forum.opennet.ru - "Выпуск пакетного фильтра nftables 1.0.7" (40)

"Выпуск пакетного фильтра nftables 1.0.7"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск пакетного фильтра nftables 1.0.7"	+/–
Сообщение от opennews (??), 14-Мрт-23, 12:11
Опубликован выпуск пакетного фильтра nftables 1.0.7, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком... Подробнее: https://www.opennet.me/opennews/art.shtml?num=58791
Ответить \| Правка \| Cообщить модератору

Оглавление

Лучший пакетный фильтр Хотя системы надо проектировать так, чтобы nftables ipta, Аноним (17), 14:01 , 14-Мрт-23, (17)

Лучший Уже 10 лет у них просят string hex match, в ответ используйте iptables , Аноним (20), 14:06 , 14-Мрт-23, (20) +2

нет регулярок пичалько, Аноним (21), 14:10 , 14-Мрт-23, (21)

Регулярки - тяжесть , Аноним (63), 01:30 , 20-Мрт-23, (63)

фильтровать айпишники по регуляркам и строкам вы там с дуба рухнули уже есть, Аноним (17), 14:16 , 14-Мрт-23, (23)

Причём тут IP Где я написал хоть слово про IP Мне содержимое пакетов надо анал, Аноним (26), 15:17 , 14-Мрт-23, (26) –1

и что же ты там по сырому потенциально зашифрованному телу пакета собрался фильт, Аноним (17), 15:30 , 14-Мрт-23, (27)

Аноним, у тебя галлюцинации Где ты увидел слово зашифрованный трафик Сначала т, Аноним (26), 16:14 , 14-Мрт-23, (36)

Приведи юзкейс уже для такого , Аноним (46), 20:29 , 14-Мрт-23, (46) +1

Непонятно почему человека заминусили У меня такой юзкейс в сторону бакэнда дела, _Kuzmich (ok), 08:27 , 15-Мрт-23, (51) +1
iptables -I INPUT -p tcp --sport 80 -m string --string Location http warning, saa (?), 18:23 , 19-Мрт-23, (61)

пишешь нфтейблес пакеты перенаправлять в мою программу и там онализируешь , pfg21 (ok), 15:45 , 14-Мрт-23, (32) +2

Песец А вы мне подарите EPYC на 96 ядер, чтобы гонять трафик из ядра в userspace, Аноним (26), 16:13 , 14-Мрт-23, (35) –5

Значит просто, без задней мысли, пишешь нфтейблес пакеты перенаправлять в мой м, Аноним (39), 16:28 , 14-Мрт-23, (39) +2
50 мбайт с 96 ядер Такой поток пишется на жесткий диск 20 летней свежести о, Аноним (41), 19:11 , 14-Мрт-23, (41)
Чел, чем ты там занимаешься , Аноним (46), 20:30 , 14-Мрт-23, (47) +2

Комменты пишет же, bergentroll (ok), 23:32 , 14-Мрт-23, (49) +2

Тебе лучше на чём-то из этого https www xilinx com products boards-and-kits al, Аноним (56), 12:21 , 15-Мрт-23, (56)

fixed , Аноним (30), 15:37 , 14-Мрт-23, (30) –1

Изучаю базовые команды линуха Уже взялся тыкать iptables, но тут узнал, что это, Аноним (-), 14:35 , 14-Мрт-23, (25)

А в замен ничего не впиливают , Аноним (28), 15:34 , 14-Мрт-23, (28)
по теме чем лучше написаны кучи статей, но сложных и мудреных iptables остае, pfg21 (ok), 15:44 , 14-Мрт-23, (31)
iptables сейчас работает через nftables К тому же он проще, если его действитель, Аноним (33), 15:57 , 14-Мрт-23, (33)
Лучше, ХЗ Сложнее на порядок и синтаксис ад - да, несомненно , Аноним (26), 16:15 , 14-Мрт-23, (37) +1

Я голосую за приведения синтаксиса nftables к синтаксису rust И все будут довол, 1 (??), 09:09 , 15-Мрт-23, (52)
Что в нём адово Синтаксис наподобие iproute2 , Аноним (56), 13:22 , 15-Мрт-23, (58)

iptables никуда не денутся ещё всегда будут, просто потому что userspace API, Аноним (26), 16:18 , 14-Мрт-23, (38)

iptables - это не API ядра, это утилиты В ядре только, собственно, сам фильтр -, llolik (ok), 19:38 , 14-Мрт-23, (43)

eBPF , Аноним (30), 15:35 , 14-Мрт-23, (29)
не взлетит, пока доцкеры сидят на iptables, лютый ж.... (?), 17:17 , 14-Мрт-23, (40) +1

Давно уже не использую iptables и вырубил его использование у докера вообще, тол, Аноним (42), 19:30 , 14-Мрт-23, (42)

Волшебные номера вхардкожены, и - имена интерфейсов А тогда - не так всё просто, Аноним (63), 01:33 , 20-Мрт-23, (64)

Помнится мне обещали что ip4 скоро кончится, зато ip6 который мне присвоят не тр, Аноним (44), 19:48 , 14-Мрт-23, (44)

Наоборот же Не меньше, а больше брандмауэра, из-за отсутствия NAT Но ipv6 вс, Аноним (50), 06:17 , 15-Мрт-23, (50) +1

И ещё более отличная, там где его нет , 1 (??), 09:10 , 15-Мрт-23, (53) +3
В Linux запилили NAT для IPv6 , Аноним (56), 13:17 , 15-Мрт-23, (57)

это не тот нат, что в ип4 , saa (?), 18:26 , 19-Мрт-23, (62)

1 IPv6 в РФ не присвоят, РКН против 2 Тебе безбожно врали , Аноним (56), 12:11 , 15-Мрт-23, (55)

Каво У меня пров 56 сети раздаёт Хошь подключай , Аноним (59), 15:01 , 15-Мрт-23, (59)

Я не осилил, в отличие от iptables Это надо отдельно курс пройти по разработке , ChatGPT (?), 10:57 , 15-Мрт-23, (54) +2

Сообщения [Сортировка по времени | RSS]

17. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (17), 14-Мрт-23, 14:01

Лучший пакетный фильтр. Хотя системы надо проектировать так, чтобы nftables/iptables были опциональными = чтобы система не перестала быть защищенной, если эти фильтры внезапно отключить.

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск пакетного фильтра nftables 1.0.7" +2 +/–

Сообщение от Аноним (20), 14-Мрт-23, 14:06

Лучший?
Уже 10 лет у них просят string/hex match, в ответ: используйте iptables.

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (21), 14-Мрт-23, 14:10

нет регулярок? пичалько

Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (63), 20-Мрт-23, 01:30

Регулярки - тяжесть.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (17), 14-Мрт-23, 14:16

фильтровать айпишники по "регуляркам и строкам"? вы там с дуба рухнули? уже есть маски

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

26. "Выпуск пакетного фильтра nftables 1.0.7" –1 +/–

Сообщение от Аноним (26), 14-Мрт-23, 15:17

Причём тут IP?!
Где я написал хоть слово про IP?!
Мне содержимое пакетов надо анализировать и на основе этого drop.
И нет, я не ISP, мне это для домашней машины надо.

Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (17), 14-Мрт-23, 15:30

и что же ты там по сырому потенциально зашифрованному телу пакета собрался фильтровать?

Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (26), 14-Мрт-23, 16:14

Аноним, у тебя галлюцинации?
Где ты увидел слово "зашифрованный" трафик?
Сначала ты нёс про IP, теперь про шифрование, дальше что?

Ответить | Правка | Наверх | Cообщить модератору

46. "Выпуск пакетного фильтра nftables 1.0.7" +1 +/–

Сообщение от Аноним (46), 14-Мрт-23, 20:29

Приведи юзкейс уже для такого.

Ответить | Правка | Наверх | Cообщить модератору

51. "Выпуск пакетного фильтра nftables 1.0.7" +1 +/–

Сообщение от _Kuzmich (ok), 15-Мрт-23, 08:27

Непонятно почему человека заминусили.
У меня такой юзкейс: в сторону бакэнда делаешь каунт на GET, при зашкаливании пишешь в сет. По этому сету в мир уменьшаешь размер окна в 0. Помогает от ddos школьников.
Как такое сделать на nftables пока не знаю, поделитесь, кто в курсе.

Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от saa (?), 19-Мрт-23, 18:23

iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://warning.rt.ru/" --algo bm -j DROP

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

32. "Выпуск пакетного фильтра nftables 1.0.7" +2 +/–

Сообщение от pfg21 (ok), 14-Мрт-23, 15:45

пишешь нфтейблес "пакеты перенаправлять в мою программу" и там онализируешь.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

35. "Выпуск пакетного фильтра nftables 1.0.7" –5 +/–

Сообщение от Аноним (26), 14-Мрт-23, 16:13

Песец.
А вы мне подарите EPYC на 96 ядер, чтобы гонять трафик из ядра в userspace и обратно для потока в 500Mbit?

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск пакетного фильтра nftables 1.0.7" +2 +/–

Сообщение от Аноним (39), 14-Мрт-23, 16:28

Значит просто, без задней мысли, пишешь нфтейблес "пакеты перенаправлять в мой модуль ядра" и там анализируешь

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (41), 14-Мрт-23, 19:11

50 мбайт/с? 96 ядер ??? Такой поток пишется на жесткий диск 20 летней свежести одним ядром тех же времен

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

47. "Выпуск пакетного фильтра nftables 1.0.7" +2 +/–

Сообщение от Аноним (46), 14-Мрт-23, 20:30

Чел, чем ты там занимаешься?!

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

49. "Выпуск пакетного фильтра nftables 1.0.7" +2 +/–

Сообщение от bergentroll (ok), 14-Мрт-23, 23:32

Комменты пишет же

Ответить | Правка | Наверх | Cообщить модератору

56. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (56), 15-Мрт-23, 12:21

Тебе лучше на чём-то из этого https://www.xilinx.com/products/boards-and-kits/alveo.html фильтровать. Дешевле выйдет, чем 96 ядер.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

30. "Выпуск пакетного фильтра nftables 1.0.7" –1 +/–

Сообщение от Аноним (30), 14-Мрт-23, 15:37

>используйте eBPF
fixed.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

25. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (-), 14-Мрт-23, 14:35

Изучаю базовые команды линуха. Уже взялся тыкать iptables, но тут узнал, что это легаси и ненужно. А собственно чем nftables лучше? Ну кроме того, что iptables выпиливают из свежих дистров.

Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (28), 14-Мрт-23, 15:34

> что iptables выпиливают из свежих дистров
А в замен ничего не впиливают?

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от pfg21 (ok), 14-Мрт-23, 15:44

по теме "чем лучше" написаны кучи статей, но сложных и мудреных.
iptables остается до поры до времени, как один из интерфейсов управления, его правила компилируются в "nftables-байткод" и отдаются в ядро на исполнение.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

33. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (33), 14-Мрт-23, 15:57

iptables сейчас работает через nftables.
К тому же он проще, если его действительно удаляют из дистрибутивов то очень плохо

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

37. "Выпуск пакетного фильтра nftables 1.0.7" +1 +/–

Сообщение от Аноним (26), 14-Мрт-23, 16:15

Лучше, ХЗ.
Сложнее на порядок и синтаксис ад - да, несомненно.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

52. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от 1 (??), 15-Мрт-23, 09:09

Я голосую за приведения синтаксиса nftables к синтаксису rust. И все будут довольны.
Опять же безопастностЪ !

Ответить | Правка | Наверх | Cообщить модератору

58. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (56), 15-Мрт-23, 13:22

Что в нём адово? Синтаксис наподобие iproute2.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

38. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (26), 14-Мрт-23, 16:18

iptables никуда не денутся ещё ... всегда будут, просто потому что userspace API Линус не ломает, точка.
Изучайте, используйте.
Другой вопрос, что в новомодных компаниях их местные senior devops могут решить, что nfilters - будущее, и вы обязаны их использовать.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

43. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от llolik (ok), 14-Мрт-23, 19:38

iptables - это не API ядра, это утилиты. В ядре только, собственно, сам фильтр - netfilter. Так что выкинуть могут.
> и вы обязаны их использовать
Ну, не утверждаю про обязаны, но nftables, как-минимум ИМХО, сильно читабельней.

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (30), 14-Мрт-23, 15:35

>выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters).
eBPF?

Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск пакетного фильтра nftables 1.0.7" +1 +/–

Сообщение от лютый ж.... (?), 14-Мрт-23, 17:17

не взлетит, пока доцкеры сидят на iptables

Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (42), 14-Мрт-23, 19:30

Давно уже не использую iptables и вырубил его использование у докера вообще, только мешается.
Вот все достаточно просто:
root@localhost:~# cat /etc/nftables.conf
#!/usr/sbin/nft -f
flush ruleset
table inet filter {
        chain input {
                type filter hook input priority 0; policy drop;
                ct state invalid counter drop comment "early drop of invalid packets"
                ct state {established, related} accept comment "established, related"
                iif lo accept comment "accept loopback"
                ip saddr 192.168.0.0/16 accept comment "accept private networks"
                ip saddr 172.16.0.0/12 accept comment "accept private networks"
                ip saddr 10.0.0.0/8 accept comment "accept private networks"
                ip protocol icmp accept comment "accept all ICMP types"
                #log prefix "Dropped: " flags all drop comment "dropped packets logger"
                #log prefix "Rejected: " flags all reject comment "rejected packets logger"
                counter comment "count dropped packets"
        }
        chain forward {
                type filter hook forward priority 0; policy accept;
                counter jump docker-user
                counter jump docker-isolation-stage-1
                oifname "docker0" ct state related,established counter accept
                oifname "docker0" counter jump docker
                iifname "docker0" oifname != "docker0" counter accept
                iifname "docker0" oifname "docker0" counter accept
        }
        chain output {
                type filter hook output priority 0; policy accept;
        }
        chain docker {
        }
        chain docker-isolation-stage-1 {
                iifname "docker0" oifname != "docker0" counter jump docker-isolation-stage-2
                counter return
        }
        chain docker-isolation-stage-2 {
                oifname "docker0" counter drop
                counter return
        }
        chain docker-user {
                counter return
        }
}
table ip nat {
        chain prerouting { type nat hook prerouting priority -100; policy accept;
                fib daddr type local counter jump docker
        }
        chain input { type nat hook input priority 100; policy accept; }
        chain output { type nat hook output priority -100; policy accept;
                ip daddr != 127.0.0.0/8 fib daddr type local counter jump docker
        }
        chain postrouting { type nat hook postrouting priority 100; policy accept;
                oifname != "docker0" ip saddr 172.17.0.0/16 counter masquerade
        }
        chain docker{
                iifname "docker0" counter return
        }
}

Ответить | Правка | Наверх | Cообщить модератору

64. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (63), 20-Мрт-23, 01:33

Волшебные номера вхардкожены, и - имена интерфейсов. А тогда - не так всё просто.

Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (44), 14-Мрт-23, 19:48

Помнится мне обещали что ip4 скоро кончится, зато ip6 который мне присвоят не требует настройки брандмауэра!

Ответить | Правка | Наверх | Cообщить модератору

50. "Выпуск пакетного фильтра nftables 1.0.7" +1 +/–

Сообщение от Аноним (50), 15-Мрт-23, 06:17

Наоборот же :). Не меньше, а больше брандмауэра, из-за отсутствия NAT.
Но ipv6 всё равно отличная вещь, там, где он есть.

Ответить | Правка | Наверх | Cообщить модератору

53. "Выпуск пакетного фильтра nftables 1.0.7" +3 +/–

Сообщение от 1 (??), 15-Мрт-23, 09:10

И ещё более отличная, там где его нет.

Ответить | Правка | Наверх | Cообщить модератору

57. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (56), 15-Мрт-23, 13:17

В Linux запилили NAT для IPv6.

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

62. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от saa (?), 19-Мрт-23, 18:26

это не тот нат, что в ип4.

Ответить | Правка | Наверх | Cообщить модератору

55. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (56), 15-Мрт-23, 12:11

>ip6 который мне присвоят не требует настройки брандмауэра!
1. IPv6 в РФ не присвоят, РКН против.
2. Тебе безбожно врали.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

59. "Выпуск пакетного фильтра nftables 1.0.7" +/–

Сообщение от Аноним (59), 15-Мрт-23, 15:01

> 1. IPv6 в РФ не присвоят, РКН против.
Каво? У меня пров /56 сети раздаёт... Хошь подключай.

Ответить | Правка | Наверх | Cообщить модератору

54. "Выпуск пакетного фильтра nftables 1.0.7" +2 +/–

Сообщение от ChatGPT (?), 15-Мрт-23, 10:57

Я не осилил, в отличие от iptables. Это надо отдельно курс пройти по разработке конфигураций.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

17. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
Сообщение от Аноним (17), 14-Мрт-23, 14:01
Лучший пакетный фильтр. Хотя системы надо проектировать так, чтобы nftables/iptables были опциональными = чтобы система не перестала быть защищенной, если эти фильтры внезапно отключить.
Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Выпуск пакетного фильтра nftables 1.0.7"	+2 +/–
	Сообщение от Аноним (20), 14-Мрт-23, 14:06
	Лучший? Уже 10 лет у них просят string/hex match, в ответ: используйте iptables.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (21), 14-Мрт-23, 14:10
	нет регулярок? пичалько
	Ответить \| Правка \| Наверх \| Cообщить модератору


	63. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (63), 20-Мрт-23, 01:30
	Регулярки - тяжесть.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (17), 14-Мрт-23, 14:16
	фильтровать айпишники по "регуляркам и строкам"? вы там с дуба рухнули? уже есть маски
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору


	26. "Выпуск пакетного фильтра nftables 1.0.7"	–1 +/–
	Сообщение от Аноним (26), 14-Мрт-23, 15:17
	Причём тут IP?! Где я написал хоть слово про IP?! Мне содержимое пакетов надо анализировать и на основе этого drop. И нет, я не ISP, мне это для домашней машины надо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (17), 14-Мрт-23, 15:30
	и что же ты там по сырому потенциально зашифрованному телу пакета собрался фильтровать?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (26), 14-Мрт-23, 16:14
	Аноним, у тебя галлюцинации? Где ты увидел слово "зашифрованный" трафик? Сначала ты нёс про IP, теперь про шифрование, дальше что?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Выпуск пакетного фильтра nftables 1.0.7"	+1 +/–
	Сообщение от Аноним (46), 14-Мрт-23, 20:29
	Приведи юзкейс уже для такого.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Выпуск пакетного фильтра nftables 1.0.7"	+1 +/–
	Сообщение от _Kuzmich (ok), 15-Мрт-23, 08:27
	Непонятно почему человека заминусили. У меня такой юзкейс: в сторону бакэнда делаешь каунт на GET, при зашкаливании пишешь в сет. По этому сету в мир уменьшаешь размер окна в 0. Помогает от ddos школьников. Как такое сделать на nftables пока не знаю, поделитесь, кто в курсе.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	61. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от saa (?), 19-Мрт-23, 18:23
	iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://warning.rt.ru/" --algo bm -j DROP
	Ответить \| Правка \| К родителю #46 \| Наверх \| Cообщить модератору


	32. "Выпуск пакетного фильтра nftables 1.0.7"	+2 +/–
	Сообщение от pfg21 (ok), 14-Мрт-23, 15:45
	пишешь нфтейблес "пакеты перенаправлять в мою программу" и там онализируешь.
	Ответить \| Правка \| К родителю #26 \| Наверх \| Cообщить модератору


	35. "Выпуск пакетного фильтра nftables 1.0.7"	–5 +/–
	Сообщение от Аноним (26), 14-Мрт-23, 16:13
	Песец. А вы мне подарите EPYC на 96 ядер, чтобы гонять трафик из ядра в userspace и обратно для потока в 500Mbit?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Выпуск пакетного фильтра nftables 1.0.7"	+2 +/–
	Сообщение от Аноним (39), 14-Мрт-23, 16:28
	Значит просто, без задней мысли, пишешь нфтейблес "пакеты перенаправлять в мой модуль ядра" и там анализируешь
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (41), 14-Мрт-23, 19:11
	50 мбайт/с? 96 ядер ??? Такой поток пишется на жесткий диск 20 летней свежести одним ядром тех же времен
	Ответить \| Правка \| К родителю #35 \| Наверх \| Cообщить модератору


	47. "Выпуск пакетного фильтра nftables 1.0.7"	+2 +/–
	Сообщение от Аноним (46), 14-Мрт-23, 20:30
	Чел, чем ты там занимаешься?!
	Ответить \| Правка \| К родителю #35 \| Наверх \| Cообщить модератору


	49. "Выпуск пакетного фильтра nftables 1.0.7"	+2 +/–
	Сообщение от bergentroll (ok), 14-Мрт-23, 23:32
	Комменты пишет же
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (56), 15-Мрт-23, 12:21
	Тебе лучше на чём-то из этого https://www.xilinx.com/products/boards-and-kits/alveo.html фильтровать. Дешевле выйдет, чем 96 ядер.
	Ответить \| Правка \| К родителю #35 \| Наверх \| Cообщить модератору


	30. "Выпуск пакетного фильтра nftables 1.0.7"	–1 +/–
	Сообщение от Аноним (30), 14-Мрт-23, 15:37
	>используйте eBPF fixed.
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору

25. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
Сообщение от Аноним (-), 14-Мрт-23, 14:35
Изучаю базовые команды линуха. Уже взялся тыкать iptables, но тут узнал, что это легаси и ненужно. А собственно чем nftables лучше? Ну кроме того, что iptables выпиливают из свежих дистров.
Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (28), 14-Мрт-23, 15:34
	> что iptables выпиливают из свежих дистров А в замен ничего не впиливают?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от pfg21 (ok), 14-Мрт-23, 15:44
	по теме "чем лучше" написаны кучи статей, но сложных и мудреных. iptables остается до поры до времени, как один из интерфейсов управления, его правила компилируются в "nftables-байткод" и отдаются в ядро на исполнение.
	Ответить \| Правка \| К родителю #25 \| Наверх \| Cообщить модератору


	33. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (33), 14-Мрт-23, 15:57
	iptables сейчас работает через nftables. К тому же он проще, если его действительно удаляют из дистрибутивов то очень плохо
	Ответить \| Правка \| К родителю #25 \| Наверх \| Cообщить модератору


	37. "Выпуск пакетного фильтра nftables 1.0.7"	+1 +/–
	Сообщение от Аноним (26), 14-Мрт-23, 16:15
	Лучше, ХЗ. Сложнее на порядок и синтаксис ад - да, несомненно.
	Ответить \| Правка \| К родителю #25 \| Наверх \| Cообщить модератору


	52. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от 1 (??), 15-Мрт-23, 09:09
	Я голосую за приведения синтаксиса nftables к синтаксису rust. И все будут довольны. Опять же безопастностЪ !
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (56), 15-Мрт-23, 13:22
	Что в нём адово? Синтаксис наподобие iproute2.
	Ответить \| Правка \| К родителю #37 \| Наверх \| Cообщить модератору


	38. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от Аноним (26), 14-Мрт-23, 16:18
	iptables никуда не денутся ещё ... всегда будут, просто потому что userspace API Линус не ломает, точка. Изучайте, используйте. Другой вопрос, что в новомодных компаниях их местные senior devops могут решить, что nfilters - будущее, и вы обязаны их использовать.
	Ответить \| Правка \| К родителю #25 \| Наверх \| Cообщить модератору


	43. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
	Сообщение от llolik (ok), 14-Мрт-23, 19:38
	iptables - это не API ядра, это утилиты. В ядре только, собственно, сам фильтр - netfilter. Так что выкинуть могут. > и вы обязаны их использовать Ну, не утверждаю про обязаны, но nftables, как-минимум ИМХО, сильно читабельней.
	Ответить \| Правка \| Наверх \| Cообщить модератору

29. "Выпуск пакетного фильтра nftables 1.0.7"	+/–
Сообщение от Аноним (30), 14-Мрт-23, 15:35
>выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). eBPF?
Ответить \| Правка \| Наверх \| Cообщить модератору

40. "Выпуск пакетного фильтра nftables 1.0.7"	+1 +/–
Сообщение от лютый ж.... (?), 14-Мрт-23, 17:17
не взлетит, пока доцкеры сидят на iptables
Ответить \| Правка \| Наверх \| Cообщить модератору