The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Релиз iptables 1.8.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз iptables 1.8.0"  +/
Сообщение от opennews (?), 12-Июл-18, 21:38 
Спустя два с половиной года с момента формирования прошлой стабильной ветки 1.6.x представлен (https://marc.info/?l=netfilter-devel&m=153086953903487&w=2)  iptables 1.8.0 (https://netfilter.org/projects/iptables/), новый значительный релиз инструментария для управления пакетным фильтром Linux.


Основные изменения (https://netfilter.org/projects/iptables/files/changes-iptabl...):


-  Обеспечено явное разделение классического фронтэнда iptables и нового фронтэнда, построенного поверх инфраструктуры пакетного фильтра nftables и  позволяющего мигрировать на технологии nftables, продолжив использовать привычные инструменты и синтаксис iptables. Классический фронтэнд теперь поставляется с явным указанием в имени исполняемых файлов слова "-legacy", например iptables-legacy и iptables-legacy-save, а файлы фронтэнда на базе nftables вместо  "-compat" теперь заканчиваются на "-nft", например, iptables-nft. При запуске iptables с командой '--version' выдаётся информация о типе фронтэнда  (например "iptables v1.8 (legacy)" или "iptables v1.8 (nf_tables)");

-  Дистрибутивам рекомендуется устанавливать по умолчанию классческий фронтэнд для стабильных выпусков, а в экспериментальных версиях предлагать команды на базе nftables в качестве альтернативы  c  созданием симлинков iptables, ip6tables, iptables-restore и т.п., указывающих на xtables-nft-multi. В качестве плюсов применения варианта на базе nftables отмечается отсутствие необходимости применения опции "--wait" для решения проблем с одновременным запуском, поддержка монитринга набора правил при помощи сторонних фоновых процессов, предоставление возможностей для отладки правил (xtables-monitor --trace в сочетании с iptables-действием TRACE) и возможность добавления/удаления правил не меняя внутреннее состояние  таких критериев как органичения и квоты;

-  Применяемый для IPv6 критерий (match) 'srh' теперь может применяться для сопоставления с прошлым, следующим и последним идентификатором сеанса (SID);

-  В действии (target) CONNMARK  обеспечена поддержка операций битового сдвига для критериев  restore-mark, set-mark и save-mark;
-  В DNAT теперь допустимо использовать сдвинутые диапазоны portmap;

-  В бэкенд nf_tables добавлены новые команды:


-  xtables-monitor - отображает изменения в наборе правил и информацию о трассировке пакетов для отладки правил.
-  ebtables  - функциональность для замены утилиты ebtables;
-  arptables - функциональность для замены утилиты arptables;


-  Добавлено семейство утилит 'translate' (ip6tables-translate, ip6tables-restore-translate,  iptables-restore-translate, iptables-translate) для преобразования синтаксиса iptables в родные наборы правил nftables, воспринимаемые утилитой nft.

URL: https://marc.info/?l=netfilter-devel&m=153086953903487&w=2
Новость: https://www.opennet.dev/opennews/art.shtml?num=48936

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Релиз iptables 1.8.0"  –13 +/
Сообщение от DEF (?), 12-Июл-18, 21:38 
Так оно же deprecated
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Релиз iptables 1.8.0"  +3 +/
Сообщение от Аноним (4), 12-Июл-18, 22:16 
Тебе об этом и написали

> Обеспечено явное разделение классического фронтэнда iptables и нового фронтэнда, построенного поверх инфраструктуры пакетного фильтра nftables и позволяющего мигрировать на технологии nftables, продолжив использовать привычные инструменты и синтаксис iptables.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Релиз iptables 1.8.0"  –1 +/
Сообщение от Аноним (8), 13-Июл-18, 01:08 
Кто в курсе, возможно ли будет в новом фронтенде реализовать фильтрацию по процессам? Или может это уже будет реализовано?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Релиз iptables 1.8.0"  –1 +/
Сообщение от Аноним (4), 13-Июл-18, 02:30 
google:// cgroups iptables
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Релиз iptables 1.8.0"  –1 +/
Сообщение от Аноним (-), 13-Июл-18, 02:57 
и как это юзать, например, для /usr/bin/deluge ?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Релиз iptables 1.8.0"  +/
Сообщение от Аноним (13), 13-Июл-18, 09:24 
можно использовать cgred (для помещения процесса в уникальную cgroup'у. в случае бинарника проблем не будет, если же это скрипт, тогда нужно писать обертку, которая будет выполнять скрипт, но перед этим этим помещать его в cgroup'у.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

18. "Релиз iptables 1.8.0"  +/
Сообщение от Аноним (18), 13-Июл-18, 12:21 
А чтобы скриптов не писать и не хакать систему, ну чтобы как у людей?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

23. "Релиз iptables 1.8.0"  +/
Сообщение от Аноним (-), 13-Июл-18, 14:44 
Опять полное невежество и непонимание, выставленное напоказ?

В простом скрипте нет ничего плохого. Не зазорно пользоваться удобными ручками системы, автоматизируя действия скриптом. Проблемы линукса несколько сложнее, чем в твоих влажных фантазиях, вантуз. Вам, соскам мс, не понять. И пытаться не стоит.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Релиз iptables 1.8.0"  –2 +/
Сообщение от Аноним (-), 13-Июл-18, 14:00 
Фильтрацию по процессам я мог сто лет как делать и без cgroups, но и это "хак". Без хаков никак?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

26. "Релиз iptables 1.8.0"  +1 +/
Сообщение от Мамкины ценители инноваций (?), 13-Июл-18, 17:07 
man iptables прочитал и уже хакиром стал?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

14. "Релиз iptables 1.8.0"  +1 +/
Сообщение от Vozzz (?), 13-Июл-18, 10:29 
Я так долго собирался изучить наконец iptables, что он успел устареть? (((
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

19. "Релиз iptables 1.8.0"  +4 +/
Сообщение от Аноним (4), 13-Июл-18, 12:28 
4 января 2001 — Linux версии 2.4.0
Вот с той поры с нами в стабильном состоянии iptables. Ты родиться успел и вырасти.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

24. "Релиз iptables 1.8.0"  +5 +/
Сообщение от Аноним (-), 13-Июл-18, 15:27 
Да нет, это ты депрекейтед (с рождения).
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Релиз iptables 1.8.0"  +/
Сообщение от Аноним (3), 12-Июл-18, 21:57 
> В DNAT теперь допустимо использовать сдвинутые диапазоны portmap;

А можно разжевать что это значит?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Релиз iptables 1.8.0"  +/
Сообщение от Аноним (5), 12-Июл-18, 22:51 
Уже в новость добавили описание.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Релиз iptables 1.8.0"  +/
Сообщение от Аноним (4), 12-Июл-18, 23:06 
Дзякую! Вообще годно. Не то что бы я часто использовал DNAT, но такой вариант с портами выглядит полезным, странно, что раньше не сделали.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

35. "Релиз iptables 1.8.0"  +/
Сообщение от Аноним (35), 18-Июл-18, 02:30 
Каждый, хотя бы раз в жизни, должен попробовать двухсторонний DNAT.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Релиз iptables 1.8.0"  +2 +/
Сообщение от Аноним (7), 12-Июл-18, 23:22 
- Что Вы можете рассказать о пакетных фильтрах в Linux?
- ebtables!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Релиз iptables 1.8.0"  +/
Сообщение от Олег (??), 13-Июл-18, 09:06 
А модуль netflow уже перенесли в nftables?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Релиз iptables 1.8.0"  +/
Сообщение от stalker37email (ok), 13-Июл-18, 11:42 
Увы нет.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Релиз iptables 1.8.0"  –1 +/
Сообщение от Аноним (17), 13-Июл-18, 11:51 
nftables умеют что-нибудь новое, или синтаксис там понятнее? Или это просто "другое"?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Релиз iptables 1.8.0"  +3 +/
Сообщение от Старый одмин (?), 13-Июл-18, 12:39 
Судя по новости синтаксис пофиксили. Если не пользоваться командой nft.
Теперь надо ещё подождать iptables-ebpf и совсем хорошо станет.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

27. "Релиз iptables 1.8.0"  –1 +/
Сообщение от Аноним (4), 13-Июл-18, 17:55 
Понятней iptables это тебе на русском подворотном что ли? У iptables синтаксис предельно понятен, даже подобные тебе могут осилить. Отличия читай в новости про nft. Там все было разжевано так, что даже русский поймет.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

29. "Релиз iptables 1.8.0"  –2 +/
Сообщение от User (??), 14-Июл-18, 20:10 
Ну, т.е. продукт, сделанный "чужими для хищников" таки нашел своего поклонника )
Синтаксическая помойка из case-sensitive однобуквенных ключей, -\--параметров и case-sensitive-же ключевых слов, бешено переусложненная для простых вещей (Которых в жизни 95% так-то) обмазанная разнообразными костылями в три слоя = "предельно понятно"? Ей-ей, на этом фоне cmd в windows очень даже прилично смотрится, да. Хуже можно сделать только обмазав в четыре слоя <{)});> oh shi...
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "Релиз iptables 1.8.0"  +/
Сообщение от Аноним (4), 14-Июл-18, 20:29 
Первый год(то есть где-то 2001) case-sensitive бесил, а потом привык и вот уже 16 лет живу нормально. Пока мне nft кажется написанным чужими для хищников, но думаю привыкну с годами.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "Релиз iptables 1.8.0"  –1 +/
Сообщение от User (??), 14-Июл-18, 21:19 
>Первый год(то есть где-то 2001) case-sensitive бесил, а потом привык и вот уже 16 лет живу нормально.

Стокгольмский синдром, ага :).
>Пока мне nft кажется написанным чужими для хищников, но думаю привыкну с годами.

Оно человекочитаемое хотя бы. Его можно показать бабушке\внучке и есть шанс, что они "по аналогии" сделают, что им нужно, а не убегут за святой водой при виде мешанины -t -A -p -j в одной строке.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

33. "Релиз iptables 1.8.0"  +/
Сообщение от Аноним (4), 15-Июл-18, 00:47 
Моей бабушке 92 года. Ей что iptables показывай, что nft, все равно скажет, что набор букв бусурманских :-D
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

36. "Релиз iptables 1.8.0"  +/
Сообщение от sage (??), 28-Июл-18, 00:40 
Там очень много нового, и все довольно непривычное.
Мне нужно было перенаправить кучу IP-адресов в другую кучу IP-адресов. В iptables мне нужно добавлять по одному DNAT-правилу на каждый адрес, а в nftables я могу сделать одно правило со списком src ip → dst ip, и добавлять или удалять правило уже непосредственно из списка.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "Релиз iptables 1.8.0"  +/
Сообщение от Аноним (-), 13-Июл-18, 15:29 
Ура! iptables победит этот новодел.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Релиз iptables 1.8.0"  –1 +/
Сообщение от Аноним (28), 14-Июл-18, 11:31 
> iptables-legacy

и сломаем все скрипты. вообще надо было так iptables-legacy-dont-use-its-deprecated
если уж делать западло, то по полной!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Релиз iptables 1.8.0"  +1 +/
Сообщение от Аноним (32), 14-Июл-18, 23:41 
>и сломаем все скрипты. вообще надо было так iptables-legacy-dont-use-its-deprecated

если уж делать западло, то по полной

И симлинк в /dev/null :))

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

34. "Релиз iptables 1.8.0"  +/
Сообщение от Аноним (34), 16-Июл-18, 19:28 
Как там с libvirt? Точно не помню какой там фронт, но помню в доке что то типа «в случае проблем service iptables restart»
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру