LINUX.ORG.RU

Семейство утилит iptables переведут с ip_tables на BPF

 , , ,


2

5

На конференции Netfilter Workshop разработчики сетевой подсистемы ядра Linux объявили о скором переходе ставших традиционными утилит конфигурирования netfilter (iptables, ebtables, arptables) с ядерной подсистемы ip_tables на Berkeley Packet Filter/x_tables, предоставляющей более гибкие возможности по управлению обработкой проходящих через Linux сетевых пакетов и возможно большей производительностью обработки за счёт использования JIT-компилятора.

Устаревшим утилитам будет присвоен постфикс "-legacy".

Также доступен транслятор для перевода правил iptables в синтаксис «родной» утилиты новой подсистемы ядра (nft): iptables-translate.

>>> Подробности



Проверено: Shaman007 ()

Интересно, доживём ли когда-нибудь до рабочего application-based firewall или так и будем корячиться с профилями для AppArmor и контекстами для SELinux?

dogbert ★★★★★ ()
Ответ на: комментарий от mx__

фиревалле

лепится

апп базед

Молодой человек, если вы хотели придти к логопеду, то Вы ошиблись кабинетом. Здесь ЛОР, поэтому выражайтесь пожалуйста более мемо-разборчиво.

Promusik ★★★★ ()
Ответ на: комментарий от mx__

Так давно уже перешли на firewalld.

firewalld-cmd там до сих пор выдает питоновский эксепшен если протокол или порт не указать. на мкс такой линукс никогда не возьмут.

anonymous ()

Семейство утилит iptables переведут с ip_tables на BPF

Драмы и нет практически, вот если бы с pf'ом что-нибудь подобное выкинули — то да, проблемы бы были вселенского масштаба.

anonymous ()

Правильно ли я понял, что новые iptables будут через транслятор добавлять правила bpf?

Т.е. обратная совместимость в синтаксисе сохраняется?

Tanger ★★★★★ ()

Опять все перекроят и переворошат, а почему бы не сохранить хотя-бы синтаксис тот же самый что и был, а поменять только то, что находится «под капотом»? Да и под капотом ничего менять не надо, оно отличное работает. Зачем по миллион раз переделывать то, что привычно, и что самое главное-ОТЛИЧНО РАБОТАЕТ!? Видимо проприетарщики таки поставили перед собой цель придушить оперсорс посредством насаждения там хаоса и неразберихи, у них этого конечно не получится скорее всего в конечном счете, но они очень стараются. Примерно также было с systemd, но история с systemd-гораздо более глобальная диверсия проприетарщиков против опенсорс сообщества и unix-way.

ChAnton ()
Последнее исправление: ChAnton (всего исправлений: 1)
Ответ на: комментарий от mx__

в фиревалле лепится сервис самба - он пропускает порты самбы

Для тех, кто в танке: он пропускает не «порты самбы», а просто порты с указанными номерами. А кто там на самом деле слушает - брандмауэр не волнует. Application-based - это когда пакеты из указанного порта разрешаем жрать конкретному процессу, а другим нэтЪ. Другой вопрос, что в линукс это (КМК) не особенно-то и надо, при условии, что установлены б/м проверенные приложения из б/м проверенных репозиториев, а не как в винде - кульные прожки с файлообменников. Хотя если такая фича появится - ну, жалко что ли, авось пригодится. Проприетарщину какую-нибудь запускать, которую начальство за откат продавило.

anonymous ()
Ответ на: комментарий от mx__

К примеру в фиревалле лепится сервис самба - он пропускает порты самбы. И чем ВАМ это не апп базед ?

Гасим самбу, запускаем свое приложение на портах самбы и вуаля

AVL2 ★★★★★ ()
Ответ на: комментарий от anonymous

Application-based - это когда пакеты из указанного порта разрешаем жрать конкретному процессу, а другим нэтЪ.

Выше уже отмечали: c --gid-owner можно добиться ну ровно того же самого.

anonymous ()
Ответ на: комментарий от ChAnton

доживём ли когда-нибудь до рабочего >>application->>based firewall

Зачем? Это неправильно во всех отношениях, это же не винда какая-нибудь ущербная.

Хе. Ну вот вы на своём личном кантупере контролируете, что у вас ставится. А на рабочем? Велит начальство накатить какую-то закрытую хрень - и накатите.

А оно мало ли что делает.

Вот ща модно, например, т.н. «телеметрию» слать производителю. Ладно, если оно шлет какую-то условно-полезную статистику типа «меня запустили на таком-то железе, я на ём делаю столько-то хренаций/сек, падаю с такими-то ошибками».

А если оно этой телеметрией весь канал отжирает, или шлет на сторону ваше файло?

anonymous ()
Ответ на: комментарий от anonymous

c --gid-owner можно добиться ну ровно того же самого.

Нда? --uid(gid)-owner - это же привязка к uid/gid, запустившему процесс, а не к самому процессу. Толку-то.

anonymous ()
Ответ на: комментарий от anonymous

uid/gid, запустившему процесс, а не к самому процессу. Толку-то.

В чем проблема-то? Какая цель? Что особенного позволяет добиться привязка, скажем по приложению по его пути (хэшу?), в отличие привязки по группе?

anonymous ()
Ответ на: комментарий от anonymous

--uid(gid)-owner - это же привязка к uid/gid, запустившему процесс, а не к самому процессу

В андроиде это отлично работает, например. Там у каждого приложения свой пользователь.

anonymous ()
Ответ на: комментарий от MyLittleLoli

firewalld - обертка над iptables.

Я тут глянул https://firewalld.org/documentation/concepts.html Хм. Ну видать да, но тогда вообще пофигу, допилят firewalld под эту новую шнягу а мы и не заметим, будем продолжать как обычно firewall-cmd дергать.

mx__ ★★★★ ()
Ответ на: комментарий от zgen

Опять начинают рассказывать, что тебе это не нужно.
Цель такая же, какая решается с помощью Apparmor / Selinux

Т.е. ты внятно (не «сделай как там», ага) свои желания озвучить не можешь? Тогда действительно «не нужно».

anonymous ()
Ответ на: комментарий от Tanger

ну это как компиляция одного кода под разные архитектуры\наборы инструкций. правила описанные на языке iptables при исполнении теперь компилятся не в «байткод» iptables а в «байткод» nftables

но синтаксис правил nftables существенно отличается от синтаксиса iptables, собственно рекомендуется переходить на синтаксис nftables и для облегчения задачи по портированию есть специальный конвертор( который не очень помогает со сложными правилами судя по отзывам)

Thero ★★★★★ ()
Ответ на: комментарий от zgen

Ну от тупого анонимуса я другого не ждал.

Быстро же ты на оскорбления перешел. Даже не ожидал такого бытрого слива. И да, нужность app-based файерволлов подтвердается их наличием (это помимо твоего позорного — фу! — слива).

anonymous ()