LINUX.ORG.RU
 
RaySlava

Релиз iptables 1.4.9


0

0

Cостоялся релиз iptables 1.4.9, в котором реализована полная совместимость с ядром 2.6.35.

Из других улучшений:

  • Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.
  • Добавлена поддержка действия TEE, позволяющего выполнять дублирование определенного трафика на заданный хост. Ранее это действие было доступно только в комплекте xtables-addons.
  • Добавлена возможность логического отрицания в критерии quota, что упрощает обработку пакетов, выходящих за рамки квоты.
  • Улучшена поддержка протокола SCTP: добавлено распознавание типа секции (chunk) FORWARD_TSN и флага SACK-IMMEDIATELY в DATA-секции.
  • Как всегда, исправлен ряд мелких ошибок в коде и документации.

Примеры применения новых возможностей можно посмотреть на opennet: http://www.opennet.ru/opennews/art.shtml?num=27513

>>> Подробности

ЗАСТАВЬ КОМПЬЮТЕР ПОЛИВАТЬ ОГОРОД

автоматизация своими руками: электроприборы под контролем компьютера
beware of programmers who carry screwdrivers!
http://www.unicontrollers.com/products/unc01x

1 2
[#] Ответ на: комментарий от nnz 10.08.2010 0:56:02  

>Хз. В общем, они не захотели, как openbsd'шники, пакеты только на одном процессорном ядре фильтровать.

ffmpeg дубль два? хотя ффмпег вроде научится таки многовёдерности

anonymous ()
[#] Ответ на: комментарий от testuser123 09.08.2010 22:02:49  

>этим может занятся selinux, пиши политики.

о, спасибо. теперь есть практический повод заняться selinux'ом.

быстрый вопрос - на серваке есть торрентокачалка (Deluge). Хочется, чтобы он мог открывать порты для приёма по своему усмотрения. Но, естественно, чтобы мог это делать только Deluge. На данный момент в Deluge указан один конкретный порт и он открыт через iptables. Всё вроде и так работает, но есть желание не прибивать ничего гвоздями. И разрешить Делюге, и только Делюге, открывать произвольные порты на прием. Это реально селинуксом сделать?

anonymous ()
[#] Ответ на: комментарий от anonymous 10.08.2010 7:04:51  
Gordon01

как-то тоже мучался с этим.

ппц, светодиоды сделали, а такой, обычной функциональности - нет.

виндовые фаеры давно умеют, как и сама винда.

* ()
[#] Ответ на: комментарий от Atlant 06.08.2010 3:39:33  

Linux не только на десктопах. А на десктопах — да, не много.

anonymous ()
[#]  
shty

хехе, меня всегда радовали такие комментарии :)

	/* This is ugly as hell. Nonetheless, there is no way of changing
	 * this without hurting backwards compatibility */
	if ( (strcmp(name,"icmpv6") == 0) ||
	     (strcmp(name,"ipv6-icmp") == 0) ||
	     (strcmp(name,"icmp6") == 0) )
		name = icmp6;
*** ()
[#] Ответ на: комментарий от Sylvia 05.08.2010 12:15:03  
shty
>>-----Цитата---->>

только жалко что на сервере клавиатура отключена

<<-----Цитата----<<

во-первых не отключена, а висит через kvm (хотя с появление usb всё упростилось, но всё же)

во-вторых почему сразу клавиатура? серверы порой круче новогодней ёлки обвешаны светодиодами

*** ()
[#] Ответ на: комментарий от Flaming 09.08.2010 20:32:34  

Можно разрешить по gid отправлять пакеты в сеть. А потом через setgid или вручную через sg подставлять нужную группу. Если этого не хватит, то всегда есть QUEUE/NFQUEUE, с помощью которого в юзерспейсе можно более сложные извращения сделать.

** ()
[#]  

И чем оно лучше брендмауэра, встроенного в Windows 7 ?

anonymous ()
[#] Ответ на: комментарий от anonymous 10.08.2010 7:04:51  
nnz

>быстрый вопрос ... Это реально селинуксом сделать?

Да. В enforced strict mode.

Но проще запускать deluge от отдельного uid'а, которому разрешить выход в инет. Фильтрацию по uid'ам и gid'ам никто еще не отменял.

**** ()
[#] Ответ на: комментарий от megabaks 10.08.2010 1:59:43  
nnz

>дык ляпота же - ломится кто-то и тут машина начинает моргать лампочками, хлопать приводом, пищать спикером и с экрана кричать большими буквами:"БЕДА!БЕДА!"

Кстати, в xtables-addons есть занятная штука — действие SYSRQ. Через специально запароленные пакеты можно дергать sysrq-trigger, как через magic keys.

**** ()
[#]  

ЛОР не нужен. Все интересные новости появляются на opennet.ru гораздо раньше.

anonymous ()
[#] Ответ на: комментарий от sS 10.08.2010 2:31:47  

> (вывод /dev/dsp через спикер уже был в древних ядрах...)
В древних???
Совсем недавно его добавили.

anonymous ()
[#] Ответ на: комментарий от anonymous 10.08.2010 13:16:06  

Re: появляются на opennet.ru гораздо раньше.

Да, появляются. Но ценность ЛОРа не в новостях, а в сраче в комментах.

На opennet.ru всегда новость ради новости.

На linux.org.ru почти всегда новость ради комментариев. Без шуток. Когда я публикую новости на linux.org.ru, я всегда преследую цель получить профит от чтения срача в комментах, потому как есть на ЛОРе достаточно большое количество профессионалов, и нужно только затроллить их, чтобы получить over9000 ценных информаций. Думаю, я не один такой.

На opennet.ru такого нет. Там все умные люди всё уже сказали, и в комментариях полезной информации почти не бывает.

P.S. Справедливости ради надо сказать, что чаще тут новости имеют только цель повышения скора. Когда авторы не понимают, о чём пишут, и в результате отвратительно оформляют новость. Но такие новости обычно уже перетёрты в толксах.

anonymous ()
[#]  

> Добавлена поддержка действия TEE, позволяющего выполнять дублирование определенного трафика на заданный хост.

Как там с производительностью? Например, в сравнении с tc/iproute2 action mirred?

anonymous ()
[#] Ответ на: комментарий от Flaming 09.08.2010 23:09:32  

>Хотя у меня Gentoo.

А вот тогда я вам не завидую(у меня тоже Gentoo :-D) - под самую новую версию NuFw в которую добавили много вкусного(в том числе и GUI для удаленного управления правилами фаерволла!!!) нет ебилдов. А так как там поменялась структура системы, то простым переименованием системы ничего не решишь. Новую версию можно пощупать в виде LiveCD, который делает автор, также можно достать готовые deb-пакеты и... и собственно всё :(

*** ()
1 2
Ядро Linux