Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от opennews (??), 12-Янв-23, 15:27 | ||
Опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.9, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Выпуск пакетного фильтра iptables 1.8.9" | –1 +/– | |
Сообщение от Аноним (1), 12-Янв-23, 15:27 | ||
Динамические правила на уровне приложения (с привязкой к иноде экзешника на диске и пид запущенного кода, с защитой от подмены) там не хотят добавить в линукс? | ||
Ответить | Правка | Наверх | Cообщить модератору |
2. "Выпуск пакетного фильтра iptables 1.8.9" | +6 +/– | |
Сообщение от Аноним (2), 12-Янв-23, 15:30 | ||
ты понимаешь, что это бред? есть миллион способов обойти эти правила, например через создание подпроцесса "curl". Всё, пид там будет другой. "Индоа экзешника" тоже другая. И ничего не "подменено". | ||
Ответить | Правка | Наверх | Cообщить модератору |
3. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Аноним (1), 12-Янв-23, 15:35 | ||
Именно. Нужна проверка, что файл именно тот, который был в момент установки правила. | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Аноним (1), 12-Янв-23, 15:37 | ||
Кстати, с неймспейсами можно без проблем запихнуть всех потомков в те же рамки. Но надо контролировать, что родительский процесс именно то чем представляется. Может хеш бинаря в памяти проверять тоже. | ||
Ответить | Правка | Наверх | Cообщить модератору |
6. "Выпуск пакетного фильтра iptables 1.8.9" | +1 +/– | |
Сообщение от Аноним (6), 12-Янв-23, 15:38 | ||
Тебе нужен явно другой инструмент... Например, апармор может наследовать права при запуске дочернего процесса, и пофик, какая там будет нода и пида. | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
7. "Выпуск пакетного фильтра iptables 1.8.9" | –2 +/– | |
Сообщение от Аноним (1), 12-Янв-23, 15:40 | ||
В момент установки правила, а не в момент запуска. | ||
Ответить | Правка | Наверх | Cообщить модератору |
68. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от InuYasha (??), 13-Янв-23, 19:31 | ||
т.е. правило должно создаваться после запуска программы? | ||
Ответить | Правка | Наверх | Cообщить модератору |
71. "Выпуск пакетного фильтра iptables 1.8.9" | –1 +/– | |
Сообщение от Аноним (1), 13-Янв-23, 20:08 | ||
Собственно, да, при запуске проверять что это тот самый файл, потом разрешающее правило привязывается и не должно быть возможности подменить процесс, файл, или код. | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Аноним (8), 12-Янв-23, 15:57 | ||
Запускай нехорошие приложения в network namespaces с зарезанным доступом в сеть. Ну или android-way, от другого пользователя с фильтрацией по owner в iptables | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
12. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Аноним (1), 12-Янв-23, 16:22 | ||
Угу, очень многие приложения хотят локалхост для работы и чтобы выполнить ip link set lo up надо мапить рута в неймспейсе, и в итоге все приложения проверяющие айди считают что запущены от рута и имеют много лишних возможностей. Есть назойливый софт, отказывающийся запускаться от рута опять же, или работающий иначе. Пока единственное решение запуск от другого пользователя, но мне хотелось бы видеть список исходящих соединений процесса и разрешать/блокировать их в интерфейсе. | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Выпуск пакетного фильтра iptables 1.8.9" | +1 +/– | |
Сообщение от Аноним (33), 12-Янв-23, 21:48 | ||
SELinux в помощь. | ||
Ответить | Правка | Наверх | Cообщить модератору |
36. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Full Master (?), 12-Янв-23, 23:07 | ||
> ip link set lo up надо мапить рута в неймспейсе | ||
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору |
39. "Выпуск пакетного фильтра iptables 1.8.9" | –1 +/– | |
Сообщение от Аноним (1), 12-Янв-23, 23:45 | ||
А это не хуже? Потому что unshare не получает реальных админских прав, только в неймспейсе рут. | ||
Ответить | Правка | Наверх | Cообщить модератору |
40. "Выпуск пакетного фильтра iptables 1.8.9" | –1 +/– | |
Сообщение от Аноним (1), 12-Янв-23, 23:48 | ||
Но кстати этого рута в неймспейсе емнип достаточно чтобы выставить cap_sys_admin+ep для любого файла, так что тоже такое себе. | ||
Ответить | Правка | Наверх | Cообщить модератору |
62. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Аноним (62), 13-Янв-23, 12:34 | ||
Ты неправ, аноним, нужно запускать в cgroup net_cls. Неймспейс тот же, но по clsid можно фильтровать как минимум в nftables, но может, и под iptables есть модуль. | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
16. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Дуров (?), 12-Янв-23, 17:36 | ||
opensnitch не так работает? | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
37. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от An0nim0us (?), 12-Янв-23, 23:20 | ||
Сейчас из того что развивается есть только opensnitch. | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
65. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от ivan_erohin (?), 13-Янв-23, 14:01 | ||
> правила на уровне приложения (с привязкой к иноде экзешника | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
69. "Выпуск пакетного фильтра iptables 1.8.9" | –1 +/– | |
Сообщение от InuYasha (??), 13-Янв-23, 19:33 | ||
и что - оно там разве не работает? | ||
Ответить | Правка | Наверх | Cообщить модератору |
72. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от ivan_erohin (?), 13-Янв-23, 22:06 | ||
предполагаю, что достаточно убить или пропатчить сервис AppIdSvc или как его там. | ||
Ответить | Правка | Наверх | Cообщить модератору |
73. "Выпуск пакетного фильтра iptables 1.8.9" | –1 +/– | |
Сообщение от InuYasha (??), 13-Янв-23, 23:51 | ||
А почему тогда "пытались"? Вроде, на винде полно сервисов работает. Даже в звербанке. | ||
Ответить | Правка | Наверх | Cообщить модератору |
74. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от ivan_erohin (?), 14-Янв-23, 06:59 | ||
> А почему тогда "пытались"? | ||
Ответить | Правка | Наверх | Cообщить модератору |
75. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от ivan_erohin (?), 14-Янв-23, 07:18 | ||
я забыл сформулировать в чем именно грабли. | ||
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору |
77. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Аноним (77), 16-Янв-23, 01:03 | ||
> анон не в курсе про хардлинки. | ||
Ответить | Правка | Наверх | Cообщить модератору |
83. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от ivan_erohin (?), 20-Янв-23, 22:06 | ||
> У всех хардлинков на один файл одинаковый inode. | ||
Ответить | Правка | Наверх | Cообщить модератору |
82. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Аноним (82), 20-Янв-23, 21:44 | ||
> что делать если "приложение" способно и будет создавать от себя другие "приложения" ? | ||
Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору |
84. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от ivan_erohin (?), 20-Янв-23, 22:07 | ||
> У каждого процесса есть родитель. Эту цепочку можно отследить. | ||
Ответить | Правка | Наверх | Cообщить модератору |
85. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Аноним (82), 24-Янв-23, 20:06 | ||
>> У каждого процесса есть родитель. Эту цепочку можно отследить. | ||
Ответить | Правка | Наверх | Cообщить модератору |
4. "Выпуск пакетного фильтра iptables 1.8.9" | +17 +/– | |
Сообщение от Аноним (4), 12-Янв-23, 15:36 | ||
"Но как, Холмс?" | ||
Ответить | Правка | Наверх | Cообщить модератору |
9. "Выпуск пакетного фильтра iptables 1.8.9" | +3 +/– | |
Сообщение от Аноним (9), 12-Янв-23, 15:59 | ||
А чтобы деды не разобрались | ||
Ответить | Правка | Наверх | Cообщить модератору |
10. "Выпуск пакетного фильтра iptables 1.8.9" | +1 +/– | |
Сообщение от Аноним (-), 12-Янв-23, 16:03 | ||
Можно каждое правило отдельной строкой команде nft передавать. | ||
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору |
13. "Выпуск пакетного фильтра iptables 1.8.9" | +1 +/– | |
Сообщение от пууук (?), 12-Янв-23, 16:26 | ||
Так никто не отказался, вон все твои "простые" правила сохранили и продолжают пилить. Пользуйся на здоровье, а движок стал лучше и быстрее. | ||
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору |
18. "Выпуск пакетного фильтра iptables 1.8.9" | +2 +/– | |
Сообщение от Аноним (18), 12-Янв-23, 17:53 | ||
В современном мире надо эмитировать развитие даже если продукт завершён, иначе скажут что оно протухло и заброшено. | ||
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору |
25. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Аноним (25), 12-Янв-23, 18:47 | ||
Эмитируют облигации и электроны. Развитие имитируют. | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "Выпуск пакетного фильтра iptables 1.8.9" | –1 +/– | |
Сообщение от пох. (?), 12-Янв-23, 20:16 | ||
Скромное напоминание: обещанного рыжым аналога ipchains -C "как только так сразу же" так и не завезли. Как и работающего gre фильтра/ната. Как и работающего матчинга по ipsec sa. И много еще чего. Все что тебе надо знать про "развитие" и "завершенность". | ||
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору |
34. "Выпуск пакетного фильтра iptables 1.8.9" | +1 +/– | |
Сообщение от Аноним (33), 12-Янв-23, 21:51 | ||
Потому, что «мешанина из фигурных скобок» удобно парсится и генерируется компьютером. А руками правила для фаерволла пишут только админы высоконагруженных локалхостов. В современном мире принято оперировать высокоуровневыми концептами, а не хардкодить номера портов, айпишники и прочие переменные. | ||
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору |
78. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Аноним (77), 16-Янв-23, 01:11 | ||
Интересно посмотреть на исследование сколько в современном мире хостов администрируют корпорации, а сколько - "админы локалхостов", думаю исследование провалится ещё на обсуждении терминов кто есть кто =) | ||
Ответить | Правка | Наверх | Cообщить модератору |
11. "Выпуск пакетного фильтра iptables 1.8.9" | –2 +/– | |
Сообщение от Аноним (11), 12-Янв-23, 16:07 | ||
Лучше бы json в iptables завезли, чтобы парсить выхлоп было удобно. | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "Выпуск пакетного фильтра iptables 1.8.9" | +9 +/– | |
Сообщение от Аноним (6), 12-Янв-23, 16:51 | ||
> Лучше бы json | ||
Ответить | Правка | Наверх | Cообщить модератору |
15. "Выпуск пакетного фильтра iptables 1.8.9" | +1 +/– | |
Сообщение от Аноним (1), 12-Янв-23, 16:58 | ||
Жсон очень удобен для шелл-скриптов. Лучше и безопасней xml опять же. | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "Выпуск пакетного фильтра iptables 1.8.9" | +3 +/– | |
Сообщение от анонна (?), 12-Янв-23, 18:58 | ||
а sed придумали трусы. ага. вот так и живем. | ||
Ответить | Правка | Наверх | Cообщить модератору |
41. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Аноним (41), 13-Янв-23, 00:02 | ||
Нет, sed придумали умные люди, которые в отличие от тебя понимают, что такое область применимости. Именно поэтому sed не умеет работать с json и именно поэтому ты этого не понимаешь. | ||
Ответить | Правка | Наверх | Cообщить модератору |
53. "Выпуск пакетного фильтра iptables 1.8.9" | –2 +/– | |
Сообщение от анонна (?), 13-Янв-23, 00:55 | ||
черт а оператор | тебе просто так дали?)) | ||
Ответить | Правка | Наверх | Cообщить модератору |
54. "Выпуск пакетного фильтра iptables 1.8.9" | –1 +/– | |
Сообщение от анонна (?), 13-Янв-23, 01:01 | ||
> Нет, sed придумали умные люди, которые в отличие от тебя понимают, что | ||
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору |
58. "Выпуск пакетного фильтра iptables 1.8.9" | –1 +/– | |
Сообщение от Анончик (?), 13-Янв-23, 04:27 | ||
sed не для парсинга если что, это потоковый редактор всего навсего. | ||
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору |
86. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от анонна (?), 27-Янв-23, 05:11 | ||
> sed не для парсинга если что, это потоковый редактор всего навсего. | ||
Ответить | Правка | Наверх | Cообщить модератору |
38. "Выпуск пакетного фильтра iptables 1.8.9" | +1 +/– | |
Сообщение от An0nim0us (?), 12-Янв-23, 23:27 | ||
вас услышали и написали nftables | ||
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору |
44. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Аноним (44), 13-Янв-23, 00:16 | ||
Для "json'ификации" вывода команд есть https://kellyjonbrazil.github.io/jc/ | ||
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору |
20. "Выпуск пакетного фильтра iptables 1.8.9" | +6 +/– | |
Сообщение от Аноним (20), 12-Янв-23, 18:26 | ||
Это надо быть сверхчеловеком чтобы помнить все эти правила. Как-то надо было настроить, с трудом разобрался, через неделю залез в конфиг и ничего не понял от слова совсем. | ||
Ответить | Правка | Наверх | Cообщить модератору |
42. "Выпуск пакетного фильтра iptables 1.8.9" | +1 +/– | |
Сообщение от Аноним (33), 13-Янв-23, 00:08 | ||
Я тебе секрет професии открою, только не рассказывай никому. Вместо того, чтобы заучивать правила, разберись с принципом работы и научись быстро искать нужное в мане. А свободное время можно потратить на что-нибудь приятное. | ||
Ответить | Правка | Наверх | Cообщить модератору |
46. "Выпуск пакетного фильтра iptables 1.8.9" | +2 +/– | |
Сообщение от Аноним (46), 13-Янв-23, 00:31 | ||
К счастью я выпилился из ойти и вкатился в сварщики на севера вахтовым методом. Сказать что доволен - ничего не сказать. Лишь жалею, что не сделал это раньше. | ||
Ответить | Правка | Наверх | Cообщить модератору |
57. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Аноним (57), 13-Янв-23, 04:07 | ||
Теперь ты настоящий сварщик. | ||
Ответить | Правка | Наверх | Cообщить модератору |
55. "Выпуск пакетного фильтра iptables 1.8.9" | –1 +/– | |
Сообщение от Аноним (55), 13-Янв-23, 03:03 | ||
Работаю админом. Тоже ничерта не помню эти таблицы, правила, ipсеты, каждый раз когда нужно потрогать iptables - разбираю с нуля. | ||
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору |
66. "Выпуск пакетного фильтра iptables 1.8.9" | –1 +/– | |
Сообщение от пох. (?), 13-Янв-23, 14:34 | ||
Учи firewalld - он как раз для тебя, попроще. Синтаксис немного уе..нский, но разбираться - ни в чем не надо, просто запомнить. | ||
Ответить | Правка | Наверх | Cообщить модератору |
63. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Аноним (62), 13-Янв-23, 12:36 | ||
В nftables можно писать комментарии к правилам, считать по счётчикам, и вообще кучу всякой метаинформации сохранять. | ||
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору |
64. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от я (?), 13-Янв-23, 13:55 | ||
В iptables тоже можно писать комментарии и считать по счётчикам, если уж на то пошло. | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "Выпуск пакетного фильтра iptables 1.8.9" | +1 +/– | |
Сообщение от Аноним (28), 12-Янв-23, 19:20 | ||
Я наверно тоже ИДИОТ, ufw мне всегда хватало. А iptables кроме как платной поддержкой с курсами - никак оправдать не могу. Но любопытно проверить, вот напишите мне правило, которое я не смогу повторить в ufw? Встряхну кудрями вьющимися, не за деньги :-) | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Выпуск пакетного фильтра iptables 1.8.9" | –4 +/– | |
Сообщение от пох. (?), 12-Янв-23, 20:20 | ||
ты не наверное, ты точно. | ||
Ответить | Правка | Наверх | Cообщить модератору |
32. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Sw00p aka Jerom (?), 12-Янв-23, 21:19 | ||
>ты не наверное, ты точно. | ||
Ответить | Правка | Наверх | Cообщить модератору |
35. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Anonim (??), 12-Янв-23, 22:20 | ||
А код будет? Что бы предметно. | ||
Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору |
56. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Аноним (55), 13-Янв-23, 03:09 | ||
Так то ufw сам iptables юзает и надо заметить довольно мусорно после него становится. Так что при большом желании всегда можешь "доделать" правила ufw через iptables, даже если что то в ufw нельзя будет сделать. То есть у задачи нулевая практическая ценность. | ||
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору |
76. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Роман (??), 14-Янв-23, 21:00 | ||
как там сделать NAT - хотя бы простой с маскарадом, без вписывания параметров для iptables вручную? мой беглый гугл не помог, предлагают руками лезть в before/after rules | ||
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору |
70. "Выпуск пакетного фильтра iptables 1.8.9" | –1 +/– | |
Сообщение от InuYasha (??), 13-Янв-23, 19:39 | ||
А... э... за 4 года уже даже я переписал все свои хотелки на nft. И синтаксис там реально удобнее, даже с комментариями. Нечастый случай когда инновации реально полезны. | ||
Ответить | Правка | Наверх | Cообщить модератору |
79. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Аноним (77), 16-Янв-23, 01:22 | ||
И не жалко вам было 4 года потратить на переписывание одного и того же? | ||
Ответить | Правка | Наверх | Cообщить модератору |
80. "Выпуск пакетного фильтра iptables 1.8.9" | –1 +/– | |
Сообщение от InuYasha (??), 16-Янв-23, 14:22 | ||
4 года делали ОНИ, а не я. А я ща эти годы потратил 3-4 дня, наверное. | ||
Ответить | Правка | Наверх | Cообщить модератору |
81. "Выпуск пакетного фильтра iptables 1.8.9" | +/– | |
Сообщение от Аноним (33), 16-Янв-23, 18:59 | ||
OpenWRT на nftables, начиная с последнего мажорного релиза. | ||
Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |