The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В Debian 11 предлагается по умолчанию задействовать nftables..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от opennews (??), 14-Окт-19, 22:00 
Артуро Борреро (Arturo Borrero), разработчик Debian, входящий в Coreteam проекта Netfilter  и сопровождающий в Debian различные пакеты, связанные с nftables, iptables и netfilter, предложил перевести следующий значительный выпуск дистрибутива Debian 11 на использование nftables по умолчанию. Пакеты с iptables будут переведены в разряд необязательных опций, не входящих в базовую поставку...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=51671

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –1 +/
Сообщение от Аноним (1), 14-Окт-19, 22:00 
уже давно использую
Ответить | Правка | Наверх | Cообщить модератору

2. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +11 +/
Сообщение от Аноним (2), 14-Окт-19, 22:04 
Мне не нравится firewall-cmd тем, что сложно создать сложное парвило. Например, открыть порт только для одного ip. rich rules сложно реализовали...
Ответить | Правка | Наверх | Cообщить модератору

3. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +17 +/
Сообщение от Return76 (?), 14-Окт-19, 22:22 
Ничего страшного... Остальным это не надо. Понимаете, надо упрощать! Порт ssh не стандартный? Для открытия порта надо сделать кнокинг? Это же так не стандартно и вообще никому не нужно. Ешьте что дали!
Ответить | Правка | Наверх | Cообщить модератору

19. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +3 +/
Сообщение от Сейд (ok), 15-Окт-19, 00:09 
Тише, тише. Для этого в firewall-cmd нужно только удалить сервис ssh из используемой зоны, а остальное настраивается в /etc/knockd.conf:

Command = /bin/firewall-cmd --zone=public --add-rich-rule="rule family="ipv4" source address="%IP%" service name="ssh" accept"
Command = /bin/firewall-cmd --zone=public --remove-rich-rule="rule family="ipv4" source address="%IP%" service name="ssh" accept"

Ответить | Правка | Наверх | Cообщить модератору

25. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +13 +/
Сообщение от Вы украли у меня мою молодость (?), 15-Окт-19, 00:34 
Это шито??? Синтаксис?? Да там охренели все? Мои глаза сломались.  
Ответить | Правка | Наверх | Cообщить модератору

43. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +7 +/
Сообщение от Кккк (?), 15-Окт-19, 07:16 
Ой это команда из винды?
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

116. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Сейд (ok), 15-Окт-19, 23:24 
Это конфиг knock-server.
Ответить | Правка | Наверх | Cообщить модератору

47. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +12 +/
Сообщение от zhuk (?), 15-Окт-19, 07:53 
генту устанавливается в три простые команды...
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

49. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +11 +/
Сообщение от fske (?), 15-Окт-19, 07:58 
Чем ЭТО лучше простого iptables в конфиге? Тем что модномолодежно?
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

54. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –3 +/
Сообщение от Аноним (54), 15-Окт-19, 08:23 
это же systemd, или ты против прогресса ?
Ответить | Правка | Наверх | Cообщить модератору

59. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от fske (?), 15-Окт-19, 09:01 
Причем тут systemd? А, ну если ты просто его хейтер, тогда это всё обьясняет
Ответить | Правка | Наверх | Cообщить модератору

62. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +6 +/
Сообщение от супернуб (?), 15-Окт-19, 09:18 
при том, что ещё (максимум) пару раз обновиться, и без systemd "огонь-стена" не будет заводится.
"Лягушек нужно варить медленно" (с)
Ответить | Правка | Наверх | Cообщить модератору

78. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +2 +/
Сообщение от hiveliberty (ok), 15-Окт-19, 10:50 
http://tsya.ru/mnemonic.html
Ответить | Правка | Наверх | Cообщить модератору

89. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от OpenEcho (?), 15-Окт-19, 13:01 
>Причем тут systemd?

A привязка к DBus не о чем не говорит?

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

91. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –3 +/
Сообщение от Michael Shigorinemail (ok), 15-Окт-19, 13:10 
>> Причем тут systemd?
> A привязка к DBus не о чем не говорит?

Нуу мне говорит скорее про "кнопочку в трее" и прочий максимум десктопный уровень "безопасности"...

Ответить | Правка | Наверх | Cообщить модератору

99. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –1 +/
Сообщение от OpenEcho (?), 15-Окт-19, 14:38 

> "Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через DBus"
Ответить | Правка | Наверх | Cообщить модератору

93. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +1 +/
Сообщение от Аноним (93), 15-Окт-19, 13:23 
Не всё то systemd, что прибито к dbus.
Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

102. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от OpenEcho (?), 15-Окт-19, 14:48 
AFAIK,
D-Bus зависимость - "logind", который есть part of systemd
Ответить | Правка | Наверх | Cообщить модератору

117. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –1 +/
Сообщение от Сейд (ok), 15-Окт-19, 23:28 
Не хочешь — не пользуйся.
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

111. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +2 +/
Сообщение от Аноним (111), 15-Окт-19, 18:43 
> add-rich-rule

как смотрится бохато!

> --add-rich-rule="rule family="ipv4"

вот только за тройные ковычки в cli поубивал бы.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

118. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –1 +/
Сообщение от Сейд (ok), 15-Окт-19, 23:33 
Почему тройные?

--add-rich-rule=
"
rule family="ipv4" source address="%IP%" service name="ssh" accept
"

Ответить | Правка | Наверх | Cообщить модератору

123. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +1 +/
Сообщение от трурль (?), 16-Окт-19, 02:35 
Он пытался сказать «вложенные двойные».
От этого синтаксис менее yблюдочным не становится.
Ответить | Правка | Наверх | Cообщить модератору

134. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Сейд (ok), 16-Окт-19, 18:22 
А ты бы как сделал?
Ответить | Правка | Наверх | Cообщить модератору

45. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (45), 15-Окт-19, 07:20 
Неосилятор? firewall-cmd --service=ssh --add-port=40022/tcp
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

79. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +1 +/
Сообщение от Аноним (79), 15-Окт-19, 11:02 
Вот только не забудьте напомнить им еще:
semanage port -a -t ssh_port_t -p tcp 40022
а то эти неосиляторы меняют стандартный порт на ssh во имя безопасности, но при этом отключили или не имеют selinux.
Напоминает: https://www.youtube.com/watch?v=Ji0nmstAMOk
Ответить | Правка | Наверх | Cообщить модератору

86. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (86), 15-Окт-19, 12:04 
Он спрашивал про firewalld.
Ответить | Правка | Наверх | Cообщить модератору

103. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от grsec (ok), 15-Окт-19, 15:11 
Ждем selinuxD.
Ответить | Правка | Наверх | Cообщить модератору

15. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +1 +/
Сообщение от Сейд (ok), 14-Окт-19, 23:58 
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="1.2.3.4/32" port protocol="tcp" port="4567" accept'

Не сложно.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

129. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Anonim (??), 16-Окт-19, 14:36 
>  Например, открыть порт только для одного ip

Это как раз таки просто сделано:

firewall-cmd --permanent --new-zone=test
firewall-cmd --permanent --zone=test --add-source=a.b.c.d/net
firewall-cmd --permanent --zone=test --add-port=tcp/22
firewall-cmd --reload

Определил зону. Внёс в неё нужные адреса или сети и открыл всё, что нужно.

Вот для того, чтобы сделать маршрутизатор firewall-cmd не удобен, да. И то простой проброс сделать просто.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

130. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +2 +/
Сообщение от Michael Shigorinemail (ok), 16-Окт-19, 14:50 
>>  Например, открыть порт только для одного ip
> Это как раз таки просто сделано:

Вчетверо проще, чем одной строчкой iptables, действительно.

Ответить | Правка | Наверх | Cообщить модератору

4. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +18 +/
Сообщение от Аноним (4), 14-Окт-19, 22:26 
Соединения и в iptables при перегрузке правил не рвались. Эка новация!
Ответить | Правка | Наверх | Cообщить модератору

71. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +5 +/
Сообщение от Антон Уральский (?), 15-Окт-19, 09:46 
Подтверждаю, ни единого разрыва с ноября прошлого года
Ответить | Правка | Наверх | Cообщить модератору

104. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +1 +/
Сообщение от Аноним (104), 15-Окт-19, 16:22 
Подтверждаю. С фига ли им рваться если conntrack не сбрасывать.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

136. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (136), 17-Окт-19, 16:36 
Тем не менее, происходила перезагрузка всех правил.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +9 +/
Сообщение от Аноним (5), 14-Окт-19, 22:36 
>через DBus

совсем озверели? сначала от dbus этой отвяжите, сделайте чтобы те у кого уже есть правила iptables не обламались, тогда можно подумать. systemd уже впилили всем на радость, бракоделы хреновы

Ответить | Правка | Наверх | Cообщить модератору

14. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (14), 14-Окт-19, 23:52 
Ну firewalld пока что безболезненно выпиливается даже из шапки… Кажется… Надо бы проверить на всякий.
Ответить | Правка | Наверх | Cообщить модератору

58. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от bibliaryemail (?), 15-Окт-19, 08:51 
да, без проблем выпиливается одной командой
Ответить | Правка | Наверх | Cообщить модератору

56. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (54), 15-Окт-19, 08:24 
так в этом и смысл - интеграция с systemd ;-)
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

66. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (66), 15-Окт-19, 09:36 
Мы учтём Ваше мнение.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

6. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +19 +/
Сообщение от Stoned Jesus (?), 14-Окт-19, 22:42 
А может сразу уже поставить CentOS и не изображать разработку независимого дистрибутива? Ликвидность проекта Debian с каждым годом всё ближе и ближе к нулю.
Ответить | Правка | Наверх | Cообщить модератору

7. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (7), 14-Окт-19, 22:45 
Ни для кого не новость, дебилиан берут исключительно по старой привычке. Проект совершенно скурвился.
Ответить | Правка | Наверх | Cообщить модератору

10. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (10), 14-Окт-19, 23:37 
Ииии??? В замен что уже берут?
Ответить | Правка | Наверх | Cообщить модератору

12. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –2 +/
Сообщение от Аноним (12), 14-Окт-19, 23:44 
Убунту :)
Ответить | Правка | Наверх | Cообщить модератору

16. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (16), 15-Окт-19, 00:03 
Ставьте в продакшен Manjaro, который не грузится после чистой установки, установки обновлений, перезагрузки. Сарказм.
Ответить | Правка | Наверх | Cообщить модератору

18. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +5 +/
Сообщение от Аноним (16), 15-Окт-19, 00:04 
Надо было ставить FreeBSD.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

27. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –1 +/
Сообщение от Аноним (27), 15-Окт-19, 00:58 
Windows 10, очевидно же.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

63. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от супернуб (?), 15-Окт-19, 09:21 
ну пока ещё миксер (МХ) живёт на демьяне без s-d. Опть же - "диван". Хотя как по мне - последний глюкавее (первый тоже местами не подарок, но в целом народ пока "горит", а потому допиливают ореперативно. Опять же требования к железу нормальные)
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

95. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (95), 15-Окт-19, 13:53 
>ну пока ещё миксер (МХ) живёт на демьяне без s-d.

каким образом у вас MX без systemd? Пробовал 18.3 c xfce стоит там systemd, более того, при попытке выпилить её, так же как и в Debian норовит с собой снести пол DE.

Ответить | Правка | Наверх | Cообщить модератору

97. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +2 +/
Сообщение от супернуб (?), 15-Окт-19, 14:26 
> каким образом у вас MX без systemd?

оно там "по требованию" - при желании можно в грубе выбрать и запуститься под ним, а так systemV+шимка (systemd-shim) в деле. SysD на диске есть (что бы то самое DE его видело), но не работает (шимка вместо) - любая попытка вызвать в терминале что-то специфическое для s-d вызывает ругань на предмет "ты с начала запустись под ним, а потом требуй")
Кстати - наглядный пример того, как sys-d въедается всистемы и насколько труднее с каждым днём становится его выпилить (но пацаны вроде стараются. Да и 19й к НГ обещает быть конфеткой).

Хотите совсем что бы не было в системе - ставьте его старшего брата: antiX (у них даже сайт один) - там голый SystemV.
Правда там своё DE доставлять надо (и фиг знает что сейчас встанет из приличного, что бы не было на s-d завязок. Тот же XFCE уже что-то да притянет. Разве что кеды, но я их не ношу - не знаю как там) - по жизни-то он на убогом IceWM (там рашпиль нужен, что бы до нормального вида довести - валяется на хабре). Зато и работает на металлоломе :)

ЗЫ. Для кричащих о васяноподелках - антикс с 2007 пилится и помирать не собирается, а миксер (с 14го) просто его версия "для домохозяек" (у мну в хсубунте минут тридцать доставлять софт и дошлифовыать надо, а на 19м миксере всё и сразу - как под меня делали. И не хуже. Вот подлечат там пару бажиков и перееду на него совсем: он даже работает "приятнее". Опять же "демьян" в основе :)) )

Ответить | Правка | Наверх | Cообщить модератору

106. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (106), 15-Окт-19, 16:27 
>оно там "по требованию" - при желании можно в грубе
>выбрать и запуститься под ним, а так systemV+шимка
>(systemd-shim) в деле. SysD на диске есть (что бы то самое DE его видело),
>но не работает (шимка вместо) - любая попытка вызвать в терминале
>что-то специфическое для s-d вызывает ругань на предмет
>"ты с начала запустись под ним, а потом требуй")

Спасибо за разъяснение, поверю вас на слово, думал что там можно выпилить systemd полностью, как это грозились сдедать деванщики, но так и не смог, оно тянуло для удаления, считай все функциональные части DE (xfce).
>Кстати - наглядный пример того, как sys-d въедается всистемы и насколько
>труднее с каждым днём становится его выпилить (но пацаны вроде стараются.
>Да и 19й к НГ обещает быть конфеткой).

Я в курсе этой отвратительной практики, самое досадное то, что именно в Debian systemd специально привязывают в качестве зависимостей на всё что можно, в том же форке без systemd на основе Arch гораздо проще поставить sysvinit.

>Хотите совсем что бы не было в системе - ставьте его старшего брата:
>antiX (у них даже сайт один) - там голый SystemV.
>Правда там своё DE доставлять надо (и фиг знает что сейчас встанет из приличного,
>что бы не было на s-d завязок. Тот же XFCE уже что-то да притянет.

Спасибр, но про antiX я в курсе, по этой причине поставил именно его, и там уже не было systemd совершенно, т.к. изкоробочный antiX поставляется только с wm, я попробовал накатить привычную по Debian комбинацию: xfce+lighdm+network-manager, и всё получилось, заработало, немного странно после установки работает network-manager, но по крайней мере он позволяет выдернуть провод и вставить снова - сеть также будет работать, в отличие от девана, где такое уже не прокатывает (деванщики в итоге оказались немного криворучки, они и lightdm не осилили завести c sysvinit и заменили slim'ом + ещё несколько косяков не порешали), кстати antiX ставил последней версии - 19, так что вы зря беспокоитесь, по крайней мере xfce+lightdm+network-manager+sysvinit, без systemd, там вполне себе нормально работает, в отличие от MX и Devuan.

Ответить | Правка | Наверх | Cообщить модератору

126. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Michael Shigorinemail (ok), 16-Окт-19, 10:12 
> самое досадное то, что именно в Debian systemd специально привязывают
> в качестве зависимостей на всё что можно, в том же форке без systemd
> на основе Arch гораздо проще поставить sysvinit.

Н-да.  Ну гляньте альт ещё тогда при случае:
http://altlinux.org/Starterkits/Download
http://altlinux.org/sysvinit
http://forum.altlinux.org/index.php?topic=36177

Ответить | Правка | Наверх | Cообщить модератору

132. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (132), 16-Окт-19, 15:35 
> Н-да.  Ну гляньте альт ещё тогда при случае:
> http://altlinux.org/Starterkits/Download
> http://altlinux.org/sysvinit
> http://forum.altlinux.org/index.php?topic=36177

Приветствую, Михаил!
Я смотрел когда-то и в на Альт, но насколько я помню у вас все сборки без systemd были только на разных wm и TDE. По вашим ссылкам я не вижу где там у вас есть сборка sysvinit + xfce + NM + lightdm, может я в глаза долблюсь, но к сожалению не вижу, по поводу последних ссылок, занятно, возможно рецепты эти вполне можно реализовать успешно, не только в Альте, но даже возможно они помогут ещё в каком-то дистрибутиве, только вот, я в разговоре сетовал на кривосборочность Devuan и не совсем честное отсутствие systemd у MX, так, если потанцевать с бубном и покопаться в настройках даже в Devuan можно будет добиться должной работы, досадно то, что товарищи позиционируют свой дистрибутив как старый добрый Debian, что какбэ намекает на качество, а по сути собрали как получилось и посчитали, что - "А, так сойдёт!".
Ну что мешало добавить исправления позже, но они этого не сделали, как не выпустили образов с исправлением проблемы с apt, тогда как даже Убунта выкатила срочное обновление установочного образа из-за этой проблемы, а деванщикам как-то пофиг, как было собрано с самого начала, так и осталось по сию пору, что говорит о многом о самой команде, зато можно трещать на форумах и чатах, что они сопротивленцы и ветераны админы линуха, и всячески задабривать посещающих обещаниями, что вот они колаборируют с этими и вот мс этими, и теперь ещё крепче будет борьба против systemd, вы бы хоть то что уже навелосипедили довели до ума чтоль, чтобы было не стыдно называться аналогом Debian, а то напоминают современных крикунов смузихлёбов, которые больше всего усилий делают на фронте громких криков в сети, чтоб больше внимания привлечь.

P.S.: Прошу прощения за бугурт, просто устал от новомодной волны борцунов за всё хорошее, против всего плохого.

Ответить | Правка | Наверх | Cообщить модератору

133. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Michael Shigorinemail (ok), 16-Окт-19, 16:49 
>> Н-да.  Ну гляньте альт ещё тогда при случае:
>> http://altlinux.org/Starterkits/Download#livecd
>> http://forum.altlinux.org/index.php?topic=36177
> Я смотрел когда-то и в на Альт, но насколько я помню у
> вас все сборки без systemd были только на разных wm и TDE.

Как минимум на Xfce довольно активно дорабатывается, собственно, потому ссылку на соответствующую развесистую тему форума тоже добавил (тут же его и обсуждали).

> где там у вас есть сборка sysvinit + xfce + NM + lightdm

По первой ссылке (добавил "#livecd" для большей точности):

---
Устанавливаемые LiveCD
Эти сборки в качестве системы инициализации используют в основном systemd, за исключением gnustep, icewm и xfce-sysv, где применяется sysvinit.
---

Вот прямая ссылка на [симлинк на] текущую исошку для удобства: http://nightly.altlinux.org/p9/permalink/alt-p9-xfce-sysv-la... -- сейчас там чуть меньше гига.

С конструктивными замечаниями и предложениями лучше всего вот в ту ветку альтового форума, там и Speccyfighter водится как главный заинтересованный, и текущий выпускающий стартовые наборы; я тоже порой забегаю на огонёк.

Ну и я пару лет назад делал да выкладывал для кого-то попросившего пробный образ на сизифе: http://nightly.altlinux.org/sisyphus/alpha/regular-mate-sysv... -- если такой понравится больше, можно попробовать обновить и заодно собрать на текущей стабильной ветке, благо она свежая совсем: http://altlinux.org/p9

> по поводу последних ссылок, занятно, возможно рецепты эти вполне можно
> реализовать успешно, не только в Альте, но даже возможно они помогут
> ещё в каком-то дистрибутиве

Надеюсь...

> только вот, я в разговоре сетовал на кривосборочность Devuan и не
> совсем честное отсутствие systemd у MX

libsystemd и что-то из утилит будет и в альте -- чтобы выпереть и их, надо либо делать source-based distro, либо устраивать отдельный репозиторий вроде такого: http://ftp.altlinux.org/pub/projects/diogenes/ZT/whatisit.txt -- там, кстати, есть более-менее всё нужное для довольно развесистого софтроутера, см. тж. http://altlinux.org/NetDev

> досадно то, что товарищи позиционируют свой дистрибутив как старый добрый
> Debian, что какбэ намекает на качество, а по сути собрали как
> получилось и посчитали, что - "А, так сойдёт!".

Нуу в таких случаях обычно есть смысл "походить по рыночку" и если ничего лучше всё равно не найдётся, а надо -- помочь делать.

> P.S.: Прошу прощения за бугурт, просто устал от новомодной волны борцунов
> за всё хорошее, против всего плохого.

Очень хорошо понимаю, но эмоциями делу точно не поможешь, а разве что двуручным напильником; проверено.

Ответить | Правка | Наверх | Cообщить модератору

131. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +1 +/
Сообщение от Аноним (131), 16-Окт-19, 15:15 
>Для кричащих о васяноподелках - антикс с 2007 пилится и помирать
> не собирается, а миксер (с 14го) просто его версия "для домохозяек"
> (у мну в хсубунте минут тридцать доставлять софт и дошлифовыать надо,
> а на 19м миксере всё и сразу - как под меня
> делали. И не хуже. Вот подлечат там пару бажиков и перееду
> на него совсем: он даже работает "приятнее". Опять же "демьян" в
> основе :)) )

Насчёт 19 MX, они же вроде ещё даже RC вот меньше суток назад выкатили, а до этого они писали что настоятельно не рекомендуют пробовать обновляться с последней беты до релизной версии, когда она выйдет, потому что с большей вероятностью повылезают какие-нибудь проблемы, и эта версия только для теста, а 19 стоит ставить с нуля, когда она выйдет, может быть я ошибаюсь, но как я понял они не заморачиваются с переходными пакетами, как тот же Debian, и судя по вашим подробным сообщениям вы производите впечатление пользователя MX с каким-то опытом, скажите пожалуйста, как этот дистрибутив ведёт себя при переезде срелиза на релиз, когда уже следующий выходит? Получается ли у MX безпроблемно обновляться, или же там всё так е печально как у linuxmint, которые всегда рекомендуют ставить новый релиз на чистую с нуля?


Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

80. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Michael Shigorinemail (ok), 15-Окт-19, 11:28 
Нуу некоторые сперва кладут, затем есть что взять.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

119. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –1 +/
Сообщение от Сейд (ok), 15-Окт-19, 23:46 
Fedora/RHEL
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

13. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от ТвояТеща (?), 14-Окт-19, 23:49 
А такие как ты тока ноют тут и ноют, нет взять да как сделать лутше.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

17. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –1 +/
Сообщение от Stoned Jesus (?), 15-Окт-19, 00:04 
Чтобы потом такие, как ты, сказали ему "нинужна, фу, маргинальщина, васяноподелие"?
Ответить | Правка | Наверх | Cообщить модератору

28. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +2 +/
Сообщение от ТвояТеща (?), 15-Окт-19, 01:38 
Это ты уже додумал за меня и за меня решил. Но ничо ничо лелей себя и ной дальше.
Ответить | Правка | Наверх | Cообщить модератору

22. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (16), 15-Окт-19, 00:16 
>А может сразу уже поставить CentOS и не изображать разработку независимого дистрибутива? Ликвидность проекта Debian с каждым годом всё ближе и ближе к нулю.

Почему нет кубунту и минт от центоса?

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

23. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +3 +/
Сообщение от Stoned Jesus (?), 15-Окт-19, 00:24 
Может быть потому, что пользователи CentOS видят её исключительно через окно PuTTy и Terminal.app ???
Ответить | Правка | Наверх | Cообщить модератору

24. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –1 +/
Сообщение от Аноним (16), 15-Окт-19, 00:25 
Зачем тогда это рекламировать на каждом углу?
Ответить | Правка | Наверх | Cообщить модератору

26. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +1 +/
Сообщение от Stoned Jesus (?), 15-Окт-19, 00:38 
Спроси у Денисок Поповых из Debian.
Ответить | Правка | Наверх | Cообщить модератору

37. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от IRASoldier_registered (ok), 15-Окт-19, 04:25 
Есть как минимум одно учреждение в РФ, причём очень государственное и таки даже стратегически важное (нет, не военные и не службисты), где CentOS успешно используют в качестве десктопа. И пока что не собираются отказываться от этой практики.
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

40. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (40), 15-Окт-19, 06:26 
Независимый девуян.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

96. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –2 +/
Сообщение от Аноним (95), 15-Окт-19, 14:00 
>Независимый девуян.

он не независим, а таки очень зависит от Debain и от его инфраструктуры, а то что они там объявили про пересборку пакетов для отвязки от systemd, так они пересобирают, и отвязывают, но замещают довольно криво, т.е. нет такого качества, как было в Debian до переезда на system, десктопы девана производят впечатление васянской сборки, коих полно на рутрекуре, зато они громко борцунствуют на всевозможных форумах и прочих площадках, жаль только словестно.
Тогда как тот же antiX не пукая громко в лужу, собирает таки дистрибутив, где DE живёт без systemd вполне себе пролноценно, и да, именно DE, т.е. можно свободно установить xfce или mate из репов штатными средствами, с нужными компонентами и не надо будет никаких бубнов, чтобы это всё работало.

Ответить | Правка | Наверх | Cообщить модератору

100. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +1 +/
Сообщение от супернуб (?), 15-Окт-19, 14:39 
а разве последний xfce (4.14) уже не хочет что-то видеть там из sysd? Крыса времён 14й убунты (4.10?) точно не хотела, а новой же вроде нужно - или я что-то проспал?
Я даже не уверен, что LХDE уже может без этой наркоты, не говоря уже о том, что на третьем гноме сделано.
А так да - антикс штука, похоже, зачётная.
Кстати - нет ли кнопикс тоже с с sysd свалил (на какой-то knoppix-autoconfig)

ЗЫ. Пробовал на своём "диван" завести - "ниасилил"(tm). То тут не взлетает, то там отваливается - думаю, что из за старогоо "демьяна". У меня и на чистой-то половина не взлетат, а допиливать лень - я уже старенький и "у меня лапки"(с)
"И жить неохота и застрелиться лень"(с)

Ответить | Правка | Наверх | Cообщить модератору

108. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (108), 15-Окт-19, 16:40 
> а разве последний xfce (4.14) уже не хочет что-то видеть там из
> sysd? Крыса времён 14й убунты (4.10?) точно не хотела, а новой
> же вроде нужно - или я что-то проспал?

Даже если крыса от разработчиков и позволяет не использовать systemd безальтернативно, то кто же ей даст альтернативу в Debian. они там наоборот сосутся в дёсны с systemd, такое впечатление, что ещё крепче, чем в красношляпных отпрысках. В своё время на заре всего этого бугурта вокруг systemd команда xfce обещала оставлять возможность работы с альтернативами systemd, пруфов искать не буду, лениво, но вроде даже было на опеннете.
По воводу того может ли работать новый xfce без systemd, ну гентушники же как-то осиливают такое провернуть, а между прочим деванщики кричали что будут портировать к себе решения гентушнеков и просто опакечивать systemd-зависимые пакеты в deb, но как видим antiX на текущий момент, пусть даже и со стабильного Debian осилили, а деванщики даже прошлый релиз так и нешмогли нормально сделать, чтоб не стыдно было, если от девана ставить вариант с DE, то преследует ощущение наколенного поелия, в отличие от того же antiX, а что касается безиксового серверного варианта, про который тут в соседнем треде возмущался бравый деванист, так в без иксов и в Debian по сию пору пожно поставить, хоть runit, хоть sysvinit, хоть с openrc, может быть это со временем сломают в Debian, но на момень всей этой драмы вокруг Debian, Devuan и с/без systemd всё крутилось именно вокруг "десктопного вопроса".

Ответить | Правка | Наверх | Cообщить модератору

114. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Гентушник (ok), 15-Окт-19, 21:25 
Когда CentOS научиться обновляться до следующей версии, тогда и поговорим. А то сейчас даже винда(sic!) уже худо-бедно научилась обновляться с версии на версию (8->10), а центось всё никак не осилит.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

124. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от planc (?), 16-Окт-19, 08:17 
рано, надо еще годика 2-4 попревращать его в центось
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

8. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +8 +/
Сообщение от Аноним (8), 14-Окт-19, 22:49 
netfilter - да. firewalld - нет.
Ответить | Правка | Наверх | Cообщить модератору

9. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +5 +/
Сообщение от Простой парень (?), 14-Окт-19, 23:14 
Куча програмок перестанет работать. Зачем оно мне? Чем дальше дебиан развивается, тем он дальше от своих пользователей. Мирок сам в себе.
Ответить | Правка | Наверх | Cообщить модератору

20. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (20), 15-Окт-19, 00:13 
пользуюсь ufw, для меня что-то поменяется?
Ответить | Правка | Наверх | Cообщить модератору

33. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (33), 15-Окт-19, 02:36 
ufw - надстройка над iptables. Его собираются вывести из предустановленных по умолчанию пакетов, но в репах оно остается.

Так что нет - ничего не поменяется

Ответить | Правка | Наверх | Cообщить модератору

125. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от rinat85 (?), 16-Окт-19, 09:43 
установил Debian 10.1 через netinstall, поставил кучу сервисов, докеров... после чего ufw появился только после apt install, не был предустановлен
Ответить | Правка | Наверх | Cообщить модератору

21. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +14 +/
Сообщение от Vitto74 (ok), 15-Окт-19, 00:14 
Писать сложные правила по логике firewalld это просто ад. Rich rules по сути тот же iptables, но с надстройкой, которая только путаницу создает.
Попробовали настроить его для OpenVPN-сервера - вполне работоспособно, но через пару месяцев сами с трудом поняли, что и для чего сделано. Переделали по старинке - просто и понятно.
Единственное для чего применим и логичен firewalld это всевозможные гипервизоры - KVM, Virtuozzo, Kubernetus (Docker) и прочие. Сложные правила там бывают редко т.к. в большинстве случаев представляют собой список сетей из которых можно управлять сервером + зоны для различных VM или контейнеров.
Еще firewalld может пригодится, если правила часто меняются скриптами - если скриптов много то очень легко проморгать ситуацию, которая всё сломает.
Ставить по умолчанию firewalld я бы не стал, а сделал бы рекомендуемым при установке libvirt, docker и т.п.
Ответить | Правка | Наверх | Cообщить модератору

29. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +4 +/
Сообщение от ТвояТеща (?), 15-Окт-19, 01:40 
И вот он наш спаситель, первый кто не стал ныть а обьяснил на примере зачем нам это надо.
Ответить | Правка | Наверх | Cообщить модератору

32. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –2 +/
Сообщение от НяшМяш (ok), 15-Окт-19, 01:59 
Редкий случай, когда в каментах нашёлся не просто пользователь онтопика, а пользователь линукса вообще...
Ответить | Правка | Наверх | Cообщить модератору

31. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (31), 15-Окт-19, 01:57 
Rich rules конечно не очень удобно сделано, вот ipset, zones и привязка сетевых интерфейсов к зонам очень удобна. Особенно когда на серваках интерфейсы с разными именами и особенно для управления системами упражнения конфигурациями.
Если нормально разобраться то в случае большого количества правил, firewalld гораздо нагляднее и удобнее чем по старинке.
Единственное, черезжопная работа проброса порта с одного сетевого интерфейса на другой той же машины. Да и сделать это можно только на половину.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

75. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (75), 15-Окт-19, 10:10 
>Rich rules по сути тот же iptables, но с надстройкой, которая только путаницу создает.

firewalld может использовать в качестве бэкенда как iptables, таки и nftables. И именно для этого развели зоопарк со своим собственным, стремным вариантом синтаксиса правил. Лучше бы сразу определились :(

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

34. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (33), 15-Окт-19, 02:36 
firewalld без systemd не работает, да?
Ответить | Правка | Наверх | Cообщить модератору

36. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (36), 15-Окт-19, 03:14 
к след мажорному релизу уже нет
Ответить | Правка | Наверх | Cообщить модератору

42. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –9 +/
Сообщение от Аноним (42), 15-Окт-19, 06:49 
И это хорошо. Надо усиливать присутствие сд чтобы о башпортянках все забыли как о страшном сне.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

46. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Онании (?), 15-Окт-19, 07:37 
А если не вызывать в каждой строчке внешние команды, а использовать встроенные возможности Bash по обработке строк, работе с массивами и т.д., то получается элитная портянка!
Ответить | Правка | Наверх | Cообщить модератору

53. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +2 +/
Сообщение от iCat (ok), 15-Окт-19, 08:20 
Поколение Next-Next ?
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

82. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 15-Окт-19, 11:31 
Ага, и очередной торчок впридачу.
Ответить | Правка | Наверх | Cообщить модератору

87. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –1 +/
Сообщение от iPony129412 (?), 15-Окт-19, 12:04 
А причём тут какой-то Next-Next к тому, что Bash - это ужас?
Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

92. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –1 +/
Сообщение от OpenEcho (?), 15-Окт-19, 13:16 
Правильно глаголишь, true админы пишут на классическом sh/dash :)
Но боюсь Next-Nextу не понять...
Ответить | Правка | Наверх | Cообщить модератору

101. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Michael Shigorinemail (ok), 15-Окт-19, 14:40 
> Правильно глаголишь, true админы пишут на классическом sh/dash :)

dash сам по себе глючный ужас, увы.

> Но боюсь Next-Nextу не понять...

...в квадрате.

Ответить | Правка | Наверх | Cообщить модератору

105. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от iPony129412 (?), 15-Окт-19, 16:24 
Это утёнку не понять чего-то. Потому что он считает что-то увиденноеb и привычное идеалом.
Вот и всё.
Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

107. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –1 +/
Сообщение от iPony129412 (?), 15-Окт-19, 16:30 
Короче время идёт. Технологии меняются.
Не низменными остаются люди $CURRENT-1 технологии круче чем $CURRENT
Какому-то поколению не понять.

Ну и так же от фанатизма зависит, когда я пишу костыли на BASH, то я пишу костыли на BASH.
А для кого-то это прикосновение к мудрости древних друидов.

Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

110. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +1 +/
Сообщение от OpenEcho (?), 15-Окт-19, 18:05 
> Короче время идёт. Технологии меняются.
> Не низменными остаются люди $CURRENT-1 технологии круче чем $CURRENT
> Какому-то поколению не понять.

На чистом шеле пишут во основом для переносимости и самое главное для секъюрности(т.к. "о великий баш" имеет сетевую поддержку, что очень любят зacранцы-кулхакеры и первое что они делают при успешном хаке, так это - реверс шел на свою тачку через баш, ибо баш везде(почти)), а также потому что, - это работало, работает и будет работать одинаково сквозь десятилетия, независимо от типа используемого юникса, а не из-за закостенолости и не желания учить что то новое...

Но это приходит к сожалению только с годами...


Ответить | Правка | Наверх | Cообщить модератору

112. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от iPony129412 (?), 15-Окт-19, 19:04 
Ну не доходит.

Понимаешь разницу между "необходимостью" и "как бы лучше без нелепого легаси"?

Я даже не знаю как ограниченному максималисту это объяснить, это самому понять надо. Ну вот чтобы проще может быть:
Big Endian и Little Endian. Ну мало логики, как не крути, но вот так получилось.
Человек с ЧСВ типа тебя будет даже чесать своё достоинство рассказывая про Гулливера. Что вот нажо книжки читать. И прочее... От этого особо больше логики не будет. Ну вот так сложилось.
Так и тут.

Ответить | Правка | Наверх | Cообщить модератору

128. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +1 +/
Сообщение от OpenEcho (?), 16-Окт-19, 14:32 
Не, ты не пони, ты просто обыкновенное невоспитанное - хaмло...
Ответить | Правка | Наверх | Cообщить модератору

98. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +2 +/
Сообщение от Andrey Mitrofanov_N0 (??), 15-Окт-19, 14:34 
> И это хорошо. Надо усиливать присутствие сд чтобы о башпортянках все забыли
> как о страшном сне.

Судя по твоим стонам, ты баш ещё в трёх поколениях вспоминать будешь.

Уже записался на лоботомию (Право Забыть), или сначала других зазываешь?

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

137. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (137), 19-Окт-19, 11:48 
А что конкретно тебе не нравится в bash?
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

35. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +7 +/
Сообщение от Аноним (36), 15-Окт-19, 03:13 
когда rpm как основной пакетный менеджер ждать?
Ответить | Правка | Наверх | Cообщить модератору

57. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (57), 15-Окт-19, 08:49 
не rpm, а yum (dnf не ждите, в дебиане любят несвежее).
Ответить | Правка | Наверх | Cообщить модератору

72. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от macfaq (?), 15-Окт-19, 09:48 
И толку с yum без rpm?
Ответить | Правка | Наверх | Cообщить модератору

83. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +1 +/
Сообщение от Michael Shigorinemail (ok), 15-Окт-19, 11:31 
Спрашивали пакетный, а не репозиториев.
Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

76. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (-), 15-Окт-19, 10:30 
Уже давно есть https://tracker.debian.org/pkg/rpm
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

38. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (38), 15-Окт-19, 04:56 
Жаль, что пока нет годного мануала по nftable на русском, может кто напишет?
Ответить | Правка | Наверх | Cообщить модератору

127. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (127), 16-Окт-19, 14:30 
Его и на английском-то нет. Хочешь понять, как оно работает или не работает - сиди и кури сорцы. Причём самое поганое - не только юзерспейсной утилиты, но и собственно /net/netfilter в ядре.
Ответить | Правка | Наверх | Cообщить модератору

39. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +1 +/
Сообщение от Аноним (40), 15-Окт-19, 06:25 
>например, для открытия доступа к SSH нужно выполнить "firewall-cmd --add --service=ssh", для закрытия SSH - "firewall-cmd --remove --service=ssh"

А откуда ему знать на каком порту работает ssh?

Ответить | Правка | Наверх | Cообщить модератору

68. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –1 +/
Сообщение от Нанобот (ok), 15-Окт-19, 09:41 
у него в файле /etc/services записано
Ответить | Правка | Наверх | Cообщить модератору

69. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Анонимус2 (?), 15-Окт-19, 09:43 
man 5 services
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

70. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Tifereth (ok), 15-Окт-19, 09:44 
/etc/services ?
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

135. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +1 +/
Сообщение от Аноним (135), 16-Окт-19, 18:55 
# cat /etc/ssh/sshd_config | grep 'Port'
Port 22022

# cat /etc/services | grep 'ssh'
ssh             22/tcp                          # SSH Remote Login Protocol

Ответить | Правка | Наверх | Cообщить модератору

41. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +5 +/
Сообщение от Аноним (40), 15-Окт-19, 06:30 
> Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб

Все-таки каждый должен заниматься своим делом. Зачет фраерволу знать именя служб и прочее. Лишнее наслоение, которое нужно отчечь бритвой Оккама.

Ответить | Правка | Наверх | Cообщить модератору

44. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +2 +/
Сообщение от Аноним (44), 15-Окт-19, 07:17 
Модно и молодёжно... кстати заделать комплексные правила в firewalld увы нельзя....
Ответить | Правка | Наверх | Cообщить модератору

64. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (54), 15-Окт-19, 09:28 
/etc/services ?
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

74. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –1 +/
Сообщение от Аноним (75), 15-Окт-19, 10:05 
А это и не имена служб вовсе, это просто поименованные шаблоны правил, которые для удобства назвали именами служб.
Нормальный application firewall в линуксе по-прежнему недоступен.
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

121. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Сейд (ok), 16-Окт-19, 00:01 
Douane — https://douaneapp.com/
Ответить | Правка | Наверх | Cообщить модератору

55. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +5 +/
Сообщение от ryoken (ok), 15-Окт-19, 08:24 
FirewallD вроде как из красношляпы родом? Опять впердоливание всякого ???
Ответить | Правка | Наверх | Cообщить модератору

65. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +3 +/
Сообщение от Аноним (54), 15-Окт-19, 09:28 
бета тестеров не хватает.
Ответить | Правка | Наверх | Cообщить модератору

85. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –2 +/
Сообщение от Owlet (?), 15-Окт-19, 11:51 
> FirewallD вроде как из красношляпы родом? Опять впердоливание всякого ??

Ну пишите сами, а не ждите, пока красношляпа вам напишет.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

90. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +1 +/
Сообщение от ryoken (ok), 15-Окт-19, 13:05 
> Ну пишите сами, а не ждите, пока красношляпа вам напишет.

А мне и iptables как-то жить не мешает. И даже (хипстерам назло) - SysVInit! :D

Ответить | Правка | Наверх | Cообщить модератору

67. "В Debian 11 предлагается по умолчанию задействовать nftables..."  –5 +/
Сообщение от Нанобот (ok), 15-Окт-19, 09:40 
кто-нибуть потом обязательно запилит свой недодистр "debian без nftables"
Ответить | Правка | Наверх | Cообщить модератору

73. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +2 +/
Сообщение от Аноним (73), 15-Окт-19, 10:00 
Я буду просто редактировать /etc/nftables.conf. Это покрывает 100% моих потребностей.

А firewalld удалять или вырубать.

Ответить | Правка | Наверх | Cообщить модератору

81. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +2 +/
Сообщение от Аноним (79), 15-Окт-19, 11:29 
Ничего не имею против firewalld, удобная обвязка, но мне вот что не с ней не понятно:
1. Почему она не имеет штатной возможности объявить SNAT без rich rule? Когда я последний раз ею пользовался, оно умело маскарад в привязке к сетевому интерфейсу, что конечно же хватит многим, но не всем.
2. Отсутствует штатная возможность без rich rule разблокировать некоторые протоколы для сетевых интерфейсов, например vrrp.

Приду пример:
Есть 2 сервера, на каждом из которых 2 сетёвки. Первая смотрит видит сеть 192.168.192.0/24, а вторая 10.10.10.0/24. Назначены IP 192.168.192.100, 10.10.10.100 и 192.168.192.101, 10.10.10.101 соответственно.
Также есть keepalived, в котором есть 2 инстанса и они объединены в группу. Получились 2 VIP: 192.168.192.168 и 10.10.10.10

Если мы создадим SNAT 192.168.192.168 -> 10.10.10.10 и установим 10.10.10.10 как default gateway для машинок в сети 10.10.10.0/24, то у нас появился отказоустойчивый роутер.

Если мы настроим группу серверов из сети 10.10.10.0/24 на keepalived, то сможем организовать L4 Load Balancing посредством манипуляций с DNAT для клиентов из 192.168.192.0/24 при условии отсутствия клиентов в 10.10.10.0/24.

Это совершенно типовая задача, ну как 2 пальца об асфальт, но вот firewalld, который обвязка над iptables/nftables почему-то:
1) Не работает с VIP, судя по всему by design
2) Не работает с SNAT, попросту не умеет.
3) Требует инородных, ручных правил для работы с разрешением мультикаст-протокола.
И вот этим-то он и отталкивает, на самом деле. Нахрена нужна обвязка над iptables, для работы с которой пользователю (в этом случае администратору, но всё равно он выступает как пользователь) нужно знать сразу несколько синтаксисов и firewalld и iptables, а теперь еще и nftables. Очень спорный продукт...

Ответить | Правка | Наверх | Cообщить модератору

84. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Michael Shigorinemail (ok), 15-Окт-19, 11:34 
> Нахрена нужна обвязка над iptables, для работы с которой пользователю
> (в этом случае администратору, но всё равно он выступает как пользователь)
> нужно знать сразу несколько синтаксисов и firewalld и iptables,
> а теперь еще и nftables.

Типичный результат разработки контингентом, который планирует жарку слона, ощупав хвост, увы...

Ответить | Правка | Наверх | Cообщить модератору

88. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (88), 15-Окт-19, 12:10 
shorewall превратится в тыкву или нет?
Ответить | Правка | Наверх | Cообщить модератору

94. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от OpenEcho (?), 15-Окт-19, 13:23 
Интересно, а когда поддержку netsh завезут ...
Ответить | Правка | Наверх | Cообщить модератору

109. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +1 +/
Сообщение от jalavan (ok), 15-Окт-19, 16:50 
Пусть базовая поставка Debian будет какой угодно, главное чтобы можно было его настроить, как необходимо под себя.
Ответить | Правка | Наверх | Cообщить модератору

113. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Гентушник (ok), 15-Окт-19, 21:22 
Использование firewalld для меня обычно заканчивалось пачкой rich rule и просмотром выхлопа iptables-save, т.к. нифига не понятно что он там наколбасил на самом деле.

В общем лишняя прослойка которая в основном только усложняет жизнь, а не
упрощает.

Nftables одобряю.

Ответить | Правка | Наверх | Cообщить модератору

115. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от InuYasha (?), 15-Окт-19, 22:56 
Погодите... я десятку поставил, там УЖЕ nftables. wtf??
Ответить | Правка | Наверх | Cообщить модератору

120. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +1 +/
Сообщение от Vladjmir (ok), 15-Окт-19, 23:54 
Дебиан идёт по стопам Федоры.
Ответить | Правка | Наверх | Cообщить модератору

138. "В Debian 11 предлагается по умолчанию задействовать nftables..."  +/
Сообщение от Аноним (138), 24-Фев-21, 12:21 
Что интересно, ФИО предлагателя firewalld не упомянули. Скрывается, мерзавец.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру