The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск пакетного фильтра nftables 0.9.4

01.04.2020 21:37

Опубликован выпуск пакетного фильтра nftables 0.9.4, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.4 изменения включены в состав будущей ветки ядра Linux 5.6.

На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Основные новшества:

  • Поддержка диапазонов в присоединениях (concatenation, определённые связки адресов и портов, упрощающие сопоставление). Например, для набора "whitelist", элементы которого являются присоединением, указание флага "interval" будет указывать на то, что набор может включать диапазоны в присоединении (для присоединения "ipv4_addr . ipv4_addr . inet_service" раньше можно было перечислять точные совпадения вида "192.168.10.35 . 192.68.11.123 . 80", а теперь можно указывать группы адресов "192.168.10.35-192.168.10.40 . 192.68.11.123-192.168.11.125 . 80"):
    
        table ip foo {
               set whitelist {
                       type ipv4_addr . ipv4_addr . inet_service
                       flags interval
                       elements = { 192.168.10.35-192.168.10.40 . 192.68.11.123-192.168.11.125 . 80 }
               }
    
               chain bar {
                       type filter hook prerouting priority filter; policy drop;
                       ip saddr . ip daddr . tcp dport @whitelist accept
               }
        }
    
  • В наборах и map-списках обеспечена возможность использования директивы "typeof", определяющей формат элемента при сопоставлении. Например:
    
    
         table ip foo {
                set whitelist {
                        typeof ip saddr
                        elements = { 192.168.10.35, 192.168.10.101, 192.168.10.135 }
                }
    
                chain bar {
                        type filter hook prerouting priority filter; policy drop;
                        ip daddr @whitelist accept
                }
         }
    
         table ip foo {
                map addr2mark {
                    typeof ip saddr : meta mark
                    elements = { 192.168.10.35 : 0x00000001, 192.168.10.135 : 0x00000002 }
                }
         }
    
  • Добавлена возможность использования присоединений в NAT-привязках, что позволяет указывать адрес и порт при определении NAT-преобразований на основе map-списков или именованных наборов:
    
          nft add rule ip nat pre dnat ip addr . port to ip saddr map { 1.1.1.1 : 2.2.2.2 . 30 }
    
     
          nft add map ip nat destinations { type ipv4_addr . inet_service : ipv4_addr . inet_service \\; }
          nft add rule ip nat pre dnat ip addr . port to ip saddr . tcp dport map @destinations
    
  • Поддержка аппаратного ускорения с выносом некоторых операций фильтрации на плечи сетевой карты. Ускорение включается через утилиту ethtool ("ethtool -K eth0 hw-tc-offload on"), после чего активируется в nftables для основной цепочки при помощи флага "offload". При использовании ядра Linux 5.6 поддерживается аппаратное ускорение для сопоставления полей заголовка и проверки входящего интерфейса в сочетании с приёмом, отбрасыванием, дублированием (dup) и перенаправлением (fwd) пакетов. В примере ниже операции отбрасывания пакетов, приходящих от адреса 192.168.30.20, выполняются на уровне сетевой карты, без передачи пакетов ядру:
    
         # cat file.nft
         table netdev x {
                chain y {
                    type filter hook ingress device eth0 priority 10; flags offload;
                    ip saddr 192.168.30.20 drop
                }
         }
         # nft -f file.nft
    
  • Улучшено информирование о месте ошибки в правилах.
    
         # nft delete rule ip y z handle 7
         Error: Could not process rule: No such file or directory
         delete rule ip y z handle 7
                        ^
    
         # nft delete rule ip x x handle 7
         Error: Could not process rule: No such file or directory
         delete rule ip x x handle 7
                                   ^
    
         # nft delete table twst
         Error: No such file or directory; did you mean table ‘test' in family ip?
         delete table twst
                      ^^^^
    

    В первом примере показано, что таблица "y" отсутствует в системе, во втором, что отсутствует обработчик "7", а в третьем, что выводится подсказка об опечатке при наборе имени таблицы.

  • Добавлена поддержка проверки slave-интерфейса через указание "meta sdif" или "meta sdifname":
    
            ... meta sdifname vrf1 ...
    
  • Добавлена поддержка операции сдвига вправо или влево. Например, для сдвига существующей метки пакета влево на 1 бит и установки меньшего бита в 1:
    
            ... meta mark set meta mark lshift 1 or 0x1 ...
    
  • Реализована опция "-V" для отображения расширенной информации о версии.
    
         # nft -V
           nftables v0.9.4 (Jive at Five)
              cli:          readline
              json:         yes
              minigmp:      no
              libxtables:   yes
    
  • Опции командной строки теперь обязательно должны указываться перед командами. Например, нужно указывать "nft -a list ruleset", а запуск "nft list ruleset -a" приведёт к выводу ошибки.

  1. Главная ссылка к новости (https://marc.info/?l=netfilter...)
  2. OpenNews: Выпуск пакетного фильтра nftables 0.9.3
  3. OpenNews: В Debian 11 предлагается по умолчанию задействовать nftables и firewalld
  4. OpenNews: Разработчики Netfilter официально объявили инструментарий iptables устаревшим
  5. OpenNews: Для ядра Linux предложен новый пакетный фильтр bpfilter
  6. OpenNews: В состав ядра 4.18 одобрено включение нового пакетного фильтра bpfilter
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/52656-nftables
Ключевые слова: nftables, firewall
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (58) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:51, 01/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Изменение TTL запилили?
     
     
  • 2.3, Аноним (3), 23:16, 01/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    # nft -f /etc/nftables/ipv4-mangle.nft
    # nft add rule ip mangle output oif eth0 ip ttl set 255
     
     
  • 3.25, Аноним (25), 11:01, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > mangle

    Это какой хук?

     
     
  • 4.27, Аноним (3), 11:23, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    # cat /etc/nftables/ipv4-mangle.nft
    #!/usr/sbin/nft -f

    table mangle {
            chain output            { type route hook output priority -150; }
    }

     

  • 1.2, Аноним (-), 23:00, 01/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Я новичок в файрволах. Есть ли смысл учить iptables, или можно сразу nftables? Если что, пользуюсь Ubuntu.
     
     
  • 2.4, Fyjy (?), 23:20, 01/04/2020 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Если новичок, то сразу учи nft или знакомься с надстройками типа firehol/shorewall. iptables жив и будет жить еще достаточно долго, но nft его заменяет и новичку нет смысла его изучать.

    Это нам тяжело переучиваться, все же с релиза ядра 2.4 живем с iptables, а тебе с нуля проще сразу учить то что будет жить дальше.

     
     
  • 3.10, нах. (?), 00:38, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    присоединяюсь к совету.
    Только нам не потому "тяжело переучиваться" что "с 2.4" живем.
    Я лично довольно давно живу. ipf пережил, fwadm пережил, ipchains пережил, и никого из них жалко совершенно не было (ну, правда, пока не выяснилось что нас нае..ли, и обещанных "прям в следующей версии" возможностей ipchains в iptables не будет никогда, потому что проталкивавшая в ядро новое-стильное-модное-молодежное макака уже унеслась в туманную даль, гордо неся обо.ный хвост, а оставшиеся неасиляторы тривиальные баги чинили по десять лет, видимо, не смогли разобраться в коде - но мы уже как-то привыкли без packet tracer'а и без нормального gre conntrack/nat)

    Но это потому что их писали - для людей. А эту хрень написали для макак, которые руками фильтры никогда не настраивали в принципе - им это было не по уму. Зато они умели г-нокодить, и понакодили порождений снов разума. И вот теперь получите инструмент - удобный уже им, а не нам. Ведь удобство труда горе-разработчиков в стотыщ раз важнее каких-то поганых пользователей.

     
  • 3.20, СеменСеменыч777 (?), 09:06, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    удваиваю firehol.
    очередной собачий язык учить - так себе занятие.
     
  • 3.34, э2 (?), 12:10, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Один написан на perl, другой собран только для убунты и арча
     
  • 2.5, Анонюга (?), 23:23, 01/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так iptables - deprecated.
    Смысл учить то, что мертво? :)
     
  • 2.7, Аноним (-), 00:16, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • –8 +/
    учитывая что nftables это абстракция над iptables - да
     
     
  • 3.11, Аноним (11), 01:40, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ты чёт перепутал.
     
  • 2.8, нах. (?), 00:23, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    можно сразу учить где там галочки у гуевого интерфейса к systemd-firewalld

    А, не разглядел, бубунта... выброси на...й. Ну то есть можешь, конечно, потратить время на ее ufw, но не говори что тебя не предупреждали.

    По-моему, уже даже глядя на примеры в этой новости, вполне можно сообразить, что авторам nft в голову не приходит что кто-то будет эти правила старательно долбить руками. Этот бред абсолютно не человекочитаем и не человеконаписуем. Вся затея была в том чтобы сделать удобно - пейсателям на пихоне и игого. Если ты не собираешься к ним присоединяться, тебе не то что не потребуется, а вредно для себя и окружающих лезть туда руками.

    Потому что твоя самоделка, в результате, будет конфликтовать с штатными системными средствами.
    Вот их надо освоить, да - чтобы когда на чужой машине надо открыть порт - не ломать там существующую конфигурацию.


     

  • 1.6, Аноним (6), 23:28, 01/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пожалуйста прекратите путать людей. Логика работает в BPF, а это ну ни как не пространство пользователя. Будьте уж поаккуратнее в том, что вы пишите публично
     
     
  • 2.17, Аноним (17), 08:20, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Логика работает в BPF, а это ну ни как не пространство пользователя.

    Внимательно перечитайте новость, там написано, что в пространстве пользователя обрабатываются логика определения правил фильтрации и генерируется BPF-код, а сам BPF код как раз выполняется в ядре:

    "обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF".

     
  • 2.18, Аноним (17), 08:32, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А по поводу логики работы с протоколами в user space, вот выдержка из документации:

    "Even worse, the capabilities and syntax tend to vary from one protocol to the next. By moving all of that knowledge out to user space, nftables greatly simplifies the in-kernel code and allows for much more consistent treatment of all protocols."

     
  • 2.51, Аноним (51), 02:34, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Там не BPF, а своя виртуальная машина. На BPF так и не переделали.
     

  • 1.9, нах. (?), 00:27, 02/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Улучшено информирование о месте ошибки в правилах.
         # nft delete rule ip y z handle 7
         Error: Could not process rule: No such file or directory

    кто-нибудь, забейте этим улучшаторам их улучшизмы в задницу - раз они не понимают, что начинать улучшение надо с удаления нахрен слов про "файлы и directory", когда ни о каких файлах речь не идет вообще.

    Представляю, как там код в ядре написан, такими-то руками.

     
     
  • 2.13, Вебмакака (?), 04:31, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Минорщина. Утилита не для обычного пользователя, а сисадмин поймет, что это ENOENT.

    >Представляю, как там код в ядре написан, такими-то руками.

    Ох да, щас бы по шаблону обработки ошибок в С - передать код ошибки в strerror о качестве остального кода судить.

     
     
  • 3.32, Аноним (32), 11:35, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Минорщина. Утилита не для обычного пользователя, а сисадмин поймет, что это ENOENT.

    Сейчас пошли «стильно-модно-молодёжные» смузи-админы типа присутствующего здесь «нах», профессиональные занятия которых были слишком далеки от глубокого копания в системе, и поэтому возможности приобрести подобные знания у них не было.

     
  • 3.48, нах. (?), 16:35, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Минорщина. Утилита не для обычного пользователя, а сисадмин поймет, что это ENOENT.

    да, у него ж встроенный хрустальный шар для гадания что тут на самом деле хотели сказать.

    > Ох да, щас бы по шаблону обработки ошибок в С - передать код ошибки в strerror о качестве
    > остального кода судить.

    когда хрустального шара не завезли - вполне по таким признакам и судить. Если у макаки в голове подобные шаблоны - и она не видит даже уже полезши улучшать именно этот кусок, что сообщение об ошибке тут ни к селу, ни к городу, и что вместо волшебного strerror надо взять и написать свой обработчик - очевидно что такими же шаблонами слеплен и весь остальной код.

    А скорее это и не в голове шаблон, а копипаста со стековерфлоу, "всегда ж так делали, фиг его знает почему там про файлы какие-то - нехай админы разбираются, они привычные, гадать на кофейной гуще".

    P.S. если что - вторым образцом подобного дерьмокода, как вчера выяснилось, оказался btrfs.
    Впрочем, я и не ожидал ничего другого.

     
     
  • 4.53, Аноним (32), 18:09, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > да, у него ж встроенный хрустальный шар для гадания что тут на самом деле хотели сказать.

    Это называется "квалификация".

    С точки зрения непрофессонала, и многие вещи в IT (да и в любой другой специализированной области) могут выглядеть не интуитивно. В этом вопросе стоит принимать в расчёт только мнение профессионалов, к коим вы, очевидно, не относитесь.

     
  • 4.55, Вебмакака (?), 05:28, 04/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В хрустальную документацию пусть посмотрит, ага)

    >очевидно

    А мне почему-то очевидно, откуда сообщение про файлы, а вот про качество кода уже не совсем.

    >нехай админы разбираются, они привычные

    Работа такая - разбираться в тонкостях системы, не?

    >гадать на кофейной гуще

    О, нет. В новых утилитах как раз нормальные сообщения с подсказками, это от этих ваших олдовых тулов такого никогда не дождешься.

     
     
  • 5.56, нах. (?), 13:26, 04/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Работа такая - разбираться в тонкостях системы, не?

    ЛОЖНОЕ сообщение о причинах ошибки - это не "тонкости системы", а м-дизм макаки разработчика. Я уж не знаю, каким упертым кретином надо быть, чтобы упорно не желать это признать. Работа копаться в макачьем г-не, различая его сорта на вкус - ну да, такая.

    Сколько бы ты ни хвастался своим "мне очевидно".

    Мне вот, получивши подобную херню от btrfs (причем, естественно, в таком месте, где руками не очень поотлаживаешь) было совсем неочевидно, чего именно она не нашла - то ли с точкой монтирования чего не так, то ли с модулем, то ли с mount backend.
    Оказалось, нет, это она не нашла subvol. Что мешало разработчику вывести subvolume not found, а не заставлять гадать какого еще "файла" ему надо? То что он - макака, perror и всех дел. Они всегда так делают - задними банан чистят, пока передними дроч..ут, а хвостом пишут код.

    Поэтому совершенно не удивляет, когда и в других, более критичных местах, этот код оказывается точно таким же макачьим г-ном. Хвост-то обос..ный.


     
  • 2.14, Наноним (?), 04:32, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ты что живого кода никогда в глаза не видел? если enoent это no such file то при чем тут девелоперы нфт?
     
     
  • 3.16, Аноним (16), 07:24, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    все он правильно сказал, на уровне файрвола никаких файлов нет. А то так можно дойти до того, что и виндовый бсод можно кидать.
     
     
  • 4.23, КО (?), 10:15, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://ru.qwe.wiki/wiki/Everything_is_a_file
     
  • 4.24, КО (?), 10:15, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну собственно ошибка про это и говорит - файла-то нет. :)
     
  • 4.28, Аноним (32), 11:26, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > все он правильно сказал, на уровне файрвола никаких файлов нет.

    А в man 3 errno нет варианта "таблица не найдена" :)

    Из доступных вариантов действительно ближе всего
    ENOENT No such file or directory (POSIX.1).

     
     
  • 5.41, нах. (?), 15:09, 02/04/2020 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.21, нах. (?), 09:19, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    при том что можно вместо perror проявить остатки разума и написать no such entry... большой текст свёрнут, показать
     
     
  • 4.29, Аноним (32), 11:27, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +8 +/
    "Макаки, макаки!" — кричал высококвалифицированный специалист, никогда не слышавший про errno и perror.
     
     
  • 5.36, нах. (?), 14:27, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > "Макаки, макаки!" — кричал высококвалифицированный специалист, никогда не слышавший
    > про errno и perror.

    вот такие м-ки как ты и пишут такой код.

    Использующие errno и perror, предназначенные для работы с файлами и сокетами там, где нет никаких файлов.

    да еще имеюще наглость что-то вякать про мою квалификацию - когда уже носом ткнули в нормально написанное до них.


     
     
  • 6.42, Аноним (32), 15:51, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Использующие errno и perror, предназначенные для работы с файлами и сокетами там, где нет никаких файлов.

    Ага, EAFNOSUPPORT, ECONNABORTED, ECHLD, EHOSTDOWN — ну точно про файлы.
    Ещё раз отмечу, что вы потрясающий специалист!

    > да еще имеюще наглость что-то вякать про мою квалификацию

    Да пошутил я! Ни в коем случае не собирался всерьёз говорить о том, чего нет.

     
     
  • 7.57, муу (?), 21:03, 04/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ни в коем случае не собирался всерьёз говорить о том, чего нет.

    Орнул и плюсанул

     
  • 2.31, Аноним (32), 11:31, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > кто-нибудь, забейте этим улучшаторам их улучшизмы в задницу - раз они не понимают, что начинать улучшение надо с удаления нахрен слов про "файлы и directory", когда ни о каких файлах речь не идет вообще.

    Боюсь, что авторы glibc не согласятся кромсать perror ради этого.

     
     
  • 3.35, нах. (?), 14:25, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    авторов поделки по имени nft никто не заставлял его вызывать. За две строчки до кода, еще и вручную таки правильно разбирающегося с причинами ошибки. Могли потратиться на лишний printf.

    Более того, поскольку ядерный интерфейс писали за соседним смузи - никто не заставлял вообще пользоваться не для того предназначенными кодами ошибок вместо своих, заточенных именно под файрвол, а не работу с файлами.

     
     
  • 4.43, Аноним (32), 15:56, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Использование местечковых кодов ошибки вместо стандартных, специально для "специалистов" вашего уровня, которые никогда не слышали про ENOENT, выглядит несколько неоправданно.

    Ведь вас же к админству чего-то, кроме локалхоста, никто не подпустит :)
    А ваш локалхост будет защищён роутером провайдера, настроенным куда более грамотными людьми, чем вы (на самом деле, даже мой кот более квалифицированный админ, чем вы), так что и здесь всё под контролем.

     
  • 2.58, InuYasha (?), 00:04, 06/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    +1
    на самом деле, загрёбывает регулярно тратить время на догадки "а о чём же может быть это сообщение?" "кто виноват?" "что делать?"
    Чтоб не быть голословным, весь свой код проглядел, передокументировал и в тексты ошибок или usage info вставил примеры и указания, что делать. Потому что я хочу чтоб моим софтом пользовались люди.
     

  • 1.12, Аноним (12), 03:06, 02/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Оно умеет в постоянные правила без костылей?
     
     
  • 2.15, Аноним (15), 06:03, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    постоянные умеет, без костылей не умеет.
     
  • 2.33, Аноним (32), 11:39, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >  Оно умеет в постоянные правила без костылей?

    Как и любая подсистема ядра с настраиваемыми правилами (sysctl, ipsec, routing, iscsi target, rfkill, alsa, etc), фаервол не занимается сохранением своего состояния сам. Для этого существуют userspace-программы, которые восстанавливают ядерные правила при загрузке (и, опционально, сохраняют их при выключении).

     
     
  • 3.37, нах. (?), 14:39, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Для этого существуют userspace-программы, которые восстанавливают ядерные правила при
    > загрузке (и, опционально, сохраняют их при выключении).

    и опционально - фейлятся при запуске, оставляя дыру открытой.
    линyпсы такие линyпсы.

     
     
  • 4.44, Аноним (32), 15:58, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А у вас на винде типа всё идеально?
     
     
  • 5.47, нах. (?), 16:28, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    внезапно-нестартовавшего файрвола, оставившего открытой маршрутизацию (даже не локальные порты, а форвардинг) - последние пятнадцать лет не наблюдали, знаете ли. Если знаете, как этого добиться - расскажите, иногда как раз бывает надо.

    А у вас в б-жественной бубунточке и прекрасном де6иллиане - из коробки никакого файрвола вообще нет, даже номинального. Надо знать о том где он и как называется, и не забыть поставить - наперегонки с подбирающими эксплойты, если адрес в публичной сети. Судя по логам - успевают не все.

    25 лет назад была, конечно, одна забавная история, но в винде тогда никакого файрвола не было, это был 3d party софт. Одной очень нынче уважаемой корпорации (я тогда поставил себе галочку - никогда с ее продуктами дел не иметь - ни разу не пожалел).

     

  • 1.19, Anonimous (?), 08:51, 02/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    kvm к сожалению использует iptables
     
     
  • 2.30, Аноним (32), 11:29, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И многие другие пока продолжат. Docker, Kubernetes, VirtualBox...

    Потому что у iptables версии уже давно начинаются с единицы, а значит, есть гарантии стабильности интерфейса.

     
     
  • 3.38, нах. (?), 14:42, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > И многие другие пока продолжат. Docker, Kubernetes, VirtualBox...
    > Потому что у iptables версии уже давно начинаются с единицы, а значит,
    > есть гарантии стабильности интерфейса.

    от того что макака начнет ляпать версии а-ля гугль - интерфейс лучше не сделается.

    А вот iptables уже давно выпилен, включить обратно в современных системах непросто, и чем они там "пользуются", каким кривым враппером - лучше не знать.

    P.S. а доскер ваш и вообще банкрот

     
     
  • 4.45, Аноним (32), 15:59, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А вот iptables уже давно выпилен, включить обратно в современных системах непросто,

    Вот это новость! У вас на десяточке был iptables?

     
  • 2.49, size_t (?), 20:38, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    kvm - это модуль ядра. как он может использовать userspace-приложение?
     

  • 1.22, Аноним (22), 09:48, 02/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Чувствую что скоро люди будут в квм пробрасывать сетевуху, устанавливать РоутерОС и настраивать сеть там, в том числе и фаервол.

    В следующей переписке под названием fckTables придется писать байткодом, это ведь удобно, для разработчиков :)

     
     
  • 2.26, Аноним (32), 11:23, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А в RouterOS тоже будет nftables, просто с нескучным фронтом от микротика :)
     
     
  • 3.40, нах. (?), 14:45, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А в RouterOS тоже будет nftables, просто с нескучным фронтом от микротика
    > :)

    главное верьте, верьте, что макачье дерьмо кому-то нужно


     
  • 2.39, нах. (?), 14:44, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Чувствую что скоро люди будут в квм пробрасывать сетевуху, устанавливать РоутерОС и
    > настраивать сеть там, в том числе и фаервол.

    ты перепутал с asaV/juniper (кому на _нормальный_ файрвол денег не хватило - нормальный - это ни разу не пакетный фильтр)

    а так да, сто лет уже так делаем.

    Вот когда-то оооочень давно - в vmware пробрасывали сетевуху и устанавливали линукс. Но эти времена давным-давно прошли.

     
     
  • 3.46, Аноним (32), 16:01, 02/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а так да, сто лет уже так делаем.

    Позвольте вам не поверить.
    Выше вы уже наглядно продемонстрировали, что к IT вы можете иметь отношение разве что в качестве уборщика в датацентре. А им даже перетыкать кабели строго-настрого запрещено.

     
     
  • 4.50, нах. (?), 00:15, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    пока что это вы и вам подобные м-ки демонстрируете.

    Тщась доказать, что no such file - это именно те слова, которые надо выводить, когда ни о каком файле речь в помине не идет. Извиняйте, но вы - м-к. Эталонный. И все кто разделяет эту прекрасную идею - тоже. Второе место на конкурсе - ваше.

    Я бы вам, на всякий случай, пол в датацентре подметать тоже не доверил - м-к он везде м-к.

     
     
  • 5.52, Аноним (32), 18:06, 03/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не то, чтобы меня очень интересует мнение об мне какого-то уборщика, но ваш гнев весьма забавен.
    Продолжайте :)
     

  • 1.54, Старый одмин (?), 19:57, 03/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подожду немного и перейду сразу на bpfilter
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру