https://m.opennet.dev/openforum/vsluhforumID3/119161.html Опубликован выпуск пакетного фильтра nftables 0.9.3, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.3 изменения включены в состав будущей ветки ядра Linux 5.5...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51980<br> https://m.opennet.dev/openforum/vsluhforumID3/119161.html#102 Wed, 11 Dec 2019 14:17:24 GMT Если есть волкодавы - можешь к нам приехать - волков бить - по 20 тр за шкуру платят)))<br> https://m.opennet.dev/openforum/vsluhforumID3/119161.html#101 Mon, 09 Dec 2019 09:06:04 GMT &gt; В редхате чтобы не слушал кто-то другой делает SELinux.<br><br>Не, он такого не умеет (в targeted mode, а остальные, собственно, для красоты, пользоваться ими невозможно). Он наоборот - чтоб апач не мог слушать dhcp какой-нибудь.<br>Собственно, у остальных той же ерундой c похожими результатами занимается apparmor.<br><br>Итого две кривые полуфункциональные хрени вместо одной нормальной, а линукс все еще немного уже почти, но опять - не готов для десктопа.<br><br><br> https://m.opennet.dev/openforum/vsluhforumID3/119161.html#100 Mon, 09 Dec 2019 07:30:10 GMT Ну, в винде проблема другая, там пользователь тычет в "разрешить" не особо задумываясь, о чем его спрашивают. Если прав хватает. А если нет, то "Ему требуется обратиться к системному администратору".<br> https://m.opennet.dev/openforum/vsluhforumID3/119161.html#99 Mon, 09 Dec 2019 07:20:28 GMT В редхате чтобы не слушал кто-то другой делает SELinux.<br> https://m.opennet.dev/openforum/vsluhforumID3/119161.html#98 Mon, 09 Dec 2019 07:03:15 GMT вы просто отсталый замшелый мамонт, неспособный зазубрить новый ненужный интерфейс - надо было journalctl "_SYSTEMD_UNIT=proftpd.service" -xe (как же ж удобно этот бред набирать) - и вы бы увидели... result is RESULT!<br><br>И вообще, вон отсюда со своим замшелым ftp. Оно еще и в модном-современном файрволе застревает, и вообще устаревшее небебезопастное ненужно!<br><br>P.S. на самом деле - systemctl status proftpd - таки умеет exit codes, причем их существенно больше вариантов 0/1 - просто мы ж такие все из себя параллельные-быстрые, что не имеем возможности синхронно запустить юнит - хотя очень старались и даже отдельный свитч для асинхронного запуска предусмотрен, отключенный по умолчанию. Ну нишмагла, шибко торопилась.<br><br> https://m.opennet.dev/openforum/vsluhforumID3/119161.html#97 Mon, 09 Dec 2019 04:16:50 GMT &gt; унификация интерфейса iptables/nftables<br><br>лол. Теперь у вас есть ТРИ совершенно разных интерфейса и три нескучных синтаксиса конфигов.<br><br>Эта унификация имела бы хоть малейший смысл, если бы у вас в одной и той же системе сегодня стоял iptables, а завтра nft. А послезавтра еще что-то. Но есть один ньюанс - даже если бы вы на самом деле стали так делать - вероятно, ровно потому, что понадобилась фича, которой у альтернативной версии - нет.<br><br>&gt; Это самое статистическое большинство (видимо из клиентов редхата), ему не хочется знать<br>&gt; iptables, ему надо 80-й и 443-й порт открыть,<br><br>ему не надо - оно и о портах никаких ничего не знает. yum install apache2 прекрасно о них позаботился бы сам, без ненужных прослоек - и да, можно даже с автоугадавом какой файрвол тут стоит и стоит ли вообще.<br><br>&gt; в iptables так нельзя by design.<br><br>в iptables так можно by design - так, к примеру, делает докер, оставляя место для ручных правил и добавляя свои к существующему файрволу. Но вы ведь не умеете iptables, да? Вот и дефекти https://m.opennet.dev/openforum/vsluhforumID3/119161.html#96 Sun, 08 Dec 2019 00:08:23 GMT Это не надуманная проблема, это реальный блокер линукса на десктопе.<br><br>"Разрешить/запретить приложению Х тип сетевого взаимодействия Y" - это задача на данный момент не выполнимая пользователем. Ему требуется обратиться к системному администратору чтобы:<br>1. Написать правила для фаервола<br>2. Написать оверрайд для политики SELinux<br><br>И проблема тут не техническая, проблема тут организационно-инфраструктурная. Когда для выполнения задачи нужно взаимодействие 2-х подсистем ядре и еще чего-то в юзерспейсе, чтобы решить по-нормальному.<br>Обычно нужен целый редхат, который будет героически это решать добавляя новый модуль к системд или куда-то еще, чтобы получилось.<br> https://m.opennet.dev/openforum/vsluhforumID3/119161.html#95 Sat, 07 Dec 2019 23:57:43 GMT firewalld решает 4 задачи:<br>- унификация интерфейса iptables/nftables. Даже если iptables нет и даже утилит обратной совместимости нет, то оно универсальное.<br>- предложить готовый набор простых правил для большинства. Это самое статистическое большинство (видимо из клиентов редхата), ему не хочется знать iptables, ему надо 80-й и 443-й порт открыть, а тем кто делает NAT им и маскарада хватит. SNAT будьте любезны через rich-rule писать<br>- применяет гуманитарный подход работы с интерфейсами типа "частный", "доверенный", "публичный" итд в привязке к NetworkManager<br>- позволяет использовать системный рабочий фаервол для тех людей, которые хотят свои правила. Не вырубать фаервол и изобретать велосипед, а доопределить то что есть. Это касается только бекенда nft, в iptables так нельзя by design.<br><br>Но справедливости ради, он убог, плохо документирован, многословен и пишет конфиги в xml. А что есть что-то лучше для менеджмента фаервола из юзерспейса? Не вручную правила ядру кормить, а именно пользовательский интерфе https://m.opennet.dev/openforum/vsluhforumID3/119161.html#94 Sat, 07 Dec 2019 07:14:11 GMT &gt; теперь я предпочитаю учиться на чужих ошибках и знать историю.<br><br>Чужие ошибки -- это конечно ленивый способ учиться, но люди тупые, они даже ошибиться как следует не могут. Пока сам не ошибёшься, не получишь настоящей ошибки.<br>