Релиз iptables 1.4.9

Забавная фича =).

mironov_ivan (05.08.2010 11:24:23)

Хм. Добавить бы это в новость про ядро, было бы полнее

darkshvein (05.08.2010 11:35:29)

Ога, клёво бы было светодиоды на клаве приспособить под сетевую активность.

darkshvein (05.08.2010 11:36:25)

>Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

О, давно мечтал о чём-то подобном. :)

AX (05.08.2010 12:12:59)

только жалко что на сервере клавиатура отключена

Sylvia (05.08.2010 12:15:03)

>Добавлена поддержка действия TEE, позволяющего выполнять зеркалирование определенного трафика на заданный хост. Ранее это действие было доступно только в комплекте xtables-addons.

Давно мечтал о таком.

emaxx (05.08.2010 15:54:17)

>Давно мечтал о таком.

Оно уже несколько лет как в xtables-addons.

nnz (05.08.2010 17:38:45)

> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Класс!! Теперь можно будет на HTC-шном смарте видеть, когда кто-то в инет лезет )))
Рад за обладателей похаченых Android-девайсов, они такое поставить на раз-два смогут.

Magister2k7 (05.08.2010 18:23:28)

В dd-wrt его нету.

emaxx (05.08.2010 21:32:51)

Это уже давно есть, если только для сетевого трафика.
Называется tleds

CyberTribe (05.08.2010 21:36:22)

> SCTP
Как много программ его могут применять?

Atlant (06.08.2010 3:39:33)

> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Неимоверно круто. Лампочками на клавиатуре мигать сможет?)

melkor217 (06.08.2010 3:42:26)

> только жалко что на сервере клавиатура отключена

У кого отключена, а у кого и на стенке висит %)

// Хотя, на самом, деле хотелось снять. Она вызывала слишком много вопросов.

melkor217 (06.08.2010 3:47:33)

>> SCTP

>Как много программ его могут применять?

Да даже, если и одна --- фичу-то уже написали, махать кулаками бессмысленно.

RaySlava (06.08.2010 15:07:10)

Ээ,добавить в новость надо было, новость про ядро была бы полнее, я хотел сказать

darkshvein (06.08.2010 19:29:13)

Я вот на это отвечал:
>Ога, клёво бы было светодиоды на клаве приспособить под сетевую активность.

CyberTribe (06.08.2010 19:50:05)

>Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Я одного не понимаю, почему ряд полезных фич из xtables-addons не портируют в основную ветку, а добавляют всякий шлак?

gh0stwizard (09.08.2010 19:45:25)

>Ога, клёво бы было светодиоды на клаве приспособить под сетевую активность.

Клавиатурные оно похоже не подцепит, проверяйте у себя /sys/class/leds/

>Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

А для бипера версия есть? хочу морзяночку.

splinter (09.08.2010 20:00:13)

Класс. Особенно LED, теперь можно будет видеть когда ломятся в систему.

>>Добавлена возможность логического отрицания в критерии quota

Вроде бы quota был отключен когда-то из-за проблем на многоядерных процессорах? Снова включили?

> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Прикольно. Уже компиляю.

> root@cr2:~# ls /sys/class/leds/
> ls: cannot access /sys/class/leds/: No such file or directory

:-(

drull (09.08.2010 20:14:32)

>Улучшена поддержка протокола SCTP

В принципе хорошо, но:
1. Не встречал ни одной программы, способной его использовать
2. Такие программы не скоро появятся т.к. винда его по сей день не поддерживает.

franchukroman (09.08.2010 20:17:41)

А он уже умеет создавать правила по приложению, которое запущено?

Например запретить всем выходить в интернеты, кроме браузера, wget, jabber-клиента, ну и ещё пары вещей?

Flaming (09.08.2010 20:32:34)

знаю, что может по PID различать программы и запрещать/разрешать им что-то - но это костыльно и запутанно http://opennet.ru/docs/RUS/iptables/#PID-OWNERTXT

Неужели нельзя напрямую, по названию программы, или по полному пути типа /usr/bin/firefox ?

Flaming (09.08.2010 20:35:42)

А где в сетевом пакете поле, содержащее имя отправившей пакет программы?

hc (09.08.2010 20:46:54)

Ну если это не пересылающийся пакет, то в skbuf есть указатель на процесс.

wieker (09.08.2010 20:55:37)

Там есть PID =)

Ну и вообще, вендовые файрволлы обладают почему-то такой функциональностью. Как они это делают - в подробности не вдавался. Но думаю, что по PID легко можно узнать и имя программы, и уже этим как-то пользоваться.

Flaming (09.08.2010 21:02:13)

Это будет работать только в OUTPUT, разве нет? Сколько видел МСЭ - везде OUTPUT пустой. ЧЯДНТ?

hc (09.08.2010 21:11:58)

морально устаревшая, нечеловечески низкоуровневая архитектура. хотя, гибкая надо думать, учитывая кол-во критериев для matching'а.

и да, определение трафика "от такой-то команды" там таки работает?

быстрый гуглинг выдал https://honor.icsalabs.com/pipermail/firewall-wizards/2003-November/015662.html

mrdeath (09.08.2010 21:25:14)

Работает, но только на локальной машине. А на локальной машине МСЭ не нужен - он на шлюзе нужен или на сервере. На машинки хомячков ломиться никто не будет, да и нат там, а до рабочих мест тем более не достатьиз-за грамотного маршрутизатора

hc (09.08.2010 21:26:06)

>>Ну и вообще, вендовые файрволлы обладают почему-то такой функциональностью. Как они это делают - в подробности не вдавался. Но думаю, что по PID легко можно узнать и имя программы, и уже этим как-то пользоваться.

этим может занятся selinux, пиши политики. Если лень заморачиваться есть тема запускать приклад под своим пользователем, тогда есть флаг

-m owner –cmd-owner uid

testuser123 (09.08.2010 22:02:49)

> определение трафика "от такой-то команды" там таки работает?

Давно уже нет.

tailgunner (09.08.2010 22:11:23)

> только жалко что на сервере клавиатура отключена

Можно попробывать воткнуть USB-шный светодиодный фонарик.. А если ещё воткнуть USB-шный китайский вентилятор то за сетевой активностью можно следить по потоку ветра! На вопрос "чего у тебя такой гул от вентилятора?" можно смело резать правду-матку что это хтота с директорского кабинета порно льёт!

MidNighter (09.08.2010 22:38:35)

>Ну и вообще, вендовые файрволлы обладают почему-то такой функциональностью. Как они это делают - в подробности не вдавался. Но думаю, что по PID легко можно узнать и имя программы, и уже этим как-то пользоваться.

Осильте пожалста NuFw, бгом молю... там можно преспокойной сказать "приложению firefox с машины 192.168.0.1 выход в интернет разрешаю"... и накручивается на iptables легко и непринужденно... Особенно если у вас Debian

Pinkbyte (09.08.2010 22:49:57)

Шо ж так долго подтверждали

Ммм, спасибо. Надо будет попробовать. Не знал о такой штуке.

Хотя у меня Gentoo.

Flaming (09.08.2010 23:09:32)

>А он уже умеет создавать правила по приложению, которое запущено?

Нет. Уже не умеет.
Раньше умело (было -m owner --cmd-owner), но его выкинули из-за противоречий с SMP.

Эта задача легко решается на уровне мандатного контроля доступа. Зачем городить велосипеды с потерей производительности?

nnz (09.08.2010 23:35:36)

>знаю, что может по PID различать программы и запрещать/разрешать им что-то - но это костыльно и запутанно http://opennet.ru/docs/RUS/iptables/#PID-OWNERTXT

pid-owner и sid-owner тоже давно выкинули, кстати.

nnz (09.08.2010 23:37:26)

> использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

повесить прохождение пакета на CAPS lock

cvs-255 (09.08.2010 23:57:46)

как так? Вот уроды.

Flaming (10.08.2010 0:13:19)

А какие могут противоречия возникать с SMP?

а для мандатного контроля доступа что нужно? selinux? или что-то ещё?

Flaming (10.08.2010 0:18:02)

>А какие могут противоречия возникать с SMP?

Хз. В общем, они не захотели, как openbsd'шники, пакеты только на одном процессорном ядре фильтровать.

>а для мандатного контроля доступа что нужно? selinux?

SELinux — продвинутый контроль, с портами.
AppArmor — тупо разрешить/запретить TCP/UDP/ICMP/raw.

nnz (10.08.2010 0:56:02)

Ядро медленно но верно обрастает свистоперделками :) Что у нас там дальше ? Выезд лотка CD-привода при приходе пакета с определённой сигнатурой ?

sS (10.08.2010 1:46:44)

дык ляпота же - ломится кто-то и тут машина начинает моргать лампочками, хлопать приводом, пищать спикером и с экрана кричать большими буквами:"БЕДА!БЕДА!"
^_^

megabaks (10.08.2010 1:59:43)

>повесить прохождение пакета на CAPS lock

Ну да, капс лок включен - пропускаем пакеты. И наоборот.

tensai_cirno (10.08.2010 2:16:17)

>Улучшена поддержка протокола SAP2PP...

Прикольно, протокола еще не написали, а правиа состряпали, )))

>дык ляпота же - ломится кто-то и тут машина начинает моргать лампочками,

Кто на это смотреть будет если серверная месяцами на ключ заперта да ещю и на сигнализации стоить ? Ну и клавиатур там соответственно как бы одна на всех да и та в шкафу лежит на аварийный случай...

PS: Походу пришла идея прилинковать /dev/dsp к регулятору оборотов вентиля :) (вывод /dev/dsp через спикер уже был в древних ядрах...)

sS (10.08.2010 2:31:47)

По реакции на LED узнаваем контингент ЛОРа - админы локалхостов, приходящие в неподдельный восторг, когда где-то в необычном месте что-то моргает не так как у всех.