OpenForum RSS: Выпуск пакетного фильтра nftables 0.9.7 https://ssl.opennet.dev/openforum/vsluhforumID3/122260.html Опубликован выпуск пакетного фильтра nftables 0.9.7, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.7 изменения включены в состав ядра Linux 5.10-rc1...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53984<br> Выпуск пакетного фильтра nftables 0.9.7 (Random) https://ssl.opennet.dev/openforum/vsluhforumID3/122260.html#104 Sat, 31 Oct 2020 22:16:01 GMT &gt; От трассировки можно, например, просто дропать исходящие icmp ttl exceeded. Это самое <br>&gt; простое и дубовое.<br><br>А вот чтобы была красивая трассировка до цели, но dnat'ящий хост в ней не отображался - не было "двойного" ответа от целевого ip, при этом был ответ именно от цели (напр., для диагностики/мониторинга).<br><br>&gt; Или можно дропать пакеты с маленьким ttl, т.к. это в 99.99% трейсроут, <br>&gt; а в остальных случаях они и так не нужны уже.<br><br>А также дропать пакеты с большим ttl, т.к. это в 99.99% скан, а src заносить в афроамериканский список.<br><br> Выпуск пакетного фильтра nftables 0.9.7 (Takishima) https://ssl.opennet.dev/openforum/vsluhforumID3/122260.html#103 Sat, 31 Oct 2020 21:56:14 GMT &gt; Спасибо, уже неплохо, хотя из мана это неочевидно (ещё раз к вопросу <br>&gt; о вменяемой документации).<br><br>Ну я кроме мана не использовал ничего. Хз, какая должна быть вменяемая. Разве что примеров побольше.<br><br>&gt; Но хотелось бы не столько "--ttl-set", сколько "--ttl-inc" (типа, скрыть от трассировки <br>&gt; dnat'ящий хост) <br><br>От трассировки можно, например, просто дропать исходящие icmp ttl exceeded. Это самое простое и дубовое.<br><br>Или что-то типа такого (вместо XX и YY подставить нужные числа):<br><br>table ip mangle {<br> chain prerouting {<br> type filter hook prerouting priority mangle<br> policy accept<br><br> iifname "eth0" ip daddr 192.0.2.33 ip ttl &lt; XX ip ttl set YY<br> }<br>}<br><br>Или можно дропать пакеты с маленьким ttl, т.к. это в 99.99% трейсроут, а в остальных случаях они и так не нужны уже.<br> Выпуск пакетного фильтра nftables 0.9.7 (Random) https://ssl.opennet.dev/openforum/vsluhforumID3/122260.html#102 Sat, 31 Oct 2020 21:56:04 GMT default gateway - понятие динамическое, провайдеров может быть более одного даже для домашнего инета.<br>Но некоторые вещи, типа того же ЛК, направляем строго через того или иного провайдера, вот это руками и прописано.<br> Выпуск пакетного фильтра nftables 0.9.7 (Random) https://ssl.opennet.dev/openforum/vsluhforumID3/122260.html#101 Sat, 31 Oct 2020 21:43:04 GMT Вот да, динамическое изменение правил выглядит более сложным (если при этом надо анализировать уже существующие правила).<br><br> Выпуск пакетного фильтра nftables 0.9.7 (Random) https://ssl.opennet.dev/openforum/vsluhforumID3/122260.html#100 Sat, 31 Oct 2020 21:35:41 GMT И ещё раз к вопросу о вменяемой документации... :)<br> Выпуск пакетного фильтра nftables 0.9.7 (Random) https://ssl.opennet.dev/openforum/vsluhforumID3/122260.html#99 Sat, 31 Oct 2020 21:31:34 GMT Спасибо, уже неплохо, хотя из мана это неочевидно (ещё раз к вопросу о вменяемой документации).<br>Но хотелось бы не столько "--ttl-set", сколько "--ttl-inc" (типа, скрыть от трассировки dnat'ящий хост)<br><br> Выпуск пакетного фильтра nftables 0.9.7 (Takishima) https://ssl.opennet.dev/openforum/vsluhforumID3/122260.html#98 Sat, 31 Oct 2020 16:18:03 GMT &gt; Какой эквивалент для таргета TTL?<br><br>Например, так (будет работать и для локальных пакетов, и форварженных):<br><br>table ip mangle {<br> chain postrouting {<br> type filter hook postrouting priority mangle<br> policy accept<br><br> ip daddr 1.1.1.1 ip ttl set 68<br> }<br>}<br><br>Читаем в man nft:<br><br> EXTENSION HEADER STATEMENT<br> extension_header_expression set value<br><br>В данном случае &#8212; "ip ttl" это и есть extension_header_expression<br> Выпуск пакетного фильтра nftables 0.9.7 (abu) https://ssl.opennet.dev/openforum/vsluhforumID3/122260.html#97 Sat, 31 Oct 2020 15:36:00 GMT О как. Спасибо за объяснение!<br> Выпуск пакетного фильтра nftables 0.9.7 (macfaq) https://ssl.opennet.dev/openforum/vsluhforumID3/122260.html#96 Sat, 31 Oct 2020 13:59:52 GMT &gt;&gt; оно только кажется переусложнённым нечто или так и есть?<br>&gt; А разница какая? Результат один - придётся с ним иметь дело.<br><br>Одна даёт, другая дразнится. Для себя интересуюсь, в ближайшем будущем я с nft вряд ли что-то делать буду, а лёгкий интерес есть.<br>