LINUX.ORG.RU

Вышел iptables 1.4.0


0

0

22 декабря состоялся релиз iptables 1.4.0 от Netfilter Core Team.

В основном выпуск вышел багфиксным, хотя есть некоторые небольшие изменения.

Скачать: http://www.netfilter.org/projects/ipt...
Изменения: http://www.netfilter.org/projects/ipt...

>>> Подробности

Re: Вышел iptables 1.4.0

резил ???

anonymous ()

Re: Вышел iptables 1.4.0

короче тост за

feanor ★★★ ()

Re: Вышел iptables 1.4.0

Natürlich!

birdie ★★★★★ ()

Re: Вышел iptables 1.4.0

юху) .... что тут скажешь

sinfull ()

Re: Вышел iptables 1.4.0

Неплохо

pinachet ★★★★★ ()

Re: Вышел iptables 1.4.0

Тыкните в человека, который полностью разобрался со всеми правилами построения таблиц :)

ferhiord ★★ ()

Re: Вышел iptables 1.4.0

Чем оно лучше PF?

iZEN ★★★★★ ()
Ответ на: Re: Вышел iptables 1.4.0 от ferhiord

Re: Вышел iptables 1.4.0

> построения таблиц

?! Правила красиво и правильно писать куда сложнее. Из моих знакомых (окола десятка) Линукс сисадминов *никто* это делать не умеет.

birdie ★★★★★ ()
Ответ на: Re: Вышел iptables 1.4.0 от birdie

Re: Вышел iptables 1.4.0

> Правила красиво и правильно писать куда сложнее. Из моих знакомых (окола десятка) Линукс сисадминов *никто* это делать не умеет.

А что им мешает?

dm1024 ★★★ ()
Ответ на: Re: Вышел iptables 1.4.0 от ferhiord

Re: Вышел iptables 1.4.0

Тыкаю пальцем в Пола "Ржавого" Рассела, автора iptables ;)

А, собсно, с чем проблемы-то? Задавай конкретные вопросы, если есть.

anonymous ()
Ответ на: Re: Вышел iptables 1.4.0 от anonymous

Re: Вышел iptables 1.4.0

Ничем оно не лучше , да и не хуже - это вообще разные продукты. Вы ведь не сравниваете что лучше BSD или Linux - разные задачи, разные методы их решения. Вопрос был задан чтобы потроллить в стиле LOR ?

anonymous ()
Ответ на: Re: Вышел iptables 1.4.0 от ferhiord

Re: Вышел iptables 1.4.0

>Тыкните в человека, который полностью разобрался со всеми правилами построения таблиц :)

Эээ, а что в них сложного?!

Plazmid ()
Ответ на: Re: Вышел iptables 1.4.0 от birdie

Re: Вышел iptables 1.4.0

> Правила красиво и правильно писать куда сложнее
а какой критерий?
я лично постоянно пользуюсь цепочками - удобно и скорость обработки выше и нагляднее (и по -L -n -v сразу всё понятно чего куда и ограничить обась просмотра рпоще по -L CHAIN)

mumpster ★★★★★ ()
Ответ на: Re: Вышел iptables 1.4.0 от anonymous

Re: Вышел iptables 1.4.0

> Пользуйте Shorewall.

Вышла новая версия мозга!

Нет! Пользуйтесь головой!

bobrik ()
Ответ на: Re: Вышел iptables 1.4.0 от bobrik

Re: Вышел iptables 1.4.0

А модуль quota и time они выкинули на совсем? Очень удобная вещь для ограничения трафика

anonymous ()
Ответ на: Re: Вышел iptables 1.4.0 от anonymous

Re: Вышел iptables 1.4.0

для ограничения трафика пользуйтесь шейперами и не пакетным фильтром.

anonymous ()
Ответ на: Re: Вышел iptables 1.4.0 от anonymous

Re: Вышел iptables 1.4.0

>>для ограничения трафика пользуйтесь шейперами и не пакетным фильтром

имелось в виду квотирование

anonymous ()
Ответ на: Re: Вышел iptables 1.4.0 от anonymous

Re: Вышел iptables 1.4.0

Даешь шейпер в iptables. Это единственное в чем фря превосходит линукс ибо есть пайпы, а в линуксе возможности шейпирования через файрвол нет.

dalex ()
Ответ на: Re: Вышел iptables 1.4.0 от dalex

Re: Вышел iptables 1.4.0

>Это единственное в чем фря превосходит линукс ибо есть пайпы

Смотри iproute2, и в частности утилиту tc.

anonymous ()
Ответ на: Re: Вышел iptables 1.4.0 от Plazmid

Re: Вышел iptables 1.4.0

> Эээ, а что в них сложного?!

Ничего кроме того, что 9/10 "линукс-одминов" при написании мало-мальски сложной конфигурации пишут здоровенные километровые "портянки", в которых поправить хоть что-нибудь оказывается не самой приятной работой. А создать наборы пользовательских цепочек для типовых задач, и впоследствии ссылаться на них, этим недоадминам даже не приходит в голову.

no-dashi ★★★★★ ()
Ответ на: Re: Вышел iptables 1.4.0 от iZEN

Re: Вышел iptables 1.4.0

> Чем оно лучше PF?

Производительностью.

anonymous ()
Ответ на: Re: Вышел iptables 1.4.0 от anonymous

Re: Вышел iptables 1.4.0

> > Чем оно лучше PF?

> Производительностью.

А при грамотном использовании - еще и лучшей управляемостью.

no-dashi ★★★★★ ()
Ответ на: Re: Вышел iptables 1.4.0 от no-dashi

Re: Вышел iptables 1.4.0

>Ничего кроме того, что 9/10 "линукс-одминов" при написании мало-мальски сложной конфигурации пишут здоровенные километровые "портянки", в которых поправить хоть что-нибудь оказывается не самой приятной работой. А создать наборы пользовательских цепочек для типовых задач, и впоследствии ссылаться на них, этим недоадминам даже не приходит в голову.

тут вы правы. Не совсем осознав работу iptables и нахватавшись примеров - правила вырастают в венигрет.

цепочки позволяют сильно разгрузить кол-во переходов для принятия решения в итоге для пакета.

Plazmid ()
Ответ на: Re: Вышел iptables 1.4.0 от Plazmid

Re: Вышел iptables 1.4.0

Дистрибутив - mandriva 2007.0
Ядро - 2.6.19
Вот эта строчка спокойно инициализировалась
-A INPUT -i eth0 -m state --state RELATED,ESTABLISH -j ACCEPT
Поставил ядро 2.6.22.7 - стала на нее ругаться.
Сделал вот так
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
Все равно ругается.
В чем может быть прикол?

anonymous ()
Ответ на: Re: Вышел iptables 1.4.0 от Plazmid

Re: Вышел iptables 1.4.0

Plazmid
Разобрался.
В новом ядре новые функции добавились - и некоторые модули, которые были
в config в старом ядре в новом не включились - еще раз сконфигурировал ядро - и все заработало.
Хотя вопрос есть - приведенная строка
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
Я эту строку понимаю так - пропускать пакеты через интерфейс eth0, у которых состояние Установлено, либо Относительное (т.е., открыто еще одно соединение тем соединением, которое уже установлено).
Эта строка пойдет для случая, когда я хочу с компьютера ходить куда угодно, а к себе пускать только те пакеты, которые относятся к моим
соединениям.

anonymous ()
Ответ на: Re: Вышел iptables 1.4.0 от anonymous

Re: Вышел iptables 1.4.0

>Я эту строку понимаю так - пропускать пакеты через интерфейс eth0, у которых состояние Установлено, либо Относительное (т.е., открыто еще одно соединение тем соединением, которое уже установлено).

Совершенно верно.

>Эта строка пойдет для случая, когда я хочу с компьютера ходить куда угодно, а к себе пускать только те пакеты, которые относятся к моим соединениям.

Тоже верно. Конечно, она не запрещает исходящих соединений (т.е. ходить куда угодно с этого же компьютера - еще нужно на OUTPUT смотреть). Я подобную строчку читаю, как - уменьшение нагрузки на принятия решения о действии с пакетом, т.е. эта строчка должна стоять "почти" в начале основной цепи условий.

Plazmid ()
Ответ на: Re: Вышел iptables 1.4.0 от Plazmid

Re: Вышел iptables 1.4.0

У меня она в начале и стоит.
В принципе, этой строки достаточно для домашнего компьютера - понятно, что
там еще разные моменты для icmp и udp прописать - и в принципе, можно считать, что машина защищена?

anonymous ()
Ответ на: Re: Вышел iptables 1.4.0 от anonymous

Re: Вышел iptables 1.4.0

>можно считать, что машина защищена?

если весь трафик на соединение (SYN к примеру) с внешних сетей - реджектишь\друпаешь, то к воздействию из вне более устойчив стал.

Остается обезопасить свои программы по инициализации соединений (например ходить по вэб-страницам\получать почту и т.п.).

Вообще, для обычной клиентской машины с линуксом - правила iptables почти для всех будет одинаковые. Хотя сам, признаюсь, на ноутбуке не задействовал оное. Наверное могу поплатиться, но почему-то думается, что роутер от D-Link 604 возьмет на себя весь первый удар и сдохнет быстрее сам, чем даст через него работать внутри сети + сильно не переживаю, пусть ломают домашние машинки, не жалко. Нафлудил, блин, тема для отдельного разговора...

Plazmid ()
Ответ на: Re: Вышел iptables 1.4.0 от Plazmid

Re: Вышел iptables 1.4.0

По большому счету, весь остальной внешний траффик отбрасывается. Есть несколько адресов как исключение - и все.
Вот той строки - ее достаточно, чтоб всякие нехорошие вещи мимо проходили?

anonymous ()
Ответ на: Re: Вышел iptables 1.4.0 от anonymous

Re: Вышел iptables 1.4.0

>Вот той строки - ее достаточно, чтоб всякие нехорошие вещи мимо проходили?

по дефолту прописать правило /sbin/iptables -P INPUT DROP еще нужно для этого.

Plazmid ()
Ответ на: Re: Вышел iptables 1.4.0 от Plazmid

Re: Вышел iptables 1.4.0

Это итак есть - еще раньше в списке правил.

anonymous ()

Re: Вышел iptables 1.4.0

когда же они багзиллу починят? итить его за ногу.... не могу уже полгода запостить досаждающий баг

GPF ()
Ответ на: Re: Вышел iptables 1.4.0 от anonymous

Re: Вышел iptables 1.4.0

>> Чем оно лучше PF?

> Производительностью.

Можно посмотреть какую-либо статистику и опытные выкладки?

iZEN ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.