LINUX.ORG.RU

Релиз iptables 1.4.9

 , ,


0

0

Cостоялся релиз iptables 1.4.9, в котором реализована полная совместимость с ядром 2.6.35.

Из других улучшений:

  • Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.
  • Добавлена поддержка действия TEE, позволяющего выполнять дублирование определенного трафика на заданный хост. Ранее это действие было доступно только в комплекте xtables-addons.
  • Добавлена возможность логического отрицания в критерии quota, что упрощает обработку пакетов, выходящих за рамки квоты.
  • Улучшена поддержка протокола SCTP: добавлено распознавание типа секции (chunk) FORWARD_TSN и флага SACK-IMMEDIATELY в DATA-секции.
  • Как всегда, исправлен ряд мелких ошибок в коде и документации.

Примеры применения новых возможностей можно посмотреть на opennet: http://www.opennet.ru/opennews/art.shtml?num=27513

>>> Подробности

Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Забавная фича =).

Deleted ()

Хм. Добавить бы это в новость про ядро, было бы полнее

darkshvein ☆☆ ()
Ответ на: комментарий от Deleted

Ога, клёво бы было светодиоды на клаве приспособить под сетевую активность.

darkshvein ☆☆ ()

>Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

О, давно мечтал о чём-то подобном. :)

AX ★★★★★ ()
Ответ на: комментарий от Deleted

только жалко что на сервере клавиатура отключена

Sylvia ★★★★★ ()

>Добавлена поддержка действия TEE, позволяющего выполнять зеркалирование определенного трафика на заданный хост. Ранее это действие было доступно только в комплекте xtables-addons.

Давно мечтал о таком.

emaxx ★★ ()
Ответ на: комментарий от emaxx

>Давно мечтал о таком.

Оно уже несколько лет как в xtables-addons.

nnz ★★★★ ()

> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Класс!! Теперь можно будет на HTC-шном смарте видеть, когда кто-то в инет лезет )))
Рад за обладателей похаченых Android-девайсов, они такое поставить на раз-два смогут.

Magister2k7 ()
Ответ на: комментарий от darkshvein

Это уже давно есть, если только для сетевого трафика.
Называется tleds

CyberTribe ★★ ()

SCTP

Как много программ его могут применять?

Atlant ★★★★★ ()

> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Неимоверно круто. Лампочками на клавиатуре мигать сможет?)

melkor217 ★★★★★ ()
Ответ на: комментарий от Sylvia

> только жалко что на сервере клавиатура отключена

У кого отключена, а у кого и на стенке висит %)

// Хотя, на самом, деле хотелось снять. Она вызывала слишком много вопросов.

melkor217 ★★★★★ ()
Ответ на: комментарий от Atlant

SCTP

Как много программ его могут применять?

Да даже, если и одна --- фичу-то уже написали, махать кулаками бессмысленно.

RaySlava ()
Ответ на: комментарий от CyberTribe

Ээ,добавить в новость надо было, новость про ядро была бы полнее, я хотел сказать

darkshvein ☆☆ ()
Ответ на: комментарий от darkshvein

Я вот на это отвечал:

Ога, клёво бы было светодиоды на клаве приспособить под сетевую активность.

CyberTribe ★★ ()

>Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Я одного не понимаю, почему ряд полезных фич из xtables-addons не портируют в основную ветку, а добавляют всякий шлак?

gh0stwizard ★★★★★ ()
Ответ на: комментарий от darkshvein

>Ога, клёво бы было светодиоды на клаве приспособить под сетевую активность.

Клавиатурные оно похоже не подцепит, проверяйте у себя /sys/class/leds/

anonymous ()

Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.


А для бипера версия есть? хочу морзяночку.

splinter ★★★★★ ()

Класс. Особенно LED, теперь можно будет видеть когда ломятся в систему.

BliecanBag ()

>>Добавлена возможность логического отрицания в критерии quota

Вроде бы quota был отключен когда-то из-за проблем на многоядерных процессорах? Снова включили?

wdtae ()
Ответ на: комментарий от anonymous

> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Прикольно. Уже компиляю.

root@cr2:~# ls /sys/class/leds/

ls: cannot access /sys/class/leds/: No such file or directory



:-(

drull ★☆☆☆ ()

>Улучшена поддержка протокола SCTP

В принципе хорошо, но:
1. Не встречал ни одной программы, способной его использовать
2. Такие программы не скоро появятся т.к. винда его по сей день не поддерживает.

Deleted ()

А он уже умеет создавать правила по приложению, которое запущено?

Например запретить всем выходить в интернеты, кроме браузера, wget, jabber-клиента, ну и ещё пары вещей?

Flaming ★★ ()

знаю, что может по PID различать программы и запрещать/разрешать им что-то - но это костыльно и запутанно http://opennet.ru/docs/RUS/iptables/#PID-OWNERTXT

Неужели нельзя напрямую, по названию программы, или по полному пути типа /usr/bin/firefox ?

Flaming ★★ ()
Ответ на: комментарий от Flaming

А где в сетевом пакете поле, содержащее имя отправившей пакет программы?

hc ()
Ответ на: комментарий от hc

Ну если это не пересылающийся пакет, то в skbuf есть указатель на процесс.

wieker ★★ ()
Ответ на: комментарий от hc

Там есть PID =)

Ну и вообще, вендовые файрволлы обладают почему-то такой функциональностью. Как они это делают - в подробности не вдавался. Но думаю, что по PID легко можно узнать и имя программы, и уже этим как-то пользоваться.

Flaming ★★ ()
Ответ на: комментарий от wieker

Это будет работать только в OUTPUT, разве нет? Сколько видел МСЭ - везде OUTPUT пустой. ЧЯДНТ?

hc ()

морально устаревшая, нечеловечески низкоуровневая архитектура. хотя, гибкая надо думать, учитывая кол-во критериев для matching'а.

и да, определение трафика «от такой-то команды» там таки работает?

anonymous ()
Ответ на: комментарий от anonymous

Работает, но только на локальной машине. А на локальной машине МСЭ не нужен - он на шлюзе нужен или на сервере. На машинки хомячков ломиться никто не будет, да и нат там, а до рабочих мест тем более не достатьиз-за грамотного маршрутизатора

hc ()
Ответ на: комментарий от Flaming

Ну и вообще, вендовые файрволлы обладают почему-то такой функциональностью. Как они это делают - в подробности не вдавался. Но думаю, что по PID легко можно узнать и имя программы, и уже этим как-то пользоваться.

этим может занятся selinux, пиши политики. Если лень заморачиваться есть тема запускать приклад под своим пользователем, тогда есть флаг

-m owner –cmd-owner uid

testuser123 ()
Ответ на: комментарий от anonymous

> определение трафика «от такой-то команды» там таки работает?

Давно уже нет.

tailgunner ★★★★★ ()
Ответ на: комментарий от Sylvia

> только жалко что на сервере клавиатура отключена

Можно попробывать воткнуть USB-шный светодиодный фонарик.. А если ещё воткнуть USB-шный китайский вентилятор то за сетевой активностью можно следить по потоку ветра! На вопрос «чего у тебя такой гул от вентилятора?» можно смело резать правду-матку что это хтота с директорского кабинета порно льёт!

Deleted ()
Ответ на: комментарий от Flaming

>Ну и вообще, вендовые файрволлы обладают почему-то такой функциональностью. Как они это делают - в подробности не вдавался. Но думаю, что по PID легко можно узнать и имя программы, и уже этим как-то пользоваться.

Осильте пожалста NuFw, бгом молю... там можно преспокойной сказать «приложению firefox с машины 192.168.0.1 выход в интернет разрешаю»... и накручивается на iptables легко и непринужденно... Особенно если у вас Debian

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Ммм, спасибо. Надо будет попробовать. Не знал о такой штуке.

Хотя у меня Gentoo.

Flaming ★★ ()
Ответ на: комментарий от Flaming

>А он уже умеет создавать правила по приложению, которое запущено?

Нет. Уже не умеет.
Раньше умело (было -m owner --cmd-owner), но его выкинули из-за противоречий с SMP.

Эта задача легко решается на уровне мандатного контроля доступа. Зачем городить велосипеды с потерей производительности?

nnz ★★★★ ()
Ответ на: комментарий от Flaming

>знаю, что может по PID различать программы и запрещать/разрешать им что-то - но это костыльно и запутанно http://opennet.ru/docs/RUS/iptables/#PID-OWNERTXT

pid-owner и sid-owner тоже давно выкинули, кстати.

nnz ★★★★ ()

> использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

повесить прохождение пакета на CAPS lock

cvs-255 ★★★★★ ()
Ответ на: комментарий от nnz

А какие могут противоречия возникать с SMP?

а для мандатного контроля доступа что нужно? selinux? или что-то ещё?

Flaming ★★ ()
Ответ на: комментарий от Flaming

>А какие могут противоречия возникать с SMP?

Хз. В общем, они не захотели, как openbsd'шники, пакеты только на одном процессорном ядре фильтровать.

а для мандатного контроля доступа что нужно? selinux?


SELinux — продвинутый контроль, с портами.
AppArmor — тупо разрешить/запретить TCP/UDP/ICMP/raw.

nnz ★★★★ ()

Ядро медленно но верно обрастает свистоперделками :) Что у нас там дальше ? Выезд лотка CD-привода при приходе пакета с определённой сигнатурой ?

sS ★★★★★ ()
Ответ на: комментарий от sS

дык ляпота же - ломится кто-то и тут машина начинает моргать лампочками, хлопать приводом, пищать спикером и с экрана кричать большими буквами:«БЕДА!БЕДА!»
^_^

megabaks ★★★★ ()
Ответ на: комментарий от cvs-255

>повесить прохождение пакета на CAPS lock

Ну да, капс лок включен - пропускаем пакеты. И наоборот.

tensai_cirno ★★★★★ ()

>Улучшена поддержка протокола SAP2PP...

Прикольно, протокола еще не написали, а правиа состряпали, )))

anonymous ()
Ответ на: комментарий от megabaks

>дык ляпота же - ломится кто-то и тут машина начинает моргать лампочками,

Кто на это смотреть будет если серверная месяцами на ключ заперта да ещю и на сигнализации стоить ? Ну и клавиатур там соответственно как бы одна на всех да и та в шкафу лежит на аварийный случай...

PS: Походу пришла идея прилинковать /dev/dsp к регулятору оборотов вентиля :) (вывод /dev/dsp через спикер уже был в древних ядрах...)

sS ★★★★★ ()

По реакции на LED узнаваем контингент ЛОРа - админы локалхостов, приходящие в неподдельный восторг, когда где-то в необычном месте что-то моргает не так как у всех.

m00n ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.