LINUX.ORG.RU

iptables 1.4.5

 , , ,


0

0

В минувший понедельник вышла новая версия iptables — интерфейса к Linux-файрволу netfilter.

В числе новшеств:

  • Поддержка новых возможностей ядра 2.6.31.
  • Возможность указания нескольких IP-адресов или подсетей в параметрах -s и -d.
  • Поддержка опции queue-balance для действия NFQUEUE.
  • Ряд исправлений в man-страницах.

Скачать

>>> ChangeLog

★★★★

Проверено: Shaman007 ()
Позитивно
af5 ★★★★★
()
>Возможность указания нескольких IP-адресов или подсетей в параметрах -s и -d.

отлично

leave ★★★★★
()
Ответ на: комментарий от hizel
кстати, чайниковский вопрос
как в ipfw натить pptp для разных сессий
для iptables однако модуль и я совершенно не в курсе, как он работает
madcore ★★★★★
()
> Возможность указания нескольких IP-адресов или подсетей в параметрах -s и -d.

да, это просто революция! еще 21 столетие не закончилось!
val-amart ★★★★★
()
Ответ на: комментарий от val-amart
> Возможность указания нескольких IP-адресов или подсетей в параметрах -s и -d.

А кто мешал до этого указать несколько адресов???

atol
()
Ответ на: комментарий от madcore
я извините pptp не встречался и ваш вопрос не понял
вы имеете ввиду линуксовый вариант nat - MASQUERADE ?
hizel ★★★★★
()
Ответ на: комментарий от hizel
Нет, там этого недостаточно, пройдетет только одно соединение.
Сам честно говоря не разбирался, как оно должно работать с gre-пакетами pptp-траика, просто есть модули типа nf_conntrack_pptp и оно само работает. А как под ipfw замутить?
madcore ★★★★★
()
Отличная новость, спасибо! Интересно, совместимость с iproute2 не поламалась ли? А то ж там iproute2 мог вызывать действия с iptables.
azure ★★
()
Ответ на: комментарий от madcore
natd точно из коробки пропускает через себя любое кол-во gre , об этом намекает /etc/libalias.conf, а так как kernel nat построен на той же библиотеке, то и у него должно быть нормально

у меня клиенты не жалобились
hizel ★★★★★
()
Ответ на: комментарий от madcore
>Думаю, ей пора взяться за pf

Лучше за netgraph

KblCb ★★★★★
()
Ответ на: комментарий от Sylvia
>Патрик не собирает с *i686*

Это-то я знаю. Просто может быть какой-нибудь очередной неофициальный клон или форк на манер Zenwalk'а.

KblCb ★★★★★
()
Ответ на: комментарий от atol
>А кто мешал до этого указать несколько адресов???

А как раньше это делалось? Теперь, если я правильно понял исходники, можно написать "iptables -s 127.0.0.1/8,10.0.0.0/8 -j ACCEPT" и в ядро добавится два правила:

-s 127.0.0.1/8 j ACCEPT
-s 10.0.0.0/8 -j ACCEPT

Видимо так удобнее добавлять правила...
mky ★★★★★
()
Ответ на: комментарий от Sylvia
>уже три дня как )

красноглазые гентушники такие красноглазые....

leave ★★★★★
()
Ответ на: комментарий от KblCb
>Просто может быть какой-нибудь очередной ...

да, в ~/NAS/slackware/local

;)
Sylvia ★★★★★
()
Ответ на: комментарий от hizel
><troll>
>не нужен!

>жду когда студентка допилит ipfw для линупса

></troll>


Какой-то уж больно светловолосый у вас троллинг ;)
nnz ★★★★
() автор топика
Ответ на: комментарий от mky
>Теперь, если я правильно понял исходники, можно написать "iptables -s 127.0.0.1/8,10.0.0.0/8 -j ACCEPT" и в ядро добавится два правила:

Открою вам страшную тайну: даже раньше, если вы писали, скажем, -s ya.ru -j ACCEPT, то в ядро добавлялись правила для всех айпшников, в которые резольвится ya.ru.

В качестве познавательного упражнения рекомендую попробовать одновременно указать «многоайпишниковые» домены сразу в -s и -d ;)

А вообще Ъ-админы, когда нужно одно правило на много айпишников, юзают ipset.
nnz ★★★★
() автор топика
Ответ на: комментарий от ostin
>Нда, главное, что оперативно новость запостили, недели не прошло)

В sid до сих пор 1.4.4. Так что еще никто никуда не опоздал ;)
nnz ★★★★
() автор топика
Ответ на: комментарий от Deleted
>а про nftables что нибудь слышно?

По моим наблюдениям, проект скорее мертв, чем жив :(
nnz ★★★★
() автор топика
Ответ на: комментарий от Slackware_user
> у него по-крайней мере синтаксис интуитивнее при тех же возможностях.

Сразу понятно, что слакварщики ничего не понимают в iptables
AnDoR ★★★★★
()
Ответ на: комментарий от Slackware_user
>Перл для PC гораздо уместнее [чем ассемблер]
>У него по крайней мере синтаксис понятнее при тех же возможностях.


Обожаю подобные заявления!

Давайте подождем, пока какая-нибудь студентка создаст комп, у которого в качестве ассемблера будет перл! :D
nnz ★★★★
() автор топика
Ответ на: комментарий от Deleted
>а про nftables что нибудь слышно?

Уточняю: автор походу на него забил. Последний коммит полтора месяца назад.
Все подробности этой драматичной истории здесь: http://git.netfilter.org/cgi-bin/gitweb.cgi?p=nftables.git;a=summary
nnz ★★★★
() автор топика
Ответ на: комментарий от ostin
>Интуитивный синтаксис - это shorewall, arno-iptables-firewall, etc.
fixd
nnz ★★★★
() автор топика
Ответ на: комментарий от Sylvia
>уже три дня как )

А как там насчет udplite? Порты уже указывать можно?
Беглый взгляд по сорцам показал отсутствие прогресса айпистолов в этом направлении, хотя в ядре (конкретно в нетфилтере) прогресс есть.
nnz ★★★★
() автор топика
>Поддержка новых возможностей ядра 2.6.31

кто скажет - что именно имеется в виду?
Pronin ★★★★
()
а ченджлог-то недлинный... это свидетельство совершенства?
Pronin ★★★★
()
>Возможность указания нескольких IP-адресов или подсетей в параметрах -s и -d.

Хорошо. Ещё бы сделали возможность указания нескольких протоколов в параметре -p, было бы вообще замечательно, а то дублировать правила для tcp и udp например как-то не вставляет.

Diffor
()
Ответ на: комментарий от anonymous
Например для DNS:
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

ИМХО было бы удобнее:
iptables -A INPUT -p tcp,udp --dport 53 -j ACCEPT
Diffor
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.