URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 69528
[ Назад ]

Исходное сообщение
"Релиз iptables 1.4.9"

Отправлено opennews , 03-Авг-10 22:14 
Вышла (http://lists.netfilter.org/pipermail/netfilter-announce/2010...) новая версия iptables — набора инструментов для управления IPv4- и IPv6-сегментами системы фильтрации и преобразования пакетов netfilter (сам netfilter является частью ядра Linux).


В iptables 1.4.9 реализована полная совместимость с вышедшим (http://www.opennet.me/opennews/art.shtml?num=27497) недавно ядром Linux 2.6.35, а также внесен ряд других улучшений:


-  Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила. Например, следующая последовательность команд обеспечит включение на одну секунду выбранного индикатора при поступлении входящего пакета на TCP-порт 22 (SSH):
<font color="#461b7e">
      iptables -I INPUT -p tcp --dport 22 -j LED --led-trigger-id ssh --led-delay 1000
      echo netfilter-ssh > /sys/class/leds/имя_индикатора/trigger</font>


-  Добавлена поддержка ...

URL: http://lists.netfilter.org/pipermail/netfilter-announce/2010...
Новость: http://www.opennet.me/opennews/art.shtml?num=27513


Содержание

Сообщения в этом обсуждении
"Релиз iptables 1.4.9"
Отправлено Аноним , 03-Авг-10 22:14 
А какие обычно индикаторы доступны системе ? Что-то кроме трех лампочек на клавиатуре в голову ничего не лезет :)

"Релиз iptables 1.4.9"
Отправлено ig0r , 03-Авг-10 22:16 
ещё есть роутеры, в которых полно лампочек

"Релиз iptables 1.4.9"
Отправлено Frank , 03-Авг-10 22:43 
Судя по # ls /sys/class/leds/
rt73usb-phy0::assoc  rt73usb-phy0::quality  rt73usb-phy0::radio
мигать можно будет индикаторами устройств. Некоторых. Клавой, к сожалению, похоже не помигать :)

"Релиз iptables 1.4.9"
Отправлено User294 , 03-Авг-10 23:59 
> А какие обычно индикаторы доступны системе ?

От системы зависит. В "SOHO" роутерах например LEDов весьма даже и фич выглядит весьма интересно :)


"Релиз iptables 1.4.9"
Отправлено Dganic , 03-Авг-10 22:15 
А где не кто не встречал какойнибуть ман посвежей для иптаблес чтобы разрулить две сети с пересекающимися диапазонами?

"Релиз iptables 1.4.9"
Отправлено аноним , 03-Авг-10 22:24 
Почитайте обсуждение этой фичи в рассылке netfilter-devel, там много чего интересного.
Например, http://marc.info/?l=netfilter-devel&m=126348347832526

"Релиз iptables 1.4.9"
Отправлено goof.gooffy , 04-Авг-10 01:06 
>А где не кто не встречал какойнибуть ман посвежей для иптаблес чтобы
>разрулить две сети с пересекающимися диапазонами?

http://www.linux16.net/node/456


"Релиз iptables 1.4.9"
Отправлено Вячеслав , 04-Авг-10 14:00 
-j MAP

"Релиз iptables 1.4.9"
Отправлено zkrvova , 03-Авг-10 22:27 
А когда уже исправят глюк при одновременном запуске 2х копий iptables?!

"Релиз iptables 1.4.9"
Отправлено User294 , 04-Авг-10 04:35 
А что за глюк? oO И для чего может понадобиться 2 копии айпитаблеса одновременно?

"Релиз iptables 1.4.9"
Отправлено sashka_ua , 04-Авг-10 05:16 
И как вообще может быть две копии iptables если это все ничего интерфейс к ядру?

С.


"Релиз iptables 1.4.9"
Отправлено zkrvova , 04-Авг-10 09:43 
>А что за глюк? oO И для чего может понадобиться 2 копии
>айпитаблеса одновременно?

Ну линукс то система многозадачная. Разные скрипты могут отрабатывать одновременно, особенно по крону.


"Релиз iptables 1.4.9"
Отправлено Michael Shigorin , 04-Авг-10 11:41 
Глюк в разных скриптах исправляется использованием в них инновационной технологии "локинг" -- например, так:

LOCKDIR="/var/lock/myscript"
LOCKFILE="$LOCKDIR/lock"
die() { echo "$0: $*" >&2; exit 1; }

# check lock existence
[ -f "$LOCKFILE" ] && { die "lockfile exists"; }

# exit handler
cleanup() { rm "$LOCKFILE"; }
trap cleanup EXIT SIGINT SIGTERM

# create lockfile
mkdir -pm700 "$LOCKDIR" && touch "$LOCKFILE" || die "failed to create lockfile"

# now the main job
iptables ...

Хорошо, если такой /var/lock живёт на tmpfs и после загрузки чист.


"Релиз iptables 1.4.9"
Отправлено Mick , 05-Авг-10 12:41 
На SIGKILL будут проблемы.
откройте для себя flock:

#!/bin/bash
###
#
#  Wrapper script for ensured running of argument only at only one instance.
#
#  Usage:
#         runone lockfile script args
#
###

/bin/mkdir -p /var/lock/runone 2>/dev/null

lockfile=/var/lock/runone/${1//\//}

(
if flock -n 200; then
  script=$2
  shift 2
  $script $@
  # ... commands executed under lock ...
fi;
) 200>$lockfile


"Релиз iptables 1.4.9"
Отправлено Michael Shigorin , 06-Авг-10 14:39 
>На SIGKILL будут проблемы.

Ессно.

>откройте для себя flock:

Спасибо -- про flock(1) не знал, только про flock(2).


"Релиз iptables 1.4.9"
Отправлено Frank , 03-Авг-10 22:39 
> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Мегарулез!! :))


"Релиз iptables 1.4.9"
Отправлено name , 03-Авг-10 23:09 
На Новому Году подключить гирлянду и настроить мигание определянных ламночек на различные протоколы.

"Релиз iptables 1.4.9"
Отправлено Господь , 16-Авг-10 19:29 
И тогда можно будет по елке определять активность хакеров :-)

"Релиз iptables 1.4.9"
Отправлено Антон Касимов , 03-Авг-10 23:28 
>> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Еще одна очень полезная фича по пути к лучшему Файрволу. Линукс лучше всех. Правильной дорогой идут товарищи


"Релиз iptables 1.4.9"
Отправлено User294 , 04-Авг-10 04:32 
> бесполезная фича с индикаторами

Т.е. например индикация потенциально интересных админу срабатываний правил LEDами перед самым его носом - бесполезно? Может тогда и в логи писать ничего не стоит, раз уж привлекать внимание админа к потенциально интересным ему ситуациям индикаторами неправильно? :)


"Релиз iptables 1.4.9"
Отправлено VolanD , 04-Авг-10 05:53 
>> бесполезная фича с индикаторами
>
>Т.е. например индикация потенциально интересных админу срабатываний правил LEDами перед самым его
>носом - бесполезно? Может тогда и в логи писать ничего не
>стоит, раз уж привлекать внимание админа к потенциально интересным ему ситуациям
>индикаторами неправильно? :)

Дык,этим не должен заниматься файрволл!! Короч, Билл одобряет эту новую фичу...



"Релиз iptables 1.4.9"
Отправлено Michael Shigorin , 04-Авг-10 11:44 
>Дык,этим не должен заниматься файрволл!!

А кто -- Александр Сергеич, что ли?  Или специально обученная разбиралка лога, написанного графом Толстым по мотивам беседы с файрволом? :)

PS: вообще-то я умею и складывать логи, и выделять из них нужное, и подкрашивать, шоб внимание привлекало по возможности как раз оно.  Только вот если при перегреве на морде жалезки будет красная лямпочка моргать -- порой бывает полезней всех сенсоров сразу, если к ним отдельный человек не приставлен через сколь угодно умный и удобный интерфейс.


"Релиз iptables 1.4.9"
Отправлено filosofem , 04-Авг-10 12:14 
> Только вот если при перегреве на морде жалезки будет красная лямпочка моргать -- порой бывает полезней всех сенсоров сразу

Давно iptables появилась функция измерения температуры, я это знаменательное событие похоже пропустил?


"Релиз iptables 1.4.9"
Отправлено User294 , 04-Авг-10 12:35 
>Давно iptables появилась функция измерения температуры, я это знаменательное событие похоже пропустил?

А почему файрвол должен заниматься измерением температуры? Вот если он скажем замерит SYN пакеты и засветит лампочку "атака!" при SYN-флуде - это вполне себе недурно вроде.


"Релиз iptables 1.4.9"
Отправлено filosofem , 04-Авг-10 12:59 
Вот и я тоже не понял при чем здесь температура.
И раз пошла такая пьянка, в случае перегрева я бы предпочел пищать спикером и отсылать мэйл, а не только лэды зажигать. А в случае атаки просто мэйл. В конце концов сидеть в серверной и следить за лампочками - это может быть неплохое наказание для проспавшего эникейщика, но не надежный способ оповещения о нештатной ситации.

"Релиз iptables 1.4.9"
Отправлено Денис Юсупов , 05-Авг-10 10:56 
Ждём релиза 1.4.10, в котором будет реализована фича подачи звукового сообщения, и релиза 1.4.11, в котором будет реализована фича "ударь админа" и "пахни луком в серверную".

"Релиз iptables 1.4.9"
Отправлено iegrec , 10-Авг-10 14:47 
а как мне установить  iptables 1.4.9 если у меня стоит  iptables 1.4.1 ???


"Релиз iptables 1.4.9"
Отправлено Michael Shigorin , 10-Авг-10 15:34 
>а как мне установить  iptables 1.4.9 если у меня стоит  
>iptables 1.4.1 ???

Зачем именно?


"Релиз iptables 1.4.9"
Отправлено Michael Shigorin , 06-Авг-10 14:41 
>> Только вот если при перегреве на морде жалезки будет красная лямпочка моргать
>Давно iptables появилась функция измерения температуры

Не замечал, этим обычно занимаются аппаратные сенсоры с lm_sensors или ipmitool сверху.  Я о том, что _доставка_ событий до человека бывает разная, и что характерно -- "сапог в бою надёжней".


"Релиз iptables 1.4.9"
Отправлено VolanD , 04-Авг-10 13:03 
>[оверквотинг удален]
>
>А кто -- Александр Сергеич, что ли?  Или специально обученная разбиралка
>лога, написанного графом Толстым по мотивам беседы с файрволом? :)
>
>PS: вообще-то я умею и складывать логи, и выделять из них нужное,
>и подкрашивать, шоб внимание привлекало по возможности как раз оно.  
>Только вот если при перегреве на морде жалезки будет красная лямпочка
>моргать -- порой бывает полезней всех сенсоров сразу, если к ним
>отдельный человек не приставлен через сколь угодно умный и удобный интерфейс.
>

Ну дык давайте понапихаем туда еще чего-нить полезного. Пусть, например, смски шлет через смсгейт или бибикает спикером, потом еще пусть температуру камня мерит и еще куча всег... в конце концов назовем все это дело Windows Vista и будет крута!


"Релиз iptables 1.4.9"
Отправлено Michael Shigorin , 06-Авг-10 14:43 
>Ну дык давайте понапихаем туда еще чего-нить полезного.

Понапихайте.  Примут -- продолжим разговор.

PS: дяденьки, если что -- о том, как выглядят несколько тысяч хостов, я знаю.  Но и как один -- тоже. :)


"Релиз iptables 1.4.9"
Отправлено User294 , 04-Авг-10 12:30 
>Дык,этим не должен заниматься файрволл!!

Откуда это следует? И кто вместо него? И почему именно он?

> Короч, Билл одобряет эту новую фичу...

Билл это который? Тот, у которого его "advanced" файрвол в серверной операционке не умеет даже диапазон портов открывать? :)


"Релиз iptables 1.4.9"
Отправлено VolanD , 04-Авг-10 13:04 
>>Дык,этим не должен заниматься файрволл!!
>
>Откуда это следует? И кто вместо него? И почему именно он?
>
>> Короч, Билл одобряет эту новую фичу...
>
>Билл это который? Тот, у которого его "advanced" файрвол в серверной операционке
>не умеет даже диапазон портов открывать? :)

А у Вас на сервере ось от Билла? О_о


"Релиз iptables 1.4.9"
Отправлено User294 , 05-Авг-10 15:23 
>А у Вас на сервере ось от Билла? О_о

На *моих* серверах к счастью живут куда более подходящие для серверов оси. А вот на чужих я с этим чудом природы встречался. Сильно удивился когда понял что в конструкции обозванной продвинутым файрволом ... нельзя настроить диапазон портов. Странные у некоторых понятия "advanced firewall-ов". Это примерно как назвать "копейку" новой продвинутой машиной при том что рядом ехидно припарковался персональный ракетоплан.


"Релиз iptables 1.4.9"
Отправлено Аноним , 03-Авг-10 23:49 
Ну по суте же эта фича позволяет в реал тайме смотреть за процессом, она конечно не супер полезная, но удобная ....

"Релиз iptables 1.4.9"
Отправлено Gwynn , 04-Авг-10 08:38 
Индикаторы то фигня, хотя для железячных роутеров и всяких встраиваемых решений как мне кажется очень удобно будет.
А вот копирование трафика, это имхо мегарулез.

"Релиз iptables 1.4.9"
Отправлено Аноним , 04-Авг-10 09:29 
> копирование всего входящего через eth0 трафика и отправку его копии на хост 192.168.0.2 (хост-получатель должен находиться в одном сегменте сети с нашим хостом)

хост-получатель должен находиться в одном сегменте сети с нашим хостом - эту нелепую ошибку можно исправить? Как?


"Релиз iptables 1.4.9"
Отправлено Аноним , 04-Авг-10 09:49 
Пробросом туннеля, очевидно же.

"Релиз iptables 1.4.9"
Отправлено онаним , 04-Авг-10 09:55 
подозреваю, что для зеркалирования _Ethernet_ трафика мониторящий хост должен таки быть в одном сегменте сети с данным хостом.

"Релиз iptables 1.4.9"
Отправлено Alekz , 04-Авг-10 11:15 
Есть мнение(с), что подразумевается зеркалирование ip-трафика. Тогда да, возможно зеркалированный трафик маршрутизировать только на level-2 (Ethernet).

"Релиз iptables 1.4.9"
Отправлено VolanD , 04-Авг-10 13:07 
>Есть мнение(с), что подразумевается зеркалирование ip-трафика. Тогда да, возможно зеркалированный трафик маршрутизировать
>только на level-2 (Ethernet).

А почему так?


"Релиз iptables 1.4.9"
Отправлено ig0r , 04-Авг-10 13:30 
потому что в таком случае не подразумевается изменения ip-заголовков пакетов

"Релиз iptables 1.4.9"
Отправлено VolanD , 04-Авг-10 18:40 
>потому что в таком случае не подразумевается изменения ip-заголовков пакетов

Вы не подумайте, что я спорю с Вами, мне просто интересно. Как не меняется, а как тогда процесс зеркалирования происходит?


"Релиз iptables 1.4.9"
Отправлено аноним , 04-Авг-10 19:08 
>Как не меняется,

А вот так. Не меняется, и все тут.

>а как тогда процесс зеркалирования происходит?

Через хак. Грубо говоря, у копии подменяется mac-адрес хоста назначения.


"Релиз iptables 1.4.9"
Отправлено ig0r , 04-Авг-10 19:14 
если коротко - в пределах локальной сети не имеет значения что записано в ip-заголовках, пакеты передаются на основании mac-заголовков, подробнее - Вам нужно почитать об уровнях модели OSI, в данном случае достаточно о первых трёх.

"Релиз iptables 1.4.9"
Отправлено VolanD , 04-Авг-10 19:57 
>если коротко - в пределах локальной сети не имеет значения что записано
>в ip-заголовках, пакеты передаются на основании mac-заголовков, подробнее - Вам нужно
>почитать об уровнях модели OSI, в данном случае достаточно о первых
>трёх.

Читал и не только о трех))) Но про это там не было написано))) Ок, а что тогда мешает поменять IP-заголовок ?


"Релиз iptables 1.4.9"
Отправлено аноним , 04-Авг-10 22:01 
>Ок, а что тогда мешает поменять IP-заголовок ?

Тогда вся затея теряет смысл.
Вместо точной копии трафика получается какая-то фигня.


"Релиз iptables 1.4.9"
Отправлено VolanD , 05-Авг-10 05:57 
Дык содержание пакета то не изменится же. Тем более насколько я понял МАК все таки меняется)))

"Релиз iptables 1.4.9"
Отправлено ig0r , 05-Авг-10 09:37 
а толку что содержимое не изменилось если вы не знаете кому предназначен пакет? для того чтобы проанализировать трафик вам нужно знать не только что в пакете, но и кому он предназначался.

"Релиз iptables 1.4.9"
Отправлено аноним , 05-Авг-10 17:34 
>Дык содержание пакета то не изменится же.

Важно не только содержание пакета, но и его заголовки. Испортить их никогда не поздно.

>Тем более насколько я понял МАК все таки меняется

Мак меняется на каждом хопе, но он не является частью пакета - это заголовок кадра.


"Релиз iptables 1.4.9"
Отправлено аноним , 04-Авг-10 19:04 
>хост-получатель должен находиться в одном сегменте сети с нашим хостом - эту нелепую ошибку можно исправить?

Это не нелепая ошибка, а необходимое ограничение (точно так же, как и необходимость извращаться с локальным роутингом при TPROXY-проксировании).

Копия трафика обладает всеми свойствами оригинала, в том числе и теми же адресами назначения в заголовках пакетов. Следовательно, она должна маршрутизироваться точно так же, как и оригинал. И смысл тогда копировать?
Все, что здесь можно сделать - хакнуть маршрутизацию у себя, и отправить копию на другой шлюз. Все остальное - уже его забота.


"Релиз iptables 1.4.9"
Отправлено Аноним , 04-Авг-10 12:38 
На удивление сдержанно к коментариям ведут себя владельцы BSD систем по поводу фичи моргания LEDами ;)

"Релиз iptables 1.4.9"
Отправлено аноним , 04-Авг-10 19:05 
>На удивление сдержанно к коментариям ведут себя владельцы BSD систем по поводу
>фичи моргания LEDами ;)

Ждем netgraph-модулей и divert-прог с аналогичной функциональностью =)


"Релиз iptables 1.4.9"
Отправлено User294 , 05-Авг-10 15:25 
Но есть одна мелкая фигня. Придется всего-то сначала портировать бздю на девайсы где на передней панели есть леды. В общем лет через 10 заходите, посмотрим что изменится.

"Релиз iptables 1.4.9"
Отправлено Michael Shigorin , 06-Авг-10 14:47 
>Придется всего-то сначала портировать бздю на девайсы
>где на передней панели есть леды

Повторюсь справедливости ради -- AFAIK в Draytek живёт опёнок.


"Релиз iptables 1.4.9"
Отправлено User294 , 09-Авг-10 05:23 
>Повторюсь справедливости ради -- AFAIK в Draytek живёт опёнок.

Если честно - я о такой фирме впервые слышу. Есть пруфлинк на описание что там в кишках? Мне достаточно интересно как они там ФС и утилиты по человечески сделали и прочая, бздю для этого надо мощно допиливать. Благо эффективных и удобных вещей типа squashfs опенбздя явно не умеет, да и бизибокс под "неудобной" GPL, etc. Но если это все-таки было сделано - то как обычно для BSDL, поделиться с остальными они забыли и все кто не Draytek - пролетают, да? Ну вот пусть и пролетают. С *BSD. А с линуксом не пролетают вот.


"Релиз iptables 1.4.9"
Отправлено Michael Shigorin , 09-Авг-10 15:15 
>>Повторюсь справедливости ради -- AFAIK в Draytek живёт опёнок.
>Если честно - я о такой фирме впервые слышу.

Железки довольно неплохие.

>Есть пруфлинк на описание что там в кишках?

Не-а, только косвенные.  Искал как-то для persgray@ (Pererezus...).

>если это все-таки было сделано - то как обычно для BSDL,
>поделиться с остальными они забыли и все кто не Draytek -
>пролетают, да?

Да, исходников никаких не видел.


"Релиз iptables 1.4.9"
Отправлено ВалераСНевы , 04-Авг-10 13:23 
можно написать скриптик чтобы и на клаве мигали диоды

"Релиз iptables 1.4.9"
Отправлено юзер , 04-Авг-10 18:02 
скриптик... через скриптик можно и мониторчиком поморгать, а если добавить релюшку, то и светом у соседа)

"Релиз iptables 1.4.9"
Отправлено nitrogear , 05-Авг-10 11:25 
Фигня это лед-моргание - толку 0. Никто по-серьезному не будет на это надеяться, иначе нужно сажать специального человека, который бы наблюдал за этими ледами. Сделали бы уже просто выполнение действия --do-something, на которое можно повесить запуск своего скрипта, которым можно хоть леды включать или СД-лоток дергать, которые привязан к горшку на полке ;-)

"flash-flash... double flash"
Отправлено makky , 05-Авг-10 12:34 
Вспомните эпизод в сериале it crowd, когда гота только обнаружила руководитель отдела... Она: а чем вы тут занимаетесь?
Он: я должен следить за лампочками.. Обычно они веду себя нормально.. Вот смотрите: миг-миг.. двойное мигание - это необычно.. В такие моменты я просто отворачиваюсь...

А я, как владелец BSD, в очередной раз понял, что надо сменить мою BSD на 5-6 линуксов, т.к. моя система отстой, логи и оповещения все это устарело и никому теперь не нужно.


"flash-flash... double flash"
Отправлено Michael Shigorin , 06-Авг-10 14:49 
>логи и оповещения все это устарело и никому теперь не нужно.

Не плачьте так горько, одно другому не мешает -- даже с домашних wifi-мыльниц некоторые исправно вытаскивают syslog, но и светодиоды не отпаивают. :)


"flash-flash... double flash"
Отправлено User294 , 09-Авг-10 05:25 
>логи и оповещения все это устарело и никому теперь не нужно.

Логи и оповещения - это круто. Но посмотреть на LED в 10-сантиметровой коробочки - в десятки раз быстрее чем отрыть в логах то же самое. При том не всегда нужен вербозный отчет, черт возьми.


"Релиз iptables 1.4.9"
Отправлено аноним , 05-Авг-10 17:36 
>Сделали бы уже просто выполнение действия --do-something, на которое можно повесить запуск своего скрипта, которым можно хоть леды включать или СД-лоток дергать, которые привязан к горшку на полке

Если бы так можно было сделать, давно бы уже сделали.
Проблема в том, что запускать скрипты напрямую из ядра несколько затруднительно.


"Релиз iptables 1.4.9"
Отправлено gambit , 09-Авг-10 15:39 
Занимательная функция, при желании можно даже морзянкой данные передавать... пару правил, для длинных и коротких, и соответствующий генератор пакетов на той стороне...
Добавили фитчу, пусть будет, иногда жизнь забавнее самой изощрённой фантазии.

"Релиз iptables 1.4.9"
Отправлено Гентушник , 09-Авг-10 22:57 
>Проблема в том, что запускать скрипты напрямую из ядра несколько затруднительно.

А в чём сложность? call_usermodehelper и готово. если выставить вменяемые тайминги между запусками(чтобы предотвратить DOS), то по теории всё просто.


"Релиз iptables 1.4.9"
Отправлено Гентушник , 09-Авг-10 23:01 
Кто тестил TEE, скажите, ловится ли уже отзеркалированный траффик в iptables? Или как с MIRROR?

"Релиз iptables 1.4.9"
Отправлено аноним , 12-Авг-10 20:03 
Насколько я помню, этот трафик нигде не светится. В маршрутизации и фаерволе точно, насчет шейпера не проверял.