Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск пакетного фильтра iptables 1.8.10"	+/–
Сообщение от opennews (??), 11-Окт-23, 10:25
Опубликован выпуск классического инструментария для управления пакетным фильтром  iptables 1.8.10, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables.  Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов... Подробнее: https://www.opennet.me/opennews/art.shtml?num=59905
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

5. Сообщение от Аноним (5), 11-Окт-23, 11:55	+7 +/–
> Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов. Пользуясь моментом, хочу спросить - где-нибудь есть нормальная документация по синтаксису nftables? man nft весьма отрывочный, а официальная wiki - просто сборник примеров рабочего синтаксиса, никак не объясняющий принципы его построения (типа "мы запустили fuzzing, и вот эти строки nft схавало как корректные").
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #8, #11, #13, #19, #24

6. Сообщение от Аноним (6), 11-Окт-23, 12:49	–2 +/–
С детства пугал ужасный синтаксис iptables. А nft ништяк, декларативно, симпатично, продуманно. Одно из гениальнейших изобретений человечества.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #16, #23

7. Сообщение от Аноним (7), 11-Окт-23, 14:19	+5 +/–
> man nft весьма отрывочный, а официальная wiki - просто сборник примеров рабочего синтаксиса, никак не объясняющий принципы его построения (типа "мы запустили fuzzing, и вот эти строки nft схавало как корректные"). У меня такое же ощущение про многие нынешние проекты. Спасибо за формулировку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

8. Сообщение от Пряник (?), 11-Окт-23, 16:01	+1 +/–
официальный wiki читай, там охрененные примеры и всё понятно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #20

9. Сообщение от Аноним (9), 11-Окт-23, 16:52	+/–
Где найти нормальное руководство?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #10, #12, #41

10. Сообщение от Аноним (-), 11-Окт-23, 17:00	+/–
>нормальное Корче ну ты понял.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

11. Сообщение от Самый умный из вас (?), 11-Окт-23, 17:17	+/–
Для старта может сумбурно, но как ref годится
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

12. Сообщение от Аноним (6), 11-Окт-23, 17:52	+/–
Лично я в интернете искал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #14

13. Сообщение от Аноним (13), 11-Окт-23, 18:53	+/–
В Windows брандмауэр настраивается, говорят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

14. Сообщение от Аноним (13), 11-Окт-23, 18:55	+/–
Т.е. автор программки не выпустил?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #15

15. Сообщение от Аноним (15), 11-Окт-23, 18:59	+/–
Выпустил, я сумел найти при помощи Google (сайт такой в интернете).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

16. Сообщение от penetrator (?), 12-Окт-23, 02:09	+1 +/–
с той лишь разницей что правила iptables можно поправить в текстовом файле а ты будешь гондурасить в консоли поэтому они до сих пор используются в шапке и скорее всего еще долго будут
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #18, #21

17. Сообщение от Аноним. (?), 12-Окт-23, 04:38	+/–
К слову, а iptables можно использовать для добавления правил на уровни ingress/egress? И имеет ли он сеты ip с возможность, например, разрешить доступ к определенному ip на 30 минут?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #33

18. Сообщение от leap42 (ok), 12-Окт-23, 07:15	+/–
Шапка две версии назад (начиная с 8-ой) перешла на nftables: https://www.redhat.com/en/blog/using-nftables-red-hat-enterp...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #26

19. Сообщение от leap42 (ok), 12-Окт-23, 07:18	+/–
> man nft весьма отрывочный Это 3500+ строк нудного перечисления всего подряд отрывочный? Ну-ну... А чего хотелось то?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

20. Сообщение от User (??), 12-Окт-23, 10:27	+2 +/–
Для тех, кто путает "примеры" и "документацию" + хранит результаты своего "путанья" в вики - в аду отдельное озеро наморожено.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #40

21. Сообщение от Аноним (21), 12-Окт-23, 10:42	+1 +/–
О чем ты говоришь? Nftables можно поправить в текстовом файле тоже...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #25

22. Сообщение от Пряник (?), 12-Окт-23, 11:04	+/–
На wikibooks есть супер статья по iptables. Но я бы посоветовал переходить на nftables.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #27

23. Сообщение от PnD (??), 12-Окт-23, 14:05	+1 +/–
У меня для вас плохие новости. nft уже́ года 4 как больше не молодёжно. Новый-клёвый bpfilter — наше светлое будущее. Развивают, как я понял, те же чуваки что и nft. Поэтому, документация… Ну, вы поняли. Вот такого http://www.opennet.me/docs/RUS/iptables/ больше не ожидается. Читайте исходники, они рулез ©(почти).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

24. Сообщение от Менеджер Антона Алексеевича (?), 12-Окт-23, 21:46	+/–
> man nft весьма отрывочный, а официальная wiki - просто сборник примеров рабочего синтаксиса Зачем ты лжёшь на опеннете? Мануал полностью описывает возможности nftables, на вики разжёваны основные операции, даны примеры и ссылки на дополнительные материалы. Если этого мало, то тебе в детский сад надо, там воспитательница поможет треугольник от квадрата отличить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

25. Сообщение от penetrator (?), 12-Окт-23, 23:34	+/–
> О чем ты говоришь? Nftables можно поправить в текстовом файле тоже... ну может пример подкинешь? какой файл надо править и как например открыть порт 1234 только для tcp для всех интерфейсов? вот поржем
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #29

26. Сообщение от penetrator (?), 12-Окт-23, 23:36	+/–
> Шапка две версии назад (начиная с 8-ой) перешла на nftables: > https://www.redhat.com/en/blog/using-nftables-red-hat-enterp... специально для тупых эта статья > как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. так вот именно в шапке эти пакеты доступны и используются включая демоны iptables и ip6tables
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #28

27. Сообщение от Аноним. (?), 13-Окт-23, 00:07	+/–
> На wikibooks есть супер статья по iptables. Но я бы посоветовал переходить > на nftables. Его и использую. Просто интересно было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

28. Сообщение от leap42 (ok), 13-Окт-23, 06:08	–1 +/–
>> Шапка две версии назад (начиная с 8-ой) перешла на nftables: >> https://www.redhat.com/en/blog/using-nftables-red-hat-enterp... > специально для тупых эта статья >> как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. > так вот именно в шапке эти пакеты доступны и используются включая демоны > iptables и ip6tables Для тупых лучше я объясню: 1. Шапка перешла на nftables. Он сотоит из двух частей: ядерная (она делает 100% работы) и юзерспейсная (она только настраивает ядерную, а работает через API который может реализовать кто угодно и как угодно) 2. Новый iptables - просто одна из нескольких морд/шкурок для nftables (убогая альтернатива nft, с усеченным функционалом, но совместимая со "шкриптами старпёров") 3. iptables никогда не был демоном, раньше он был мордой ядерного iptables (который сейчас к счастью на помойке), теперь он - морда для nftables
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #32

29. Сообщение от Аноним (29), 13-Окт-23, 07:58	+/–
Вот файл: /etc/sysconfig/nftables.conf Вот пример: table inet filter {         chain input {                 type filter hook input priority 0; policy drop;                 ...                 udp dport 1234 accept                 ...         } } достаточно чтобы поржать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #30, #31

30. Сообщение от Аноним (29), 13-Окт-23, 07:59	+/–
> быстрофикс: tcp dport 1234 accept
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

31. Сообщение от penetrator (?), 13-Окт-23, 18:10	+/–
>[оверквотинг удален] > drop; >             >     ... >             >     udp dport 1234 accept >             >     ... >         } > } > достаточно чтобы поржать? в RHEL8/9 и Fedora файл есть, но пустой, т.е. тебе нужен редактор который позволит это все с подстветкой синтексиса и форматированием, либо копипаста с мануалов, за форматирование отвечаешь сам в openSUSE файла нет вообще, не уверен, что он вообще подтянется, но допустим, вперед арлы ))) iptables конфиге ты просто заходишь копируешь mc какую-нибудь строчку вроде -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT и правишь 22 на 1234, и всё, iptables demon сконвертит все в байткод на уровне ядра ну как бы да, есть над чем поржать PS я не сомневался что кто-то это редактирует, я реально хотел сравнить варианты использования
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #36

32. Сообщение от penetrator (?), 13-Окт-23, 18:23	+/–
>[оверквотинг удален] >> iptables и ip6tables > Для тупых лучше я объясню: > 1. Шапка перешла на nftables. Он сотоит из двух частей: ядерная (она > делает 100% работы) и юзерспейсная (она только настраивает ядерную, а работает > через API который может реализовать кто угодно и как угодно) > 2. Новый iptables - просто одна из нескольких морд/шкурок для nftables (убогая > альтернатива nft, с усеченным функционалом, но совместимая со "шкриптами старпёров") > 3. iptables никогда не был демоном, раньше он был мордой ядерного iptables > (который сейчас к счастью на помойке), теперь он - морда для > nftables какой же ты глупый кэп, даже прочитать не можешь, что люди пишут ● iptables.service - IPv4 firewall with iptables    Loaded: loaded (/usr/lib/systemd/system/iptables.service; enabled; vendor preset: disabled)    Active: active (exited) since Fri 2023-10-06 05:34:57 UTC; 1 weeks 0 days ago это кстати RHEL8 ^ я твое кудахтанье уже наверное слышал, в прошлый раз ты обтекал доказывая что его вообще нет в системе, теперь уже пишешь, что это шкурка (но я и не доказывал обратного, а наоборот), так что обтекай и в этот раз - эта "шкурка" является бэкграунд процессом которая парсит свой конфиг и отвечает за файервол, как альтернатива firewalld
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #34, #35, #44

33. Сообщение от space (?), 13-Окт-23, 21:15	+/–
А в nft возможно?: 1) в одну строку записать правило для исходящего трафика tcp 443 для конкретного browser? 2) делать привязку правил к конкретному ядру CPU? 3) приведите например полный конфиг для входящего и исходящего трафиков стандартного сервера, ну что бы сравнить читабельность конфига для сервера на котором запущены веб-сайты 4) какую нагрузку на CPU делает nft по сравнению с iptables
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #37

34. Сообщение от leap42 (ok), 14-Окт-23, 04:54	+1 +/–
О так, это вы! Другой то аргумент есть, я надеюсь? Что там в "iptables.service"? Там просто запуск утилиты (не демона, в linux firewall находится в ядре, ему демон не нужен) из новости. Ссылка прямо в ней, качайте. Что там внутри исходника iptables? Там внутри nft. Почему? Объясняю для чемпионов тупости в 10-ый раз: 1. Есть два iptables: старый и новый. 2. Фаерволом является только старый iptables 3. Новый - это "переводчик" старых правил в формат nftables (примерно как wine на лету транслирует сисколы винды в сисколы линуха). 4. 100% работы фаервола, я подчёркиваю 100% выполняет nftables 5. нынешний iptables (и это ясно даже из этой кривой новости, всем кроме вас) просто переводит правила вида iptables в формат nftables, а потом загружает их в ядерную часть nftables > какой же ты глупый кэп, даже прочитать не можешь, что люди пишут Я могу прочесть код, а ещё я знаю штук 7 фаерволов, зачем мне читать бред чемпиона, который не способен понять даже того, что скрипт для автостарта чего-то с помощью systemd и фаервол в ядре, который фильтрует трафик - это две разные вещи? > ты обтекал доказывая что его вообще нет в системе Так кто обтекал, если его нет? Вот смотрите, есть ДВЕ разные программы с ОДНИМ названием. Первая - старый iptables, к счастью на помойке. В системах её уже нет. Вторая написана с нуля и занимается совсем другим делом. Debian+wine это НЕ Windows. Конвертер правил iptables->nftables это НЕ фаервол. Это блажь для идиотов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #38

35. Сообщение от leap42 (ok), 14-Окт-23, 05:13	+/–
> какой же ты глупый кэп, даже прочитать не можешь, что люди пишут Я наверное зря пишу как будто вам 5, это слишком оптимистично. Попробую ещё проще. 1. Фаервол он в ядре. Обычно, он работает в виде модуля ядра. 2. Юзерспейсные утилиты (iptables в виде iptables.service) фаерволом не являются. Они НЕ фильтруют трафик. Они ничего не сделают, если нужные модули ядра не загружены. Я повторю: они ничего не сделают если этого не сделает ядро, ведь фаервол он в ядре. 3. Раньше фаерволом был ipchains, потом iptables, сейчас nftables. К ним шли соответсвующие юзерспейсные утилиты, "шкурки" для простой и удобной загрузки правил. "Шкурок" может быть сколько угодно (хоть 5 сразу), имена они могут иметь хоть какие, хоть ipchains, они НЕ НА ЧТО НЕ ВЛИЯЮТ. Что влияет на трафик, так это правила, которые уже загружены в ядро. 4. Когда iptables отправился на помойку, его заменил nftables. 5. Шляпа написала шкурку для nftables которая мимикрирует (посмотрите в словаре) под iptables. Зачем? Ну чтобы мерзотные простыни правил для iptables просто заработали и с nftables, в новых ядрах где никакого iptables вообще нет (обратная совместимость). Вы кем работаете, если не секрет? Мне сейчас немного жаль, что я не психиатр 😄
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

36. Сообщение от Аноним (36), 14-Окт-23, 07:09	+/–
так с nftables ты тоже можешь записать правила по одному, без группировки: add rule filter input ip protocol tcp  dport 1234 accept и все, так же в mc пишется, потом скармливается nft
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #39

37. Сообщение от Аноним (36), 14-Окт-23, 07:23	+/–
Текст новости: я что, какая-то шутка? Уже давно iptables работает по схеме: <новые правила iptables> --> iptables -(трансляция в новые правила nftables)-> nft --> nftables Поэтому iptables не может иметь большего функционала, чем nft. Нагрузка на процессор конечно ниже у nftables, он использует другие структуры данных, более подходящие под задачу. Но в целом это неважно: у вас никогда не будет столько трафика чтобы сеть на уровне ядра тормозила, таких линков не найти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

38. Сообщение от penetrator (?), 14-Окт-23, 12:03	+/–
вот мое оригинальное сообщение, а теперь скажи причем здесь вся эта хрень, что ты понаписывал? > с той лишь разницей что правила iptables можно поправить в текстовом файле > а ты будешь гондурасить в консоли > поэтому они до сих пор используются в шапке и скорее всего еще долго будут дошло? нет? еще раз для не очень смарт пипл: > поэтому ОНИ до сих пор используются... правила iptables... все остальное что ты тут написал (файрвол не файервол) - это твое офигенное желание поспорить с самим собой, может тебе жизненно важно покапитанить где-то, где-то херь сморозить, где-то еще как-то самовыразиться, но я уже тебе тогда говорил, что ты ведешь себя как даун и сейчас повторяю это, нет ни малейшего желания разговаривать с тобой "о погоде" - зачем за меня додумывать, а потом "разговаривать с самим собой", ну и в принципе добавить мне больше нечего, чао )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #42

39. Сообщение от penetrator (?), 14-Окт-23, 12:09	+/–
> так с nftables ты тоже можешь записать правила по одному, без группировки: > add rule filter input ip protocol tcp  dport 1234 accept и > все, так же в mc пишется, потом скармливается nft несколько странно выглядит table inet filter { ... } add rule filter ... ко всему можно привыкнуть, но мягко говоря не впечатляет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

40. Сообщение от Аноним (40), 14-Окт-23, 15:02	+/–
Я называю это - How-to вместо документации
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

41. Сообщение от Аноним. (?), 14-Окт-23, 22:01	+/–
А что там искать? Все, что нужно знать про структуру: https://wiki.nftables.org/wiki-nftables/index.php/Netfilter_... Правила описываються тут: https://wiki.nftables.org/wiki-nftables/index.php/Main_Page#... Также, всегда можно использовать транслятор с iptables, чтобы глянуть. Да и вообще он более консистентный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

42. Сообщение от leap42 (ok), 15-Окт-23, 07:19	–1 +/–
Дауны путают firewalld и nft уже несколько месяцев) А правила nft всегда можно было редактировать текстовым редактором, они сохраняются ТОЛЬКО в виде текста. Об этом есть инфа в вики, в мануале, об этом есть в ностях по теме, об этом писали комментарии, итого десятки раз только на одном opennet.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #43

43. Сообщение от penetrator (?), 15-Окт-23, 10:36	+/–
> Дауны путают firewalld и nft уже несколько месяцев) А правила nft всегда > можно было редактировать текстовым редактором, они сохраняются ТОЛЬКО в виде текста. > Об этом есть инфа в вики, в мануале, об этом есть > в ностях по теме, об этом писали комментарии, итого десятки раз > только на одном opennet. не путай больше, не надо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

44. Сообщение от Аноним (5), 15-Окт-23, 12:55	+/–
> является бэкграунд процессом > Active: active (exited) Ну да, точно. Ага.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема