходящий пакет", а для сетевухи это будет значить примерно "входящий пакет принять, ни разу не отправлять пакет в хост-систему, с заголовком пакета провернуть некоторые манипуляции прямо в чипе сетевухи и выплюнуть пакет как исходящий в обратную сторону".

Для бытового компа фича не актуальна, а для высоконагруженных систем - очень даже нужна, важна, желаема и обожаема потому, что на том же железе можно будет гонять трафика в несколько раз больше (а может даже и в несколько десятков раз больше).

Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Сергей (??), 26-Май-21, 16:29 
Под "позволит гонять больше трафика" - это о ситуации, когда производительность такого роутера ограничена производительностью пакетного фильтра (например - несколько сотен тысяч правил и несколько миллионов записей в таблицах - что вполне реально у типичного провайдера).
Ответить | Правка | Наверх | Cообщить модератору

47. "Выпуск пакетного фильтра nftables 0.9.9"  –3 +/
Сообщение от нах.. (?), 26-Май-21, 16:36 
> Под "позволит гонять больше трафика" - это о ситуации, когда производительность такого
> роутера ограничена производительностью пакетного фильтра (например - несколько сотен
> тысяч правил и несколько миллионов записей в таблицах - что вполне
> реально у типичного провайдера).

у типичного провайдера типично пакетный фильтр на бордере - из пяти строк - deny 192.168/16 и так далее. От ошибок в маршрутизации у партнеров, в основном. Он - провайдер, ему не полагается ковыряться в чужом траффике.
А миллионы записей - это у васянов.

Ответить | Правка | Наверх | Cообщить модератору

45. "Выпуск пакетного фильтра nftables 0.9.9"  –1 +/
Сообщение от нах.. (?), 26-Май-21, 16:33 
> Ситуация:
> - компьютер выполняет роль роутера (Router-on-Stick);
> - в компьютере только одна сетевая карта с одним портом или с

не хотелось бы вас огорчать, но г-но на палочке уже не очень модно у _провайдеров_ и владельцев высоконагруженных систем.

В васян-подвалах еще встречается, конечно.

А операторское железо так не работает, оно вообще не процессором пакеты разбирает.

Ну, впрочем, есть еще пейсбук,чтоб денег никому не платить и не такое может. Но я все же полагаю, что не делает.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

53. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (53), 26-Май-21, 18:34 
>А операторское железо так не работает, оно вообще не процессором пакеты разбирает.

Вон недавно статься была на хабре, как гонять 100 гигабит трафика и делать нат на древних зеонах

Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск пакетного фильтра nftables 0.9.9"  –1 +/
Сообщение от нах.. (?), 26-Май-21, 22:19 
Ну и чего, мало на хабре подвальных, что-ли.

Ростелек всех не может переварить, как ни старается.

Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Annoynymous (ok), 26-Май-21, 17:54 
> Очень нужная фича в ситуации

Я не спорю, что фича нужная. Фича нужная и важная.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

33. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от КО (?), 26-Май-21, 15:10 
Дайте угадаю, дальше будет как в WoWarships? 0.10.0?
Ответить | Правка | Наверх | Cообщить модератору

55. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (55), 26-Май-21, 19:02 
Как во всем гейгейминге, а не в одном его продукте.
Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск пакетного фильтра nftables 0.9.9"  –1 +/
Сообщение от Umataemail (?), 26-Май-21, 15:20 
Жопненький синтаксис
Ответить | Правка | Наверх | Cообщить модератору

48. "Выпуск пакетного фильтра nftables 0.9.9"  –1 +/
Сообщение от нах.. (?), 26-Май-21, 16:38 
> Жопненький синтаксис

это ж не для людей, это для роботов и рабов пейсбука придумано. Тебе дальше firewalld не понадобится, да и не дадут - доскер сломаешь.

Ответить | Правка | Наверх | Cообщить модератору

49. "Выпуск пакетного фильтра nftables 0.9.9"  +1 +/
Сообщение от Аноним (49), 26-Май-21, 16:50 
Сишечкоподобный же, со скобочками {}
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

57. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (8), 26-Май-21, 20:08 
А кто сказал, что у сишечки хороший синтаксис?
Ответить | Правка | Наверх | Cообщить модератору

58. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от анон (?), 26-Май-21, 20:35 
я
Ответить | Правка | Наверх | Cообщить модератору

73. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (8), 27-Май-21, 15:04 
Недостаточно авторитетный источник.
Можно ссылку на что-нибудь из Q1 или Q2 Scopus или WoS?
Ответить | Правка | Наверх | Cообщить модератору

56. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от псевдонимус (?), 26-Май-21, 19:07 
Синтаксис странноватый.
Ответить | Правка | Наверх | Cообщить модератору

68. "Выпуск пакетного фильтра nftables 0.9.9"  –1 +/
Сообщение от Аноним (68), 27-Май-21, 01:51 
дегенераты вроде тебя ничего кроме синтаксиса не видят
Ответить | Правка | Наверх | Cообщить модератору

70. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (71), 27-Май-21, 08:35 
А где вопли про комбайн? Синтаксис то аналогичен сравнению ifconfigа с ip. Все равно в OpenWRT еще несколько лет ждать ядра 5.13. А аппаратное ускорение перекладывания пакетов в драйверах уже имеется.
Ответить | Правка | Наверх | Cообщить модератору

75. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (8), 27-Май-21, 15:08 
> А где вопли про комбайн?

Зачем, если можно докопаться к синтаксису?
Вот с systemD не катит, потому что очень сложно доказать, что синтаксис ini-файлов сложен. Поэтому пришлось подводить гуманитарно-философский базис.

Ответить | Правка | Наверх | Cообщить модератору

72. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от OpenEcho (?), 27-Май-21, 14:21 
А нативного nfttables-apply по анологии с iptables-apply так и не осилили ?
Ответить | Правка | Наверх | Cообщить модератору

80. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от Аноним (8), 27-Май-21, 22:33 
iptables-apply - это shell-скрипт, и к iptables не приколочен. Там буквально несколько строчек поменять.
Ответить | Правка | Наверх | Cообщить модератору

82. "Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от OpenEcho (?), 28-Май-21, 13:51 
> iptables-apply - это shell-скрипт, и к iptables не приколочен. Там буквально несколько
> строчек поменять.

Угу и сделать это на тысячах машин как два пальца... и так с каждым новым апдайтом.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру