LINUX.ORG.RU

Выход ferm - инструмента для работы с netfilter

 , , ,


0

2

ferm - это инструмент для управления файерволлом в Linux , который облегчает работу с ним путём создания правил на специальном языке, с последующей трансляцией в обычный для netfilter формат. Специальный язык, используемый в нём, имеет интуитивно понятный синтаксис, легко читаем и достаточно прост, с его помощью можно формировать как уровни, так и списки в правилах.

>>> Подробности



Проверено: mono ()
Последнее исправление: mono (всего исправлений: 2)

используемый в нём, имеет интуитивно понятный синтаксис, легко читаем и достаточно прост,

pf-like синтаксис, в общем то неплохо :)

anton_jugatsu ★★★★
()
Ответ на: комментарий от kernelpanic

>По ссылке какая-то чушь.

автор новости в к.о. - Андрей Зубинский, и его типичный стиль - накидать в кучу короткие описания, а читатели пусть сами разгребают.

вот цитирую оттуда - «Для Linux. Очень понравился транслятор ferm несложного специфического языка в правила брандмауэра netfilter, синтаксис которых при использовании штатного интерфейса iptables от человеческого максимально отдалён.». это в самом конце его статьи.

Voviandr
() автор топика

...имеет интуитивно понятный синтаксис...

пипец, а что в iptables непонятного? все строго и логично, поколение неосиляторов блин выросло или виндовозов набежало.

Sith ★★★★★
()
Ответ на: комментарий от Sith

> поколение неосиляторов блин выросло

Да пусть пишет. Может и путнее получится что. Я себе тоже когда то для настройки фаера делал простенькие скриптики на баше для упрощения процедуры настройки на очередном маршрутизаторе. Что-бы просто не забыть про какой нибудь сервис. И время что-бы сэкономить. Шаблон - он и в африке шаблон.

VitalkaDrug ★★
()
Ответ на: комментарий от Sith

Сложность соответствует возможностям.

а что в iptables непонятного? все строго и логично,

Поддерживаю. iptables сложны ровно настолько насколько сложно прохождение пакетов. Любая попытка создать упрощённый язык-фронтэнд к iptables должна начинаться с объяснения каких упрощений хочется добиться и от каких возможностей ради этого придётся отказаться.

Camel ★★★★★
()

Я бы переназвал, как «funny ferm», и сделал приложение для вконтактика.

anonymous
()

и чем это лучше правил iptables? Все также не лаконично. Теже яица только сбоку.

TheMixa ★★★
()
Ответ на: комментарий от Voviandr

синтаксис которых при использовании штатного интерфейса iptables от человеческого максимально отдалён

По мне, так синтаксис iptables вполне себе человеческий

Black_Shadow ★★★★★
()
Ответ на: комментарий от ACR

iptables некатуално там и так всё понятно, вот бы такую тулзу для шейпера aka tc былоб интересно

А смысл? У tc достаточно простой синтаксис. Сложности обычно возникают на стадии понимания, как работает traffic control в ядре Linux.

Black_Shadow ★★★★★
()
Ответ на: комментарий от Black_Shadow

синтаксис простой, но вот с пониманием иногда беда и для того чтобы зделать чтонибуть полезное порой приходится писать много команд оч похожих друг на друга, тут конечно выручают башовые велосипеды, но тулза с синтаксисом типа

сделать правила для мегакрутой компании
{
 скорость такаято
 интерфейсы такието
}
былабы оч удобной

ACR
()
Ответ на: комментарий от ACR

>вот бы такую тулзу для шейпера aka tc былоб интересно

htb.init ?

roller ★★★
()
Ответ на: комментарий от Sith

>пипец, а что в iptables непонятного? все строго и логично, поколение неосиляторов блин выросло или виндовозов набежало.

плюсую 100. что там сложного?

k0l0b0k ★★
()

Во-первых ferm был в продакшне задолго до этой новости.

Во-вторых - это надстройка над iptables для более простой записи сложных правил.

В третьих - кое-кого Шоман007 покусал.

Quasar ★★★★★
()

Ещё один nftables? Решили написать с нуля своё?

anonymoos ★★★★★
()
Ответ на: комментарий от Black_Shadow

> По мне, так синтаксис iptables вполне себе человеческий

Вы просто не видели действительно человеческого синтаксиса. man zbfw чтоб понять как он выглядит.

anonymous
()
Ответ на: комментарий от Sith

ну вообще-то файрвол никак не добавляет ни функциональности ни прямой пользы. Так что для того, чтобы им пользовались, необходимо быть понятным.

AVL2 ★★★★★
()
Ответ на: комментарий от exst

улучшеным структурированием.

Но для фронтэнда это, конечно, ерунда. Фронтэнд, это shorewall.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

ну вообще-то файрвол никак не добавляет ни функциональности ни прямой пользы.

тогда зачем он вам нужен - не пользуйтесь

Sith ★★★★★
()
Ответ на: комментарий от kernelpanic

>> Мне кажется в новости этой ссылке не место

поздно пить боржоми

kto_tama ★★★★★
()
Ответ на: комментарий от Sith

>тогда зачем он вам нужен - не пользуйтесь

затем же, зачем пользуются замками, юпсами и цепочками на великах. Чтобы не потерять наработанное с помощью полезных программ.

AVL2 ★★★★★
()

помоему на чистом иптаблес куда проще не написать кривой фаервол. Без знания иптаблес эта штука всеравно бесполезна, имхо

alt0v14 ★★★
()
Ответ на: комментарий от AVL2

> затем же, зачем пользуются замками, юпсами и цепочками на великах. Чтобы не потерять наработанное с помощью полезных программ.

Фаервол в своем классическом варианте практически ничем не помогает в решении данной задачи - обеспечение сохранности данных. Я понимаю что исполняю роль капитана очевидность, но тем не менее - задачи фаервола несколько иные раз, два - без анализатора пакетов и соотвественно хотя бы элементов IDS/IPS в современном мире фаервол практически бесполезен.

anonymous
()
Ответ на: комментарий от ACR

>iptables некатуално там и так всё понятно, вот бы такую тулзу для шейпера aka tc былоб интересно

поддерживаю, хотя htb.init был выброшен на другой день в силу негибкости :)

alt0v14 ★★★
()
Ответ на: комментарий от ACR

>сделать правила для мегакрутой компании

ну такой велосипед нетрудно и самому накатать, что я и сделал

alt0v14 ★★★
()
Ответ на: комментарий от Sith

А я вот не понял в чем новость... Я такие «фронтенды» на перле за вечер ваял.... Потод достало... айпитейблы всеравно проще некуда...

Jetty ★★★★★
()

Последняя версия ferm вышла 2 января.

Оперативненько на лоре пишут новости, всего восемь месяцев прошло.

nnz ★★★★
()

А чем он лучше Shorewall? Может кто-нибудь в двух словах сказать? Ведь Shorewall намного проще в понимании и настройке.

Magister2k7
()
Ответ на: комментарий от AiFiLTr0

вот то-то и оно. кто говорит, что у iptables понятный и простой синтаксис, пусть посмотрит на pf.

а вообще по сабжу - используя аналогию для программистов: ferm в сравнении с ipchains/iptables, то же, что язык С в сравнении с ассемблером. поэтому кто скажет навязшее на зубах и надоевшее «не нужно», тот имхо выражает лишь сугубо свою скромную точку зрения.

Voviandr
() автор топика
Ответ на: комментарий от Voviandr

>вот то-то и оно. кто говорит, что у iptables понятный и простой синтаксис, пусть посмотрит на pf.

На мой взгляд, очень плохое сравнение. pf с его линейной структурой и якорями — просто сферическое безумие в вакууме.

nnz ★★★★
()

А мне кажется, что инструмент должен идти от задачи. netfilter с iptables неплохо отрабатывают самый нижний слой, слой реализации сетевой фильтрации. Единственный, пожалуй, недостаток iptables, это слабая поддержка быстрого, частичного изменения конфигурации.

Администратор, в свою очередь, должен управлять политиками и правилами. В том числе создаваемыми на лету, в зависимости от обстановки. Для этого нужен демон, мониторящий сеть и нужен мощнй язык описания сущностей.

Ни то ни другое ферм не предоставляет, поэтом нафиг он нужен, остается загадкой.

AVL2 ★★★★★
()

Вообще-то вышел он:

v0.0.8 - 12 Dec 2000
- initial release, features:
* ipchains support
* ipfwadm support
* complete man page
* examples

Рановато новость запостили, до десятилетия чуть-чуть не дотянули.

berry
()
Ответ на: комментарий от Sith

Прекрасная вещь

Традиционно половина комментаторов по ссылке не ходила. Иначе бы они обнаружили, что сабж просто позволяет записывать правила в более короткой форме, избегая лишних повторений. А лишние повторы — это лишние источники ошибок.

Например, вместо

iptables -A INPUT -p tcp -j ACCEPT
iptables -A OUTPUT -p tcp -j ACCEPT
iptables -A INPUT -p udp -j ACCEPT
iptables -A OUTPUT -p udp -j ACCEPT

мы получаем

chain (INPUT OUTPUT) {
     proto (udp tcp) ACCEPT;
}

Очевидно, что второй вариант не просто куда приятнее читать, но позволяет избавиться от груды лишних ACCEPT, которые только замусоривают экран.

AX ★★★★★
()
Ответ на: комментарий от ACR

Не надо такого синтаксиса. Нет гибкости - как, например, динамически что-то менять, если есть конфиг, который надо целиком скармливать тулзе. При тысячах правил это может стать проблемой.

Достаточно было бы что-то типа
shape all for 1.2.3.4 at 2Mbit
ну, или классически
shape --ports 0-65535 --ip 1.2.3.4 --speed 2Mbit

Не более.

А то реально достали эти все извращения с tc. Особо достаёт необходимость прописывать разные правила на вход и выход.
Ну и все эти очень внутренние кишочки с классами, дисциплинами и фильтрами, вытащенные за каким-то непонятным хреном в юзерский интерфейс очень сильно достают.

Stanson ★★★★★
()
Ответ на: комментарий от Sith

>пипец, а что в iptables непонятного? все строго и логично, поколение неосиляторов блин выросло или виндовозов набежало.

Ты сможешь сам ответить на этот вопрос, когда нацарапаешь десять строчек с указанием порта 88888, случайно напишешь в четвёртой строчке 8888 и потом две недели будешь разбираться, почему не работает… :)

AX ★★★★★
()

Что, целый тред и ни одного FreeBSD RIP? ЛОР растет в моих глазах. А если я такое один подумал, то стыд мне и срам...

vertexua ★★★★★
()

// Интересненько

Когда у школоты наконец-то кончится житкий азод, и она обратит вминание на один мааааааааленький фагтег ?

А то кагбэ специальная олимпиада, а не тред.

Респект топикстартеру !

wherecat
()
Ответ на: комментарий от AX

>...десять строчек с указанием порта 88888, случайно напишешь в четвёртой строчке 8888...
Братан! Есть такая вещь... даже не знаю как сказать, чтобы не обидеть... Планирование называется...
Так вот. Можно писать сценарии. Даже под MS DOS такое есть...

Pronin ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.