Релиз iptables 1.8.0

12.07.2018 21:13

Спустя два с половиной года с момента формирования прошлой стабильной ветки 1.6.x представлен iptables 1.8.0, новый значительный релиз инструментария для управления пакетным фильтром Linux.

Основные изменения:

Обеспечено явное разделение классического фронтэнда iptables и нового фронтэнда, построенного поверх инфраструктуры пакетного фильтра nftables и позволяющего мигрировать на технологии nftables, продолжив использовать привычные инструменты и синтаксис iptables. Классический фронтэнд теперь поставляется с явным указанием в имени исполняемых файлов слова "-legacy", например iptables-legacy и iptables-legacy-save, а файлы фронтэнда на базе nftables вместо "-compat" теперь заканчиваются на "-nft", например, iptables-nft. При запуске iptables с командой '--version' выдаётся информация о типе фронтэнда (например "iptables v1.8 (legacy)" или "iptables v1.8 (nf_tables)");
Дистрибутивам рекомендуется устанавливать по умолчанию классический фронтэнд для стабильных выпусков, а в экспериментальных версиях предлагать команды на базе nftables в качестве альтернативы c созданием симлинков iptables, ip6tables, iptables-restore и т.п., указывающих на xtables-nft-multi. В качестве плюсов применения варианта на базе nftables отмечается отсутствие необходимости применения опции "--wait" для решения проблем с одновременным запуском, поддержка мониторинга набора правил при помощи сторонних фоновых процессов, предоставление возможностей для отладки правил (xtables-monitor --trace в сочетании с iptables-действием TRACE) и возможность добавления/удаления правил не меняя внутреннее состояние таких критериев как ограничения и квоты;
Применяемый для IPv6 критерий (match) 'srh' теперь может применяться для сопоставления с прошлым, следующим и последним идентификатором сеанса (SID);
В действии (target) CONNMARK обеспечена поддержка операций битового сдвига для критериев restore-mark, set-mark и save-mark;
В DNAT теперь допустимо использовать сдвинутые диапазоны portmap (входящие обращения к портам (например, 5000-5100) теперь можно перенаправить в иной диапазон портов (2000-2100), в то время как раньше поддерживалось перенаправление только совпадающих диапазонов портов или нужно было перечислять по одному порту в правиле);
В бэкенд nf_tables добавлены новые команды:
- xtables-monitor - отображает изменения в наборе правил и информацию о трассировке пакетов для отладки правил.
- ebtables - функциональность для замены утилиты ebtables;
- arptables - функциональность для замены утилиты arptables;
Добавлено семейство утилит 'translate' (ip6tables-translate, ip6tables-restore-translate, iptables-restore-translate, iptables-translate) для преобразования синтаксиса iptables в родные наборы правил nftables, воспринимаемые утилитой nft.

исправить +15 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/48936-iptables

Ключевые слова: iptables

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (32)

1.1, DEF (?), 21:38, 12/07/2018 [ответить] [﹢﹢﹢] [ · · · ]	–13 +/–
Так оно же deprecated

2.4, Аноним (4), 22:16, 12/07/2018 [^] [^^] [^^^] [ответить]	+3 +/–
Тебе об этом и написали > Обеспечено явное разделение классического фронтэнда iptables и нового фронтэнда, построенного поверх инфраструктуры пакетного фильтра nftables и позволяющего мигрировать на технологии nftables, продолжив использовать привычные инструменты и синтаксис iptables.

3.8, Аноним (8), 01:08, 13/07/2018 [^] [^^] [^^^] [ответить]	–1 +/–
Кто в курсе, возможно ли будет в новом фронтенде реализовать фильтрацию по процессам? Или может это уже будет реализовано?

4.9, Аноним (4), 02:30, 13/07/2018 [^] [^^] [^^^] [ответить]	–1 +/–
google:// cgroups iptables

5.10, Аноним (-), 02:57, 13/07/2018 [^] [^^] [^^^] [ответить]	–1 +/–
и как это юзать, например, для /usr/bin/deluge ?

6.13, Аноним (13), 09:24, 13/07/2018 [^] [^^] [^^^] [ответить]	+/–
можно использовать cgred (для помещения процесса в уникальную cgroup'у. в случае бинарника проблем не будет, если же это скрипт, тогда нужно писать обертку, которая будет выполнять скрипт, но перед этим этим помещать его в cgroup'у.

5.18, Аноним (18), 12:21, 13/07/2018 [^] [^^] [^^^] [ответить]	+/–
А чтобы скриптов не писать и не хакать систему, ну чтобы как у людей?

6.23, Аноним (-), 14:44, 13/07/2018 [^] [^^] [^^^] [ответить]	+/–
Опять полное невежество и непонимание, выставленное напоказ? В простом скрипте нет ничего плохого. Не зазорно пользоваться удобными ручками системы, автоматизируя действия скриптом. Проблемы линукса несколько сложнее, чем в твоих влажных фантазиях, вантуз. Вам, соскам мс, не понять. И пытаться не стоит.

5.21, Аноним (-), 14:00, 13/07/2018 [^] [^^] [^^^] [ответить]	–2 +/–
Фильтрацию по процессам я мог сто лет как делать и без cgroups, но и это "хак". Без хаков никак?

6.26, Мамкины ценители инноваций (?), 17:07, 13/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
man iptables прочитал и уже хакиром стал?

2.14, Vozzz (?), 10:29, 13/07/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Я так долго собирался изучить наконец iptables, что он успел устареть? (((

3.19, Аноним (4), 12:28, 13/07/2018 [^] [^^] [^^^] [ответить]	+4 +/–
4 января 2001 — Linux версии 2.4.0 Вот с той поры с нами в стабильном состоянии iptables. Ты родиться успел и вырасти.

2.24, Аноним (-), 15:27, 13/07/2018 [^] [^^] [^^^] [ответить]	+5 +/–
Да нет, это ты депрекейтед (с рождения).

1.3, Аноним (3), 21:57, 12/07/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> В DNAT теперь допустимо использовать сдвинутые диапазоны portmap; А можно разжевать что это значит?

2.5, Аноним (5), 22:51, 12/07/2018 [^] [^^] [^^^] [ответить]	+/–
Уже в новость добавили описание.

3.6, Аноним (4), 23:06, 12/07/2018 [^] [^^] [^^^] [ответить]	+/–
Дзякую! Вообще годно. Не то что бы я часто использовал DNAT, но такой вариант с портами выглядит полезным, странно, что раньше не сделали.

4.35, Аноним (35), 02:30, 18/07/2018 [^] [^^] [^^^] [ответить]	+/–
Каждый, хотя бы раз в жизни, должен попробовать двухсторонний DNAT.

1.7, Аноним (7), 23:22, 12/07/2018 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
- Что Вы можете рассказать о пакетных фильтрах в Linux? - ebtables!

1.12, Олег (??), 09:06, 13/07/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А модуль netflow уже перенесли в nftables?

2.16, stalker37 (ok), 11:42, 13/07/2018 [^] [^^] [^^^] [ответить]	+/–
Увы нет.

1.17, Аноним (17), 11:51, 13/07/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
nftables умеют что-нибудь новое, или синтаксис там понятнее? Или это просто "другое"?

2.20, Старый одмин (?), 12:39, 13/07/2018 [^] [^^] [^^^] [ответить]	+3 +/–
Судя по новости синтаксис пофиксили. Если не пользоваться командой nft. Теперь надо ещё подождать iptables-ebpf и совсем хорошо станет.

2.27, Аноним (4), 17:55, 13/07/2018 [^] [^^] [^^^] [ответить]	–1 +/–
Понятней iptables это тебе на русском подворотном что ли? У iptables синтаксис предельно понятен, даже подобные тебе могут осилить. Отличия читай в новости про nft. Там все было разжевано так, что даже русский поймет.

3.29, User (??), 20:10, 14/07/2018 [^] [^^] [^^^] [ответить]	–2 +/–
Ну, т.е. продукт, сделанный "чужими для хищников" таки нашел своего поклонника ) Синтаксическая помойка из case-sensitive однобуквенных ключей, -\--параметров и case-sensitive-же ключевых слов, бешено переусложненная для простых вещей (Которых в жизни 95% так-то) обмазанная разнообразными костылями в три слоя = "предельно понятно"? Ей-ей, на этом фоне cmd в windows очень даже прилично смотрится, да. Хуже можно сделать только обмазав в четыре слоя <{)});> oh shi...

4.30, Аноним (4), 20:29, 14/07/2018 [^] [^^] [^^^] [ответить]	+/–
Первый год(то есть где-то 2001) case-sensitive бесил, а потом привык и вот уже 16 лет живу нормально. Пока мне nft кажется написанным чужими для хищников, но думаю привыкну с годами.

5.31, User (??), 21:19, 14/07/2018 [^] [^^] [^^^] [ответить]

–1 +/–

>Первый год(то есть где-то 2001) case-sensitive бесил, а потом привык и вот уже 16 лет живу нормально.

Стокгольмский синдром, ага :).
>Пока мне nft кажется написанным чужими для хищников, но думаю привыкну с годами.

Оно человекочитаемое хотя бы. Его можно показать бабушке\внучке и есть шанс, что они "по аналогии" сделают, что им нужно, а не убегут за святой водой при виде мешанины -t -A -p -j в одной строке.

6.33, Аноним (4), 00:47, 15/07/2018 [^] [^^] [^^^] [ответить]	+/–
Моей бабушке 92 года. Ей что iptables показывай, что nft, все равно скажет, что набор букв бусурманских :-D

2.36, sage (??), 00:40, 28/07/2018 [^] [^^] [^^^] [ответить]	+/–
Там очень много нового, и все довольно непривычное. Мне нужно было перенаправить кучу IP-адресов в другую кучу IP-адресов. В iptables мне нужно добавлять по одному DNAT-правилу на каждый адрес, а в nftables я могу сделать одно правило со списком src ip → dst ip, и добавлять или удалять правило уже непосредственно из списка.

1.25, Аноним (-), 15:29, 13/07/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ура! iptables победит этот новодел.

1.28, Аноним (28), 11:31, 14/07/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> iptables-legacy и сломаем все скрипты. вообще надо было так iptables-legacy-dont-use-its-deprecated если уж делать западло, то по полной!

2.32, Аноним (32), 23:41, 14/07/2018 [^] [^^] [^^^] [ответить]

+1 +/–

>и сломаем все скрипты. вообще надо было так iptables-legacy-dont-use-its-deprecated

если уж делать западло, то по полной

И симлинк в /dev/null :))

1.34, Аноним (34), 19:28, 16/07/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Как там с libvirt? Точно не помню какой там фронт, но помню в доке что то типа «в случае проблем service iptables restart»

игнорирование участников | лог модерирования

Добавить комментарий

Текст: