forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Выпуск пакетного фильтра nftables 1.0.7, opennews (??), 14-Мрт-23, (0) [смотреть все]

Лучший пакетный фильтр Хотя системы надо проектировать так, чтобы nftables ipta, Аноним (17), 14:01 , 14-Мрт-23, (17) //

Лучший Уже 10 лет у них просят string hex match, в ответ используйте iptables , Аноним (20), 14:06 , 14-Мрт-23, (20) +2 //

нет регулярок пичалько, Аноним (21), 14:10 , 14-Мрт-23, (21) //

Регулярки - тяжесть , Аноним (63), 01:30 , 20-Мрт-23, (63)

фильтровать айпишники по регуляркам и строкам вы там с дуба рухнули уже есть, Аноним (17), 14:16 , 14-Мрт-23, (23) //

Причём тут IP Где я написал хоть слово про IP Мне содержимое пакетов надо анал, Аноним (26), 15:17 , 14-Мрт-23, (26) –1

и что же ты там по сырому потенциально зашифрованному телу пакета собрался фильт, Аноним (17), 15:30 , 14-Мрт-23, (27)

Аноним, у тебя галлюцинации Где ты увидел слово зашифрованный трафик Сначала т, Аноним (26), 16:14 , 14-Мрт-23, (36)

Приведи юзкейс уже для такого , Аноним (46), 20:29 , 14-Мрт-23, (46) +1

Непонятно почему человека заминусили У меня такой юзкейс в сторону бакэнда дела, _Kuzmich (ok), 08:27 , 15-Мрт-23, (51) +1
iptables -I INPUT -p tcp --sport 80 -m string --string Location http warning, saa (?), 18:23 , 19-Мрт-23, (61)

пишешь нфтейблес пакеты перенаправлять в мою программу и там онализируешь , pfg21 (ok), 15:45 , 14-Мрт-23, (32) +2

Песец А вы мне подарите EPYC на 96 ядер, чтобы гонять трафик из ядра в userspace, Аноним (26), 16:13 , 14-Мрт-23, (35) –5

Значит просто, без задней мысли, пишешь нфтейблес пакеты перенаправлять в мой м, Аноним (39), 16:28 , 14-Мрт-23, (39) +2
50 мбайт с 96 ядер Такой поток пишется на жесткий диск 20 летней свежести о, Аноним (41), 19:11 , 14-Мрт-23, (41)
Чел, чем ты там занимаешься , Аноним (46), 20:30 , 14-Мрт-23, (47) +2

Комменты пишет же, bergentroll (ok), 23:32 , 14-Мрт-23, (49) +2

Тебе лучше на чём-то из этого https www xilinx com products boards-and-kits al, Аноним (56), 12:21 , 15-Мрт-23, (56)

fixed , Аноним (30), 15:37 , 14-Мрт-23, (30) –1

Изучаю базовые команды линуха Уже взялся тыкать iptables, но тут узнал, что это, Аноним (-), 14:35 , 14-Мрт-23, (25) //

А в замен ничего не впиливают , Аноним (28), 15:34 , 14-Мрт-23, (28)
по теме чем лучше написаны кучи статей, но сложных и мудреных iptables остае, pfg21 (ok), 15:44 , 14-Мрт-23, (31)
iptables сейчас работает через nftables К тому же он проще, если его действитель, Аноним (33), 15:57 , 14-Мрт-23, (33)
Лучше, ХЗ Сложнее на порядок и синтаксис ад - да, несомненно , Аноним (26), 16:15 , 14-Мрт-23, (37) +1 //

Я голосую за приведения синтаксиса nftables к синтаксису rust И все будут довол, 1 (??), 09:09 , 15-Мрт-23, (52)
Что в нём адово Синтаксис наподобие iproute2 , Аноним (56), 13:22 , 15-Мрт-23, (58)

iptables никуда не денутся ещё всегда будут, просто потому что userspace API, Аноним (26), 16:18 , 14-Мрт-23, (38) //

iptables - это не API ядра, это утилиты В ядре только, собственно, сам фильтр -, llolik (ok), 19:38 , 14-Мрт-23, (43)

eBPF , Аноним (30), 15:35 , 14-Мрт-23, (29)
не взлетит, пока доцкеры сидят на iptables, лютый ж.... (?), 17:17 , 14-Мрт-23, (40) +1 //

Давно уже не использую iptables и вырубил его использование у докера вообще, тол, Аноним (42), 19:30 , 14-Мрт-23, (42) //

Волшебные номера вхардкожены, и - имена интерфейсов А тогда - не так всё просто, Аноним (63), 01:33 , 20-Мрт-23, (64)

Помнится мне обещали что ip4 скоро кончится, зато ip6 который мне присвоят не тр, Аноним (44), 19:48 , 14-Мрт-23, (44) //

Наоборот же Не меньше, а больше брандмауэра, из-за отсутствия NAT Но ipv6 вс, Аноним (50), 06:17 , 15-Мрт-23, (50) +1 //

И ещё более отличная, там где его нет , 1 (??), 09:10 , 15-Мрт-23, (53) +3
В Linux запилили NAT для IPv6 , Аноним (56), 13:17 , 15-Мрт-23, (57) //

это не тот нат, что в ип4 , saa (?), 18:26 , 19-Мрт-23, (62)

1 IPv6 в РФ не присвоят, РКН против 2 Тебе безбожно врали , Аноним (56), 12:11 , 15-Мрт-23, (55) //

Каво У меня пров 56 сети раздаёт Хошь подключай , Аноним (59), 15:01 , 15-Мрт-23, (59)

Я не осилил, в отличие от iptables Это надо отдельно курс пройти по разработке , ChatGPT (?), 10:57 , 15-Мрт-23, (54) +2

Сообщения [Сортировка по времени | RSS]

17. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (17), 14-Мрт-23, 14:01

Лучший пакетный фильтр. Хотя системы надо проектировать так, чтобы nftables/iptables были опциональными = чтобы система не перестала быть защищенной, если эти фильтры внезапно отключить.

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск пакетного фильтра nftables 1.0.7" +2 +/–

Сообщение от Аноним (20), 14-Мрт-23, 14:06

Лучший?
Уже 10 лет у них просят string/hex match, в ответ: используйте iptables.

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (21), 14-Мрт-23, 14:10

нет регулярок? пичалько

Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (63), 20-Мрт-23, 01:30

Регулярки - тяжесть.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (17), 14-Мрт-23, 14:16

фильтровать айпишники по "регуляркам и строкам"? вы там с дуба рухнули? уже есть маски

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

26. "Выпуск пакетного фильтра nftables 1.0.7" –1 +/–

Сообщение от Аноним (26), 14-Мрт-23, 15:17

Причём тут IP?!
Где я написал хоть слово про IP?!
Мне содержимое пакетов надо анализировать и на основе этого drop.
И нет, я не ISP, мне это для домашней машины надо.

Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (17), 14-Мрт-23, 15:30

и что же ты там по сырому потенциально зашифрованному телу пакета собрался фильтровать?

Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (26), 14-Мрт-23, 16:14

Аноним, у тебя галлюцинации?
Где ты увидел слово "зашифрованный" трафик?
Сначала ты нёс про IP, теперь про шифрование, дальше что?

Ответить | Правка | Наверх | Cообщить модератору

46. "Выпуск пакетного фильтра nftables 1.0.7" +1 +/–

Сообщение от Аноним (46), 14-Мрт-23, 20:29

Приведи юзкейс уже для такого.

Ответить | Правка | Наверх | Cообщить модератору

51. "Выпуск пакетного фильтра nftables 1.0.7" +1 +/–

Сообщение от _Kuzmich (ok), 15-Мрт-23, 08:27

Непонятно почему человека заминусили.
У меня такой юзкейс: в сторону бакэнда делаешь каунт на GET, при зашкаливании пишешь в сет. По этому сету в мир уменьшаешь размер окна в 0. Помогает от ddos школьников.
Как такое сделать на nftables пока не знаю, поделитесь, кто в курсе.

Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от saa (?), 19-Мрт-23, 18:23

iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://warning.rt.ru/" --algo bm -j DROP

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

32. "Выпуск пакетного фильтра nftables 1.0.7" +2 +/–

Сообщение от pfg21 (ok), 14-Мрт-23, 15:45

пишешь нфтейблес "пакеты перенаправлять в мою программу" и там онализируешь.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

35. "Выпуск пакетного фильтра nftables 1.0.7" –5 +/–

Сообщение от Аноним (26), 14-Мрт-23, 16:13

Песец.
А вы мне подарите EPYC на 96 ядер, чтобы гонять трафик из ядра в userspace и обратно для потока в 500Mbit?

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск пакетного фильтра nftables 1.0.7" +2 +/–

Сообщение от Аноним (39), 14-Мрт-23, 16:28

Значит просто, без задней мысли, пишешь нфтейблес "пакеты перенаправлять в мой модуль ядра" и там анализируешь

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (41), 14-Мрт-23, 19:11

50 мбайт/с? 96 ядер ??? Такой поток пишется на жесткий диск 20 летней свежести одним ядром тех же времен

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

47. "Выпуск пакетного фильтра nftables 1.0.7" +2 +/–

Сообщение от Аноним (46), 14-Мрт-23, 20:30

Чел, чем ты там занимаешься?!

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

49. "Выпуск пакетного фильтра nftables 1.0.7" +2 +/–

Сообщение от bergentroll (ok), 14-Мрт-23, 23:32

Комменты пишет же

Ответить | Правка | Наверх | Cообщить модератору

56. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (56), 15-Мрт-23, 12:21

Тебе лучше на чём-то из этого https://www.xilinx.com/products/boards-and-kits/alveo.html фильтровать. Дешевле выйдет, чем 96 ядер.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

30. "Выпуск пакетного фильтра nftables 1.0.7" –1 +/–

Сообщение от Аноним (30), 14-Мрт-23, 15:37

>используйте eBPF
fixed.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

17. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
Сообщение от Аноним (17), 14-Мрт-23, 14:01
Лучший пакетный фильтр. Хотя системы надо проектировать так, чтобы nftables/iptables были опциональными = чтобы система не перестала быть защищенной, если эти фильтры внезапно отключить.
Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Выпуск пакетного фильтра nftables 1.0.7"	+2 +/–
	Сообщение от Аноним (20), 14-Мрт-23, 14:06
	Лучший? Уже 10 лет у них просят string/hex match, в ответ: используйте iptables.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (21), 14-Мрт-23, 14:10
	нет регулярок? пичалько
	Ответить \| Правка \| Наверх \| Cообщить модератору


	63. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (63), 20-Мрт-23, 01:30
	Регулярки - тяжесть.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (17), 14-Мрт-23, 14:16
	фильтровать айпишники по "регуляркам и строкам"? вы там с дуба рухнули? уже есть маски
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору


	26. "Выпуск пакетного фильтра nftables 1.0.7"	–1 +/–
	Сообщение от Аноним (26), 14-Мрт-23, 15:17
	Причём тут IP?! Где я написал хоть слово про IP?! Мне содержимое пакетов надо анализировать и на основе этого drop. И нет, я не ISP, мне это для домашней машины надо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (17), 14-Мрт-23, 15:30
	и что же ты там по сырому потенциально зашифрованному телу пакета собрался фильтровать?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (26), 14-Мрт-23, 16:14
	Аноним, у тебя галлюцинации? Где ты увидел слово "зашифрованный" трафик? Сначала ты нёс про IP, теперь про шифрование, дальше что?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Выпуск пакетного фильтра nftables 1.0.7"	+1 +/–
	Сообщение от Аноним (46), 14-Мрт-23, 20:29
	Приведи юзкейс уже для такого.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Выпуск пакетного фильтра nftables 1.0.7"	+1 +/–
	Сообщение от _Kuzmich (ok), 15-Мрт-23, 08:27
	Непонятно почему человека заминусили. У меня такой юзкейс: в сторону бакэнда делаешь каунт на GET, при зашкаливании пишешь в сет. По этому сету в мир уменьшаешь размер окна в 0. Помогает от ddos школьников. Как такое сделать на nftables пока не знаю, поделитесь, кто в курсе.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	61. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от saa (?), 19-Мрт-23, 18:23
	iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://warning.rt.ru/" --algo bm -j DROP
	Ответить \| Правка \| К родителю #46 \| Наверх \| Cообщить модератору


	32. "Выпуск пакетного фильтра nftables 1.0.7"	+2 +/–
	Сообщение от pfg21 (ok), 14-Мрт-23, 15:45
	пишешь нфтейблес "пакеты перенаправлять в мою программу" и там онализируешь.
	Ответить \| Правка \| К родителю #26 \| Наверх \| Cообщить модератору


	35. "Выпуск пакетного фильтра nftables 1.0.7"	–5 +/–
	Сообщение от Аноним (26), 14-Мрт-23, 16:13
	Песец. А вы мне подарите EPYC на 96 ядер, чтобы гонять трафик из ядра в userspace и обратно для потока в 500Mbit?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Выпуск пакетного фильтра nftables 1.0.7"	+2 +/–
	Сообщение от Аноним (39), 14-Мрт-23, 16:28
	Значит просто, без задней мысли, пишешь нфтейблес "пакеты перенаправлять в мой модуль ядра" и там анализируешь
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (41), 14-Мрт-23, 19:11
	50 мбайт/с? 96 ядер ??? Такой поток пишется на жесткий диск 20 летней свежести одним ядром тех же времен
	Ответить \| Правка \| К родителю #35 \| Наверх \| Cообщить модератору


	47. "Выпуск пакетного фильтра nftables 1.0.7"	+2 +/–
	Сообщение от Аноним (46), 14-Мрт-23, 20:30
	Чел, чем ты там занимаешься?!
	Ответить \| Правка \| К родителю #35 \| Наверх \| Cообщить модератору


	49. "Выпуск пакетного фильтра nftables 1.0.7"	+2 +/–
	Сообщение от bergentroll (ok), 14-Мрт-23, 23:32
	Комменты пишет же
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (56), 15-Мрт-23, 12:21
	Тебе лучше на чём-то из этого https://www.xilinx.com/products/boards-and-kits/alveo.html фильтровать. Дешевле выйдет, чем 96 ядер.
	Ответить \| Правка \| К родителю #35 \| Наверх \| Cообщить модератору


	30. "Выпуск пакетного фильтра nftables 1.0.7"	–1 +/–
	Сообщение от Аноним (30), 14-Мрт-23, 15:37
	>используйте eBPF fixed.
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору