LINUX.ORG.RU

iptables 1.4.5

 , , ,


0

0

В минувший понедельник вышла новая версия iptables — интерфейса к Linux-файрволу netfilter.

В числе новшеств:

  • Поддержка новых возможностей ядра 2.6.31.
  • Возможность указания нескольких IP-адресов или подсетей в параметрах -s и -d.
  • Поддержка опции queue-balance для действия NFQUEUE.
  • Ряд исправлений в man-страницах.

Скачать

>>> ChangeLog

★★★★

Проверено: Shaman007 ()

Позитивно

af5 ★★★★★
()

>Возможность указания нескольких IP-адресов или подсетей в параметрах -s и -d.

отлично

leave ★★★★★
()
Ответ на: комментарий от hizel

кстати, чайниковский вопрос
как в ipfw натить pptp для разных сессий
для iptables однако модуль и я совершенно не в курсе, как он работает

madcore ★★★★★
()

> Возможность указания нескольких IP-адресов или подсетей в параметрах -s и -d.

да, это просто революция! еще 21 столетие не закончилось!

val-amart ★★★★★
()
Ответ на: комментарий от val-amart

> Возможность указания нескольких IP-адресов или подсетей в параметрах -s и -d.

А кто мешал до этого указать несколько адресов???

atol
()
Ответ на: комментарий от madcore

я извините pptp не встречался и ваш вопрос не понял
вы имеете ввиду линуксовый вариант nat - MASQUERADE ?

hizel ★★★★★
()
Ответ на: комментарий от hizel

Нет, там этого недостаточно, пройдетет только одно соединение.
Сам честно говоря не разбирался, как оно должно работать с gre-пакетами pptp-траика, просто есть модули типа nf_conntrack_pptp и оно само работает. А как под ipfw замутить?

madcore ★★★★★
()

Отличная новость, спасибо! Интересно, совместимость с iproute2 не поламалась ли? А то ж там iproute2 мог вызывать действия с iptables.

azure ★★
()
Ответ на: комментарий от madcore

natd точно из коробки пропускает через себя любое кол-во gre , об этом намекает /etc/libalias.conf, а так как kernel nat построен на той же библиотеке, то и у него должно быть нормально

у меня клиенты не жалобились

hizel ★★★★★
()
Ответ на: комментарий от madcore

>Думаю, ей пора взяться за pf

Лучше за netgraph

KblCb ★★★★★
()
Ответ на: комментарий от Sylvia

>Патрик не собирает с *i686*

Это-то я знаю. Просто может быть какой-нибудь очередной неофициальный клон или форк на манер Zenwalk'а.

KblCb ★★★★★
()
Ответ на: комментарий от atol

>А кто мешал до этого указать несколько адресов???

А как раньше это делалось? Теперь, если я правильно понял исходники, можно написать "iptables -s 127.0.0.1/8,10.0.0.0/8 -j ACCEPT" и в ядро добавится два правила:

-s 127.0.0.1/8 j ACCEPT
-s 10.0.0.0/8 -j ACCEPT

Видимо так удобнее добавлять правила...

mky ★★★★★
()
Ответ на: комментарий от Sylvia

>уже три дня как )

красноглазые гентушники такие красноглазые....

leave ★★★★★
()
Ответ на: комментарий от KblCb

>Просто может быть какой-нибудь очередной ...

да, в ~/NAS/slackware/local

;)

Sylvia ★★★★★
()
Ответ на: комментарий от hizel

><troll>
>не нужен!

>жду когда студентка допилит ipfw для линупса

></troll>


Какой-то уж больно светловолосый у вас троллинг ;)

nnz ★★★★
() автор топика
Ответ на: комментарий от mky

>Теперь, если я правильно понял исходники, можно написать "iptables -s 127.0.0.1/8,10.0.0.0/8 -j ACCEPT" и в ядро добавится два правила:

Открою вам страшную тайну: даже раньше, если вы писали, скажем, -s ya.ru -j ACCEPT, то в ядро добавлялись правила для всех айпшников, в которые резольвится ya.ru.

В качестве познавательного упражнения рекомендую попробовать одновременно указать «многоайпишниковые» домены сразу в -s и -d ;)

А вообще Ъ-админы, когда нужно одно правило на много айпишников, юзают ipset.

nnz ★★★★
() автор топика
Ответ на: комментарий от ostin

>Нда, главное, что оперативно новость запостили, недели не прошло)

В sid до сих пор 1.4.4. Так что еще никто никуда не опоздал ;)

nnz ★★★★
() автор топика
Ответ на: комментарий от Deleted

>а про nftables что нибудь слышно?

По моим наблюдениям, проект скорее мертв, чем жив :(

nnz ★★★★
() автор топика
Ответ на: комментарий от Slackware_user

> у него по-крайней мере синтаксис интуитивнее при тех же возможностях.

Сразу понятно, что слакварщики ничего не понимают в iptables

AnDoR ★★★★★
()
Ответ на: комментарий от Slackware_user

>Перл для PC гораздо уместнее [чем ассемблер]
>У него по крайней мере синтаксис понятнее при тех же возможностях.


Обожаю подобные заявления!

Давайте подождем, пока какая-нибудь студентка создаст комп, у которого в качестве ассемблера будет перл! :D

nnz ★★★★
() автор топика
Ответ на: комментарий от Deleted

>а про nftables что нибудь слышно?

Уточняю: автор походу на него забил. Последний коммит полтора месяца назад.
Все подробности этой драматичной истории здесь: http://git.netfilter.org/cgi-bin/gitweb.cgi?p=nftables.git;a=summary

nnz ★★★★
() автор топика
Ответ на: комментарий от ostin

>Интуитивный синтаксис - это shorewall, arno-iptables-firewall, etc.
fixd

nnz ★★★★
() автор топика
Ответ на: комментарий от Sylvia

>уже три дня как )

А как там насчет udplite? Порты уже указывать можно?
Беглый взгляд по сорцам показал отсутствие прогресса айпистолов в этом направлении, хотя в ядре (конкретно в нетфилтере) прогресс есть.

nnz ★★★★
() автор топика

>Поддержка новых возможностей ядра 2.6.31

кто скажет - что именно имеется в виду?

Pronin ★★★★
()

а ченджлог-то недлинный... это свидетельство совершенства?

Pronin ★★★★
()

>Возможность указания нескольких IP-адресов или подсетей в параметрах -s и -d.

Хорошо. Ещё бы сделали возможность указания нескольких протоколов в параметре -p, было бы вообще замечательно, а то дублировать правила для tcp и udp например как-то не вставляет.

Diffor
()
Ответ на: комментарий от anonymous

Например для DNS:
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

ИМХО было бы удобнее:
iptables -A INPUT -p tcp,udp --dport 53 -j ACCEPT

Diffor
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.