LINUX.ORG.RU

iptables 1.4.5

 , , ,


0

0

В минувший понедельник вышла новая версия iptables — интерфейса к Linux-файрволу netfilter.

В числе новшеств:

  • Поддержка новых возможностей ядра 2.6.31.
  • Возможность указания нескольких IP-адресов или подсетей в параметрах -s и -d.
  • Поддержка опции queue-balance для действия NFQUEUE.
  • Ряд исправлений в man-страницах.

Скачать

>>> ChangeLog

★★★★

Проверено: Shaman007 ()

Re: iptables 1.4.5

Позитивно

af5 ★★★★★ ()

Re: iptables 1.4.5

>Возможность указания нескольких IP-адресов или подсетей в параметрах -s и -d.

отлично

leave ★★★★★ ()
Ответ на: Re: iptables 1.4.5 от dreamer

Re: iptables 1.4.5

Чего его там собирать - пара минут =)

Обновился

VarLog ()
Ответ на: Re: iptables 1.4.5 от hizel

Re: iptables 1.4.5

кстати, чайниковский вопрос
как в ipfw натить pptp для разных сессий
для iptables однако модуль и я совершенно не в курсе, как он работает

madcore ★★★★★ ()

Re: iptables 1.4.5

> Возможность указания нескольких IP-адресов или подсетей в параметрах -s и -d.

да, это просто революция! еще 21 столетие не закончилось!

val-amart ★★★★★ ()
Ответ на: Re: iptables 1.4.5 от val-amart

Re: iptables 1.4.5

> Возможность указания нескольких IP-адресов или подсетей в параметрах -s и -d.

А кто мешал до этого указать несколько адресов???

atol ()
Ответ на: Re: iptables 1.4.5 от madcore

Re: iptables 1.4.5

я извините pptp не встречался и ваш вопрос не понял
вы имеете ввиду линуксовый вариант nat - MASQUERADE ?

hizel ★★★★★ ()
Ответ на: Re: iptables 1.4.5 от hizel

Re: iptables 1.4.5

Нет, там этого недостаточно, пройдетет только одно соединение.
Сам честно говоря не разбирался, как оно должно работать с gre-пакетами pptp-траика, просто есть модули типа nf_conntrack_pptp и оно само работает. А как под ipfw замутить?

madcore ★★★★★ ()

Re: iptables 1.4.5

Отличная новость, спасибо! Интересно, совместимость с iproute2 не поламалась ли? А то ж там iproute2 мог вызывать действия с iptables.

azure ★★ ()
Ответ на: Re: iptables 1.4.5 от madcore

Re: iptables 1.4.5

natd точно из коробки пропускает через себя любое кол-во gre , об этом намекает /etc/libalias.conf, а так как kernel nat построен на той же библиотеке, то и у него должно быть нормально

у меня клиенты не жалобились

hizel ★★★★★ ()
Ответ на: Re: iptables 1.4.5 от madcore

Re: iptables 1.4.5

>Думаю, ей пора взяться за pf

Лучше за netgraph

KblCb ★★★★★ ()
Ответ на: Re: iptables 1.4.5 от Sylvia

Re: iptables 1.4.5

>Патрик не собирает с *i686*

Это-то я знаю. Просто может быть какой-нибудь очередной неофициальный клон или форк на манер Zenwalk'а.

KblCb ★★★★★ ()
Ответ на: Re: iptables 1.4.5 от atol

Re: iptables 1.4.5

>А кто мешал до этого указать несколько адресов???

А как раньше это делалось? Теперь, если я правильно понял исходники, можно написать "iptables -s 127.0.0.1/8,10.0.0.0/8 -j ACCEPT" и в ядро добавится два правила:

-s 127.0.0.1/8 j ACCEPT
-s 10.0.0.0/8 -j ACCEPT

Видимо так удобнее добавлять правила...

mky ★★★★★ ()
Ответ на: Re: iptables 1.4.5 от Sylvia

Re: iptables 1.4.5

>уже три дня как )

красноглазые гентушники такие красноглазые....

leave ★★★★★ ()
Ответ на: Re: iptables 1.4.5 от KblCb

Re: iptables 1.4.5

>Просто может быть какой-нибудь очередной ...

да, в ~/NAS/slackware/local

;)

Sylvia ★★★★★ ()
Ответ на: Re: iptables 1.4.5 от hizel

Re: iptables 1.4.5

><troll>
>не нужен!

>жду когда студентка допилит ipfw для линупса

></troll>


Какой-то уж больно светловолосый у вас троллинг ;)

nnz ★★★★ ()
Ответ на: Re: iptables 1.4.5 от mky

Re: iptables 1.4.5

>Теперь, если я правильно понял исходники, можно написать "iptables -s 127.0.0.1/8,10.0.0.0/8 -j ACCEPT" и в ядро добавится два правила:

Открою вам страшную тайну: даже раньше, если вы писали, скажем, -s ya.ru -j ACCEPT, то в ядро добавлялись правила для всех айпшников, в которые резольвится ya.ru.

В качестве познавательного упражнения рекомендую попробовать одновременно указать «многоайпишниковые» домены сразу в -s и -d ;)

А вообще Ъ-админы, когда нужно одно правило на много айпишников, юзают ipset.

nnz ★★★★ ()
Ответ на: Re: iptables 1.4.5 от ostin

Re: iptables 1.4.5

>Нда, главное, что оперативно новость запостили, недели не прошло)

В sid до сих пор 1.4.4. Так что еще никто никуда не опоздал ;)

nnz ★★★★ ()
Ответ на: Re: iptables 1.4.5 от Deleted

Re: iptables 1.4.5

>а про nftables что нибудь слышно?

По моим наблюдениям, проект скорее мертв, чем жив :(

nnz ★★★★ ()
Ответ на: Re: iptables 1.4.5 от hizel

Re: iptables 1.4.5

pf для линукса был бы гораздо уместнее.

у него по-крайней мере синтаксис интуитивнее при тех же возможностях.

Slackware_user ★★★★★ ()
Ответ на: Re: iptables 1.4.5 от Slackware_user

Re: iptables 1.4.5

> у него по-крайней мере синтаксис интуитивнее при тех же возможностях.

Сразу понятно, что слакварщики ничего не понимают в iptables

AnDoR ★★★★★ ()
Ответ на: Re: iptables 1.4.5 от AnDoR

Re: iptables 1.4.5

>Сразу понятно, что слакварщики ничего не понимают в iptables

Интуитивный синтаксис - это плюс.

ostin ★★★★★ ()
Ответ на: Re: iptables 1.4.5 от anonymous

Re: iptables 1.4.5

Ну может это модули ядра, или патчи на ядро :)

farafonoff ★★ ()
Ответ на: Re: iptables 1.4.5 от Slackware_user

Re: iptables 1.4.5

>Перл для PC гораздо уместнее [чем ассемблер]
>У него по крайней мере синтаксис понятнее при тех же возможностях.


Обожаю подобные заявления!

Давайте подождем, пока какая-нибудь студентка создаст комп, у которого в качестве ассемблера будет перл! :D

nnz ★★★★ ()
Ответ на: Re: iptables 1.4.5 от Deleted

Re: iptables 1.4.5

>а про nftables что нибудь слышно?

Уточняю: автор походу на него забил. Последний коммит полтора месяца назад.
Все подробности этой драматичной истории здесь: http://git.netfilter.org/cgi-bin/gitweb.cgi?p=nftables.git;a=summary

nnz ★★★★ ()
Ответ на: Re: iptables 1.4.5 от ostin

Re: iptables 1.4.5

>Интуитивный синтаксис - это shorewall, arno-iptables-firewall, etc.
fixd

nnz ★★★★ ()
Ответ на: Re: iptables 1.4.5 от Sylvia

Re: iptables 1.4.5

>уже три дня как )

А как там насчет udplite? Порты уже указывать можно?
Беглый взгляд по сорцам показал отсутствие прогресса айпистолов в этом направлении, хотя в ядре (конкретно в нетфилтере) прогресс есть.

nnz ★★★★ ()

Re: iptables 1.4.5

>Поддержка новых возможностей ядра 2.6.31

кто скажет - что именно имеется в виду?

Pronin ★★★★ ()

Re: iptables 1.4.5

а ченджлог-то недлинный... это свидетельство совершенства?

Pronin ★★★★ ()

Re: iptables 1.4.5

>Возможность указания нескольких IP-адресов или подсетей в параметрах -s и -d.

Хорошо. Ещё бы сделали возможность указания нескольких протоколов в параметре -p, было бы вообще замечательно, а то дублировать правила для tcp и udp например как-то не вставляет.

Diffor ()
Ответ на: Re: iptables 1.4.5 от Diffor

Re: iptables 1.4.5

И в каких же это случаях необходимо именно _дублировать_ правила для TCP и UDP?

anonymous ()
Ответ на: Re: iptables 1.4.5 от anonymous

Re: iptables 1.4.5

Например для DNS:
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

ИМХО было бы удобнее:
iptables -A INPUT -p tcp,udp --dport 53 -j ACCEPT

Diffor ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.