https://opennet.me/openforum/vsluhforumID3/121676.html Следом за Fedora и Debian разработчики Ubuntu рассматривают возможность перехода на использование по умолчанию пакетного фильтра nftables...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53608<br> https://opennet.me/openforum/vsluhforumID3/121676.html#165 Sat, 13 Mar 2021 18:55:15 GMT Выбери что-то одно.<br>&gt;нормальный человеческий синтаксис<br>&gt;как например в фаерволе PF от OpenBSD. https://opennet.me/openforum/vsluhforumID3/121676.html#164 Tue, 01 Sep 2020 10:04:49 GMT В вашем правиле для iptables конструкиця вида: "--to 65535" - совершенно ни к чему. Копипастить надо то, что нужно, а не то, что вам дают хавать (брать в рот - разг. америк.). Вообще это назвается скрипкиддингом.<br> https://opennet.me/openforum/vsluhforumID3/121676.html#163 Tue, 01 Sep 2020 06:15:50 GMT Никак (не поддерживается)! Я об этом писал выше.<br>nftables - это осознанная диверсия в области фильтрации пакетов, для хомячков с Опеннета и ЛОРа.<br> https://opennet.me/openforum/vsluhforumID3/121676.html#162 Mon, 31 Aug 2020 06:10:06 GMT Синтаксис nft ужасный. Неужели нельзя придумать нормальный человеческий синтаксис, как например в фаерволе PF от OpenBSD. <br> https://opennet.me/openforum/vsluhforumID3/121676.html#161 Sun, 30 Aug 2020 15:24:45 GMT &gt; угу, угу, нинужен-нинужен.<br>&gt; FritzFrog передает тебе пламенный привет.<br><br>Пускай передаёт. Понятно что у меня нет внутренней информации от хостеров (или как щас модно, облачных провайдеров?), но с практической точки зрения все нормальные игроки на этом рынке либо в явном виде не дают использовать пароли (привет AWS) либо делают это настройкой не по умолчанию для новых VM instances, да и там уже рандом идёт, кто какой пароль поставит.<br>В отличии от публично доступных МонгоДБ и прочих Эластиков которые торчат на 0.0.0.0. В общем я скорее считаю это благом с этом точки зрения (с других может и фигня получаться, ну да там наверное уже и админы найдутся, а не DevOPS Backend Developer for Environment Setup, как принято на Апворке, том же)<br><br>&gt; Илюшенька местный со своими 20k только до него лично докопавшихся червячков - <br>&gt; кивает тебе вслед всеми 20k головами (или это у них жопа? <br>&gt; Попробуй отличи.)<br><br>Ну докопались, и ладно, есть пить не просят, жрут себе там может мегабайт на памяти сокетов, черт с ними, пара https://opennet.me/openforum/vsluhforumID3/121676.html#160 Sun, 30 Aug 2020 15:11:25 GMT Я, конечно, могу понять подобную позицию, но ты либо цитировать не умеешь, либо у тебя проблемы с восприятием.<br> https://opennet.me/openforum/vsluhforumID3/121676.html#159 Sun, 30 Aug 2020 13:35:12 GMT &gt; унифицированы интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов<br><br>etc<br> https://opennet.me/openforum/vsluhforumID3/121676.html#158 Sun, 30 Aug 2020 11:21:53 GMT По поводу StrongSwan (да и OpenVPN) - не поддерживают, но это особо не мешает, т.к. правила всё равно лучше писать самостоятельно, чтобы разрешать доступ не ко всему подряд, а только к отдельным ресурсам. Я пока не знаю nft, поэтому поднимал правила для strongSwan через iptables-фронтенд. Это было на CentOS 8. Всё отлично работало.<br> https://opennet.me/openforum/vsluhforumID3/121676.html#157 Sun, 30 Aug 2020 10:02:49 GMT угу, угу, нинужен-нинужен.<br>FritzFrog передает тебе пламенный привет.<br><br>Илюшенька местный со своими 20k только до него лично докопавшихся червячков - кивает тебе вслед всеми 20k головами (или это у них жопа? Попробуй отличи.)<br><br>_закрытый_ по умолчанию порт ssh (как, разумеется, и все остальные порты на вход) был в свое время даже в SuSE, не говоря уж о rh. Уже в 2000м году. Никакие чудо-новоделы в ведре для этого как раз были совершенно не нужны. Сложнее было обеспечить открытие только того и тем, кого надо, "неадмину" без элементарных знаний. Но админы не нужны, поэтому победили де6иллиан и его клоны, с отключенным начисто по умолчанию фильтром (до 2010 вообще без штатных механизмов) - ЭТО ди6илам ведь гораздо удобнее.<br><br>Даже до высот "какввенде" (где половина файрвола открыта для "localnet" - очень удобно для какого aws с /12) не дошли - это ведь надо уметь на ходу определять что сегодня есть localnet - причем, подозреваю, в ядре это делается, а не userland каждый раз на ходу меняет правила.<br><br>P.S. кста