| 1.1, Аноним (1), 15:07, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +25 +/– |
Замечательно, nftables ещё до версии 1.0 не доросло, а iptables уже устарело.
| | |
| |
| 2.3, Аноним (3), 15:09, 21/06/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
это Линукс детка - стабильное API no sence и все такое.
Можешь сам продолжать поддерживать iptables.
| | |
| |
| 3.11, нах (?), 15:43, 21/06/2018 [^] [^^] [^^^] [ответить]
| +9 +/– |
> это Линукс детка - стабильное API no sence и все такое.
> Можешь сам продолжать поддерживать iptables.
не сможет - через неделю поломают апи так, что нужно будет переписать пол-ядра.
Конец эпохи, единственное, что, казалось, в линуксе еще не испоганили полностью - ip стек.
| | |
| |
| 4.53, Pofigist (?), 17:41, 21/06/2018 [^] [^^] [^^^] [ответить]
| –12 +/– | |
> Конец эпохи, единственное, что, казалось, в линуксе еще не испоганили полностью - ip стек.
Да он изначально был... как бы это сказать помягче... А уж iptables - образцово-показательный пример на тему "как не надо делать фаерволы".
Netfilter кстати - офигенный шаг вперед, до классики типа zbfw ему конечно еше очень далеко, но... может лет через 20 и в линаксе появится полноценный фаервол.
| | |
| |
| 5.63, Аноним (63), 18:22, 21/06/2018 [^] [^^] [^^^] [ответить]
| +11 +/– |
«Все файрволы что не cisco — плохие», очень аргументировано конечно, спасибо, но нет.
| | |
| |
| 6.170, Аноним (170), 15:24, 02/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
Норм приблуда только для мамкиного аналитика.
Для промышленного использования без патчей ядра - не годится.
| | |
|
| 5.146, Аноним (146), 14:11, 22/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ты что несёшь? iptables - это и есть инструмент для управления нетфильтром.
| | |
|
|
| 3.105, irinat (ok), 22:19, 21/06/2018 [^] [^^] [^^^] [ответить]
| +5 +/– |
 nonsense относится только к *внутренним* API ядра. Внешнее API, как то: системные вызовы, формат сообщений, посылаемых через netlink-сокеты, и тому подобное — обратно-совместимы. Например, вызов fork сейчас не используется, вместо него fork() из glibc вызывает clone. Но ядро всё ещё поддерживает fork, поэтому старые программы будут работать на новом ядре.
| | |
|
|
| 1.2, нах (?), 15:09, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –20 +/– |
пц.
Управляемый руками и читаемый глазами пакетный фильтр - вычеркиваем из редеющего списка преимуществ линyпса. Его уже (тоже) нет.
"поддержка интегрирована в firewalld" - очередной yблюдочный монстр, который за вас будет думать, какие пакеты пропускать, а какие необязательно. Вот им и пользуйтесь.
Какое счастье, что по сумме, в общем-то, случайных совпадений и личных глюков я месяц назад выбрал asa вместо "а ну ее нахрен, запилим на линуксе очередной недо-файрвол, пакетного фильтра/ната тут на десять лет хватит, а больше и не надо"
| | |
| |
| 2.4, Аноним (3), 15:10, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
> пц.
> Управляемый руками и читаемый глазами пакетный фильтр - вычеркиваем из редеющего списка
> преимуществ линyпса. Его уже (тоже) нет.
> "поддержка интегрирована в firewalld" - очередной yблюдочный монстр, который за вас будет
> думать, какие пакеты пропускать, а какие необязательно. Вот им и пользуйтесь.
> Какое счастье, что по сумме, в общем-то, случайных совпадений и личных глюков
> я месяц назад выбрал asa вместо "а ну ее нахрен, запилим
> на линуксе очередной недо-файрвол, пакетного фильтра/ната тут на десять лет хватит,
> а больше и не надо"
а чего не на ng_ipfw ?
| | |
| |
| 3.8, нах (?), 15:38, 21/06/2018 [^] [^^] [^^^] [ответить] | –4 +/– | Барон не любит, чтоб потруднее Мне был нужен простой, удобочитаемый и без особы... большой текст свёрнут, показать | | |
|
| 2.6, Аноним (6), 15:20, 21/06/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
Воь же нытики. Ты по прежнему можешь использовать синтаксис iptables для настройки фаервола. Но весь твой синтаксис будет транислроваться в nf_tables в ядре системы. Для тебя никакой разницы -- для разработчиков минус одно легаси апи от которого уже десяток лет пытаются уйти.
| | |
| |
| 3.9, нах (?), 15:41, 21/06/2018 [^] [^^] [^^^] [ответить]
| –9 +/– |
> Воь же нытики. Ты по прежнему можешь использовать синтаксис iptables для настройки
> фаервола. Но весь твой синтаксис будет транислроваться в nf_tables в
> ядре системы.
и ты в результате видишь список своих правил, не имеющих ни малейшего отношения к тому, во что они понатранслировались.
> Для тебя никакой разницы -- для разработчиков минус одно
это для разработчиков, ни разу в жизни не видевших сложных правил "никакой разницы". Да и тот десяток что видели, за них докер понасоздавал.
> легаси апи от которого уже десяток лет пытаются уйти.
я бы предпочел минус все модные-современные апи. Их и без вас хватает.
| | |
| |
| 4.18, Anonymous_ (?), 16:09, 21/06/2018 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> не имеющих ни малейшего отношения к тому, во что они понатранслировались.
Да ладно тебе. iptables ужастен, IMO.
ipfw лично мне всегда больше нравился.
Может у тебя вообще синдром утёнка?
Т.е. твоим первым файерволом был iptables и поэтому ты его любишь?
| | |
| |
| 5.22, нах (?), 16:23, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
нет. Потому что задача "быстро разобраться в сложной конструкции с натами, резервными каналами, ipsec поверх всего этого, когда что-то пошло не так" в случае ipfw нерешаема в принципе. Полагаю, если кто-то построит нечто подобное на nft, результат будет даже хуже, но никто уже, наверное, и не построит.
Я точно мараться не буду - "вам нужен файрвол? Вооон там вход в отдел ИБ".
> Т.е. твоим первым файерволом был iptables и поэтому ты его любишь?
моим первым файрволлом был ipfwadm. он г-но.
Мы были вполне счастливы, когда его заменили ipchains. Часть того функционала (как модулей, так и cli) не воспроизведена _по_сей_день_ - генитальным разработчикам некогда, они придумывают транслятор в json.
| | |
| |
| 6.171, Аноним (170), 15:29, 02/01/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Все познается в сравнении.
Пока лучше pf с его anchors ничего не придумали.
| | |
|
| 5.140, Пользователь Debian (?), 12:33, 22/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Может у тебя вообще синдром утёнка?
Написали бы сразу "импринтинг" — вроде и умнее и менее обидно для оппонента что-ли.
| | |
|
| 4.28, AnonPlus (?), 16:30, 21/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>> и ты в результате видишь список своих правил, не имеющих ни малейшего отношения к тому, во что они понатранслировались.
Когда ты пишешь на высокоуровневом языке программирования, ты тоже видишь свой код, не имеющим никакого отношения к машинным командам, в которые он трансформируется при компиляции.
| | |
| |
| 5.37, нах (?), 17:00, 21/06/2018 [^] [^^] [^^^] [ответить] | –3 +/– | да В результате - ни реверс чужого решения, ни отладка своего вне пределов, пре... большой текст свёрнут, показать | | |
| 5.137, A (?), 10:47, 22/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Когда ты пишешь на высокоуровневом языке программирования, ты тоже видишь свой код,
> не имеющим никакого отношения к машинным командам, в которые он трансформируется
> при компиляции.
У всех компиляторов C/C++ был замечательный ключик - компилировать в ASM. Прогоняешь один и тот же текст с разными ключами уровня оптимизации и вполне себе смотришь "что он там наоптимизировал" на критичных к быстродействию участках кода. Что, сейчас это уже "отменили"?
| | |
| |
| 6.139, Anonymoustus (ok), 11:58, 22/06/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > У всех компиляторов C/C++ был замечательный ключик - компилировать в ASM. Прогоняешь
> один и тот же текст с разными ключами уровня оптимизации и
> вполне себе смотришь "что он там наоптимизировал" на критичных к быстродействию
> участках кода. Что, сейчас это уже "отменили"?
А может ли такое заинтересовать людей, для которых скорость компиляции важнее всех прочих вещей?
| | |
|
|
| 4.43, Аноним (43), 17:10, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> Воь же нытики. Ты по прежнему можешь использовать синтаксис iptables для настройки
>> фаервола. Но весь твой синтаксис будет транислроваться в nf_tables в
>> ядре системы.
> и ты в результате видишь список своих правил, не имеющих ни малейшего
> отношения к тому, во что они понатранслировались.
Трансляция iptables-compat обратима.
Слив засчитан.
| | |
| |
| 5.102, пох (?), 22:16, 21/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Трансляция iptables-compat обратима.
> Слив засчитан.
сюсипуси взрослым дядям засчитывают слив? Твоя "трансляция" не справилась не то что с нетривиальным файрволом, о которых была речь, а с банальным фильтром на локалхосте.
Обратима, да - те правила, что не поняла, их и оборачивать не придется, а те полтора, что асилила - да, обратима, наверное.
| | |
|
| 4.106, irinat (ok), 22:23, 21/06/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
> и ты в результате видишь список своих правил, не имеющих ни малейшего
> отношения к тому, во что они понатранслировались.
Ты и раньше не знал, во что они транслировались. Но почему-то раньше тебе было достаточно видеть текстовое представление, из которого создавались реальные правила, а теперь почему-то нет.
| | |
| 4.129, Netmapguy (?), 01:15, 22/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> и ты в результате видишь список своих правил, не имеющих ни малейшего
> отношения к тому, во что они понатранслировались.
нет, это не так. трансляции обратимы.
> это для разработчиков, ни разу в жизни не видевших сложных правил "никакой
> разницы". Да и тот десяток что видели, за них докер понасоздавал.
разработчики как раз видели правила побольше и получше вашего.
ровной по той причине есть такая штука в nftables как verdict maps.
| | |
|
|
| 2.7, wi1fu1 (?), 15:23, 21/06/2018 [^] [^^] [^^^] [ответить]
| +8 +/– |
 Ну вы явно утрируете, никто не заставляет пользоваться firewalld (я лично даже не пробовал его, мне достаточно было глянуть как он работает). nftables гораздо более удобный формат, как для чтения, так и понимания (например, как в iptables смотреть длинные цепочки в разных таблицах). Думаю хороший инструмент получился, может и побыстрее.
| | |
| |
| 3.14, нах (?), 15:51, 21/06/2018 [^] [^^] [^^^] [ответить] | –1 +/– | серьезно Вот эту развисистую лапшу, требующую полтора экрана вместо одной строк... большой текст свёрнут, показать | | |
| |
| 4.39, Аноним (43), 17:04, 21/06/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
"Удобочитаемый" формат, который можно прочитать только грепом? Вы стебeтесь, да?
| | |
| |
| 5.58, нах (?), 18:10, 21/06/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> "Удобочитаемый" формат, который можно прочитать только грепом? Вы стебeтесь, да?
разница в том, что подeлие на nft _даже_ грепом прочитать - нельзя.
Счастье разглядывать длинные псевдо-структурированные простыни или парсить на коленке модный json - бесценно.
И да, я предпочитаю грепом выцепить одну нужную строчку, а вы можете и дальше искать ее глазами среди сотен (особенно интересно - если ее там как раз нет). Зато красиво раскрашенных и отформатированных модным-стильным-молодежным софтом.
| | |
| |
| 6.65, Харитон (?), 18:30, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
Не упирайтесь! пришло время освоить sed!
sudo nft list table inet filter | sed -n '/chain input {/,/}/p'
| | |
| |
| |
| 8.101, Anon1 (?), 22:12, 21/06/2018 [^] [^^] [^^^] [ответить] | +2 +/– | Лёне идейку подкиньте, он с радостью вам бинарный формат запилит импортируемый о... текст свёрнут, показать | | |
| |
| 9.103, пох (?), 22:18, 21/06/2018 [^] [^^] [^^^] [ответить] | +3 +/– | вы не поняли - они _уже_ запилили, Лёня не понадобился И да, у них есть экспорт... текст свёрнут, показать | | |
|
|
|
|
| 5.156, Алкоголик А. (?), 16:17, 23/06/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> "Удобочитаемый" формат, который можно прочитать только грепом? Вы стебeтесь, да?
Называется мразина не умеющая читать каким-то чудом пишет...
| | |
|
|
| 3.51, Аноним (51), 17:24, 21/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>как в iptables смотреть длинные цепочки в разных таблицах
{ iptables -L цепочка1; iptables -L цепочка1 -t mangle; iptables -L цепочка1 -t nat; } | less
можно еще алиас на iptables -L сделать чтобы меньше писать.
вообще, печально за ИТ спецов, их всякие редхаты и гуглы отучают думать головой, а они и рады :)
| | |
| 3.66, Аноним (63), 18:33, 21/06/2018 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> nftables гораздо более удобный формат, как для чтения, так и понимания
Видимо поэтому его за 4 года никто так и не захотел использовать, потому что он удобный и понятный, да?
| | |
| |
| 4.125, sage (??), 00:07, 22/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
Многие программы управления межсетевым экраном поддерживают его. Я ждал, пока в firewalld поддержку добавят, и, вот, дождался.
Нужно было добавлять много правил типа -j DNAT в iptables программно, из-за чего нужно было вручную следить за количеством правил в таблице, чтобы iptables не тормозил. С nftables же автоматически используются хешированные таблицы, в которые можно добавлять данные независимо от самого описания правила.
| | |
|
|
| 2.10, ананим.orig (?), 15:41, 21/06/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> ... firewalld" - очередной yблюдочный монстр, который за вас будет думать ...
> ...
> Какое счастье, что по сумме, в общем-то, случайных совпадений и личных глюков я месяц назад выбрал asa ...
да не переживай ты так.
всегда можешь найти себе оправдание.
(Типа один раз не.. и тд.):D
| | |
| |
| 3.25, нах (?), 16:25, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> После джунипера от твоего удобного пакетного фильтра вытекают глаза.
покажите свой сложный (не на одну страничку в 25 строк) набор правил. Фильтрация, нат/pat, сложные протоколы, ipsec без default permit.
| | |
| 3.31, Аноним (31), 16:48, 21/06/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
А что же бздуны не пользуются своими системами xBSD для фильтрации трафика? ;)
| | |
| |
| 4.126, Аноним (126), 00:30, 22/06/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> А что же бздуны не пользуются своими системами xBSD для фильтрации трафика? ;)
Ох уж эти знатоки с гордо задранной гузкой:
> однако транслируют полученные правила не в блобы ip_tables, а в BPF-программы nf_tables.
> BPF
BPF Berkeley Packet Filter
BSD Berkeley Software Distribution
% man bpf
> HISTORY
> The Enet packet filter was created in 1980 by Mike Accetta and Rick
> Rashid at Carnegie-Mellon University. Jeffrey Mogul, at Stanford, ported
> the code to BSD and continued its development from 1983 on. Since then,
> it has evolved into the Ultrix Packet Filter at DEC, a STREAMS NIT module
> under SunOS 4.1, and BPF.
> | | |
|
|
| 2.82, Аноним (82), 19:58, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Управляемый руками
Хорошо, когда у тебя 1 сервер, да и тот localhost с LA 0.0. Уже забыл, когда руками iptables вызывал в проде…
| | |
| |
| 3.121, нах (?), 23:30, 21/06/2018 [^] [^^] [^^^] [ответить] | +/– | хорошо когда прод , ответственность успешно переложена на никого и т д А дыр... большой текст свёрнут, показать | | |
|
| 2.153, Pofigist (?), 17:27, 22/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> пц.
> Управляемый руками и читаемый глазами пакетный фильтр - вычеркиваем из редеющего списка
> преимуществ линyпса. Его уже (тоже) нет.
Фигню написал.
Было - iptables -t filter -A OUTPUT -j DROP -d 1.2.3.4
Стало - nft add rule ip filter output ip daddr 1.2.3.4 drop
Стало гораздо более читаемо имхо. До нормального синтаксиса конечно еще далеко, один daddr чего стоит, но гораздо лучше чем всякие -t, -A, -j, -d и прочий краснoглазый сленг.
| | |
| |
| 3.160, angra (ok), 22:40, 23/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Стало гораздо более читаемо имхо.
Для знакомого с iptables стало хуже читаться, не намного, правило то простое, но хуже. Что будет на сложном, страшно представить.
> но гораздо лучше чем всякие -t, -A, -j, -d и прочий краснoглазый сленг.
Если ты видишь эти ключи раз в несколько лет, то возможно 'add rule' лучше чем '-A', но если ты с этим работаешь регулярно, то однозначно хуже.
| | |
| |
| 4.163, Pofigist (?), 14:08, 24/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
Проблема нормального сетевого оборудования и заключается в том что ты в худшем случае правишь его конфиги раз в несколько месяцев, а обычно - поставил и оно годами работает, не требуя ручного вмешательства. И когда ты залезаешь на железку через несколько месяцев - тебе необходим удобочитаемый и самодокументированный конфиг. В тех же кошках нет ничего "волшебного" - обычная кетайская железка с индусским кодом... кроме ее конфигов, который открываешь через пару лет - и тебе сразу все понятно. Ну и понятное дело - документация, она просто великолепно. Только формат конфигов и документация - все остальное на твердую троечку.
| | |
| |
| 5.164, нах (?), 12:02, 25/06/2018 [^] [^^] [^^^] [ответить] | +1 +/– | твоя лавка уже банкрот или еще готовится проблема нормального сетевого оборуд... большой текст свёрнут, показать | | |
| |
| 6.165, Pofigist (?), 17:06, 25/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
Ты знаешь - нормально спроектированная сеть практически не требует вмешательства в уже установленное оборудование при подключении нового. Внезапно да?
В тех же кошках, если немного пошамать с инфой, доступной по sh ver, обнаруживается стандартная кетайская железка. Внезапно, ога? Правда собрать самому - проблема в разы более сложная, это вам не писюк. Да и если соберешь - софт хоть и индусский, но в опенсорце с его аналогами наблюдается проблема - факт.
> а люди все фейлят и фейлят ccie practical exam за полтора косаря. "сразу все понятно", ага.
В конфиге - сразу все понятно. Разумеется если ты знаешь те протоколы, которые там используются. А вот с этим-то обычно и возникает проблема - со знанием протокола. :)
| | |
|
|
|
|
|
| |
| 2.33, Аноним (43), 16:57, 21/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Хоронили какие-то левые люди, не имеющие отношения к Netfilter core team.
И bpfilter так и остался на стадии прототипа.
| | |
| |
| 3.54, DPDKguy (?), 17:43, 21/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Хоронили какие-то левые люди, не имеющие отношения к Netfilter core team.
> И bpfilter так и остался на стадии прототипа.
Да, он в альфе, но уже в 4.18 будет
Важно понимать, что дальше просто заменят одну vm(nftables) на другую(ebpf).
| | |
|
|
| 1.12, А (??), 15:48, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
> Кроме того, поддержка nftables уже реализована в firewalld, что упростит процесс миграции для пользователей этого инструмента.
Вот счастье-то привалило...
| | |
| 1.15, demimurych (ok), 15:59, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Интересно, а что большинство анонимусов не знают что iptables это всего лишь один из интерфейсов к нетфильтру? Грубо говоря языком описания правил. И что под капотом у nftables тоже самое что и у iptables. И что nftabes делает почти та же команда что и iptables
| | |
| |
| 2.16, нах (?), 16:05, 21/06/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> И что nftabes делает почти та же команда что и iptables
и сколько в "почти той же" осталось авторов изначального iptables ? Дайте угадаю - их там и не было никогда.
| | |
| |
| 3.38, Аноним (43), 17:01, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
> и сколько в "почти той же" осталось авторов изначального iptables ? Дайте
> угадаю - их там и не было никогда.
Да их и в команде разработчиков iptables уже лет двадцать как нет. Так что не показатель.
| | |
| |
| 4.87, Еще_один_аноним (?), 20:27, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Да их и в команде разработчиков iptables уже лет двадцать как нет.
Вот только iptables, который появился в ядре 2.4 нет 20 лет. Упс.
| | |
|
|
| 2.35, evilman (?), 16:58, 21/06/2018 [^] [^^] [^^^] [ответить]
| +5 +/– |
 > Интересно, а что большинство анонимусов не знают что iptables это всего лишь один из интерфейсов к нетфильтру?
> Грубо говоря языком описания правил. И что под капотом у nftables тоже самое что и у iptables.
Нетфильтр предоставляет набор хуков и управление списками функций обратного вызова, привязанных к этим хукам. А вот вся работа по анализу и фильтрации трафика осуществляется внутри этих колбеков, которые и являются "мозгом" iptables (на самом деле, оно xtables называется) и nftables. И вот эти мозги xtables и nftables построены на разных принципах, и работают иначе.
| | |
| |
| 3.147, Аноним (146), 14:25, 22/06/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Нетфильтр предоставляет набор хуков и управление списками функций обратного вызова, привязанных
> к этим хукам. А вот вся работа по анализу и фильтрации
> трафика осуществляется внутри этих колбеков, которые и являются "мозгом" iptables (на
> самом деле, оно xtables называется) и nftables. И вот эти мозги
> xtables и nftables построены на разных принципах, и работают иначе.
Хуки...
А почему у вас такой скудный словарный запас, что не смогли подобрать подходящее русскоязычное обозначение?
| | |
|
|
| |
| 2.23, Аноним (23), 16:23, 21/06/2018 [^] [^^] [^^^] [ответить]
| +7 +/– | |
> КАК??? А как же это https://www.opennet.me/opennews/art.shtml?num=48117 ???
Ну как, как, сначала переедут на nf_tables, а когда оно таки хоть как-то заработает и устаканится - будут переходить на bpfilter.
Что ты хочешь от современных смузи-хлёбов? Они как юные троцкисты - сначала все снести, а потом, а потом, а потом может что-то как-то само заработает.
Или нет. В общем неважно. Главное это снести все работающее. Это модно и молодежно.
| | |
| |
| 3.36, Аноним (43), 16:59, 21/06/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Ну как, как, сначала переедут на nf_tables, а когда оно таки хоть
> как-то заработает и устаканится - будут переходить на bpfilter.
Смузи-стартап bpfilter не взлетел, не парьтесь.
| | |
|
| 2.24, aim (ok), 16:23, 21/06/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
 ну потом будет другой переезд. потом - это потом.
| | |
| |
| 3.34, Аноним (31), 16:58, 21/06/2018 [^] [^^] [^^^] [ответить]
| –5 +/– |
И это тоже работа админов. А если ничего не будет менятся, всё будет продолжать работать , как бы, само собой, то работодатели начнут задумываться, а нужны ли вообще админы.
| | |
| |
| 4.45, Michael Shigorin (ok), 17:12, 21/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > И это тоже работа админов. А если ничего не будет менятся, всё
> будет продолжать работать , как бы, само собой, то работодатели начнут
> задумываться, а нужны ли вообще админы.
Работодатели тоже не нужны, всё же и так работает.
Для мальчиков, симулирующих деятельность, "шоб не выгнали": вменяемое начальство платит вменяемым админам именно за то, чтоб работало. Их не волнует, будет он при этом серверы руками держать или автоматом разворачивать.
| | |
|
| 3.44, Michael Shigorin (ok), 17:10, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
> все норм, как только тебе удастся починить сложные системы после перехода на
> nft, они как раз его тоже объявят устаревшим, можешь начинать заново.
По-моему, эта болячка у шляпы началась самое позднее с apache2...
| | |
|
| |
| 3.55, DPDKguy (?), 17:49, 21/06/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> КАК??? А как же это https://www.opennet.me/opennews/art.shtml?num=48117 ???
> Патчи bpfilter были подготовлены для ядра Linux 4.18, однако, по итогам дискуссии,
> были признаны не готовыми для включения в данный выпуск. На этом
> пыл разработчиков как-то угас. Скорее всего, про bpfilter просто забудут.
патчи живут уже в net-next, а в bpfilter заинтересованы многие. одна из причин - это возможность оффлоада ebpf в сетевые карточки.
| | |
| |
| 4.83, Аноним (83), 20:06, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
Если брать не только тусовку дпдк-шников, у которых есть карточки нетронома, то получаются далеко не многие.
| | |
| |
| 5.128, Netmapguy (?), 01:08, 22/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Если брать не только тусовку дпдк-шников, у которых есть карточки нетронома, то
> получаются далеко не многие.
это вопрос времени. ebpf дизайнился довольно просто: взяли общее среднее от популярных на рынке ISA(amd64/arm64/s390/etc..) и на их основе сделали байткод ebpf. Потому большая часть инструкций ebpf маппится 1 в 1 на инструкции процессора.
| | |
|
|
|
|
| 1.26, Аноним (26), 16:27, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
> Кроме того, поддержка nftables уже реализована в firewalld, что упростит процесс миграции для пользователей этого инструмента.
> The workshop was sponsorized by vmware, zevenet, **redhat**, intra2net, oisf, stamus networks, and suricata.
Опять шапка гадит.
| | |
| |
| 2.29, Аноним (-), 16:38, 21/06/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
>> Кроме того, поддержка nftables уже реализована в firewalld, что упростит процесс миграции для пользователей этого инструмента.
>> The workshop was sponsorized by vmware, zevenet, **redhat**, intra2net, oisf, stamus networks, and suricata.
> Опять шапка гадит.
Ничего личного, just business.
| | |
|
| |
| 2.40, Аноним (43), 17:05, 21/06/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Какой-такой firewalld? Должно быть systemd-firewalld.
В systemd фаерволом рулит systemd-networkd.
| | |
| |
| 3.52, Anonymoustus (ok), 17:36, 21/06/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
>> Какой-такой firewalld? Должно быть systemd-firewalld.
> В systemd фаерволом рулит systemd-networkd.
Слишком просто. Надо systemd-networkd-firewalld.
| | |
|
|
| 1.50, eRIC (ok), 17:23, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 >Таким образом, будет осуществлён прозрачный переход с iptables на nftables, >оставляющий возможность использования legacy-инструментов в случае каких-либо >проблем. Тем не менее, пользователям настоятельно рекомендуется мигрировать на >штатный формат правил nftables.
Так в итоге в ядре будет использоваться новый bpfilter (https://www.opennet.me/opennews/art.shtml?num=48117) или же не ставший популярный nftables?
| | |
| 1.56, Нанобот (ok), 17:55, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Интересно, какие-то упорышы уже планируют выпуск дистрибутива "без nftables"?
| | |
| |
| |
| 3.122, пох (?), 23:33, 21/06/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Docker, k8s не умеют и не будут уметь. AWS тоже.
да ну, что вы. Они как раз любят пользоваться послезавтрашними фичами ядра, еще не написанными.
Следующая версия разучится iptables.
| | |
|
| 2.68, Аноним (63), 18:42, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Интересно, какие-то упорышы уже планируют выпуск дистрибутива "без nftables"?
Если удалят /sbin/iptables-legacy то почему нет? Непонятно только зачем вы незнакомых вам людей называете «упорышы»?
| | |
|
| 1.60, Новичок (??), 18:13, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Всем здрям! Я новичок в линуксе. Подскажите, решил изучить iptables, а тут получается что он уже устарел? Если у меня Ubuntu 18.04 - есть ли там iptables по умолчанию, или уже что-то новое стоит и надо изучать?
| | |
| |
| 2.61, null (??), 18:17, 21/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Кстати да, интересный вопрос - что там щас в текущей LTS *buntu? firewalld?
| | |
| 2.62, evilman (?), 18:18, 21/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Всем здрям! Я новичок в линуксе. Подскажите, решил изучить iptables, а тут
> получается что он уже устарел? Если у меня Ubuntu 18.04 -
> есть ли там iptables по умолчанию, или уже что-то новое стоит
> и надо изучать?
Есть и будет. В ближайшие несколько лет никто на nftables не перейдёт. То, что iptables объявлены устаревшими проявляется лишь в том, что переименовали несколько файлов. На этом вся движуха и заглохнет.
| | |
| |
| 3.71, An (??), 19:14, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
К тому же ещё nftables пока не поддерживает весь функционал iptables. Плюс ещё много кто пользуется сторонними модулями для iptables с которыми тоже что-то придется решать.
| | |
|
| 2.67, Глеб (?), 18:38, 21/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Блин, та же проблема) у меня есть книжка 2010 года про Linux, там сотни команд и есть глава про iptables. Придется покупать новую?((
| | |
| |
| 3.74, А (??), 19:26, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
Сначала эту прочти. Я вообще учил iptables по книжкам, где ipchains описывался. Полет нормальный.
| | |
| 3.107, Anon1 (?), 22:29, 21/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Блин, та же проблема) у меня есть книжка 2010 года про Linux,
> там сотни команд и есть глава про iptables. Придется покупать новую?((
За 8-10 лет могли много чего поломать/добавить (теперь ещё и бинарники переименуют).
Читайте актуальную документацию в интернетах, смотрите код, примеры, рассылки, багтрэкер.
Вообще забейте на покупку книжек в IT. Во первых там часто булшит (если это не классика от авторов языка/протокола/программы)
во-вторых, пока один пишет книгу, например про API (хорошая книга не пишется за неделю) - остальные этот API меняют.
| | |
|
|
| 1.64, Жирный Бобер (?), 18:22, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
Попробовал запустить в виртуалке nftables на Ubuntu 18.04 LTS:
> ~$ nftables
> nftables: команда не найдена
Как команда то называется?
| | |
| |
| 2.99, KonstantinB (ok), 21:45, 21/06/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
 А зачем вам? Если вы не можете за 5 секунд самостоятельно выяснить, как называется команда, как вы будете разбираться, как ей пользоваться?
| | |
|
| 1.70, Аноним (70), 19:02, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
Разработчики Netfilter уже достигли договоренности об отражении соответствующих изменений в дистрибутивах RedHat, Fedora, CentOS, SUSE, Debian и производных от них.
То есть все основные дистры, что ж будем готовиться к сюрпризам =D
| | |
| 1.76, Nikolai WTF (?), 19:42, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +11 +/– | |
Видимо я совсем пропащий слоупок, но недавно мне сказали что ifconfig тоже ВСЁ. Запустил свою UBUNTU 18.04 и вот что она мне сказала:
Command 'ifconfig' not found, but can be installed with:
sudo apt install net-tools
Что вообще происходит в этом мире? Я только год назад овладел этой командой и научился кое-как настраивать сети. Теперь мне начинать все сначала? А через год появится еще десяток новых команд для настройки сетей? Кто вообще форсит эти метаморфозы? Есть ли хоть какое-то ПОСТОЯНСТВО в Linux, или админ должен страдать? Кто теперь вместо ifconfig? Где официальная инфа? :(
| | |
| |
| |
| 3.80, Nikolai WTF (?), 19:52, 21/06/2018 [^] [^^] [^^^] [ответить]
| +10 +/– | |
Но почему? Кому это все надо? Где преимущества?
Только что я ввел команду ip link и вместо четкого ровненького вывода ifconfig - получил какую-то мешанину из интерфейсов, совершенно нечитаемую.
| | |
| |
| 4.86, Аноним (83), 20:14, 21/06/2018 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Но почему? Кому это все надо? Где преимущества?
ifconfig плохо показывает конфигурацию с несколькими адресами на интерфейсе, ограничение в используемом API ядра, которое без слома обратной совместимости не поменять.
Это лишь один из примеров, а так все новые фичи делаются в netlink API и в пакете iproute, соответственно.
Вообще, ifconfig депрекейтнут года эдак с 2000-го. То, что ты обмазывался несвежими туториалами с лиссяры - это твои личные проблемы.
> Только что я ввел команду ip link и вместо четкого ровненького вывода
> ifconfig - получил какую-то мешанину из интерфейсов, совершенно нечитаемую. | | |
| |
| 5.143, Аноним (143), 13:01, 22/06/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> ifconfig плохо показывает конфигурацию с несколькими адресами на интерфейсе
А в чём эта плохость выражается?
Запустил тут ifconfig, он мне 3 адреса показал, 1 IPv4 и 2 IPv6. Типа вот такого выдал:
wlp4s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.x.x netmask 255.255.255.0 broadcast 192.168.x.x
inet6 fe80::xxxx prefixlen 64 scopeid 0x20<link>
inet6 xxxx prefixlen 64 scopeid 0x0<global>
Выглядит вроде неплохо.
| | |
|
|
|
| 2.94, Аноним (94), 21:10, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
Так надо было не ubuntu ставить а Arch, тогда был бы на гребне волны и писал что у вас этого ещё не завезли.
| | |
| 2.100, KonstantinB (ok), 21:46, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Что вообще происходит в этом мире? Я только год назад овладел этой
> командой и научился кое-как настраивать сети.
Год назад она уже была давно объявлена устаревшей. Как и 5 лет назад. Вообще с 2009 года.
| | |
| |
| 3.109, пох (?), 22:34, 21/06/2018 [^] [^^] [^^^] [ответить] | +1 +/– | c 2000го Или осени 99го даже - где -то именно тогда ank мне писал это кривой в... большой текст свёрнут, показать | | |
|
|
| 1.84, Аноним (84), 20:09, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Вопрос не в том стоит ли послать линукс подальше после всех новвоведений как это было в свое время сделанно с бсд, вопрос на что перейти, чтобы не шыло на мыло менять.
| | |
| |
| |
| 3.88, Аноним (84), 20:32, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
Так с него лет 20 назад и перешел с начала на бсд потом на линукс...
| | |
| 3.95, Аноним (94), 21:13, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Переходи на виндоус! Индус не предаст)
После семёрки они там тоже стали вносить новенькое
| | |
|
| 2.114, Anon1 (?), 22:43, 21/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Вопрос не в том стоит ли послать линукс подальше после всех новвоведений
> как это было в свое время сделанно с бсд, вопрос на
> что перейти, чтобы не шыло на мыло менять.
стоит потратить некоторое время на изучение нововведений, либо свалить в манагеры.
можно ещё центось поставить и обновлять её раз в 10 лет. лучше конечно подучиться.
| | |
| 2.131, пох (?), 07:24, 22/06/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> вопрос на что перейти, чтобы не шыло на мыло менять.
на божественную десяточку. Работой ее админы, владельцы сокровенного знания, будут обеспечены еще много-премного лет (интуитивно-приятная управлялка виртуальными машинами не умеет до сих пор даже склонировать vm из снапшота - хотя из ps все возможно)
И сильно переучиваться не придется - все те же бинарные логи с супер интерфейсом (и да, можно через cli, и grep ненужно), те же автомагические "сервисы" (впрочем, умеющие "Deferred startup", ссустемда не научилась, как и не запускать до настройки), те же привычки у устанавливаемого софта разом понапихаться в кучу неудобоудаляемых мест в системе, не спрашивая у тебя, надо ли, прекрасный неуправляемый файрвол, умеющий высовывать дурацкие окошки под руку (мечта авторов firewalld, пока, увы, мелькающая только в туманной дали)
и даже родной vim с putty. Правда, первым нечего редактировать, а вторым разьве что на виртуалку с линуксом ходить. Для "своих"-то есть msctc, который умеет все то, чему X'ы уже никогда не научатся, некому, а вяленый тем более (тем некогда, они его на го будут переписывать, если еще не)
| | |
| |
| 3.135, yukra (ok), 10:03, 22/06/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > впрочем, умеющие "Deferred startup", ссустемда не научилась
Отложенный запуск юнита можно организовать через "ExecStartPre=/bin/sleep 3", через запуск юнита по таймеру с типом OnBootSec. Так же можно организовать запуск через сокет, если софт это умеет. Но зачем? Линукс в отличии от винды не шуршит диском 5 минут после загрузки что бы точку восстановления сделать (или чем там винда занимается), можно просто зависимости расставить так, что бы нужные сервис оказался в конце очереди на запуск.
> как и не запускать до настройки
Во первых это вопрос к менеджеру пакетов, а не к systemd. В Centos yum ничего не запускает после установки. Во вторых решается просто: "RUNLEVEL=1 apt install -y PKG_NAME".
| | |
| 3.136, Аноним (84), 10:07, 22/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
Ну эти двое и так видно что уже на финишную прямую вышли, вопрос не в этом.
| | |
|
|
| 1.89, Аноним (89), 20:50, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
nftables не на BPF работает, там свой формат
eBPF там конечно есть но как идин из модулей
| | |
| 1.91, user90 (?), 21:04, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Сколько кипежа на пустом месте. Как стая бакланов, в самом деле)) firewalld это не часть системдэ, а только по звучанию схоже - и ладно, б-г с ним тогда.
| | |
| 1.92, user90 (?), 21:08, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Вон по слухам SuSEfirewall2 тоже заменяют на firewalld - это имхо куда больший повод для обсуждения и выкриков с места =) Хотя мне уже пофиг, я с Сусе давно убрался.
| | |
| |
| 2.111, пох (?), 22:36, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Вон по слухам SuSEfirewall2 тоже заменяют на firewalld
те кто ими пользуются - не заметят разницы (потому что на самом деле не знают, что они ими пользуются).
Те кому все равно сносить и ставить свои вменяемые скрипты - тоже, в общем, на один сервис меньше удалять будут, и ладушки.
| | |
|
| 1.93, Аноним (93), 21:09, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Зачем притягивать nftables, когда он уже и сам legacy и ему на смену идёт bpfilter на основе штатного eBPF?
| | |
| |
| 2.110, Anon1 (?), 22:35, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Зачем притягивать nftables, когда он уже и сам legacy и ему на
> смену идёт bpfilter на основе штатного eBPF?
Больше костылей богу костылей!!!! =))))
bpfilter ещё 10 лет будет "идти", энтерпрайз он такой.
| | |
|
| 1.104, Аноним (-), 22:19, 21/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Чем отличаются "не в блобы ip_tables, а в байткод nf_tables", друг от друга? Кто нибудь может пояснить?
| | |
| |
| 2.108, Аноним (93), 22:32, 21/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Чем отличаются "не в блобы ip_tables, а в байткод nf_tables", друг от
> друга? Кто нибудь может пояснить?
блобы ip_tables - это по сути библиотека функций, которая выполняется на уровне ядра.
байткод nf_tables - похожие на BPF отдельные программы, запускаемые в виртуальной машине в ядре, но собираемые и обслуживанием на пользовательском уровне.
| | |
| |
| 3.123, пох (?), 23:37, 21/06/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
>> Чем отличаются "не в блобы ip_tables, а в байткод nf_tables", друг от
> блобы ip_tables - это по сути библиотека функций, которая выполняется на уровне
и это немодно.
> байткод nf_tables - похожие на BPF отдельные программы, запускаемые в виртуальной машине
и это круто.
Чо неясно-то? "виртуальная машина", "bpf", менеджеры писают кипятком, гранты оформляются с небывалой щедростью и быстротой.
А на packet tracer грант никто не даст.
| | |
|
|
| |
| 2.148, Аноним (148), 14:28, 22/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>The ipchains software was superseded by the iptables system in Linux kernel 2.4 and above.
Ну и ретроград вы, батенька!
| | |
|
| 1.145, iCat (ok), 13:14, 22/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Это они улучшают улучшаемость, или увеличивают увеличиваемость?
Мне, как эксплуатационщику, хотелось бы, чтобы инструменты были удобными, простыми и надёжными...
| | |
| 1.152, Аноним (152), 16:41, 22/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
что то у меня вики nft.org вообще не открывается...хотя я юзаю firewalld + nftables в убунту...
даже попробовал что то конвертировать, как nft сделать чтобы показало таблицы? по моему нифига он не сконвертировал, оставлю все так, по ману лень шерстить..., а вики их по миграции не пашет, да и сайт не открывается кстати.
| | |
| 1.158, anon1111 (?), 17:51, 23/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
я что то в убунту не видел в упор никакого iptables-translate, только iptables-restore-translate + ip6tables-restore-translate, первый отрабатывает нормально, а второй из-за firewalld кидает ошибки какие то по синтаксису одного ICMP правила.
| | |
| 1.161, Аноним (161), 07:55, 24/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Как обычно сборище нытиков с ЛОРа набежало. Так же было с ненужносистемд, пшшшшш-аудио и много ещё чего. Как будто кто-то запрешает использовать старые инструменты, которые много лет просто работали.
| | |
| |
| 2.172, Аноним (170), 19:29, 02/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
Тебе как аналитику локалхоста невдомёк, что одни программные продукты зависят от других и ты радостно призываешь всех недовольных системд стать маинтейнрами и маинтейнить свой дистрибутив. Показательно, что вместо того, чтобы спросить или погуглить ты тут начинаешь выдавать претензии к виртуальным набежавшим лоровцам. Скажи, мы это должны от тебя будем терпеть все твои каникулы?
| | |
|
| 1.162, Саша (??), 12:58, 24/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Пришлось ставить и настраивать firewalld на Kali Linux Light и Parrot...
| | |
| 1.166, Я не понимаю (?), 14:50, 26/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
ОБЪЯСНИТЕ ПЛЗ!!! Который день пытаюсь понять.
Есть в линуксе файрвол - netfilter.
Есть 2 морды для него: iptables и nftables.
Есть ufw - убунтушная морда для морды iptables...
Какое место во всем этом винегрете файрволов и морд занимает firewalld?
1. В вики написано что он является мордой над iptables (типа как ufw).
2. В официальной документации вот такая схема:
https://firewalld.org/documentation/concepts.html
Если верить схеме, он может быть мордой и над nftables.
3. Но тогда какого xрена в зависимостях жесткое требование именно iptables?
> Зависит: iptables
Что такое firewalld и какого его место в иерархии всего этого???
| | |
|
