Семейство утилит iptables переведут с ip_tables на BPF

картинки какие по ссылке ;) А так, одна надстройка, другая...

Так давно уже перешли на firewalld.

Интересно, доживём ли когда-нибудь до рабочего application-based firewall или так и будем корячиться с профилями для AppArmor и контекстами для SELinux?

С --gid-owner.

Сетевую часть apparmor вообще собираются тащить в ваниллу?

Расшифровать можете ?

К примеру в фиревалле лепится сервис самба - он пропускает порты самбы. И чем ВАМ это не апп базед ?

фиревалле

лепится

апп базед

Молодой человек, если вы хотели придти к логопеду, то Вы ошиблись кабинетом. Здесь ЛОР, поэтому выражайтесь пожалуйста более мемо-разборчиво.

фиревалле

firewalld

лепится

настраиваться

апп базед

application-based

Извините меня, все время забываю что на лор не только специалисты заходят.

теперь белемеммо-понятно

Так давно уже перешли на firewalld.

firewalld-cmd там до сих пор выдает питоновский эксепшен если протокол или порт не указать. на мкс такой линукс никогда не возьмут.

firewalld - обертка над iptables.

Так давно уже перешли на firewalld.

А давно firewalld стал самостоятельным, и работает без iptables?

Первым делом сношу firewalld, так как непонятно, нахер он нужен, если всё тоже самое, и даже больше, можно довольно просто написать правилами для iptables.

Семейство утилит iptables переведут с ip_tables на BPF

Драмы и нет практически, вот если бы с pf'ом что-нибудь подобное выкинули — то да, проблемы бы были вселенского масштаба.

Berkeley Packet Filter

Это к BSD имеет какое-то отношение?

Правильно ли я понял, что новые iptables будут через транслятор добавлять правила bpf?

Т.е. обратная совместимость в синтаксисе сохраняется?

родитель один и тот же

Они не в курсе ;)

firewalld - обертка над iptables

индуска на фотках симпатичная. ябывдул :-D

Опять все перекроят и переворошат, а почему бы не сохранить хотя-бы синтаксис тот же самый что и был, а поменять только то, что находится «под капотом»? Да и под капотом ничего менять не надо, оно отличное работает. Зачем по миллион раз переделывать то, что привычно, и что самое главное-ОТЛИЧНО РАБОТАЕТ!? Видимо проприетарщики таки поставили перед собой цель придушить оперсорс посредством насаждения там хаоса и неразберихи, у них этого конечно не получится скорее всего в конечном счете, но они очень стараются. Примерно также было с systemd, но история с systemd-гораздо более глобальная диверсия проприетарщиков против опенсорс сообщества и unix-way.

в фиревалле лепится сервис самба - он пропускает порты самбы

Для тех, кто в танке: он пропускает не «порты самбы», а просто порты с указанными номерами. А кто там на самом деле слушает - брандмауэр не волнует. Application-based - это когда пакеты из указанного порта разрешаем жрать конкретному процессу, а другим нэтЪ. Другой вопрос, что в линукс это (КМК) не особенно-то и надо, при условии, что установлены б/м проверенные приложения из б/м проверенных репозиториев, а не как в винде - кульные прожки с файлообменников. Хотя если такая фича появится - ну, жалко что ли, авось пригодится. Проприетарщину какую-нибудь запускать, которую начальство за откат продавило.

Интересно, доживём ли когда-нибудь до рабочего >>application->>based firewall

Зачем? Это неправильно во всех отношениях, это же не винда какая-нибудь ущербная.

Это очевидно. Я имел в виду, у этого схожий с аналогами в BSD синтаксис?

К примеру в фиревалле лепится сервис самба - он пропускает порты самбы. И чем ВАМ это не апп базед ?

Гасим самбу, запускаем свое приложение на портах самбы и вуаля

Application-based - это когда пакеты из указанного порта разрешаем жрать конкретному процессу, а другим нэтЪ.

Выше уже отмечали: c --gid-owner можно добиться ну ровно того же самого.

доживём ли когда-нибудь до рабочего >>application->>based firewall

Зачем? Это неправильно во всех отношениях, это же не винда какая-нибудь ущербная.

Хе. Ну вот вы на своём личном кантупере контролируете, что у вас ставится. А на рабочем? Велит начальство накатить какую-то закрытую хрень - и накатите.

А оно мало ли что делает.

Вот ща модно, например, т.н. «телеметрию» слать производителю. Ладно, если оно шлет какую-то условно-полезную статистику типа «меня запустили на таком-то железе, я на ём делаю столько-то хренаций/сек, падаю с такими-то ошибками».

А если оно этой телеметрией весь канал отжирает, или шлет на сторону ваше файло?

c --gid-owner можно добиться ну ровно того же самого.

Нда? --uid(gid)-owner - это же привязка к uid/gid, запустившему процесс, а не к самому процессу. Толку-то.

Если оно смогло выключить самбу и запуститься на портах <1024 то сможет выключить любой ФВ (кроме внешнего).

Это ж сраная обёртка?

С --gid-owner.

Это group based fw, а нужен app based.

uid/gid, запустившему процесс, а не к самому процессу. Толку-то.

В чем проблема-то? Какая цель? Что особенного позволяет добиться привязка, скажем по приложению по его пути (хэшу?), в отличие привязки по группе?

Сетевую часть apparmor вообще собираются тащить в ваниллу?

Это вроде зависит от того, через LSM оно или сбоку.

Йеп
https://en.wikipedia.org/wiki/Berkeley_Packet_Filter

--uid(gid)-owner - это же привязка к uid/gid, запустившему процесс, а не к самому процессу

В андроиде это отлично работает, например. Там у каждого приложения свой пользователь.

Опять начинают рассказывать, что тебе это не нужно.

Цель такая же, какая решается с помощью Apparmor / Selinux

Замечательно, только выиграем.

L29Ah, по ссылке пишут про переход на nf_tables, а не bpf, что за 4.2 в новости?

firewalld - обертка над iptables.

Я тут глянул https://firewalld.org/documentation/concepts.html Хм. Ну видать да, но тогда вообще пофигу, допилят firewalld под эту новую шнягу а мы и не заметим, будем продолжать как обычно firewall-cmd дергать.

Ну так порты у приложений бывают и непривелигерованные. Какой нибудь сокс-прокси.

https://lwn.net/Articles/747551/ ← няп под капотом там именно BPF-виртуальная машина.

К примеру в фиревалле

Как же отвратительно это читать!

Опять начинают рассказывать, что тебе это не нужно.
Цель такая же, какая решается с помощью Apparmor / Selinux

Т.е. ты внятно (не «сделай как там», ага) свои желания озвучить не можешь? Тогда действительно «не нужно».

нужен app based

Хз, кому это нужно.

ну это как компиляция одного кода под разные архитектуры\наборы инструкций. правила описанные на языке iptables при исполнении теперь компилятся не в «байткод» iptables а в «байткод» nftables

но синтаксис правил nftables существенно отличается от синтаксиса iptables, собственно рекомендуется переходить на синтаксис nftables и для облегчения задачи по портированию есть специальный конвертор( который не очень помогает со сложными правилами судя по отзывам)

Ну от тупого анонимуса я другого не ждал.

Если тебе это не нужно, или ты не знаешь, кому это нужно - не значит что это никому не нужно.

Ну от тупого анонимуса я другого не ждал.

Быстро же ты на оскорбления перешел. Даже не ожидал такого бытрого слива. И да, нужность app-based файерволлов подтвердается их наличием (это помимо твоего позорного — фу! — слива).

Gauntlet же был, и давно... Сдох, только, производительность не та и с DPI плохо.

Непосредственное. Исторически там и был :)

сделали и так и так и даже вот те пожелания учли.. но кажется вы против любых изменений в принципе.

У nftables пока своя вм, bpf еще очень сырое и пока где-то сбоку.