Семейство утилит iptables переведут с ip_tables на BPF

Не было печали...

сделали и так и так

Нет, сделали как обычно, все перекрутив и выбросив то, что выбрасывать не имело никакого смысла, от слова совсем.

сделали и так и так и даже вот те пожелания учли.. но кажется >>вы против любых изменений в принципе.

Еще раз нет. Изменения изменениям рознь, и те изменения которые сделали в данном случае-это преднамеренное насильственное устраивание бардака и хаоса с целью внести сумятицу, усложнить и создать геморрой, что уже в свою очередь ставиться целью подменить и подмять стандарты.

https://www.opensnitch.io/

Долго нам еще не видать стабильного линуксячего десктопа :(

мне кажется вы просто не понимаете что произошло или намеренно пытаетесь внести хаос и сумятицу в тред.

bpf не просто быстрее, но позволяет решить большее число актуальных индустриальных задач по фильтрации пакетов для которых ip_tables уже устарели. и у нас тут получился прекрасный пример того как можно переключиться на новые технологии так что ничего не сломается. просто нет никакого смысла компилить iptables в ip_tables когда можно компилировать их в bpf. переходить на синтаксис nftables не обязательно, но рекомендовано. в отличие от системд тут была возможность сделать всё правильно и ей воспользовались.

Интересно, доживём ли когда-нибудь до рабочего application-based firewall или так и будем корячиться с профилями для AppArmor и контекстами для SELinux?

Нет, блджад.

Сколько раз вам нужно повторять, что application based firewall - безполезная хуита, если не контролировать доступ к файловой системе, ipc и прочему. Не бывает рабочего application-based firewall по определению.

переходить на синтаксис nftables не обязательно

правильно, нужно подождать более-менее стабильного bpf , а потом переходить на него. А те кто пока использует iptables так и будут использовать его.

bpf не просто быстрее, но позволяет решить большее число >>актуальных индустриальных задач по фильтрации пакетов для >>которых ip_tables уже устарели.

Нет. Это не более чем просто слова, которые превратили в «веский» повод все перековырять, полностью поменяв как полностю работающую структуру, тоесть принципиально внутренности ядерного пространства, так и синтаксис, хотя делать ни того, ни другого никакого особого смысла не было.

есть сомнения что bpfilter действительно нужен сейчас, но он имеет право на существование и вполне возможно что однажды наступит время когда появятся задачи которые nftables уже неспособен решать.. писать правила на сишке это конечно весело, но есть сомнения по безопасности подобной фичи.

А те кто пока использует iptables так и будут использовать >>его.

Правильно, а проприетарщики, а также проплаченные ими тролли путь идут лесом. Но ведь они навязывают свои ненужные изменения и с неимоверными усилиями и скоростью внедряют хаос.

ну да, конечно. везде заговор и обман. штукатурка не трескается крыша не стоит на подпорках всё работает нам не нужно строить новый склад мы к этому прикрутили второй ярус для ип6, тут у нас дублируется код, мы по десять раз гоняем инструкции туда сюда и всё работает крайне неэффективно, но работает же! значит нельзя трогать ничего. зачем строить водопровод можно ведь итак ведром воды наносить..

о том что iptables не справляется с современными задачами стало ясно ещё в 2008м году когда количество подпорок и пристроенных кое-как к кое-как расширяемому протоколу зданий начало пугать самих разработчиков iptables..

и да скорее всего nftables будет тоже заменён.

хаос это то что представляет собой текущий netfilter стэк из iptables, ip6tables, ebtables, arptables и собственно ядерного ip_tables

и да nftables внедряют уже почти 10 лет.. я понимаю что это слишком быстро по сравнению с вэйландом, но и задачка несколько попроще.

Но при этом никто особо не спешат переплывать на что-то ещё, я не говорю про тех кто не знает , что firewalld это тоже обвязка.

ОТЛИЧНО РАБОТАЕТ

Дефайны в iptables мне сделай. И не надо говорить, что конфигурировать firewall портянкой на баше — это норма в 2018.

этот феномен давно известен и представляет своего рода комбинацию консервативной лени и стокгольмского синдрома. а ещё люди склонны привязываться к объектам и как оказалось не только материальным и готовы залатывать любимую рубашку даже после того как на ней не останется ни кусочка исходной ткани и это неплохо, до некоторых абстрактных разумных пределов которые априори невозможно определить объективно.

я более чем уверен что он не знает как работает iptables( и семейство его расширений) поэтому и не знает что там всё плохо и уже дымится, но давайте и правда подождём когда оно начнёт гореть.

внедряют хаос

В твой маня-мирок разве что.

L29Ah, по ссылке пишут про переход на nf_tables, а не bpf, что за 4.2 в новости?

ага, текст новости писавший по своей ссылке не ходил и не читал

сегодня ради эксперимента перевёл свою Fedora с firewalld на сабжевый nf_tables, жить можно

mx__ ★★★ (22.06.2018 7:20:08) раутер фиревалл

ты всё никак к логопеду не сходишь я смотрю.

А вот этот вредный цирк с выделением в особую группу портов <1024 надо бы завершать. Польза от него вся осталась в таком далёком времени, что на ЛОРе мало кто в это время-то и разговаривать умел. Не говоря уже о.

ОТЛИЧНО РАБОТАЕТ

iptables отлично не работает, но на локалхосте этого не видно. Транзакционность? Нет, не слышали.

С этого момента подробнее можно? Транзакционность чем представлена?

В iptables — ничем, и в этом большая печаль. В nft есть. Но nft не готов для прода.

вроде же nftables теперь является заменой?

iptables, ip6tables

Вот это ещё одна проблема (кстати, не решённая в nftables). С какого-то перепугу для IPv6 надо использовать отдельные бинарники, отдельные ipset, отдельное небо и отдельного Аллаха. Из-за чего правила дублируюся постоянно и всё превращается в операционный ад быстрее, чем приближается пенсия.

Интересно, доживём ли когда-нибудь до рабочего application-based firewall

Индусы движутся в этом направлении

Да всю эту unix-модель надо было выкинуть и делать процессу неотключаемый MAC после первого bind(2), но линус сказал что мы типа совместимы поэтому жрите что есть.

Если тебе это не нужно, или ты не знаешь, кому это нужно - не значит что это никому не нужно.

Я только один кейс могу придумать - помоечный шаред хостинг, где проще запретить, чем продиагностировать рассадник вирья. Как это знакомо - решать следствие, а не причину :))

Даже в рамках текущей модели нет внятных объяснений необходимости существования каких-то особых привелегий для портов <1024. Да и не было толком — костыль костылём же.

Я для общего образования спрошу - а чем это отличается от cgroups+iptables? Я вполне успешно режу так доступ в сеть некоторым приложениям, наверное можно и более сложные правила навернуть.

Удобством для конечного пользователя. Так-то можно и в ip ns засунуть.

Первым делом сношу firewalld, так как непонятно, нахер он нужен, если всё тоже самое, и даже больше, можно довольно просто написать правилами для iptables.

firewall-cmd --permanent --add-service=samba

твой вариант?

Так был же, даже несколько. Забыл как называется. Недавно на опеннете новость была.

Транзакция не особо чего? Модификации? Потому что в работе файрвола не на локалхосте я места для нее как бы не вижу

Расскажи мне, если у тебя установлены firewalld и какой-нибудь libvirt или docker, чьи правила окажутся в iptables выше и почему?

Вы ещё скажите что не видите смысла в ограничении доступа к файловой системе и конфигах. Порты менее 1024 может открыть только администратор системы или процесс который администратор счёл доверенным, то есть по сути порт менее 1024 означает доверенный сервис

А потом разруливать, что это говно наоткрывало и насоздавало. А потом поймать конфликты с каким-нибудь docker или livbirt. Честно пытался использовать на CentOS, думая, что это шаг вперёд. Но нет, это просто костыльная обёртка. Вот на nftables переведу все основные хосты.

Видимо смотря кто первый запустится.

И как эту проблему решит nf_filter или bpf? Правильно, никак. Ибо при модификации существующего конфига правило может быть добавлено в любое место. Как и при iptables -I

Ну если времени лишнего много, разруливай. Я самбу открыл и дальше пошёл, а какие там порты, я даже не знаю и знать не хочу. Про конфликты с докером, думаю, на стековерфлу первый же ответ скопипастить в консоль и всё.

Тогда сразу файрволл потуши, так ещё больше экономия времени.

И как эту проблему решит nf_filter или bpf? Правильно, никак.

Правильно, никак. Это срач о firewalld.

Видимо смотря кто первый запустится.

Гениально, чо.

Если дебианом пользуюсь, так и делаю, там его нет по умолчанию и без него хорошо. В рхеле включили по умолчанию, приходится конфигурировать. По-мне бесполезная затея в большинстве случаев, но что поделаешь.

и у нас тут получился прекрасный пример того как можно переключиться на новые технологии так что ничего не сломается

«Ничего не сломается» — это когда iptables останется со старым синтаксисом, а рядышком появится iptables-bpf с новым крутым форматом для описания правил.

Интересно, доживём ли когда-нибудь до рабочего application-based firewall или так и будем корячиться с профилями для AppArmor и контекстами для SELinux?

Такой уже существует - OpenSnitch: OpenSnitch — интерактивный сетевой экран , интерактивный сетевой экран, https://www.opensnitch.io/

Транзакция не особо чего? Модификации? Потому что в работе файрвола не на локалхосте я места для нее как бы не вижу

Ну раз не видишь, тогда и говорить не о чем. К сожалению — моему, видимо — я вижу острую необходимость в транзакционном обновлении правил фаерволла и именно в проде.

Вы ещё скажите что не видите смысла в ограничении доступа к файловой системе и конфигах. Порты менее 1024 может открыть только администратор системы или процесс который администратор счёл доверенным, то есть по сути порт менее 1024 означает доверенный сервис

Что значит «доверенный сервис»? Можно какое-то строгое формальное определение сразу, чтобы потом воду в ступе не толочь? А то знаешь ли, бывает так, что администратор счёл процесс доверенным, но я не счёл доверенным того администратора и опять не сложилось.

Это ограничение имело смысл только в условиях острой нехватки персональных компьютеров и повсеместного интернета. Но сейчас, в наше время, проще найти дешёвый VPS, чем в иных местах обычный туалет или питьевую воду.

Это тот BPF у которого JIT`ованный код на race condition подменить можно?

А как через nft фильтровать трафик по сигнатурам?