https://www.opennet.ru/openforum/vsluhforumID3/113620.html Разработчики подсистемы NetFilter выставили на обсуждение патчи с начальной реализацией нового пакетного фильтра bpfilter, который со временем может заменить ныне поддерживаемые механизмы фильтрации пакетов nftables и iptables. Несмотря на все свои достоинства интенсивность внедрения механизма Nftables оставляет желать лучшего и iptables до сих пор остаётся более востребован и не желает повторять судьбу ipchains и ipfwadm.<br><br>В nftables логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). При этом последние годы в ядре Linux поставляется универсальная встроенная виртуальная машина BPF с JIT, для которой активно ведётся работа по улучшению производительности, функциональности и безопасности. Чтобы не поддерживать две разные виртуальные машины, выполняющие сходные задачи, и для достижения https://www.opennet.ru/openforum/vsluhforumID3/113620.html#171 Thu, 12 Oct 2023 11:51:47 GMT поищи extra iptables modules<br> https://www.opennet.ru/openforum/vsluhforumID3/113620.html#170 Sun, 04 Mar 2018 00:45:07 GMT Всё было просто замечательно пока я не дочитал до строчки "Харальд Вельте..." После чего мне внезапно захотелось кого-то вздёрнуть не рее.<br> https://www.opennet.ru/openforum/vsluhforumID3/113620.html#168 Tue, 27 Feb 2018 13:38:53 GMT &gt; У iptables нет конфига. Поэтому нужно писать шелл-скрипт, состоящий из серии вызовов <br>&gt; iptables с нужными ключами. <br><br>Аха. Что? Никогда не понимал таких чудаков.<br><br>&gt; Можно, конечно, использовать iptables-save и iptables-restore, <br><br>Именно это и надо использовать. Только без save. Чем это не конфиг<br><br>&gt; но тогда теряются все комментарии.<br><br>И почему? Если файл использовать только для restore, собственно как и любой другой конфиг, ничего не теряется.<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/113620.html#167 Tue, 27 Feb 2018 11:15:09 GMT &gt; (адреса не показывайте, не хочу. 4k индивидуальных, _разных_ action в студию! ;) <br><br>можно начать с простого: <br><br>4k адресов из какой-нибудь 10/8 и такое же количество публичных адресов. и вот для каждого надо прописать nat.<br> https://www.opennet.ru/openforum/vsluhforumID3/113620.html#166 Tue, 27 Feb 2018 11:00:44 GMT &gt;&gt;&gt; угу сэкономим несколько строк в конфиге и получим нечитаемое месиво.<br>&gt;&gt; отлично. ваш вариант? напомню, что у нас 4к адресов(ок, префиксов) и для <br>&gt;&gt; каждого свой action <br>&gt; покажите. Я хочу эту образцовую глупость увидеть.<br>&gt; (адреса не показывайте, не хочу. 4k индивидуальных, _разных_ action в студию! ;) <br><br>https://wiki.nftables.org/wiki-nftables/index.php/Dictionaries<br> https://www.opennet.ru/openforum/vsluhforumID3/113620.html#165 Tue, 27 Feb 2018 10:58:14 GMT &gt; что-то наподобие: <br>&gt; pass quick in proto udp from &lt;geoip-cn&gt; to any port {0:1023} min-ttl <br>&gt; 51 <br>&gt; pass in proto udp from &lt;geoip-cn&gt; to any port {0:1023} dup-to ($MIRRORIP <br>&gt; $OPTIONALPORT) <br><br>а можно ли показать то же самое, но для трафика внутри gre-туннеля(который бегает транзитом через машину с pf)?<br><br> https://www.opennet.ru/openforum/vsluhforumID3/113620.html#164 Tue, 27 Feb 2018 10:55:30 GMT <br>&gt;[оверквотинг удален]<br>&gt; -A icmp -p icmp -m length --length 129:9000 -j DROP <br>&gt; -A icmp -p icmp -m icmp --icmp-type 5 -j DROP <br>&gt; -A icmp -p icmp -m icmp --icmp-type 4 -j DROP <br>&gt; -A icmp -p icmp -m icmp --icmp-type 9 -j DROP <br>&gt; -A icmp -p icmp -m icmp --icmp-type 10 -j DROP <br>&gt; -A icmp -p icmp -m icmp --icmp-type 13 -j DROP <br>&gt; -A icmp -p icmp -m icmp --icmp-type 17 -j DROP <br>&gt; -A icmp -p icmp -m hashlimit --hashlimit-upto 2/sec --hashlimit-mode srcip --hashlimit-name <br>&gt; ICMP -j ACCEPT <br>&gt; -A icmp -p icmp -j DROP <br><br>этот велосипед примерно так же ужасен, как и неэффективен.<br> https://www.opennet.ru/openforum/vsluhforumID3/113620.html#163 Tue, 27 Feb 2018 10:54:11 GMT &gt; Самое приятное в этой ситуации, что на основе этого можно сделать порт <br>&gt; pf. Чтобы наконец-то можно было просто написать человекочитаемый pf.conf вместо этого <br>&gt; ада с правилами iptables через шеллскрипты.<br><br>вы можете прямо сейчас взять nftables и писать в подобном стиле.<br> https://www.opennet.ru/openforum/vsluhforumID3/113620.html#162 Tue, 27 Feb 2018 10:53:26 GMT &gt;[оверквотинг удален]<br>&gt; DROP <br>&gt; /sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP <br>&gt; /sbin/iptables -A INPUT -i lo -j ACCEPT <br>&gt; /sbin/iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT <br>&gt; /sbin/iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT <br>&gt; /sbin/iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT <br>&gt; /sbin/iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT <br>&gt; /sbin/iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT <br>&gt; /sbin/iptables -P OUTPUT ACCEPT <br>&gt; /sbin/iptables -P INPUT DROP <br><br>сблеванул. ужасно и крайне неэффективно<br>