LINUX.ORG.RU
НовостиЯдро Linux

Релиз iptables 1.4.9

 , ,


0

0

Cостоялся релиз iptables 1.4.9, в котором реализована полная совместимость с ядром 2.6.35.

Из других улучшений:

  • Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.
  • Добавлена поддержка действия TEE, позволяющего выполнять дублирование определенного трафика на заданный хост. Ранее это действие было доступно только в комплекте xtables-addons.
  • Добавлена возможность логического отрицания в критерии quota, что упрощает обработку пакетов, выходящих за рамки квоты.
  • Улучшена поддержка протокола SCTP: добавлено распознавание типа секции (chunk) FORWARD_TSN и флага SACK-IMMEDIATELY в DATA-секции.
  • Как всегда, исправлен ряд мелких ошибок в коде и документации.

Примеры применения новых возможностей можно посмотреть на opennet: http://www.opennet.ru/opennews/art.shtml?num=27513

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: Shaman007 (всего исправлений: 3)

1 2
Ответ на: комментарий от nnz

>Хз. В общем, они не захотели, как openbsd'шники, пакеты только на одном процессорном ядре фильтровать.

ffmpeg дубль два? хотя ффмпег вроде научится таки многовёдерности

anonymous
()
Ответ на: комментарий от testuser123

>этим может занятся selinux, пиши политики.

о, спасибо. теперь есть практический повод заняться selinux'ом.

быстрый вопрос - на серваке есть торрентокачалка (Deluge). Хочется, чтобы он мог открывать порты для приёма по своему усмотрения. Но, естественно, чтобы мог это делать только Deluge. На данный момент в Deluge указан один конкретный порт и он открыт через iptables. Всё вроде и так работает, но есть желание не прибивать ничего гвоздями. И разрешить Делюге, и только Делюге, открывать произвольные порты на прием. Это реально селинуксом сделать?

anonymous
()
Ответ на: комментарий от anonymous

как-то тоже мучался с этим.

ппц, светодиоды сделали, а такой, обычной функциональности - нет.

виндовые фаеры давно умеют, как и сама винда.

Gordon01 ★★
()
Ответ на: комментарий от Atlant

Linux не только на десктопах. А на десктопах — да, не много.

anonymous
()

хехе, меня всегда радовали такие комментарии :)

	/* This is ugly as hell. Nonetheless, there is no way of changing
	 * this without hurting backwards compatibility */
	if ( (strcmp(name,"icmpv6") == 0) ||
	     (strcmp(name,"ipv6-icmp") == 0) ||
	     (strcmp(name,"icmp6") == 0) )
		name = icmp6;
shty ★★★★★
()
Ответ на: комментарий от Sylvia

только жалко что на сервере клавиатура отключена

во-первых не отключена, а висит через kvm (хотя с появление usb всё упростилось, но всё же)

во-вторых почему сразу клавиатура? серверы порой круче новогодней ёлки обвешаны светодиодами

shty ★★★★★
()
Ответ на: комментарий от Flaming

Можно разрешить по gid отправлять пакеты в сеть. А потом через setgid или вручную через sg подставлять нужную группу. Если этого не хватит, то всегда есть QUEUE/NFQUEUE, с помощью которого в юзерспейсе можно более сложные извращения сделать.

kmeaw ★★★
()

И чем оно лучше брендмауэра, встроенного в Windows 7 ?

anonymous
()
Ответ на: комментарий от anonymous

>быстрый вопрос ... Это реально селинуксом сделать?

Да. В enforced strict mode.

Но проще запускать deluge от отдельного uid'а, которому разрешить выход в инет. Фильтрацию по uid'ам и gid'ам никто еще не отменял.

nnz ★★★★
()
Ответ на: комментарий от megabaks

>дык ляпота же - ломится кто-то и тут машина начинает моргать лампочками, хлопать приводом, пищать спикером и с экрана кричать большими буквами:«БЕДА!БЕДА!»

Кстати, в xtables-addons есть занятная штука — действие SYSRQ. Через специально запароленные пакеты можно дергать sysrq-trigger, как через magic keys.

nnz ★★★★
()

ЛОР не нужен. Все интересные новости появляются на opennet.ru гораздо раньше.

anonymous
()
Ответ на: комментарий от sS

(вывод /dev/dsp через спикер уже был в древних ядрах...)

В древних???
Совсем недавно его добавили.

anonymous
()
Ответ на: комментарий от anonymous

Да, появляются. Но ценность ЛОРа не в новостях, а в сраче в комментах.

На opennet.ru всегда новость ради новости.

На linux.org.ru почти всегда новость ради комментариев. Без шуток. Когда я публикую новости на linux.org.ru, я всегда преследую цель получить профит от чтения срача в комментах, потому как есть на ЛОРе достаточно большое количество профессионалов, и нужно только затроллить их, чтобы получить over9000 ценных информаций. Думаю, я не один такой.

На opennet.ru такого нет. Там все умные люди всё уже сказали, и в комментариях полезной информации почти не бывает.

P.S. Справедливости ради надо сказать, что чаще тут новости имеют только цель повышения скора. Когда авторы не понимают, о чём пишут, и в результате отвратительно оформляют новость. Но такие новости обычно уже перетёрты в толксах.

anonymous
()

> Добавлена поддержка действия TEE, позволяющего выполнять дублирование определенного трафика на заданный хост.

Как там с производительностью? Например, в сравнении с tc/iproute2 action mirred?

anonymous
()
Ответ на: комментарий от Flaming

>Хотя у меня Gentoo.

А вот тогда я вам не завидую(у меня тоже Gentoo :-D) - под самую новую версию NuFw в которую добавили много вкусного(в том числе и GUI для удаленного управления правилами фаерволла!!!) нет ебилдов. А так как там поменялась структура системы, то простым переименованием системы ничего не решишь. Новую версию можно пощупать в виде LiveCD, который делает автор, также можно достать готовые deb-пакеты и... и собственно всё :(

Pinkbyte ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Ядро Linux