OpenForum RSS: Выпуск пакетного фильтра nftables 0.9.2 https://www.opennet.ru/openforum/vsluhforumID3/118197.html Состоялся (https://marc.info/?l=netfilter&m=156621590113089&w=2) релиз пакетного фильтра nftables 0.9.2 (https://netfilter.org/projects/nftables/), развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.2 изменения включения в состав ядра Linux 5.3.<br><br><br><br><br>На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерф Выпуск пакетного фильтра nftables 0.9.2 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/118197.html#45 Fri, 23 Aug 2019 11:59:19 GMT https://wiki.nftables.org/wiki-nftables/index.php/Sets<br> Выпуск пакетного фильтра nftables 0.9.2 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/118197.html#44 Fri, 23 Aug 2019 10:34:43 GMT Так что там с заменой ipset? Будет не?<br> Выпуск пакетного фильтра nftables 0.9.2 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/118197.html#43 Thu, 22 Aug 2019 18:58:20 GMT &gt; Simplified dual stack IPv4/IPv6 administration, through the new inet family which allows you to register base chains that see both IPv4 and IPv6 traffic. Thus, you don't need to rely on scripts to duplicate your ruleset anymore.<br><br>https://wiki.nftables.org/wiki-nftables/index.php/Main_differences_with_iptables<br> Выпуск пакетного фильтра nftables 0.9.2 (evilman) https://www.opennet.ru/openforum/vsluhforumID3/118197.html#42 Wed, 21 Aug 2019 17:23:54 GMT Одним правилом через netfilter невозможно сделать. Нужно одно правило в iptables, а второе - в ip6tables. Теоретически можно извернуться через ingress queue, классификатором ipset и tc action. Но зачем?<br> Выпуск пакетного фильтра nftables 0.9.2 (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/118197.html#41 Wed, 21 Aug 2019 12:27:08 GMT А то же самое одновременно для IPv4 и IPv6?<br> Выпуск пакетного фильтра nftables 0.9.2 (пох.) https://www.opennet.ru/openforum/vsluhforumID3/118197.html#40 Wed, 21 Aug 2019 09:18:38 GMT &gt; ну а куда деваться-то? Если последний условно-вменяемый пакетный фильтр десять лет не <br>&gt; чинили в десяти тривиальных и нескольких нетривиальных местах, а потом просто <br><br>кстати, вот тривиальнейшее место - это нормальный nat/conntrack для gre туннелей.<br>Нет, никогда не работал, и не мог - и в код лучше даже вообще не смотрите, это п-ц.<br><br><br><br> Выпуск пакетного фильтра nftables 0.9.2 (пох.) https://www.opennet.ru/openforum/vsluhforumID3/118197.html#39 Wed, 21 Aug 2019 09:16:27 GMT &gt;&gt; "сириозные конфигурации" на этом нечитаемом трэшаке невозможны. Это я тебе как сетевик говорю.<br>&gt; Серьезный сетевик конечно же купит отдельную железку для stateful firewall, да?<br><br>ну а куда деваться-то? Если последний условно-вменяемый пакетный фильтр десять лет не чинили в десяти тривиальных и нескольких нетривиальных местах, а потом просто притащили вместо него неработающий мартышачий кал, а его объявили устаревшим и неправильным?<br><br>&gt; Как, кстати, на серьезных железках будет выглядеть правило, фильтрующее upd/53 внутри gre-<br>&gt; туннеля? <br><br>на серьезных железках такой херней не занимаются.<br><br>Правило будет выглядеть совершенно иначе - что-нибудь типа "allow dns from vpn clients to google and cloudflare"<br>Без уточнения айпишников и того что второй - DoH, и без детальных описаний всех возможных оберток.<br><br>Минус, что в этом полуестественном интеллекте, у тебя только видимость контроля. А реальный - у индуса где-то в горах. Но никакие другие варианты в общем-то уже давно не имеют смысла (ты все равно хуже ин Выпуск пакетного фильтра nftables 0.9.2 (size_t) https://www.opennet.ru/openforum/vsluhforumID3/118197.html#38 Wed, 21 Aug 2019 08:29:19 GMT &gt; "сириозные конфигурации" на этом нечитаемом трэшаке невозможны. Это я тебе как сетевик говорю.<br><br>Серьезный сетевик конечно же купит отдельную железку для stateful firewall, да?<br><br>Как, кстати, на серьезных железках будет выглядеть правило, фильтрующее upd/53 внутри gre-туннеля? <br>Да, туннель транзитный.<br> Выпуск пакетного фильтра nftables 0.9.2 (пох.) https://www.opennet.ru/openforum/vsluhforumID3/118197.html#37 Wed, 21 Aug 2019 07:24:41 GMT изначально на .com не перенаправляло. Пацаны явно растут, и уже поняли, что .it - плохая марка за пределами родной Италии.<br><br>&gt; Кстати, от твари они постепенно уходят, мне на одной из виртуалок в IT1 предложили нажать кнопку<br><br>мне пока ничего не предлагают, может, я их меньше затрахал? ;-)<br>При том что это пресловутые одноевровые виртуалки, для меня в общем загадка, каково экономическое оправдание этого бизнеса.<br><br>Деньги мафии отмывать, разьве что?<br><br>