The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление iptables 1.4.14 и conntrack-tools 1.2"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление iptables 1.4.14 и conntrack-tools 1.2"  +/
Сообщение от opennews on 27-Май-12, 22:41 
Доступно (http://lists.netfilter.org/pipermail/netfilter-announce/2012...) обновление iptables 1.4.14 (http://www.iptables.org), набора утилит для управления встроенным в ядро Linux фреймворком фильтрации и преобразования пакетов NetFilter (http://www.netfilter.org/). В новой версии реализована полная совместимость с Linux-ядром 3.4 (https://www.opennet.ru/opennews/art.shtml?num=33888) и исправлено несколько ошибок. В частности, добавлена поддержка появившейся в ядре 3.4 инфраструктуры cttimeout, позволяющая привязать определённые политики использования таймаутов для потока через действие "CT" в iptables.


Для определения политики применения таймаутов следует использовать новую утулиту nfct, которую можно найти в составе новой версии пакета conntrack-tools. Также подготовлена (http://lists.netfilter.org/pipermail/netfilter-announce/2012...) специальная библиотека libnetfilter_cttimeout, предоставляющая программный интерфейс к инфраструктуре cttimeout. В качестве примера создадим политику custom-tcp-policy и привяжем её к трафику, идущему от IP 1.1.1.1 к IP 2.2.2.2:


<font color="#461b7e">
   nfct timeout add custom-tcp-policy1 inet tcp established 200
   iptables -I PREROUTING -t raw -s 1.1.1.1 -d 2.2.2.2 -p tcp \
        -j CT --timeout custom-tcp-policy1
</font>

Одновременно представлен (http://lists.netfilter.org/pipermail/netfilter-announce/2012...) релиз инструментария conntrack-tools 1.2.0 (http://conntrack-tools.netfilter.org/), содержащего набор средств для управления таблицами установленных соединений (conntrack). Кроме утилиты для выполнения таких задач, как просмотр, отслеживание изменений и модификация содержимого conntrack-таблицы, в состав пакета входит фоновый процесс conntrackd, дающий возможность обеспечить централизованное накопление статистики или организовать синхронизацию conntrack-таблиц между несколькими серверами, что может быть использовано для построения кластеров высокой доступности.


В новой версии conntrack-tools добавлена поддержка синхронизации ожидания (http://conntrack-tools.netfilter.org/manual.html#sync-expect) (ExpectationSync)  для обеспечения согласованного отслеживания соединений для протоколов, использующих отдельные потоки для управления и передачи данных (например, FTP, H.323 и SIP). Вторым значительным улучшением, является  утилита nfct.  В настоящее время утилита nfct поддерживает только управление политиками cttimeout, но в будущем функциональность будет расширена и со временем данная утилита полностью заменит собой программу conntrack.


URL: http://lists.netfilter.org/pipermail/netfilter-announce/2012...
Новость: https://www.opennet.ru/opennews/art.shtml?num=33947

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Обновление iptables 1.4.14 и conntrack-tools 1.2"  +2 +/
Сообщение от Anonymousw on 27-Май-12, 22:41 
не успели выпустить как уже для сборки нужен патч :))
conntrack-tools - 1.2.0
___________________________________________
--- ./src/nfct-extensions/timeout.c     2012-05-26 16:53:14.933950376 +0300
+++ ./timeout.c 2012-05-27 21:36:01.000000000 +0300
@@ -96,7 +96,7 @@
                goto err_free;
        }

-       nfct_timeout_snprintf(buf, sizeof(buf), t, 0);
+       nfct_timeout_snprintf(buf, sizeof(buf), t, NFCT_TIMEOUT_O_DEFAULT, 0);
        printf("%s\n", buf);

err_free:
___________________________________________

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление iptables 1.4.14 и conntrack-tools 1.2"  +/
Сообщение от Аноним (??) on 28-Май-12, 03:40 
Обычная практика у большинства программ.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Обновление iptables 1.4.14 и conntrack-tools 1.2"  +1 +/
Сообщение от arisu (ok) on 28-Май-12, 06:46 
это почти что закон природы: как только решаешь, что «пора» и делаешь хотя бы beta-релиз, сразу после него находится дубовый баг.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Обновление iptables 1.4.14 и conntrack-tools 1.2"  –2 +/
Сообщение от Аноним (??) on 28-Май-12, 13:02 
Ну да, давайте отсутствие у свободных проектов отдела QA будем объяснять законами природы.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Обновление iptables 1.4.14 и conntrack-tools 1.2"  +1 +/
Сообщение от arisu (ok) on 28-Май-12, 13:08 
> Ну да, давайте отсутствие у свободных проектов отдела QA будем объяснять законами
> природы.

что-то "несвободным" проектам наличие этих отделов всё равно никак не помогает.

ты, впрочем, теоретик (это не предположение), тебе видней, как коней в вакууме пасти.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Обновление iptables 1.4.14 и conntrack-tools 1.2"  +/
Сообщение от Аноним (??) on 28-Май-12, 14:23 
Про предыдущий релиз 1.4.13 новости не было, а там, между прочим, добавили критерий rpfilter (раньше его можно было задать только для интерфейсов в целом через sysctl), а еще сделали поддержку IPv6 для критериев ecn и addrtype.

А в следующем релизе conntrack-tools ожидается поддержка юзерспейсных хелперов (сейчас они работают только в ядре). Уже готовы юзерспейсные хелперы для RPC и Oracle TNS. Рулиться это дело будет тоже через nfct.

Да, и еще недавно вышла интересная статья по теме хелперов https://home.regit.org/netfilter-en/secure-use-of-helpers/ Всем админам рекомендуется.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление iptables 1.4.14 и conntrack-tools 1.2"  +/
Сообщение от Аноним (??) on 28-Май-12, 14:25 
> ты, впрочем, теоретик (это не предположение), тебе видней, как коней в вакууме пасти.

Он необязательно теоретик. Но вот что он проповедник религии "свободное ПО отстой" - это очевидно.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Обновление iptables 1.4.14 и conntrack-tools 1.2"  +/
Сообщение от arisu (ok) on 28-Май-12, 14:27 
> Он необязательно теоретик.

теоретик-теоретик. иначе просто улыбнулся бы, потому что «#$$#%@#!!1111 во вчерашнем релизе МЕГАБАГ!!!111111» — это таки знакомо всем, кто делал оные релизы; неважно, [F]OSS ли или проприетарщина.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Обновление iptables 1.4.14 и conntrack-tools 1.2"  +/
Сообщение от Аноним (??) on 28-Май-12, 14:31 
Не исключено, что про себя и улыбнулся. Но так как данный конкретный случай можно использовать как знамение для проповеди своей религии - он так и сделал.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Обновление iptables 1.4.14 и conntrack-tools 1.2"  +/
Сообщение от Аноним (??) on 28-Май-12, 15:04 
не ради троллинга, а с целью повышения самообразованности поясните какова практическая ценность данных опций.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Обновление iptables 1.4.14 и conntrack-tools 1.2"  +1 +/
Сообщение от Аноним (??) on 28-Май-12, 15:46 
Во-первых, теперь можно независимо задавать настройки conntrack для разных соединений, причем выбор соединений возможен с помощью всех инструментов, доступных в таблице raw (включая ipset). Одно из наиболее очевидных применений - борьба с (D)DoS атаками (для подозрительных источников задаются небольшие таймауты). Также можно сокращать значения таймаутов (и соответственно уменьшать расход ресурсов) на основе информации о топологии сети и задержках (для подсетей с малым временем пинга таймауты можно задавать поменьше).

Во-вторых, теперь поддерживается синхронизация ожиданий. Это важно при организации кластерных фаерволов, которые должны пропускать соединения по протоколам, использующим связанные соединения (например, FTP). В частности, если срезу после передачи PASV от клиента на удаленный сервер, активная нода кластера ушла в даун, есть шансы, что сменщик уже будет знать о соединении данных и корректно пропустит его (без синхронизации ожиданий это соединение в такой ситуации было бы заблокировано без вариантов).

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Обновление iptables 1.4.14 и conntrack-tools 1.2"  +/
Сообщение от Аноним (??) on 28-Май-12, 18:08 
благодарю
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Обновление iptables 1.4.14 и conntrack-tools 1.2"  +/
Сообщение от Аноним (??) on 28-Май-12, 20:36 
А еще в 1.4.13 добавили поддержку nfacct, и тогда же выпустили nfacct и libnetfilter_acct.
Тоже очень важный момент, совершенно не освещенный в новостях.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру