| 1.1, Аноним (1), 00:12, 20/10/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –9 +/– |
 А я ожидаю, что в 3.13-ом ядре будет из коробки работать подсветка в моём ноутбуке.
Оформил багу на ихней багзилле. Отметил, что с параметром acpi=off регулировка работает (в т.ч. числе горячими клавишами).
Жду.
Завидую тем, которые на багзилле получали фикс на следующий же день.
https://bugzilla.kernel.org/show_bug.cgi?id=62941
| | |
| |
| |
| |
| 4.100, Аноним (-), 12:14, 20/10/2013 [^] [^^] [^^^] [ответить]
| +7 +/– | |
Ох, я столько уже мучался с этим, что и забыл, что в первый раз это может выглядеть как глупая шутка.
Суть в том, что ядро при загрузке вызывает (не знаю, как метод называется, пусть будет) метод _OSI из таблиц ACPI сообщая, что оно понимает все версии Windows и Linux. А тот параметр говорит ядру не сообщать firmware, что оно "совместимо" с Windows 8. В Windows 8 драйверы сами управляют подсветкой и код из таблиц ACPI не вызывается. Производители его не тестируют и поэтому код в ветках поддержки Windows 8 часто бажный. А вот Linux честно его вызывает, что у меня на системе приводит к зависаниям. acpi_osi="!Windows 2012" спасает. (Обрати внимание на восклицательный знак. Здесь он означает отрицание).
| | |
| |
| 5.110, Аноним (1), 13:35, 20/10/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Ох, я столько уже мучался с этим, что и забыл, что в
> первый раз это может выглядеть как глупая шутка.
> Суть в том, что ядро при загрузке вызывает (не знаю, как метод
> называется, пусть...
Ваш способ не сработал, но подтолкнул меня к другому - http://forums.linuxmint.com/viewtopic.php?f=49&t=137738
У меня запахало и с параметром acpi_osi=Linux, и с acpi_osi=Linux acpi_backlight=vendor (во втором случае, как мне показалось, запахало изменение яркости в настройках, а не только через горячие клавиши)
Только на экране нет ползунков регулировки (так сказать, наглядного дополнения к меняющейся яркости).
| | |
| |
| 6.121, rshadow (ok), 14:40, 20/10/2013 [^] [^^] [^^^] [ответить]
| –3 +/– |
 Не переживайте так, ваши мучения напрасны. В одном из следующих ядер все равно поломают опять...
| | |
|
|
|
|
|
| 1.4, Аноним (-), 00:28, 20/10/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– | |
> Nftables, новой реализации пакетного фильтра, идущего на смену iptables
Вот есть iptables - проверенный годами, стабильный, притертый...
И тут на тебе новая шняга!, которая идет на смену iptables.
Да и еще с новым стрёмным синтаксисом.
Чё опять читать 100500 строковый ман? Тут бы старый дочитать :))
| | |
| |
| 2.5, stalker37 (?), 00:35, 20/10/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Аха..а ещё к таблесам куча полезных модулей, например тот же самый ipt_netflow
| | |
| |
| 3.6, свободный бздун (?), 00:37, 20/10/2013 [^] [^^] [^^^] [ответить]
| –8 +/– |
 > Аха..а ещё к таблесам куча полезных модулей, например тот же самый ipt_netflow
Гы-гы. Неосиляторы в треде.
Даёшь каждый год новый код!
| | |
| 3.12, Аноним (-), 01:04, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Аха..а ещё к таблесам куча полезных модулей, например тот же самый ipt_netflow
ipt_netflow давно пора слить в мейнстрим. Вот и повод появился.
| | |
| 3.104, Аноним (-), 13:28, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
Часть этих полезных модулей требует пересборки ведра, а это геморно (при его регулярном и автоматическом обновлениии). В сабже же же этим модули вынесут в юзерспейс. Профит!
Но скорость работы не в ядре вызывает ???
| | |
| 3.141, Павел Одинцов (?), 17:47, 20/10/2013 [^] [^^] [^^^] [ответить]
| +5 +/– |
 > Аха..а ещё к таблесам куча полезных модулей, например тот же самый ipt_netflow
Дерьма кусок Ваш ipt_netflow. Мы всеми силами выправляли его кривой код, рассказали автору как работают блокировки в ядре, прислали патчи.
Так нет же йопт, они в новой версии снова лезут создавать структуры ядра не из под лока! Оно и крашится в ответ через каждый час :/
| | |
| |
| 4.157, stalker37 (?), 21:34, 20/10/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
а есть чем заменить? Только не говорите что покупать циску..
А так - 2 год крутится на около провайдерской площадке под нагрузкой ~2gb (бондинг из 2 портов) -- ни 1 креша не было. Как креш воспроизвести?
| | |
| |
| 5.158, Гость (?), 23:56, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
> а есть чем заменить? Только не говорите что покупать циску..
> А так - 2 год крутится на около провайдерской площадке под
> нагрузкой ~2gb (бондинг из 2 портов) -- ни 1 креша не
> было. Как креш воспроизвести?
BSD и netgraph. =)
| | |
| |
| |
| 7.212, Аноним (-), 15:58, 21/10/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> аха.. смените ос,руки,планету...
Ну если так хочется воспроизвести креш - то и BSD поставишь, и netgraph настроишь.
| | |
|
| 6.193, ананим (?), 08:23, 21/10/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>Как креш воспроизвести?
>BSD и netgraph. =)
В смысле "и креши появятся"?
| | |
|
|
|
|
| 2.7, msa (??), 00:43, 20/10/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
 >> Nftables, новой реализации пакетного фильтра, идущего на смену iptables
> Вот есть iptables - проверенный годами, стабильный, притертый...
> И тут на тебе новая шняга!, которая идет на смену iptables.
> Да и еще с новым стрёмным синтаксисом.
> Чё опять читать 100500 строковый ман? Тут бы старый дочитать
iptables давно уже устарел, справедливо осмеян. Придется переучиватьсяю
| | |
| |
| 3.8, AnonuS (?), 00:51, 20/10/2013 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> iptables давно уже устарел, справедливо осмеян. Придется переучиватьсяю
Чем конкретно он устарел, старый стал запинаться стал, раньше пакеты фильтровал, а теперь нет нет да и пропустит парочку по рассеянности ?
| | |
| |
| 4.10, Аноним (-), 00:59, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Чем конкретно он устарел, старый стал запинаться стал, раньше пакеты фильтровал, а теперь нет нет да и пропустит парочку по рассеянности ?
Нет, просто уродец. Все попытки дальнейшего развития netfilter упирались в неимоверную кривизну x_tables.
Ждем аналогично экстерминатуса зоопарку им. Кузнецова (iproute2). С блекджеком и нормальной ограничивалкой трафика.
| | |
| |
| 5.15, AnonuS (?), 01:08, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Нет, просто уродец. Все попытки дальнейшего развития netfilter упирались в неимоверную кривизну x_tables.
Многим нравиться.
Как бы не народился ещё больший "уродец". Да и трудно всем угодить, один любит systemd, а другой например предпочитает свиной хрящик.
> Ждем аналогично экстерминатуса зоопарку им. Кузнецова (iproute2). С блекджеком и нормальной ограничивалкой трафика.
Ну да, прогресс не стоит на месте, и пожелания трудящихся ( "одминов" и программистов ) тоже...
| | |
| |
| 6.22, Аноним (-), 01:31, 20/10/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Многим нравиться.
Мазохисты, сэр! Так давайте еще раз сделаем им больно, раз они это любят!
> Как бы не народился ещё больший "уродец".
Пока дизайн довольно красивый. Корень уродств x_tables растет еще из эпохи ipchains. Тогда еще думали, что несть протоколов, кроме IPv4, и несть ната, кроме маскарада. А потом выяснилось, что есть еще ARP, IPv6, Ethernet, всякие DNATы и SNATы. Старая оболочка все раздувалась и раздувалась...
> Да и трудно всем угодить,
А не надо кому-то угождать. Надо просто сделать технически лучше, чем было.
| | |
| |
| 7.35, AnonuS (?), 02:09, 20/10/2013 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> А не надо кому-то угождать. Надо просто сделать технически лучше, чем было.
Дорогой анонимный брат Аноним, эта твоя позиция лично мне близка и понятна, и я могу её только поприветствовать. Если действительно удастся сделать "технически лучше, чем было", то я думаю и противники данного шага в конце концов осознают преимущества и открывшиеся перспективы. К тому же хочется надеяться, что поддержка нового кода, в конечном итоге, будет проще, а соответственно менее склонна к "забагованности".
| | |
| 7.159, Гость (?), 23:58, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> Многим нравиться.
> А не надо кому-то угождать. Надо просто сделать технически лучше, чем было.
Это уже попахивает изменой GNU/Linux. Вы так договоритесь до BSD way.
| | |
| |
| 8.207, Аноним (-), 15:52, 21/10/2013 [^] [^^] [^^^] [ответить] | +1 +/– | BSD way - это когда не технически, а академически лучше Но при этом никому нафи... текст свёрнут, показать | | |
|
|
| 6.86, Аноним (-), 07:48, 20/10/2013 [^] [^^] [^^^] [ответить] | –3 +/– | ну вы сравнили блин, админы как раз знают bash отлично, и писать init в порядке... большой текст свёрнут, показать | | |
| |
| 7.103, Аноним (-), 13:15, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> и писать init в порядке вещей
И это печально.
> часто вместо стандартного init выступает runit
Примерно один раз из десяти тысяч, не?
> И он делался с оглядкой на FreeBSD.
Фига с два.
| | |
| 7.160, Гость (?), 00:03, 21/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> ну вы сравнили блин, админы как раз знают bash отлично
Ой ли? over 99% на яндексовские задачи правильно ответить не могут.
| | |
|
|
|
|
|
| 2.14, Аноним (-), 01:08, 20/10/2013 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Вот есть iptables - проверенный годами, стабильный, притертый...
Дедушка умер, похороните его уже.
> Да и еще с новым стрёмным синтаксисом.
А вот бздуны от такого синтаксиса кипятком писают, например.
> Чё опять читать 100500 строковый ман?
Не нравится - вперед, в дворники.
| | |
| |
| 3.18, Аноним (-), 01:18, 20/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Не нравится - вперед, в дворники.
Это вот ты сейчас так защищаешь ТО, чем еще ниразу не пользовался и руками не щупал.
Я говорю о стабильности и надёжности, проверенных вещах. Ты говоришь о бздунах и дворах.
Делайте выводы господа :)
| | |
| |
| 4.21, Аноним (-), 01:25, 20/10/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Не нравится - вперед, в дворники.
> Это вот ты сейчас так защищаешь ТО, чем еще ниразу не пользовался и руками не щупал.
Откуда ты знаешь, мой юный друг? Может быть, я слежу за этим проектом с 2009 года, когда он только появился?
> Я говорю о стабильности и надёжности, проверенных вещах.
Хрущевки тоже проверены временем. Но это не значит, что там нужно покупать квартиру :)
> Делайте выводы господа :)
Напрашивается вывод, что перед нами человек, который не способен к обучению, и поэтому вынужден принимать в штыки все новые технологии.
| | |
| |
| 5.24, Аноним (-), 01:38, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Откуда ты знаешь, мой юный друг? Может быть, я слежу за этим проектом с 2009 года, когда он только появился?
Это очень замечательно, что на опеннете есть человек, который следил за этим проектом с 2009 года (~4 года, так?)
Буду очень признателен если ты поделишься своими познаниями и возможно развеешь все мои домыслы.
> Хрущевки тоже проверены временем. Но это не значит, что там нужно покупать квартиру :)
Железный аргумент. С нетерпением жду более детальной выкладки материала по вопросу Nftables
> Напрашивается вывод, что перед нами человек, который не способен к обучению, и поэтому вынужден принимать в штыки все новые технологии.
Человеку свойственна лень. Вам нет?
| | |
| |
| 6.32, Аноним (-), 02:06, 20/10/2013 [^] [^^] [^^^] [ответить] | +/– | Четыре с половиной официальный анонс был весной Но в 9-11 годах следить было ... большой текст свёрнут, показать | | |
| |
| 7.89, Аноним (-), 08:25, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> На всезнание не претендую, но насчет ключевых моментов вроде в курсе. Спрашивай.
Как оно из байткода выводит список текущих правил в человекопонятном виде (по аналогии с 'iptables -t nat -L POSTROUTING')? Можно ли засунуть в байткод правила, которые стандартная cli не пережует или интерпретирует неверно?
| | |
| |
| |
| 9.118, Аноним (-), 14:04, 20/10/2013 [^] [^^] [^^^] [ответить] | +1 +/– | Да что-то гложат меня смутные сомнения Теоретически, байткодом можно много чего... текст свёрнут, показать | | |
| |
| 10.168, arisu (ok), 00:44, 21/10/2013 [^] [^^] [^^^] [ответить] | –1 +/– |  попробуй не давать всем подряд права на то, на что права должны быть только у ад... текст свёрнут, показать | | |
| |
| |
| |
| 13.299, Аноним (-), 10:39, 23/10/2013 [^] [^^] [^^^] [ответить] | +/– | Это я просто предположил так, какие там возможности у этого байткода и фильтра в... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 6.140, northbear (??), 17:24, 20/10/2013 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Человеку свойственна лень. Вам нет?
Человек которому свойственна лень больше, чем можно себе это позволить, неизбежно превращается в планктон и становится чужой едой...
| | |
|
|
| 4.97, VolanD (ok), 11:25, 20/10/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
 >> Не нравится - вперед, в дворники.
> Это вот ты сейчас так защищаешь ТО, чем еще ниразу не пользовался
> и руками не щупал.
> Я говорю о стабильности и надёжности, проверенных вещах. Ты говоришь о бздунах
> и дворах.
> Делайте выводы господа :)
Небось еще сендмылом почту рулите?
| | |
|
| 3.109, Аноним (-), 13:33, 20/10/2013 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Не нравится - вперед, в дворники.
Павлик, залогинься.
>А вот бздуны
Интересы 1% никого не волнуют ))
| | |
| |
| 4.116, Аноним (-), 13:46, 20/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Павлик, залогинься.
То, что личности с ограниченными интеллектуальными возможностями должны заниматься только простыми работами - факт, очевидный не только вашему Павлику.
> Интересы 1% никого не волнуют ))
Такой же 1%, как и у линуксоидов. Ничем не хуже.
| | |
|
|
| 2.25, Seclorum (??), 01:38, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Вот есть iptables - проверенный годами, стабильный, притертый...
И неподдерживающий кучу сетевых протоколов...
| | |
| |
| 3.128, Адекват (ok), 16:03, 20/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >> Вот есть iptables - проверенный годами, стабильный, притертый...
> И неподдерживающий кучу сетевых протоколов...
Каких например ? каких из тех, с коими реально сталкиваются сисадмины ?
igrp, ospf, rip ?
| | |
| |
| 4.211, Аноним (-), 15:57, 21/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Каких например ? каких из тех, с коими реально сталкиваются сисадмины ?
Начнем с простых: ethernet, ARP/RARP, IPv6 =)
| | |
|
|
| 2.94, lucentcode (ok), 11:09, 20/10/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Не надо ворчать. Если вы профессионал своего дела - вы каждый день маны читаете. Одним больше, одним меньше - какая разница? А удобочитаемые правила, и ускорение разбора этих правил за счёт использования бат-кода - это хорошо. Как и то, что основная нагрузка на разбор правил теперь в user space. Чем меньше кода работает на уровне ядра - тем лучше. Больше кода - больше вероятность что в нём есть уязвимости.
| | |
| |
| 3.111, Anonim (??), 13:37, 20/10/2013 [^] [^^] [^^^] [ответить]
| –7 +/– | |
> Если вы профессионал своего дела - вы каждый день маны читаете.
Маны каждый день читают админишки недоделаные, профессионалы их пишут.
| | |
| |
| 4.115, Аноним (-), 13:44, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Маны каждый день читают админишки недоделаные, профессионалы их пишут.
Это типа пропаганда расовой ненависти быдлoкодеров к админам?
| | |
|
| 3.130, Адекват (ok), 16:04, 20/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> теперь в user space. Чем меньше кода работает на уровне ядра
> - тем лучше.
Кстати сам Линус не считает что в линуксе должно быть микроядро, а все что можно по максимуму - вынесено за пределы ядра в его модули.
| | |
| |
| |
| 5.148, Адекват (ok), 19:58, 20/10/2013 [^] [^^] [^^^] [ответить] | –2 +/– | И тем не менее - у него были аргументы того, каким должно быть _его_ ядро Я вот... большой текст свёрнут, показать | | |
| |
| 6.169, arisu (ok), 00:53, 21/10/2013 [^] [^^] [^^^] [ответить] | +2 +/– | а вот с этого места 8212 подробней давай особенно интересно, чем это принци... большой текст свёрнут, показать | | |
|
| 5.196, Аноним (196), 10:18, 21/10/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
 некомпетентность Линуса - это миф
который подогревается всеми, кому не лень, в том числе и нашими бывшими разработчиками линуксового ядра
не стоит забывать, что именно Линус написал первые версии ядра, файловой системы
что именно линус координировал и сам переписывал первые модули ядра, написанные другими разработчиками
то, что он сейчас ничего не пишет, в этом нет ничего удивительного - нельзя обьять необьятное, тем более что что ядро начинает разрастаться до необьятных размеров
| | |
| |
| 6.229, lucentcode (ok), 19:35, 21/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
> некомпетентность Линуса - это миф
> который подогревается всеми, кому не лень, в том числе и нашими бывшими
> разработчиками линуксового ядра
> не стоит забывать, что именно Линус написал первые версии ядра, файловой системы
> что именно линус координировал и сам переписывал первые модули ядра, написанные
> другими разработчиками
> то, что он сейчас ничего не пишет, в этом нет ничего удивительного
> - нельзя обьять необьятное, тем более что что ядро начинает разрастаться
> до необьятных размеров
Не спорю. Совсем некомпетентый человек не мог бы проверять чужой код, и координировать столько лет работу над ядром. Но не факт, что Линус - хороший системынй архитектор. Нужно у него самого спросить, что он думает по поводу своей компетентности в данном вопросе.
| | |
|
|
|
| 3.162, Гость (?), 00:18, 21/10/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Не надо ворчать. Если вы профессионал своего дела - вы каждый день
> маны читаете.
А пацанам не нужен нормальный l7-filter, имя что-нить попроще, для домашнего роутера.
| | |
|
| 2.99, Aleks Revo (ok), 12:11, 20/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 К 2113 году, когда в стабильную ветку будут переведены ядра 3.13 всё будет уже проработано и организовано ;-)
| | |
| |
| 3.107, Аноним (-), 13:31, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> К 2113 году, когда в стабильную ветку будут переведены ядра 3.13
Всего лишь к 2014.
| | |
|
| 2.126, XoRe (ok), 15:51, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
 >> Nftables, новой реализации пакетного фильтра, идущего на смену iptables
> Вот есть iptables - проверенный годами, стабильный, притертый...
> И тут на тебе новая шняга!, которая идет на смену iptables.
> Да и еще с новым стрёмным синтаксисом.
> Чё опять читать 100500 строковый ман? Тут бы старый дочитать :))
s/iptables/ipchains/g ну вы поняли... )
| | |
| |
| 3.192, ананим (?), 08:21, 21/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
Совсем не так.
Вам, бсдишнегам, трудно понять, что iptables был просто логическим продолжением ipchains.
Увеличилась функциональность, добавились опции и... всё.
Проблем с переходом не возникло.
| | |
| |
| 4.214, Аноним (-), 16:04, 21/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Совсем не так.
> Вам, бсдишнегам, трудно понять, что iptables был просто логическим продолжением ipchains.
> Увеличилась функциональность, добавились опции и... всё.
> Проблем с переходом не возникло.
Вот-вот. Вместо того, чтобы похоронить дедулю, к нему приделали экзоскелет с дистанционным управлением. Шевелиться - шевелится, но живее от этого не стал.
| | |
| |
| 5.262, ананим (?), 14:21, 22/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
Трудно представить, чтобы вы, любители анимэ, сделали с старичком колесом.
| | |
| |
| 6.278, Аноним (-), 20:53, 22/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Трудно представить, чтобы вы, любители анимэ, сделали с старичком колесом.
С колесом - не так много. А вот повозки эпохи первых колес, несмотря на их стабильность, притертость и беспроблемность, уже отошли в историю.
| | |
| |
| 7.283, ананим (?), 21:10, 22/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
При этом колёса просто модифицировались, а не изобретались по-новой.
| | |
|
|
|
|
|
|
| 1.9, AnonuS (?), 00:59, 20/10/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
> Ключевой особенностью Nftables является применение идеи, близкой к реализации BPF (Berkeley Packet Filters) - правила фильтрации компилируются в пространстве пользователя в байткод и передаются в ядро...
> Выполнение правил с использованием конечного автомата вместо применения логики сопоставления позволяет сократить размер кода фильтрации, работающего на уровне ядра...
Выглядит положительным начинанием, но не опасна ли эта затея с байт-кодом. Кто может пояснить на пальцах и успокоить ?
| | |
| |
| 2.11, Аноним (-), 01:03, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Выглядит положительным начинанием, но не опасна ли эта затея с байт-кодом. Кто может пояснить на пальцах и успокоить ?
iptables сейчас работает примерно так же. Только вместо байт-кода - блоб хитрой структуры, который интерпретируется в реальном времени. В общем, разница в седьмой воде на киселе.
| | |
| 2.170, arisu (ok), 01:02, 21/10/2013 [^] [^^] [^^^] [ответить] | +4 +/– | не опасна точнее, как минимум не более опасна, чем существующая реализация сей... большой текст свёрнут, показать | | |
|
| 1.13, Аноним (-), 01:05, 20/10/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Твою дивизию! Я только что окончил читать мануал к iptables на 600 страниц...
| | |
| |
| 2.16, Sinot (ok), 01:09, 20/10/2013 [^] [^^] [^^^] [ответить]
| +6 +/– |
 А зачем? Я вот тоже опасался сложности написания правил iptables, а выяснилось, что основ там на пол странички, а все остальное изучается исключительно по необходимости.
| | |
| 2.19, Аноним (-), 01:21, 20/10/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Твою дивизию! Я только что окончил читать мануал к iptables на 600
> страниц...
Я тебе открою страшную тайну: заменяешь iptables на ntf ip, -A на add, -p на protocol, -s на saddr, -d на daddr, --sport на sport, --dport на dport, -j DROP на drop, и дальше в таком духе. И все будет работать.
Итого: вместо
iptables -t filter -A OUTPUT -d 1.2.3.4 -p tcp --dport 80 -j DROP
получается
nft add rule ip filter output ip daddr 1.2.3.4 tcp dport 80 drop
| | |
| |
| 3.20, Аноним (-), 01:24, 20/10/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
Тогда какого Х*я ваще было синтаксис менять, раз всего названия сущностей были изменены?!
Шо за треш!
| | |
| |
| 4.23, Аноним (-), 01:34, 20/10/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Тогда какого Х*я ваще было синтаксис менять, раз всего названия сущностей были
> изменены?!
> Шо за треш!
Внутри тоже кой-чего поменяли. Например, слили четыре гигантских куска дублирующегося кода (ip_tables, ip6_tables, arp_tables и ebtables) в один.
А синтаксис - так, за компанию. Тем более, что действительно напрашивалось.
| | |
| |
| 5.26, Аноним (-), 01:44, 20/10/2013 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> А синтаксис - так, за компанию. Тем более, что действительно напрашивалось.
Кому оно напрашивалось? Вот посмотрите на новый синтаксис с точки зрения эргономики - все сливается... не хватает разделителей (типа '-')... Трудно читабельно, и не похоже на стандартный синтаксис CLI.
| | |
| |
| 6.30, Аноним (-), 01:59, 20/10/2013 [^] [^^] [^^^] [ответить]
| +7 +/– |
> Кому оно напрашивалось? Вот посмотрите на новый синтаксис с точки зрения эргономики
> - все сливается... не хватает разделителей (типа '-')... Трудно читабельно, и
У вас, видимо, браузер не отображает пробелы. Наверное, стоит написать багрепорт разработчикам.
| | |
| |
| |
| |
| 9.41, ананим (?), 02:50, 20/10/2013 [^] [^^] [^^^] [ответить] | +/– | Тем, что он соответсвует POSIX стандарту коммандной строки Кстати, как там о до... текст свёрнут, показать | | |
| |
| 10.46, Аноним (-), 03:03, 20/10/2013 [^] [^^] [^^^] [ответить] | +/– | Я бы не сказал, что для фаервола это достоинство Вот ты бы очень обрадовался, е... большой текст свёрнут, показать | | |
| |
| 11.47, Аноним (-), 03:08, 20/10/2013 [^] [^^] [^^^] [ответить] | +/– | As of June 2009, iptables and its relatives are still bound by the kernel interf... большой текст свёрнут, показать | | |
| |
| |
| |
| |
| |
| |
| |
| |
| Часть нити удалена модератором |
|
|
|
|
|
|
|
|
| |
| 12.53, Аноним (-), 03:41, 20/10/2013 [^] [^^] [^^^] [ответить] | +/– | Строка есть Есть Командует Командует Что тебе еще надо Ты решил сделать нес... большой текст свёрнут, показать | | |
| |
| |
| |
| |
| |
| |
| |
| Часть нити удалена модератором |
|
|
|
|
|
| |
| |
| |
| |
| |
| 19.102, ананим (?), 13:01, 20/10/2013 [^] [^^] [^^^] [ответить] | +/– | как и у любого другого приложения, поддерживающего опции командой строки в стиле... большой текст свёрнут, показать | | |
| |
| 22.235, arisu (ok), 02:16, 22/10/2013 [^] [^^] [^^^] [ответить] | +/– | да за каким фигом тебе вообще парзить правила-то генерируем не приходя в сознан... большой текст свёрнут, показать | | |
| 24.267, arisu (ok), 18:24, 22/10/2013 [^] [^^] [^^^] [ответить] | +/– | это 8212 решение задачи, которая ещё даже не появилась при этом у меня есть ... большой текст свёрнут, показать | | |
| 25.297, arisu (ok), 04:20, 23/10/2013 [^] [^^] [^^^] [ответить] | +/– | где на всякий случай перечисление похвальба такой подход нормально выгляди... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
| 11.87, www2 (??), 08:09, 20/10/2013 [^] [^^] [^^^] [ответить] | +/– | Это ты про внутреннюю организацию всего этого хозяйства говоришь или говоришь о ... большой текст свёрнут, показать | | |
|
|
|
|
| 7.42, Аноним (-), 02:55, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> У вас, видимо, браузер не отображает пробелы. Наверное, стоит написать багрепорт разработчикам.
Будьте последовательны. Убрали тире - уберите и пробелы, чтоб читалось быстрее. :))
| | |
| |
| 8.44, Аноним (-), 02:58, 20/10/2013 [^] [^^] [^^^] [ответить] | +/– | Будьте последовательны Вам нравится, когда слова визуально разделены Не ограни... текст свёрнут, показать | | |
| 8.55, Аноним (-), 03:46, 20/10/2013 [^] [^^] [^^^] [ответить] | +1 +/– | -А --ВЕДЬ --верно --говоришь -, --ДРУК - -С --ТИРЕ --текст --действительно --чи... текст свёрнут, показать | | |
| |
| 9.56, Аноним (-), 03:49, 20/10/2013 [^] [^^] [^^^] [ответить] | +/– | -А --СИНТАКСИС --iptables --все --же --надо --ПОПРАВИТЬ - --Некоторые --ЛЕКСЕМЫ... текст свёрнут, показать | | |
| |
| 10.64, ананим (?), 04:01, 20/10/2013 [^] [^^] [^^^] [ответить] | +1 +/– | Зато сильно уменьшает количество возможных ошибок при программирования разбора п... текст свёрнут, показать | | |
| |
| 11.66, Аноним (-), 04:03, 20/10/2013 [^] [^^] [^^^] [ответить] | +1 +/– | -В --ЭТОМ -- --то -и --проблема - --Аргументы --ВИЗУАЛЬНО --сливаются -с --пара... текст свёрнут, показать | | |
| |
| 12.70, ананим (?), 04:26, 20/10/2013 [^] [^^] [^^^] [ответить] | –1 +/– | Да, для секретарш не удобно, я ведь уже говорил Но для них командная строка не ... текст свёрнут, показать | | |
|
|
|
|
|
|
| 6.65, Аноним (-), 04:01, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Кому оно напрашивалось? Вот посмотрите на новый синтаксис с точки зрения эргономики
> - все сливается... не хватает разделителей (типа '-')... Трудно читабельно, и
> не похоже на стандартный синтаксис CLI.
--Все --ПРАВИЛЬНО --ГОВОРИШЬ -!
-Я --ПРОСТО --не --понимаю -, --как --раньше --мог --читать --текст --без --тире --перед --каждым --СЛОВОМ -!
| | |
| |
| 7.71, ананим (?), 04:27, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
>-Я --ПРОСТО --не --понимаю -, --как --раньше --мог --читать --текст --без --тире --перед --каждым --СЛОВОМ -!
Э… Может потому что ты не iptables?
| | |
|
|
|
|
| 3.132, Адекват (ok), 16:07, 20/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> получается
> nft add rule ip filter output ip daddr 1.2.3.4 tcp dport 80
> drop
А как сделать перенаправление пакета в другую цепочку типа:
iptables -t filter -A OUTPUT -d 1.2.3.4 -p tcp -g newchain ?
| | |
|
|
| |
| |
| 3.52, Аноним (-), 03:39, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
Нет смысла держать дублирующие подсистемы, от одной из них откажутся рано или поздно.
| | |
|
|
| 1.34, Igor (??), 02:08, 20/10/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
не ну то что они решили сделать чтото лучше это хорошо... только вот за каким лешим делать синтаксис да не сложный и логический но блин сливавшийся в 1 целое в глазах... Лично мне больше нравится старый синтаксис... просто он реально наглядней
| | |
| |
| 2.37, Аноним (-), 02:15, 20/10/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
> не ну то что они решили сделать чтото лучше это хорошо... только
> вот за каким лешим делать синтаксис да не сложный и логический
> но блин сливавшийся в 1 целое в глазах... Лично мне больше
> нравится старый синтаксис... просто он реально наглядней
Так вот откуда берутся люди, которые через каждые несколько слов лепят многоточия!
Только сейчас понял :)
| | |
| |
| |
| 4.112, Аноним (-), 13:38, 20/10/2013 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> смайлофаг закукарекал
Да-да))) вот)) таким)))) товарищам)))) новый)) синтаксис)) тоже)))) не) понравится)))))))))))))))))))))))
| | |
| |
| 5.153, anonymous (??), 20:58, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> смайлофаг закукарекал
> Да-да))) вот)) таким)))) товарищам)))) новый)) синтаксис)) тоже)))) не) понравится)))))))))))))))))))))))
(зато (лисперы оценят))
| | |
| |
| 6.154, Michael Shigorin (ok), 21:04, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > (зато (лисперы оценят))
Это -- да, бо скобочки в паритете. А тот безглазый истерический мусор предлагаю вымести.
| | |
|
| 5.258, Адекват (ok), 13:12, 22/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> смайлофаг закукарекал
> Да-да))) вот)) таким)))) товарищам)))) новый)) синтаксис)) тоже)))) не) понравится)))))))))))))))))))))))
Вот смотрю я на вас и видится мне что тут 90% троллей, которым лишь бы других в тупизне обвинить, не важно в чем, главное доказать что их точка зрения не верна, а верна ваша.
А из аргументов только - зубоскальство.
| | |
|
|
| 3.176, Ordu (ok), 03:56, 21/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Видимо это единственный известный автору знак препинания. Вот он и натыкал его побольше, чтобы не подумали, что он безграмотный.
| | |
| |
| 4.221, Аноним (-), 16:20, 21/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Видимо это единственный известный автору знак препинания. Вот он и натыкал его побольше, чтобы не подумали, что он безграмотный.
Я раньше тоже так думал. А теперь понятно — ему просто нужно «визуально разделять слова»©.
| | |
|
|
|
| 1.38, ferux (ok), 02:19, 20/10/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 интересно вот, планируется ли в нём поддержка фильтрации для заданных исполняемых файлов или их групп. А то 21й век идёт, а нет до сих пор нормальной реализации этого. То, что через SELinux делается - как-то костыльно. AppArmor-цы - обещают ток в 3й версии начать поддерживать подобное.
| | |
| |
| |
| 3.138, ананим (?), 16:42, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
ну типа разрешил в фаерволе ц:\\свалка програм\\опись\\ворд.exe, запустил… и вирусы полезли.
зыж
хинт:
# mv /usr/bin/proga /usr/bin/proga.orig
# cat > /usr/bin/proga
iptables -A OUTPUT… <разрешаем чё надыть>
<ещё может чё надо>
/usr/bin/proga.orig
Ctrl-D
#
усё, 21 век наступил.
| | |
| |
| 4.171, arisu (ok), 01:11, 21/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
> хинт:
> # mv /usr/bin/proga /usr/bin/proga.orig
# mv /usr/bin/true /usr/bin/true.orig
mv: cannot move '/usr/bin/true' to '/usr/bin/true.orig': Permission denied
> # cat > /usr/bin/true
zsh: permission denied: /usr/bin/true
упс.
| | |
| |
| |
| 6.228, arisu (ok), 18:10, 21/10/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А у тебя /usr/bin/true в интернет лазит?!!
/usr/bin/proga у меня вообще отсутствует. (пожимает плечами) замени true на wget, разрешаю. посмею тебя удивить: результат не поменяется. всё равно скажет, что прав нет. я понимаю: для тех, кто работает под рутом, это очень удивительно и непривычно. а вам сколько раз повторяли: «не работай под рутом»? вы отчего не слушали умных людей?
| | |
| |
| 7.247, ананим (?), 03:48, 22/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Видишь ли, любой вменяемый админ сразу (практически интуитивно) догадывается, что если речь идёт о файле в /usr/bin, то требуются рутовые права.
В общем то, админ — он и есть рут.
Ну не дали тебе рута, так какие твои годы? И фаервол ты тоже не можешь настроить… ну, пока тебе рута таки не дадут. Так что и тема сабжа пока не для тебя.
Такова селяви.
>а вам сколько раз повторяли: «не работай под рутом»? вы отчего не слушали умных людей?
Ну, это мы именно вам говорили.
И будем говорить.
| | |
|
|
|
| 4.174, ferux (ok), 02:38, 21/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
> # mv /usr/bin/proga /usr/bin/proga.orig
> # cat > /usr/bin/proga
> iptables -A OUTPUT… <разрешаем чё надыть>
> <ещё может чё надо>
> /usr/bin/proga.orig
> Ctrl-D
> усё, 21 век наступил.
и как это поможет запретить исходящие на заданный порт только для /usr/bin/proga.orig?
| | |
| |
| 5.255, ананим (?), 07:53, 22/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
вам поможет (как обычно) документация знание предметной области:
вот база для размышлений:
# useradd --shell /bin/false --no-create-home myappuser
# iptables -A OUTPUT -p tcp --dport 80 -m owner --uid-owner myappuser -j ACCEPT
# sudo -u myappuser /usr/bin/proga.orig
в 2.4 был --pid-owner, но эту опцию признали бессмысленной
запретить вообще сеть для приложения:
# unshare -n ping 127.0.0.1
connect: Network is unreachable
| | |
| |
| 6.272, ferux (ok), 19:30, 22/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
> # useradd --shell /bin/false --no-create-home myappuser
> # iptables -A OUTPUT -p tcp --dport 80 -m owner --uid-owner myappuser
> -j ACCEPT
> # sudo -u myappuser /usr/bin/proga.orig
Да, это не костыльная система, запускать все приложения от отдельного пользователя...
подход в SELinux и то лучше будет. Особенно красота начнётся, когда части приложений нужны будут X-ы (может wayland/mir/etc. эту проблему и решат, но всё же).
Правильный подход к конфигурированию подсистемы, это когда для изменения одного из её параметров (например, запрета отправки пакета на заданный порт для заданного приложения) нужно добавить опцию только в одном месте.
| | |
| |
| 7.273, arisu (ok), 19:42, 22/10/2013 [^] [^^] [^^^] [ответить] | +/– | прикинь не костыльная тут ссылка проскакивала на slated, так вот ещё одна htt... большой текст свёрнут, показать | | |
|
| 6.274, Michael Shigorin (ok), 19:59, 22/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> вот база для размышлений:
IMNSHO для такого уже становятся удобней контейнеры, поскольку изолирование на ФС с изолированием по сети ходят под ручку.
| | |
|
|
| 4.227, Аноним (-), 16:35, 21/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
> ну типа разрешил в фаерволе ц:\\свалка програм\\опись\\ворд.exe, запустил… и вирусы
> полезли.
> зыж
> хинт:
> # mv /usr/bin/proga /usr/bin/proga.orig
> # cat > /usr/bin/proga
> iptables -A OUTPUT… <разрешаем чё надыть>
Не, лучше так:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -F
и лучше не в /usr/bin/proga, а сразу в rc.local
// inspired by "service iptables panic" в старых редхатах
| | |
|
|
| 2.165, Гость (?), 00:30, 21/10/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
> интересно вот, планируется ли в нём поддержка фильтрации для заданных исполняемых файлов
> или их групп. А то 21й век идёт, а нет до
> сих пор нормальной реализации этого. То, что через SELinux делается -
> как-то костыльно. AppArmor-цы - обещают ток в 3й версии начать поддерживать
> подобное.
Ожидайте, в следующую итерацию в Линукс украдут и ipfw.
| | |
| |
| 3.216, Аноним (-), 16:08, 21/10/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Ожидайте, в следующую итерацию в Линукс украдут и ipfw.
А зачем Линуксу фаервол, имеющий проблемы с производительностью и масштабируемостью?
| | |
|
|
| |
| 2.43, ананим (?), 02:58, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
Копалка пока ещё пока не отросла.
Лихорадочно искал в новости строки:
>Представленный для ядра 3.13 код предусматривает сосуществование старой и новой подсистем, так как Nftables ещё требует доработки и тестирования.
А то пришлось бы повременить с ядрами >=3.13.
Нет желания переписывать 100500 правил.
| | |
|
| 1.48, _KUL (ok), 03:13, 20/10/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 как раз у страуструпа начал читать про парсер с++ и там пример в книге, как раз про такой синтаксис. ну очень он не удобный, нежели линейные правила.
| | |
| |
| 2.80, ананим (?), 05:05, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
Читать ещё пол-беды.
А вот сформировать, потом ещё и проверить валидность (до факапа при самом уже выполнении) сложнее.
Не говоря о том, что это фактически свой собственный язык разметки, который тоже нужно будет знать.
| | |
|
| 1.81, mma (?), 06:11, 20/10/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Посмотрим, довольно интересно, человеческий набор правил радует.
| | |
| 1.88, www2 (??), 08:19, 20/10/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>table filter hook input priority 0;
Точка с запятой в конце - обязательны? Чем объясняется, что в дальнейших правилах её нет?
>ct state established accept
>ct state related accept
А как раньше ct state established,related accept уже нельзя?
| | |
| |
| 2.91, Аноним (-), 09:17, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
Точка с запятой в конце - обязательны? Чем объясняется, что в дальнейших правилах её нет?
C синтаксис xD
| | |
| 2.222, Аноним (-), 16:21, 21/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> А как раньше ct state established,related accept уже нельзя?
Да пожалуйста: ct state {established, related}
| | |
|
| 1.117, ALex_hha (ok), 14:04, 20/10/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Это из оперы - "Чем грузины лучше" ;)
# iptables -t filter -A OUTPUT -d 1.2.3.4 -p tcp --dport 80 -j DROP
и
# nft add rule ip filter output ip daddr 1.2.3.4 tcp dport 80 drop
второе правилу ну никак не наглядней, хоть с какой стороны на него смотреть
| | |
| |
| 2.119, Andrey Mitrofanov (?), 14:07, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
> # iptables -t filter -A OUTPUT -d 1.2.3.4 -p tcp --dport 80 -j DROP
> и
> # nft add rule ip filter output ip daddr 1.2.3.4 tcp dport 80 drop
> второе правилу ну никак не наглядней, хоть с какой стороны на него смотреть
К 2113 году всё изменится! :D Глаза смотрящего точно.
| | |
| 2.125, miha (??), 15:19, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
> # iptables -t filter -A OUTPUT -d 1.2.3.4 -p tcp --dport 80
> -j DROP
>
> и
>
> # nft add rule ip filter output ip daddr 1.2.3.4 tcp dport
> 80 drop
>
> второе правилу ну никак не наглядней, хоть с какой стороны на него
> смотреть
а вот интересно, такая перестановка в новом варианте заработает:
# iptables -d 1.2.3.4 -t filter -p tcp -A OUTPUT --dport 80 -j DROP
и
# nft daddr 1.2.3.4 ip tcp add rule ip filter output dport 80 drop
???
| | |
| |
| 3.133, ананим (?), 16:12, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
хуже, когда будет так:
# nft daddr 1.2.3.4 ip tcp add ip rule filter dport output 80 drop
и сразу в глаза не бросается, т.к. не понятно где параметр, а где его атрибут.
| | |
| 3.218, Аноним (-), 16:16, 21/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> # nft daddr 1.2.3.4 ip tcp add rule ip filter output dport 80 drop
Нет, это не заработает. daddr и saddr - уточняющие субселекторы селектора ip. А dport - уточняющий параметр субселектора tcp. И т.д.
Синтаксис nft подчиняется правилам, алогичным человеческой речи. А в ней тоже нельзя произвольно смешивать слова.
| | |
| |
| |
| 5.237, arisu (ok), 02:19, 22/10/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> И ничему-то их SQL не научил… Тоже пытались сделать a-la человеческая речь.
и верно. то ли дело какое-нибудь @#%^%@#%. или вон как у sendmail — образец удобства и понятности.
| | |
| |
| 6.261, Crazy Alex (ok), 13:26, 22/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Ну так переборщить что угодно можно. Не пойму, чем тебя так смущает желание видеть явные отличия имен параметров от значений?
| | |
| |
| 7.264, ананим (?), 15:45, 22/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
человек не понимает разницу между параметрами программы и фронт-эндом по настройке этих параметров.
зыж
штоб править ему всю жизнь его виндовый (и бинарный) реестр хекс-эдитором! :D
| | |
| 7.270, arisu (ok), 18:39, 22/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Ну так переборщить что угодно можно. Не пойму, чем тебя так смущает
> желание видеть явные отличия имен параметров от значений?
потому что это совсем не обязательно при правильном построении грамматики. ты же не ставишь, например, дефис перед глаголами, снежинку перед прилагательными и плюс перед существительными? тем не менее, грамотно составленые предложения вполне читаются. без лишнего визуального мусора.
| | |
| |
| |
| 9.296, arisu (ok), 04:13, 23/10/2013 [^] [^^] [^^^] [ответить] | +/– | я не сравнил, я намекнул, что даже несоизмеримо более сложные грамматики обходят... текст свёрнут, показать | | |
|
|
| 7.281, Аноним (-), 21:03, 22/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Ну так переборщить что угодно можно. Не пойму, чем тебя так смущает
> желание видеть явные отличия имен параметров от значений?
Потому что эти "ясные" отличия де-факто являются визуальным мусором и только ухудшают читабельность.
В нормальной человеческой грамматике (например, русской и английской) их нет, что не мешает нам общаться.
| | |
|
|
| 5.282, Аноним (-), 21:05, 22/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> И ничему-то их SQL не научил... Тоже пытались сделать a-la человеческая речь.
Ну расскажите нам о проблемах тысяч админов из-за синтаксиса (именно синтаксиса, а не архитектуры или внутренней реализации) pf и ipfw.
| | |
|
|
|
| |
| 3.135, ананим (?), 16:15, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
это точно.
тогда выделение атрибутов от их параметров играет не малую роль.
| | |
|
| 2.134, Адекват (ok), 16:13, 20/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
>[оверквотинг удален]
> # iptables -t filter -A OUTPUT -d 1.2.3.4 -p tcp --dport 80
> -j DROP
>
> и
>
> # nft add rule ip filter output ip daddr 1.2.3.4 tcp dport
> 80 drop
>
> второе правилу ну никак не наглядней, хоть с какой стороны на него
> смотреть
Ежишь петручио !!! а если мне нужно не "-d" а "-s"
как в этом вашем nft это указать ?
Я вижу строку ip daddr 1.2.3.4
Из которой не ясно - это адрес назначения или адрес источника, бывают ситуации, когда в цепочке OUTPUT нужно обрабатывать траффик по адресу источника.
Как будет на языке nft правило вида:
iptables -t filter -A OUTPUT -s 1.2.3.4 -p tcp --dport 80 ?
| | |
| |
| 3.143, Аноним (-), 18:32, 20/10/2013 [^] [^^] [^^^] [ответить] | +1 +/– | Очевидно, nft saddr 1 2 3 4 ip tcp add rule ip filter output dport 80 НО То... большой текст свёрнут, показать | | |
| |
| 4.167, Гость (?), 00:35, 21/10/2013 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> "dport" etc). В случае же nft придется подбирать названия цепочек специально
Я вас умоляю, сделаете темплейты. Можно подумать серьезная конфигурация iptable без них обходится.
| | |
| 4.224, Аноним (-), 16:27, 21/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
> НО! То, что аргументы и параметры сливаются в одну кучу, никаким образом
> между собой ни визуально, ни логически не различимы - это очень
> плохо. Например, в случае синтаксиса iptables я спокойно могу называть цепочку
> любым нужным мне для словом (напр. "tcp", "udp", "ip", "rule", "add",
> "dport" etc). В случае же nft придется подбирать названия цепочек специально,
> чтобы они не пересекались с названиями параметров
С чего вы взяли? Такое ограничение пришлось бы вводить только в случае разрешенного хаотического перемешивания параметров и аргументов. Но оно же не разрешено.
| | |
|
| 3.146, Igor (??), 19:07, 20/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
походу вот так
nft add rule ip filter output ip saddr 1.2.3.4 tcp dport
| | |
|
|
| 1.152, Inome (ok), 20:49, 20/10/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Какие дебильные и длинные цепочки правил... Нет, чтобы доработать существующий iptables, они начинают пилить новый, ему замену с более убогим и неудобным синтаксисом, это пять!..
| | |
| 1.175, 3draven (ok), 03:12, 21/10/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 Вообще, не знаю есть ли такое, но хотелось бы видеть что то вроде функционального языка программирования фаервола. Что бы ты написал
main(packet){
if(packet.port == 80 && packet.elf = "myrestrictedelfprogram"){
return null;
}
}
Транслятор это дело в байткод прокинул и отправил я ядро. Судя по всему от этого нового нетфильтра до идеи парсить произвольный код в байткод фильтра, рукой подать. Что то типа llvm для пакетного фильтра, где фронтенд на произвольном языке, бекенд на байткоде. Что бы правила были совсем гибкими, честно сказать не люблю идею таблиц как таковую.
| | |
| |
| 2.177, VolanD (ok), 06:20, 21/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Вообще, не знаю есть ли такое, но хотелось бы видеть что то
> вроде функционального языка программирования фаервола. Что бы ты написал
> main(packet){
> if(packet.port == 80 && packet.elf = "myrestrictedelfprogram"){
> return null;
> }
> }
Много букаф слишком, нет?
| | |
| |
| 3.179, 3draven (ok), 07:17, 21/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Ну дак for, switch, while в руки и вперед. Просто взять скриптовый язык и прикрутить бекендом фаервол работающий с байткодом. Написать сотню правил и генератор правил к ним сложнее чем написать один цикл. Должно быть наоборот меньше букаф, да к тому же намного читабельнее, что немаловажно.
А сколько туда накрутить таким методом можно всяких других фич, которые к таблицам ни боком ни раком, даже предположить трудно.
| | |
| |
| 4.182, VolanD (ok), 07:26, 21/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Ну дак for, switch, while в руки и вперед. Просто взять скриптовый
> язык и прикрутить бекендом фаервол работающий с байткодом. Написать сотню правил
> и генератор правил к ним сложнее чем написать один цикл. Должно
> быть наоборот меньше букаф, да к тому же намного читабельнее, что
> немаловажно.
> А сколько туда накрутить таким методом можно всяких других фич, которые к
> таблицам ни боком ни раком, даже предположить трудно.
Так то канеш красиво получается и не надо читать кучу манов, если синтаксис СИ-подобный. Но с другой стороны простейшие правила: permit host 192.168.0.1 потребуют больше текста. Мне кажется было бы классно совместить оба варианта.
| | |
| |
| 5.184, 3draven (ok), 07:31, 21/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну, текущую инфраструктуру все равно оставить можно, конечно, она живая и никому не мешает. Вот только мои тут "идеи" все равно разрабы ядра не слышат :) Между тем в других системах lua потихоньку встраивают...прогресс идет, пока прохожие плеваются :)
| | |
| 5.187, 3draven (ok), 07:41, 21/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Главное, это дает резкое упрощение разработки для ядра, прототипирования, да и просто универсалный интерфейс к системам ядра. Меньше манов. Отсюда, думаю, взрывной рост разработки для ядра на скрипте, а потом перенос в С/С++ готовых продуктов для продакшена. В общем со всех сторон польза. Причем даже обычный юзер вроде меня сможет поковырять разработку для ядра на досуге.
| | |
| |
| 6.188, VolanD (ok), 07:59, 21/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Главное, это дает резкое упрощение разработки для ядра, прототипирования, да и просто
> универсалный интерфейс к системам ядра. Меньше манов. Отсюда, думаю, взрывной рост
> разработки для ядра на скрипте, а потом перенос в С/С++ готовых
> продуктов для продакшена. В общем со всех сторон польза. Причем даже
> обычный юзер вроде меня сможет поковырять разработку для ядра на досуге.
Кстати да, всякие DPI легче разрабатывать, наверное )
| | |
| |
| 7.189, 3draven (ok), 08:04, 21/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Шутки у вас :)
Но, сейчас документация на системы и конфиги систем ядра, огромна, а универсальный интерфейс по типу этого, ее резко уменьшит, что по моему приятно. Хоть не придется учить бесконечные новые синтаксиы конфигов нетфильтра.
| | |
|
|
|
|
| 3.180, 3draven (ok), 07:19, 21/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
сложнейшую маршрутизацию и прочее все туда же. А сервисы ядра подключать как библиотеки языка. Типа если надо конфигурять нетфильтр, такая либа, если надо еще что то, такая. Унифицированный подход имеем таким образом.
| | |
| |
| 4.183, 3draven (ok), 07:27, 21/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
Причем так как язык очень высокоуровневый надо, то выделений памяти, буферов и прочей муйни, нету. Подключив "либу" к проекту скриптового конфига ты подключаешь входной поток данных (пакеты для нетфильтра например) и встраиваешь проект в инфраструктуру подключенной "либы", то есть она начинает слушать твой выходной поток данных. Так что минимум лишних телодвижений. Потом байткод попадает в ядро и пашет как отдельный кусок конфигуряемой системы.
Потом добавить туда JIT коНпелятор и счастье наступило :)
| | |
| 4.195, ананим (?), 08:34, 21/10/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>А сервисы ядра подключать как библиотеки языка. Типа если надо конфигурять нетфильтр, такая либа,
Не поверишь.
Называются модули ядра.
| | |
|
|
|
| 1.178, Mr. Sneer (?), 07:06, 21/10/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
Когда коту делать нечего, он яйца лижет, а программисты разрабатывают принципиально новый wayland/gnome3/systemd/nftables/gtk3/clang и т.д.
И в каждой такой новости мы видим рассказы, как предшественник устарел, плох, не безопасен и т.д. Ужас да и только. И как только линукс взлетел со всем этим?
| | |
| |
| 2.197, const86 (ok), 11:38, 21/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > И как только линукс взлетел со всем этим?
Дык 1% же, невысоко взлетел. Оказывается, это было из-за устаревшего iptables, но теперь-то жизнь наладится!
| | |
| |
| 3.198, Mr. Sneer (?), 12:00, 21/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Рано ей налаживаться - вот впилят в каждый дистрибутив wayland(мы ведь все знаем, что в X11 даже не один фатальный недостаток нашли, а тысячи их!) в дополнение к systemd, вот тут-то и нагрянет вендокаец, а линукс захватит все 146%!
| | |
| |
| 4.309, Аноним (-), 20:40, 20/01/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> вот тут-то и нагрянет вендокаец, а линукс захватит все 146%!
Судя по тому как интел въе над линуксом начал - это не просто так.
| | |
|
| 3.308, Аноним (-), 20:39, 20/01/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Дык 1% же, невысоко взлетел.
Ну да, а вон те 50% серверов, 50% планшеток, 80% смартов, 90% суперкомпьютеров, почти 100% роутеров и прочей умной электроники мы проигнорируем. Ведь неудобно же замечать такие факты.
| | |
|
|
| 1.203, evilman (?), 13:43, 21/10/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Для всех хейтеров на заметку: для nftables подготовлена прослойка, которая полностью совместима с ip/ip6/arp/eb tables на уровне синтаксиса команд и интерфейса extensions. Т.о. можно не переучиваться. Во-вторых, все эти ваши экстеншены можно использовать из-под nftables без переделки. Ну и плюс новые плюшки, типа уже встроенных таблиц для хранения наборов данных, маппинга (а-ля tablearg), более дружелюбный к СМП "движок" с минимумом локов, избавление от ненужных дёрганий (не используете хук, так и система не будет проверять пустую цепочку), ну и по мелочи. Концептуально всё это очень похоже на ОпенБСДшный NPF, который чуть позже вышел, но был быстрее интегрирован в систему. Как-то так.
| | |
| |
| 2.234, Crazy Alex (ok), 02:16, 22/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
Да сама фишка хорошая, синтаксис безумный. Правила ж не надо читать, их надо сканировать, быстро разбирая на составные части. Синтаксис iptables это отлично даёт со своими минусами. А здесь - глазу зацепиться не за что. То есть там нужно тебе -s - ты его и ищешь, и сразу видишь. А sport среди других слов не выделяется никак.
| | |
| |
| 3.238, arisu (ok), 02:20, 22/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Правила ж не надо читать, их надо сканировать, быстро разбирая на составные части.
слушай, переложи уже работу фильтрации пакетов на машину. ну трудно же тебе каждый пакет ручками обрабатывать, упорно читая правила. надорвёшься.
| | |
| |
| 4.253, ананим (?), 05:09, 22/10/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
для идиoтиков, тут про фильтрацию правил, а не пакетов.
переложить это можно только на более компетентного админа. в твоём — случае практически на любого другого человека. но не на машину.
| | |
| |
| 5.254, arisu (ok), 05:29, 22/10/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
о, ещё один представитель племени пишущих правила в бессознательном состоянии. сначала оно сидит на винде и ставит варез из помоек, потом перелазит на бубунту и… всё равно ставит варез из помоек. и думает, что проблему его безмозглости можно решить программно.
| | |
| |
| 6.263, ананим (?), 15:39, 22/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
эт точно! :D
arizu one:
>слушай, переложи уже работу фильтрации пакетов на машину.
arizu two:
>и думает, что проблему его безмозглости можно решить программно.
да, вот так вы и живёте. хорошо хоть признаёшь свою ущербность. :D
а нам вот всё самим да самим правила писать приходится.
| | |
|
|
| 4.257, Crazy Alex (ok), 13:10, 22/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
Хочешь сказать, что никогда пачку правил не смотрел глазами чтобы понять, что там подправить надо?
| | |
| |
| 5.266, arisu (ok), 18:18, 22/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Хочешь сказать, что никогда пачку правил не смотрел глазами чтобы понять, что
> там подправить надо?
хочу сказать, что рапарзивать «$#%$^@^» шибко сложнее, чем слова: я именно поэтому и взял ferm. и здесь я вижу правила, похожие на ferm'овые. читаются без проблем. в отличие от однобуквенных аргументов.
мозг вообще читает фразы, составленые из слов, намного лучше, чем фразы, составленые из букв и закорючек. кто не верит — может попробовать прочесть какое-нибудь длинное регулярное выражение.
| | |
| |
| 6.301, Crazy Alex (ok), 11:41, 23/10/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Ну так речь же не о том, чтобы сплошные значки были. Но вот эти sport/dport явно менее заметны, чем -s/-d. И -j, опять же, позволяет быстрее понять, где начинается rule target, если он с параметром (если без - тупо читаем последнее слово, конечно).
Короче, ладно, разница в восприятии.
| | |
| |
| 7.302, arisu (ok), 18:20, 23/10/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> вот эти sport/dport явно менее заметны, чем -s/-d
Прочтя в черноморской вечерке объявление «Сд. пр. ком. в уд. в. н. м. од. ин. хол.» и мигом сообразив, что объявление это означает — «Сдается прекрасная комната со всеми удобствами и видом на море одинокому интеллигентному холостяку»…
| | |
|
|
|
|
| 3.287, Аноним (-), 21:16, 22/10/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Да сама фишка хорошая, синтаксис безумный. Правила ж не надо читать, их
> надо сканировать, быстро разбирая на составные части. Синтаксис iptables это отлично
> даёт со своими минусами. А здесь - глазу зацепиться не за
> что. То есть там нужно тебе -s - ты его и
> ищешь, и сразу видишь. А sport среди других слов не выделяется
> никак.
Синтаксис вашей речи не позволяет ее парсить, извините.
Пожалуйста, ставьте минусы перед каждым словом.
| | |
| |
| 4.300, Crazy Alex (ok), 11:36, 23/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
Еще один. Разницу между атрибутом и параметром понимаем? Hint: почему в SQL принято ключевые слова писать большими буквами, а имена полей/таблиц - малыми?
| | |
| |
| 5.305, pavlinux (ok), 00:04, 27/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > Еще один. Разницу между атрибутом и параметром понимаем? Hint: почему в SQL
> принято ключевые слова писать большими буквами, а имена полей/таблиц - малыми?
Наследие IBM System/360 и VAX/VMS, Фортранщеги ваще капслок гвоздём прибивают.
| | |
|
|
|
|
| 1.205, Аноним (196), 14:01, 21/10/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
взаимоинтеграция
линукс на бздю и наоборот
дополнительный фактор развития
когда количество сущностей увеличивается, это не всегда баг системы
| | |
| 1.219, Аноним (-), 16:17, 21/10/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
не то, чтобы это тянет на файрвол, но хоть какая-то движуха, изменения/инновации.
но увы, для усложнения байпаса файрвола - прийдется сторонние "костыли" юзать вроде Zorp. два почти доведенных до ума, надежных файрвола - отпинали из Линукс, уже, к сожалению. а netfilter/iptables больше на анекдот похож. в роутере нормально(иногда;) а вот узлы и бордеры требуют мало-мальски, защиты, однако )
| | |
| |
| 2.256, commiethebeastie (ok), 12:59, 22/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > не то, чтобы это тянет на файрвол, но хоть какая-то движуха, изменения/инновации.
> но увы, для усложнения байпаса файрвола - прийдется сторонние "костыли" юзать вроде
> Zorp. два почти доведенных до ума, надежных файрвола - отпинали из
> Линукс, уже, к сожалению. а netfilter/iptables больше на анекдот похож. в
> роутере нормально(иногда;) а вот узлы и бордеры требуют мало-мальски, защиты, однако
> )
Ниасилил? А как должен выглядеть фаерволл? Выскакивать окошко и раздаваться звук раздавленной крысы?
| | |
| |
| |
| 4.307, Аноним (-), 20:37, 20/01/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> DPI ему не хватает. начальство, видимо, приказало.
Тогда ему не хватает не DPI а мозгов и квалификации.
| | |
|
| 3.291, Аноним (-), 22:04, 22/10/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> не то, чтобы это тянет на файрвол, но хоть какая-то движуха, изменения/инновации.
>> но увы, для усложнения байпаса файрвола - прийдется сторонние "костыли" юзать вроде
>> Zorp. два почти доведенных до ума, надежных файрвола - отпинали из
>> Линукс, уже, к сожалению. а netfilter/iptables больше на анекдот похож. в
>> роутере нормально(иногда;) а вот узлы и бордеры требуют мало-мальски, защиты, однако
>> )
> Ниасилил? А как должен выглядеть фаерволл? Выскакивать окошко и раздаваться звук раздавленной
> крысы?
не позволять себя обходить, для начала. ну а в идеале - написаным головой а не ж.
в крайнем случае - руками :)
p.s.
про "выскакивать и звук крысы" порадовало, спасибо. напомнило один смешной продукт на оффтопике от Касперского )
| | |
|
|
|
