OpenForum RSS: Выпуск пакетного фильтра nftables 0.4 https://slinkov.ru/openforum/vsluhforumID3/100926.html Проект Netfilter представил (http://lists.netfilter.org/pipermail/netfilter-announce/2014/000211.html) четвёртый выпуск нового пакетного фильтра nftables (0.4), а также выпуск сопутствующей библиотеки libnftnl 1.0.3 (http://lists.netfilter.org/pipermail/netfilter-announce/2014/000210.html), предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables. В пакет Nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, которая входит в состав ядра Linux начиная с выпуска 3.13.<br><br><br><br>Nftables нацелен на замену iptables, ip6table, arptables и ebtables, и примечателен унификацией интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. Для реализации поставленной задачи Nftables предоставляет на уровне ядра лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. В работ Выпуск пакетного фильтра nftables 0.4 (Аноним) https://slinkov.ru/openforum/vsluhforumID3/100926.html#76 Sat, 19 Dec 2015 09:42:54 GMT Там блоки формируются с помощью {...}. Так что не надо сравнивать с Питоном.<br> Выпуск пакетного фильтра nftables 0.4 (Аноним) https://slinkov.ru/openforum/vsluhforumID3/100926.html#75 Sat, 19 Dec 2015 09:36:48 GMT &gt;где сложность реально нужна давным-давно стоят cisco-juniper-brocade<br><br>С "непонятно кем" встроенными бекдорами. Читай недавнюю новость на opennet. Поэтому доверие к такой "защите" стремится к нулю.<br> Выпуск пакетного фильтра nftables 0.4 (Аноним) https://slinkov.ru/openforum/vsluhforumID3/100926.html#74 Sat, 19 Dec 2015 09:21:25 GMT За это отвечает другая подсистема ядра QoS. Зачем дублировать функциональность?<br> Выпуск пакетного фильтра nftables 0.4 (pavel_simple) https://slinkov.ru/openforum/vsluhforumID3/100926.html#73 Sun, 21 Dec 2014 15:23:50 GMT &gt; а как он скриптуется? например, в iptables можно так: <br>&gt; iptables -F wan_in_flt <br>&gt; for src in `cat some_file_with_ip_addresses`; do iptables -A wan_in_flt -s $src -j <br>&gt; ACCEPT ; done <br>&gt; а эта новомодная хрень так умеет?<br><br>ты только-что понтанулся неумением пользоваться netfilter'ом. нищим тут не подают и поэтому нернём nftables я бы называть на вашем месте тоже не стал.<br><br> Выпуск пакетного фильтра nftables 0.4 (Аноним) https://slinkov.ru/openforum/vsluhforumID3/100926.html#72 Sun, 21 Dec 2014 14:51:12 GMT а как он скриптуется? например, в iptables можно так:<br><br>iptables -F wan_in_flt<br>for src in `cat some_file_with_ip_addresses`; do iptables -A wan_in_flt -s $src -j ACCEPT ; done<br><br>а эта новомодная хрень так умеет?<br> Выпуск пакетного фильтра nftables 0.4 (Аноним) https://slinkov.ru/openforum/vsluhforumID3/100926.html#71 Sat, 20 Dec 2014 18:32:33 GMT Ну-ну.<br> Выпуск пакетного фильтра nftables 0.4 (pavel_simple) https://slinkov.ru/openforum/vsluhforumID3/100926.html#70 Sat, 20 Dec 2014 17:42:11 GMT &gt;&gt;&gt; Вы таки полагаете, что доказали одним конкретным случаем некую всеобъемлющую закономерность?<br>&gt;&gt; я таки пологаю что Павлин троль, накинул так, что никто и не заметил потому-что <br>&gt;&gt; iptables -t filter -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT <br>&gt;&gt; iptables -t filter -I INPUT -i lo -j ACCEPT <br>&gt;&gt; iptables -t filter -Z <br>&gt;&gt; сии правила делают инсерт -- но не читавшим соответствующий ман этого не <br>&gt;&gt; понять.<br>&gt; Доколе вы будете читать мои примеры как Святое писание? :D <br>&gt; Начинали по CodingStyle... Закончим, как всегда ассемблерными вставками в фирмварь сетевухи?! <br><br>Павлин? -- а это ты точно мне пейсал? -- а то я чито-то не понимаю.<br>всмысле ничего не понимаю.. вот, совсем запутался Ж:(<br> Выпуск пакетного фильтра nftables 0.4 (pavlinux) https://slinkov.ru/openforum/vsluhforumID3/100926.html#69 Sat, 20 Dec 2014 15:49:50 GMT &gt;&gt; Вы таки полагаете, что доказали одним конкретным случаем некую всеобъемлющую закономерность?<br>&gt; я таки пологаю что Павлин троль, накинул так, что никто и не заметил потому-что <br>&gt; iptables -t filter -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT <br>&gt; iptables -t filter -I INPUT -i lo -j ACCEPT <br>&gt; iptables -t filter -Z <br>&gt; сии правила делают инсерт -- но не читавшим соответствующий ман этого не <br>&gt; понять.<br><br>Доколе вы будете читать мои примеры как Святое писание? :D <br>Начинали по CodingStyle... Закончим, как всегда ассемблерными вставками в фирмварь сетевухи?! <br> Выпуск пакетного фильтра nftables 0.4 (Аноним) https://slinkov.ru/openforum/vsluhforumID3/100926.html#68 Thu, 18 Dec 2014 18:42:00 GMT Да ладно вам спорить. Радуйтесь, что не XML-е :)<br>