Семейство утилит iptables переведут с ip_tables на BPF

В том и дело что пока никак . потому что nf пока часть функционала ipt не поддерживает.

Вообще ядерный ip_tables принимает от юзерспейса таблицы целиком. Например, весь ipv4 filter, со всеми его цепочками. Поэтому сделать атомарное изменение нескольких правил таблицы можно. Просто в юзерспейсных утилитах iptables и ip6tables такая возможность не реализована, они работают с одним правилом за запуск. Вот iptables-restore работает транзакциями.

iptables-restore работает транзакциями

Нет, и это легко проверить.

Расскажи, как проверить, мил человек.

Cast Stanson — что об этом думает провайдер?

Слать трафик, смотреть как при этих транзакциях пакеты теряются.

Тогда зачем он нужен? Лучше бы VPLS в linux добавили бы)))

MPLS не нужен, но не все ещё с этим смирились.

Ты имеешь в виду дроп пакетов или необновление счетчиков на правилах? Просто мне вот не очевидно, чем я могу «посмотреть» дроп, и с чем я могу сверить счетчики.

не очевидно, чем я могу «посмотреть» дроп, и с чем я могу сверить счетчики

Я имею в виду именно дроп пакетов. Со счётчиками всё ещё хуже.

Посмотреть же просто: ping -f.

Оно нужно там, где виртуалки создаются-удаляются с новыми адресами и интерфейсами каждый раз. OpenShift и иже с ними.

Интересно, доживём ли когда-нибудь до рабочего application-based firewall

OpenSnitch не подойдёт?

А что тогда нужно?

Смотря для чего. Какую проблему ты решаешь при помощи MPLS?

Я даже не знаю

Когда ж уже пройдет эпидемия синдрома NIH? Ну в самом деле, сколько можно? Сперва альса их не устраивает, потом инит им не понравился, затем иксы вдруг оказались якобы нерабочими, нужно срочно втюхнуть вяленого, плевать, что он не работает, но нужно же чем-то выпендриться, затем вдруг гтк2 и кт4 стали резко убогими, нужно срочно запилить громоздкое гтк3, накрутить на него убогий третий гном, сделать кт5, на котором плазма падает еще чаще, теперь вот iptables не устраивает, давайте перепиливать

Хорошо бы ещё на Qt переписали.

Слишком скучно, нужно на Electron, сервисы на Node.js, хранение конфигураций в Mongo.

Но iptables же правда нелогичное и неудобное убожество.

Наконецто :-)

Чем же? И что тогда удобно? Скучные виндовсковские обои защитник, брандамуэр и центр безопасности?

Где мои define в iptables? Только про лапшу на баше не вспоминай.

iptables не устраивает

При чём давно уже не устраивает, но альтернатив не было. Да и сейчас нет, но хотя бы вот надежда появилась, что будут.

ну так когда создавали iptables там много чего в протокол было нахардкожено что потом пришлось городить костыли и подпорки..

но в nft это всё-таки решено, хоть и не полностью, да.

так уже было сделано несколько лет назад b эта эпоха перехода теперь закончена.

ядро 2.6 всё ещё существует..

так и не понял, какие правила могут транслироваться? те, которые для iptables-(save|restore), те, которые можно вытянуть из ядра или можно кормить любой произвольный набор аргументов iptables?

Зачем мне такой вариант?

Зачем по миллион раз переделывать то, что привычно, и что самое главное-ОТЛИЧНО РАБОТАЕТ!?

Тут JIT обещают и частичный, но стандартизованный оффлоад простейших правил на процессор сетевухи. Оно, конечно, потребует обновления соответствующих дров. Но на локалхосте это не нужно, и сетевух таких нет там. Бонусом - старый синтаксис правил.

есть iptables-compat( который берёт вызов iptables и компилит его в байткод nft и отдаёт на исполнение) эта штука прожёвывает всё поэтому она теперь станет iptables

и есть iptables-translate который скушает твою команду к iptables и выдаст аналогичную команду для nft чтоб ты мог переписать свои скрипты по красоте.

Сколько раз вам нужно повторять, что application based firewall - безполезная хуита, если не контролировать доступ к файловой системе, ipc и прочему. Не бывает рабочего application-based firewall по определению.

Чего там контролировать? Я хочу, чтобы /usr/bin/firefox мог выйти в интернеты, а /usr/local/games/ContraptionMaker/ContraptionMaker.sh — нет, ибо нехер качать обновы без спросу.
В сраной винде я могу это сделать через встроенный файрфолл. В лучшей сетевой операционке всех времён и народов — нет.

Я только один кейс могу придумать - помоечный шаред хостинг, где проще запретить, чем продиагностировать рассадник вирья. Как это знакомо - решать следствие, а не причину :))

Любой средний по больнице локалхост, где недосуг заботиться о джипиэльности софта и заниматься аудитом кода запускаемых игрулек.

Два чаю этому господину.

Тогда сразу файрволл потуши

А зачем ты его запускал для локалхоста?

Другой вопрос, что в линукс это (КМК) не особенно-то и надо, при условии, что установлены б/м проверенные приложения из б/м проверенных репозиториев, а не как в винде - кульные прожки с файлообменников.

В линуксе теперь есть целый Flathub и DockerHub, куда одни упыри публикуют каку, а другие оттуда скачивают, что даже похлестче.

Flathub пока еще не нужен никому™, а на докерхабе уже зловреда есть, хоть жопой жуй.

Здесь ЛОР

:))) Ухо-горло-нос значиццо? Т.е. тусовка глухих к чужим аргументам сопливых горлопанов?

Приветствую тебя!

Чего там контролировать? Я хочу, чтобы /usr/bin/firefox мог выйти в интернеты, а /usr/local/games/ContraptionMaker/ContraptionMaker.sh — нет, ибо нехер качать обновы без спросу.

Ну так отключи в нём обновы, блджад.

Там контролировать, чтобы /usr/local/games/ContraptionMaker/ContraptionsMaker.sh не прописал тебе alias sudo=«снести opensnitch и прочее нинужно кхерам» в ~/.bashrc например.

За мной не занимать!!!

https://lwn.net/Articles/697462/ уже почти два года как оно существует.

согласен только путаницу создает и лишние абстракции.

Flathub пока еще не нужен никому™, а на докерхабе уже зловреда есть, хоть жопой жуй.

Где то мелькала новость насчет докерхаба, там кто то в контейнеры майнера засунул.

я не пойму: зачем каждый день это переводить?

только-только отвыкли от ipchains и привыкли к iptables, теперь опять заново все перепривыкать.

блин!

И что же мешает добавить транзакционное обновление в iptables? NIH-cиндром?

только-только
ipchains

Крио-камера протекла?

Давно хотел попробовать nftables, теперь и повод есть.

Типично, «в швитом линупсе этого нет — значит НИНУЖНО!!111»

Если тебе это нужно — реализуй это сам. Это opensource. Тебе тут никто ничего не должен.

Если тебе это не нужно - не ори, что никому это не нужно.

Типичный школоло-гномосек, ему объясняют, почему оно не работает, мечут, блджаж, бисер перед ним, а он на единственном понятом слове пробует выехать.