Каким межсетевым экраном (firewall) для linux/unix вы пользуетесь?

Причём тут убунту?

/etc/alternatives это убунтовская хрень.

Не надо ничего конвертировать

Надо, Федя, надо.

/etc/alternatives это убунтовская хрень.

Не пиши чушь. Хоть немного подумай, убунта ничего своего кроме нескучных обоев и лагающих снапов не делает. Альтернативы, как и всё остальное, она берёт из дебиана.

Надо, Федя, надо.

Зачем? Есть два синтаксиса апи к netfilter: iptables и nftables. Выбирать можно по вкусу и привычкам, никаких отличий кроме внешнего вида между ними нет. Поскольку все уже привыкли к синтаксису первого, второй это удел тех кто недавно познакомился с линуксом. Ну или тех кого фатально бесит первый.

Никаким

весь смысл nftables - решить фундаментальные ошибки iptables - предыдущем варианте сетевого роутера.
пройдет хрензнаетсколько лет и появится следующий виток эволюции, исправляющий ошибки nftables :)

интерфейсов к иптейблес и нфтейблес гораздо больше. это ж просто переводилки своего языка правил в некоторый стандартный использующийсяв иптейблес и нфтейблес.

берёт из дебиана

Какая разница?

Зачем?

Ты сам ответил зачем.

Какая разница?

Большая. Убунту и правда не нужно, а дебиан хорошая система.

Ты сам ответил зачем.

В моём ответе ни слова нет про «надо». Всё сводится к вкусам. Ну конвертируй если тебе синтаксис nftables больше нравится, а остальных незачем уговаривать.

макось, pf

о как всё запущено! про проблему pmutd из-за дебилоадминов, тупо рубящих icmp, слыхал, не? ну и да, RTFM! icmp не исчёрпывается тем минимуом, что ты перечислил, он «control» не зря называется

точка зрения ясна. возможно и так. так-то я ещё ipchains припоминаю )))

Я и не уговариваю.

но ведь сетевой экран всего один, и называется он netfilter…

Я про нужность кому-то mtu discovery за 15 лет услышал всего 1 раз. И то, там было теоретическое «вот мы могли бы если б оно не фильтровалось» (пруфов что у кого-то проблемы - не было), и было это для нестандартного udp-протокола. Ну ок, конкретно им после этого не фильтровалось. Но вообще да, этот пакет наверно тоже не вредный, хотя и, по большей части, представляет из себя атавизм из 90х 80х, когда ещё существовали магистральщики с mtu меньше чем стандартное ethernet-овское. А сейчас можно его считать за 1400 и не знать проблем. 1400 а не 1492 - на всякий случай всяких vpn-инкапсуляций и подобного. Существуют, правда, ещё мелкие mtu около 500 на оконечных устройствах, но они обычно сами знают об этом и в том же tcp mss это анонсируют.

не возможно, а именно так оно и есть :).
nftables задуман разработчиком iptables, разрабатывается той же командой, в составе того же проекта, что разрабатывала iptables.
https://www.netfilter.org/about.html#history

Конечно же нет, netfilter только в линуксе.

Что ж там за Zhbert такой, что его пароли килограмм гашиша стоят. Я б согласился столько заплатить разве что за путинскую ядерную кнопку – с возможностью выставления целей.

Традиционно, дефолтным. Сейчас это nftables.

Судя по вариантам, ублюдочный сусефаервол окончательно избавил всех от своего присутствия?

Отмечай тогда оба, я так понял, что ТС именно для этого мультивыбор разрешил :)

кто все эти люди?

Но файервол же в ядре. Просто возможно им пользуется не пользователь, а nm и systemd.

Ну тут да, не поспорить. Автоматом генерятся правила для ip/nftables. Разве что не явно.

на основе этого я делаю вывод что у меня таки ip_tables :)

$ lsmod | grep -e tables -e nf_
ip_tables              32768  0
x_tables               53248  1 ip_tables

$ uname -sr
Linux 5.15.0-47-generic

существовали магистральщики с mtu меньше чем стандартное

ну я тя поздравляю! как жы ты работал в очистке?

вот из-за такого «подхода» и бывают сложно вылавливаемые проблемы.

убунта ничего своего кроме нескучных обоев и лагающих снапов не делает

Это вы напрасно. Тут где-то мы с человеком раскопали собственные патчи Ubuntu даже на libc, которые ломали обычное поведение библиотеки на локалях. Очень впечатлило. После этого стал бояться Ubuntu. Шут знает, что они там еще напатчили с изменением поведения.

systemd-like подход. синтаксис возможно комфортнее. кто как привык. мне кажется с нуля входить в nf удобнее, чем в ip.

раздражает, что докер требует только ip.

nftables. Хорошая вещь. Portknock может собственными силами.

Смысл для большинства домашних компьютеров использовать файервол? В большинстве случаев у вас стоит маршрутизатор, который и так всё входящее наглухо гасит. Для ноутбуков, которые переносятся с места на места и подключаются к разным сетям есть смысл. Там, конечно, проще всего использовать Firewalld с его концепцией зон. Если в одной сети ты должен быть доступен, то в публичных сетях проще всё закрыть.

К опросу не приложена инструкция, как определить, какой файрволл запихнули по-умолчанию в дистрибутив мейнтейнеры.

В современных линуксах есть только один файрволл - nftables. iptables - это адаптер к нему, а всё остальное - это оболочки.

ну тем более. Неясно про что вопрос тогда.

Что ж там за Zhbert такой, что его пароли килограмм гашиша стоят.

Zhbert просто не знает какие сейчас времена:

А что будет, если это всё сразу компрометируется? (комментарий)

системдэ - ненужно