nftables 0.9.7 - торт!

0

1

Наконец можно будет не патчить ядро и iptables для пропуска нескольких правил!

В nftables-0.97 завезли конструкции вида

  table inet x {
        chain y {
             type filter hook input priority 0;
             tcp dport 22 jump {
                    ip saddr { 127.0.0.0/8, 172.23.0.0/16, 192.168.13.0/24 } accept
                    ip6 saddr ::1/128 accept;
             }
        }
  }

Теперь можно рассматривать nftables как конкурента iptables.

Правда не совсем понятно нужно ли для этого ядро >= 5.10-rc1

Ссылка

←	А есть видео/аудио с хорошим украинским языком, как в примере?

Отделяете ли вы рабочее от личного?

→

А в чём суть фичи? Не понял, что именно завезли.

intelfx ★★★★★
(29.10.20 18:14:52 MSK)

Ответ на: комментарий от intelfx 29.10.20 18:14:52 MSK

Анонимные цепочки. Один раз проверяем условие

tcp dport 22 jump

а потом несколько действий

   {
     ip saddr { 127.0.0.0/8, 172.23.0.0/16, 192.168.13.0/24 } accept
     ip6 saddr ::1/128 accept;
   }

Сейчас нужно в явном виде создать именнованую цепочку

iptables -N XX1
iptables -A ... -p tcp --dport 22 -j XX1
iptables -A XX1 .....

Даже на подправленном ядре и iptables это делать очень неудобно.

У меня есть хак, который умеет пропускать N следующих правил.

Например Если tcp && dport != 22, то 3 следующих правила пропускаем.

iptables -A ... -p tcp ! --dport 22 -g +3
iptables -A ... -j LOG
iptables -A ... -j SET --add-set xxx src
iptables -A ... -j ACCEPT

При изменении нужно быть ооочень аккуратным.

vel ★★★★★
(29.10.20 19:35:45 MSK) автор топика

Ответ на: комментарий от vel 29.10.20 19:35:45 MSK

никогда не было подобных проблем. просто потому что сначала проектирую, создаю цепочки, а потом уже наполняю правилами.

~~Rost~~ ★★★★★
(30.10.20 00:31:30 MSK)

Ссылка

Ответ на: комментарий от vel 29.10.20 19:35:45 MSK

Вот это нифига себе. У меня где-то валяется недописанный костыль-препроцессор над nft, который добавляет в него условные операторы и вложенные блоки (генерируя именованные цепочки для каждого блока). Получается, можно выкидывать?

intelfx ★★★★★
(30.10.20 00:57:38 MSK)
Последнее исправление: intelfx 30.10.20 00:58:13 MSK (всего исправлений: 1)

Ответ на: комментарий от intelfx 30.10.20 00:57:38 MSK

да

zl0y ★
(30.10.20 20:42:35 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	А есть видео/аудио с хорошим украинским языком, как в примере?

Talks

Отделяете ли вы рабочее от личного?

→

Похожие темы