И не говори... Сперва OSS их не устраивает, потом sh им не понравился, затем VT340 вдруг оказались якобы нерабочими, нужно срочно втюхнуть X Window System, плевать, что оно не работает, но нужно же чем-то выпендриться, затем вдруг Athena и Motif стали резко убогими, нужно срочно запилить громоздкое GTK+, накрутить на него убогий гном, сделать Qt, которое нужно под FreeBSD патчить, теперь вот ipf не устраивает, давайте перепиливать.

Крио-камера протекла?

у многих ещё ipfwadm в продакшене...

появление gtk никак не влияло на работу motif, по остальным примерам аналогично. а вот про пшшаудио, системд и т.п. уже так не сказать.

На Qt хочу.

Хорошая новость. Судя по форумам, есть пока ещё шероховатости, бывают правила, что не транслируются в nftables и не заводятся с помощью iptables-compat. Мне повезло, те правила что юзаю я - транслируются нормально.

Провайдер когда-то спокойно пережил переезд с ipchains на iptables, так что и тут особо проблем не будет. Главное, чтобы производительность не просадили с этими новшествами.

На самом деле, iptables с ipset сейчас используются только для удовлетворения РКН, ну и для локального прикрытия портов на серваках, всякие NAT и пр. решения для нищебродов, которые не могут себе белых айпишников купить давно уже не актуальны. Так что пофиг тащемта. Тем более, что когда BPF таки стабилизируется и будет готов, может уже и РКНов-то никаких не останется.

ты пади исчо и «блуетуч» c «фрешкой» разобрать не сможешь чо такое?

а можно для только что вышедших из анабиоза с криокамеры - чем вызван отказ от iptables?

Линуксоды! Зачем вам нужны эти постоянные и непонятные выдрыгивания? Почему вы не хотите портировать себе pf?

сайты не работают, вики с документацией не открывается.

Harsha Sharma, 18 years old from India, gave a talk explaining her work on nftables to the rest of Netfilter contributors. This is possible thanks to internship programs like Outreachy and Google Summer of Code. Varsha and Harsha, both are so brave for traveling so far from home to join a mostly european-white-men-only meeting. We where joined by 3 women this workshop and I would like to believe this is a symbol of our inclusiveness, of being a healthy community.

SJW-овщина пожирает наши гнулинуксы!

Оно жежь всегда быдо надстройкой над iptables. Как теперь будет работать?

А где-нибудь есть список чего недокодили в следующих версиях фаерволлов? ipchains , iptables ebtables arptables , nft. Сравнение конечно со всеми модулями написанными под фаерволы.

На самом деле, iptables с ipset сейчас используются только для >>удовлетворения РКН, ну и для локального прикрытия портов на >>серваках, всякие NAT и пр. решения для нищебродов, которые не >>могут себе белых айпишников купить давно уже не актуальны.

Вы тут говорите конечно ну просто очень огромную чушь. Даже не буду вдаваться в холивар, ибо судя по вашему «потоку сознания» относительно сказанного вами-это не имеет никакого особого смысла-) Но то что вы весьма далеки от ИТ технологий в части организации и поддержки сетей и инфраструктур(причем о многих отдельных областях в данном контексте вы вообще никакого понятия не имеете)-это вполне очевидно. Ну либо просто «грамотно» троллите.

Вы тут говорите конечно не просто очень огромную чушь. Даже не буду вдаваться в холивар, ибо судя по вашему «потоку сознания» относительно сказанного вами-это не имеет никакого особого смысла-)

Меня спросили, я ответил. Другого ответа о том, как сейчас обстоят дела с iptables в провайдерстве и почему переход на BPF особо меня не волнует у меня для вас нет.

В провайдерстве с iptables дела обстоят вполне нормально, и NAT/PAT и прочие прибамбасы там используются на полную катушку по вполне определенным и очевидным факторам, думаю и сами должны это понимать. Но скажу лишь мельком только про одну маленьку деталь: Сетевой стек линукс кстати-один из самых быстрых, стабильных, и главное-бесплатных, а также в отличие от проприетарного дерьма-открытых, дальше развивать тему в вашем мозгу предлагаю вам самому.

Без обид, если что,

С уважением,

В провайдерстве с iptables дела обстоят вполне нормально, и NAT/PAT и прочие прибамбасы там используются на полную катушку по вполне определенным и очевидным факторам, думаю и сами должны это понимать.

Чо мне понимать, я провайдер. Никаких определённых очевидных факторов для использования NAT в провайдерстве, кроме нищебродства и/или жабы (которая всегда выходит боком, на самом деле) на сегодня нет.

Зачем по миллион раз переделывать то, что привычно, и что самое главное-ОТЛИЧНО РАБОТАЕТ

Потому что в iptables есть некоторые врождённые проблемы - обязательные счётчики в каждом правиле, неспособность иметь в одном правиле больше 1-го src и так далее. И чтобы от этих недостатков избавится, приходится ломать совместимость.

Ну а раз всё равно совместимость сломали - почему бы не сделать более логичный формат описания правил?

С systemd путать не надо, тут добавляют возможности, там для решения некоторых проблем sysv init сделали монстра, который
решил эти проблемы, но добавил ещё больше других проблем.

Настройка firewalld

https://www.dmosk.ru/miniinstruktions.php?mini=firewalld-centos

а можно для только что вышедших из анабиоза с криокамеры - чем вызван отказ от iptables?

Thero в этом треде всё хорошо расписал.

На вашей аватаре: кот Матроскин?? Или кот Леопольд????

Так давно уже перешли на firewalld.

Каким боком это к теме относится?

Тогда зачем он нужен? Лучше бы VPLS в linux добавили бы)))

Тебя всё ещё не подключают по BGP без MPLS ? :-)))

Почему вы не хотите портировать себе pf?

В теме про ядерную часть вообще-то, а не про юзерспейс.

Я говорю потому, что от него было бы больше пользы, чем от переделки netfilter на bpf (и к тому же без возможности фильтрации по сигнатурам). Дело в том, что фильтрация по сигнатурам очень полезная вешь, можно не только фильтровать, но и классифицировать на прикладном уровне. Например такое правило:

iptables -A FORWARD -p udp -m string --hex-string "|4f 45 74 03|" --algo bm -m string --string "BogdanUbivan"--algo bm -j DROP

ридонли райтонли говно называть полезным. ну ок.
это как полезность регеэкспа для парсинга валидности почтовых ящиков. супер полезно. каждый раз — как первый раз.

Потому что ниасилил загуглить --pid-owner? Бывает, чо...

Ой да ладно вам. Посмотрите на историю перед iptables был ipfw и ipchains и ничего, перезжали. Вот уже на iptables лично мне было тяжеловато переехать, но как-то осилил :) А тут вроде и транслятор правил завезли, так что должно быть достаточно комфортно в плане неспешного переезда.

Для тех, кто в танке: он пропускает не «порты самбы», а просто порты с указанными номерами. А кто там на самом деле слушает - брандмауэр не волнует. Application-based - это когда пакеты из указанного порта разрешаем жрать конкретному процессу, а другим нэтЪ. Другой вопрос, что в линукс это (КМК) не особенно-то и надо

Ну судя по достаточно часто возникающим темам вида как ограничить доступ program-name, всетаки востребовано :)

Нда? --uid(gid)-owner - это же привязка к uid/gid, запустившему процесс, а не к самому процессу. Толку-то.

Тут такая шняга, что не всегда можно поменять uid/gid процессу на какой-то уникальный. Но есть netns.

НУЖНО БОЛЬШЕ ПЕРЕПИСЫВАНИЙ КОДА БОГУ ПЕРЕПИСЫВАНИЯ КОДА

ЗАЧЕМ ПЫТАТЬ ДОГНАТЬ ВИНДОВС 2000, ЕСЛИ МОЖНО ТОПТАТЬСЯ НА МЕСТЕ ПЕРЕПИСЫВАЯ КОД
Я СВОБОДНЫЙ ОТ ЗАДРОСТВА ЧЕЛОВЕК
ПЕРЕПИСЫВАЮ КОД ПО ТРИ РАЗА ДЕНЬ...

ну хоть один анон дядю Боба прочитал. молодец.

Всё же, как мне думается, linux.org.ru без аватар смотрится несколько скучновато...

Мне фиолетово что там дёргает firewalld, iptables или его замену.

Тема это сабж и там если что про iptables а не про netfilter.

Кек, особенно становится наплевать, когда для сколь нибудь сложных правил приходится писать direct rules

Еще раз нет. Изменения изменениям рознь, и те изменения которые сделали в данном случае-это преднамеренное насильственное устраивание бардака и хаоса с целью внести сумятицу, усложнить и создать геморрой, что уже в свою очередь ставиться целью подменить и подмять стандарты.

Мда, походу вы не прошли «старую школу». Здесь разговор о системе, которая позволит решить большее кол-во задач и еще как заявлено с меньшем оверхэдом. Сравните ipchains и iptables. Разница очевидна.

Можно свой сервис написать, а ещё лучше понять что к чему и вланом прокинуть трафик внутрь ВМ которая по сути выполняет только роль фиревала между инетом и сетью предприятия.

А можно не обмазываться пустыми обёртками, которые сами по себе могут вносить баги и лишние сложности, и использовать полноценное решение. Благо с nftables, например, это уже гораздо более приятно, чем с iptables.

С какого-то перепугу для IPv6 надо использовать отдельные бинарники, отдельные ipset, отдельное небо и отдельного Аллаха. Из-за чего правила дублируюся постоянно и всё превращается в операционный ад быстрее, чем приближается пенсия.

Может потому что v4 и v6 сильно отличаются? Нэ?

Тут много личностей спрашивают про app-based firewall, кому и зачем он нужен.

Например, мне нужен. Даже приведу пример, где.

Держу я небольшую рендер-ферму на крякнутом софте, линупс используется исключительно как пускалка всякой вкусной проприетарщинки за сотни нефти. Но, вот, незадача - некоторый софт очень любит «звонить домой», чтобы пиратов анально покарали.

Сейчас эта задача у меня решена просто и в лоб - отдельный внешний фаерволл на микротике, который блочит все пакеты из подсети в интернет. А вот доступ МНЕ в эту подсеть из интернета затруднен - приходится прыгать с ssh туннелями, плюс взаимодействие с веб-сервисом сделано через пень-колоду.

А как было бы просто и красиво с апп-фв! Просто запретил некоторым процессам пользоваться сетью и гемора ноль.

Теперь ясен юзкейс?

нафига тогда нужен apparmor, cgroups, lxc, прочая дичь? вот пока апп-фв не сделают, ну никак это не решить?

re: запретил некоторым процессам пользоваться сетью

Однако, как поступать с трафиком процессов, которые ходят в сеть через запуск внешних(man 1 wget, curl)? Которые запущены по символьной или настоящей ссылке(man ln, alternatives)? С поддельными библиотеками(LD_PRELOAD/etc.)? С удалённым файлом(mv firefox save && ln anyprogram firefox && $PWD/firefox & mv save firefox)? Запущенным по правильному имени но из поддельной файловой системы(choot или mount)?

Думаю, такой штуки нет потому, что она создаёт лишь видимость защиты.

Пора уже SELinux какой-нибудь окончательно прикрутить, и чтобы раздача прав, в том числе на сеть, как в Android.

А можно не обмазываться пустыми обёртками

Правильно, зачем скриптовые языки, си и в конце концов асм, пусть кодируют сразу в машинных кодах :) Утрировал но идея таже.

Так что будем надеяться что шапка допилит firewalld чтобы он сразу дергал BPF и вопрос будет решен.

Пора уже SELinux какой-нибудь окончательно прикрутить

Так он уже прикручен. Но всё время встречаются какие-то куски, которым чего-то не хватает. Решаются эти проблемы чаще всего «setenforce 0». Получается, толку с этого немного.

Вероятно, у «здоровых» людей лень сильнее паранойи. Т.ч. с app-based фиреволом в реальной жизни будет то же.

Тема это сабж и там если что про iptables а не про netfilter.

Там, если что, не про утилиты юзерспейса. Читай внимательно.

А как было бы просто и красиво с апп-фв! Просто запретил некоторым процессам пользоваться сетью и гемора ноль.

Ну запусти от определённого пользователя и запрети ему.

А те, кто в теме, может пояснят суть нововведений. Собственно есть вопросы: 1. Говорят, что код ядерной подсистемы ip_tables очень запутанный, там много оверхеда и пр. в том же духе. Охотно верю. Но, по-моему у этой неприятности есть объективные предпосылки. Ведь, условно говоря, в ядре нет какого-то одного места, где сетевой пакет был бы полностью определен. Различные атрибуты и свойства сетевого пакета возникают на разных стадиях его обработки. Более того и фильтрацию по разным критериям целесообразно проводить на разных этапах обработки пакета. Тогда что же может быть кардинально улучшено в этом плане? 2. Почитал про планов громадьё. Так там тебе и трансляция в байт-код и виртуальная машина. Но, исходя из описанных в первом пункте проблем, как это вообще все можно реализовать? Ведь все равно, как ни крути, обработка пакетов будет вестись кучей модулей на разных этапах следования пакета. 3. Ну и по поводу удобных/неудобных правил фильтрации iptables. Ведь по сути то они полное отражение реально выполняемого процесса. Сетевой пакет проходит различные стадии обработки. На каждой из них (или на некоторых) его атрибуты сверяются с заданными атрибутами в таблицах. Ну что тут еще можно добавить и убавить, ну может быть, кроме расширения типов таких атрибутов?

А зачем?