Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Выпуск пакетного фильтра iptables 1.8.11" | +/– | |
Сообщение от opennews (??), 10-Ноя-24, 12:59 | ||
После года разработки опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.11, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Выпуск пакетного фильтра iptables 1.8.11" | +/– | |
Сообщение от Аноним (1), 10-Ноя-24, 12:59 | ||
> утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. | ||
Ответить | Правка | Наверх | Cообщить модератору |
19. "Выпуск пакетного фильтра iptables 1.8.11" | –2 +/– | |
Сообщение от Аноним (-), 11-Ноя-24, 01:04 | ||
> И тут байткод, и eBPF проталкивают. Похоже, что-то изменилось в | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. "Выпуск пакетного фильтра iptables 1.8.11" | +/– | |
Сообщение от Аноним (25), 12-Ноя-24, 14:47 | ||
И какие у Вас претензии к PF? | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Выпуск пакетного фильтра iptables 1.8.11" | +/– | |
Сообщение от Аноним (30), 12-Ноя-24, 16:09 | ||
> И какие у Вас претензии к PF? | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "Выпуск пакетного фильтра iptables 1.8.11" | +/– | |
Сообщение от Аноним (25), 12-Ноя-24, 14:51 | ||
Правила iptables всегда транслировались и обрабатывались модулем XT в виде байт-кода. Вы из спячки вышли и при чём здесь eBPF? Все смешалось в воспалённом сознании - люди, кони. | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
4. "Выпуск пакетного фильтра iptables 1.8.11" | –2 +/– | |
Сообщение от Аноним (4), 10-Ноя-24, 13:16 | ||
В утилиту ebtables-nft добавлена поддержка команд "--change-counters", "--replace" и "--list-rules". Добавлена возможность указания счётчиков для правил, используя синтаксис "-c N,M". | ||
Ответить | Правка | Наверх | Cообщить модератору |
18. "Выпуск пакетного фильтра iptables 1.8.11" | +1 +/– | |
Сообщение от Аноним (18), 11-Ноя-24, 01:00 | ||
> Еще лет десять - научится реальные наборы правил транслировать. Иногда. | ||
Ответить | Правка | Наверх | Cообщить модератору |
23. "Выпуск пакетного фильтра iptables 1.8.11" | +/– | |
Сообщение от анонимус (??), 12-Ноя-24, 00:41 | ||
В смысле "даже"? | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "Выпуск пакетного фильтра iptables 1.8.11" | +/– | |
Сообщение от Аноним (24), 12-Ноя-24, 10:26 | ||
iptables просто нужно читать не в iptables -L, а в iptables-save, тогда становится достаточно читаемо. Но логики в этом нет и никогда не было, что вывод самой команды неадекватный, а читаемо только в команде для сохранения правил, с nft list ruleset сильно проще, согласен | ||
Ответить | Правка | Наверх | Cообщить модератору |
27. "Выпуск пакетного фильтра iptables 1.8.11" | +/– | |
Сообщение от Аноним (25), 12-Ноя-24, 14:54 | ||
iptables -S -> вывод аналогичен iptables-save. | ||
Ответить | Правка | Наверх | Cообщить модератору |
31. "Выпуск пакетного фильтра iptables 1.8.11" | +1 +/– | |
Сообщение от Аноним (31), 12-Ноя-24, 16:14 | ||
> В смысле "даже"? | ||
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору |
28. "Выпуск пакетного фильтра iptables 1.8.11" | +/– | |
Сообщение от Аноним (25), 12-Ноя-24, 14:55 | ||
В Android не перенесен модуль NFT. Так что по прежнему где-то да надо. | ||
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору |
7. "Выпуск пакетного фильтра iptables 1.8.11" | +1 +/– | |
Сообщение от Аноним (7), 10-Ноя-24, 18:17 | ||
Хорошее дело делают, заботятся о братьях наших меньших, которые когда-то давно один раз зазубрили пару заклинаний для iptables, а теперь уже слишком стары, чтобы учиться новым. Вот это я понимаю, линукс с человеческим лицом. | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "Выпуск пакетного фильтра iptables 1.8.11" | +/– | |
Сообщение от Ахз (?), 10-Ноя-24, 19:03 | ||
Как тебе сказать, вот когда у тебя не пару строчек, в пару-тройку сотен тысяч.. | ||
Ответить | Правка | Наверх | Cообщить модератору |
10. "Выпуск пакетного фильтра iptables 1.8.11" | +2 +/– | |
Сообщение от Аноним (7), 10-Ноя-24, 20:48 | ||
Начнём с того, что ты никогда в своей жизни не видел «пару-тройку сотен тысяч» строк конфигурации фаерволла. Уже на десятках тысяч загрузка правил через iptables превращается в несоклько минут ожидания, в течение которых фаерволл находится в полусконфигурированном состоянии. В отличие от nftables, которые применяют новый конфиг атомарно и целиком. А продолжим тем, что на десятках тысяч правил фаерволла начинает заметно расти латенси (что ещё пол-беды) и джиттер (что куда серьёзнее), поэтому в проде для таких случаев используют железные решения, а не детсадовские решения из пластилина и желудей. На сотнях тысяч задержки и джиттер видны невооружённым глазом. Так что не говори мне лучше никак. | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "Выпуск пакетного фильтра iptables 1.8.11" | +/– | |
Сообщение от Аноним (1), 10-Ноя-24, 22:25 | ||
Некоторые сервера память перед запуском ОС тестируют по полчаса, потом ещё раиды проверяют. А тут аж целых несколько минут. | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. "Выпуск пакетного фильтра iptables 1.8.11" | +1 +/– | |
Сообщение от Аноним (-), 11-Ноя-24, 01:18 | ||
> Некоторые сервера память перед запуском ОС тестируют по полчаса, | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "Выпуск пакетного фильтра iptables 1.8.11" | +/– | |
Сообщение от Аноним (25), 12-Ноя-24, 14:58 | ||
А параметр -P Вы, судя по комментариям, так и не смогли освоить. | ||
Ответить | Правка | Наверх | Cообщить модератору |
15. "Выпуск пакетного фильтра iptables 1.8.11" | +1 +/– | |
Сообщение от Аноним (15), 10-Ноя-24, 23:07 | ||
> начинает заметно расти латенси | ||
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору |
21. "Выпуск пакетного фильтра iptables 1.8.11" | +/– | |
Сообщение от нах. (?), 11-Ноя-24, 11:59 | ||
какие еще приоритеты у такого дятла, ему в голову не приходит ничего кроме плоской простыни правил перебираемых по одному. | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Выпуск пакетного фильтра iptables 1.8.11" | +/– | |
Сообщение от Аноним (33), 13-Ноя-24, 17:01 | ||
Chains — это ты правильно сказал. Цепочки предполагают собой наличие первого и последнего. Подумай на досуге, сколько времени займёт фильтрование пакета, который обрабатывается правилами в конце цепи, почему важно грамотное упорядочивание правил и как тут помогают счётчики. Ну и заодно посмотри, что делает COMMIT, почему их в выхлопе iptables-save несколько, и подумай так же что происходит МЕЖДУ двумя коммитами. Как разберёшься — пиши, я тебе ещё интересных задачек подкину мозги размять. | ||
Ответить | Правка | Наверх | Cообщить модератору |
16. "Выпуск пакетного фильтра iptables 1.8.11" | +4 +/– | |
Сообщение от ананим.orig (?), 11-Ноя-24, 00:42 | ||
> Начнём с того, что ты никогда в своей жизни не видел … | ||
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору |
22. "Выпуск пакетного фильтра iptables 1.8.11" | +1 +/– | |
Сообщение от нах. (?), 11-Ноя-24, 12:00 | ||
и да, слово COMMIT в выхлопе iptables-save дятлу ничего не говорит. Вероятнее всего потому что он никогда его и не видел. | ||
Ответить | Правка | Наверх | Cообщить модератору |
9. "Выпуск пакетного фильтра iptables 1.8.11" | +1 +/– | |
Сообщение от Ахз (?), 10-Ноя-24, 19:05 | ||
В догонку, вот обратная совместимость винды преподносится как достоинство, а с линуксом - так технологии дидов ) | ||
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору |
11. "Выпуск пакетного фильтра iptables 1.8.11" | –1 +/– | |
Сообщение от Аноним (7), 10-Ноя-24, 20:52 | ||
Не надо путать тёплое с мягким, и обратную совместимость с паллиативной заботой. | ||
Ответить | Правка | Наверх | Cообщить модератору |
12. "Выпуск пакетного фильтра iptables 1.8.11" | –2 +/– | |
Сообщение от Ширламырла (?), 10-Ноя-24, 21:36 | ||
6 пунктов и 1.5 года работы | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. "Выпуск пакетного фильтра iptables 1.8.11" | +/– | |
Сообщение от ананим.orig (?), 11-Ноя-24, 00:58 | ||
во первых не 1,5, а 1. (так прям в заголоке сказано) | ||
Ответить | Правка | Наверх | Cообщить модератору |
34. "Выпуск пакетного фильтра iptables 1.8.11" | +/– | |
Сообщение от Соль земли (?), 15-Ноя-24, 16:23 | ||
Зачем? Есть же nftables. | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |