The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск пакетного фильтра nftables 0.9.7"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от opennews (??), 29-Окт-20, 12:12 
Опубликован выпуск пакетного фильтра nftables 0.9.7, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.7 изменения включены в состав ядра Linux 5.10-rc1...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53984

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск пакетного фильтра nftables 0.9.7"  +10 +/
Сообщение от InuYasha (??), 29-Окт-20, 12:12 
Хоть в своё время я с ним и посношался приличное время, но всё равно оценил. НФТ - это реально шаг вперёд.
>Улучшена пометка ошибок в выражениях.

Где вы были раньше... (T_T)

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск пакетного фильтра nftables 0.9.7"  +2 +/
Сообщение от timur.davletshinemail (ok), 29-Окт-20, 14:57 
Молодец! Большой прогресс. Год назад ты не мог модули ядра скомпилировать.
Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск пакетного фильтра nftables 0.9.7"  –2 +/
Сообщение от InuYasha (??), 29-Окт-20, 17:22 
> Молодец! Большой прогресс. Год назад ты не мог модули ядра скомпилировать.

Давай сегодня без клеветы, ок?

Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск пакетного фильтра nftables 0.9.7"  –4 +/
Сообщение от timur.davletshinemail (ok), 29-Окт-20, 20:37 
>> Молодец! Большой прогресс. Год назад ты не мог модули ядра скомпилировать.
> Давай сегодня без клеветы, ок?

Ноут тот уже настроил?

Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск пакетного фильтра nftables 0.9.7"  –3 +/
Сообщение от Аноним (2), 29-Окт-20, 12:27 
table, set, define, test...

Бл, какое-то программирование сплошное. Раньше все так легко админилось в линухе простыми конфигами, а теперь все больше чувствуешь себя кодером и хацкером...

Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск пакетного фильтра nftables 0.9.7"  +3 +/
Сообщение от Аноним (4), 29-Окт-20, 13:08 
все это что? Конфиг sendmail, который компилять надо? Конфиг nginx, на котором программировать пытаются? Конфиг того же апача вот прям простой с учетом всех возможностей?
Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Аноним (5), 29-Окт-20, 13:35 
Так то сейчас на конфиге нжинкс пытаются девушку заменить. А раньше в советские времена оно было понятно и просто.
Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск пакетного фильтра nftables 0.9.7"  +5 +/
Сообщение от Аноним (11), 29-Окт-20, 14:22 
Это когда вместо канплюктеров считали на счётах, арифмометрах и логарифмических линейках?
А вы точно арифмометр осилите?
Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск пакетного фильтра nftables 0.9.7"  +1 +/
Сообщение от InuYasha (??), 29-Окт-20, 17:22 
Вот на счёты не наезжай, да??
Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск пакетного фильтра nftables 0.9.7"  +2 +/
Сообщение от Аноним (11), 29-Окт-20, 14:09 
> Бл, какое-то программирование сплошное. Раньше все так легко админилось в линухе простыми конфигами, а теперь все больше чувствуешь себя кодером и хацкером...

Это вам к Поттерингу, пятая дверь направо.
Если вы его хорошо попросите, он придёт и заменит весь кодинг на простые ini-файлы.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

27. "Выпуск пакетного фильтра nftables 0.9.7"  +1 +/
Сообщение от псевдонимус (?), 29-Окт-20, 16:47 
Ты дурак или прикидываешься?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

77. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от BorichL (?), 30-Окт-20, 15:54 
Ой, какие мы нежные, нам бы всё галочки мышком потыкивать....
Когда предыдущую версию dbmail c PostgreSQL ставил, пришлось запросы в исходниках править, чтоб заработало, ничего в этом страшного нет. А уж сколько раз конторский сайтец приходилось править по мере выхода новых пыхопыхов...
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Выпуск пакетного фильтра nftables 0.9.7"  +9 +/
Сообщение от Random (??), 29-Окт-20, 12:53 
Им бы вменяемую документацию...
Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск пакетного фильтра nftables 0.9.7"  +4 +/
Сообщение от Имя (?), 29-Окт-20, 14:01 
https://wiki.nftables.org/wiki-nftables/index.php/Quick_refe...
Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск пакетного фильтра nftables 0.9.7"  +7 +/
Сообщение от funtt (?), 29-Окт-20, 15:59 
Там же написано: "вменяемую".
Ответить | Правка | Наверх | Cообщить модератору

57. "Выпуск пакетного фильтра nftables 0.9.7"  +1 +/
Сообщение от Аноним (57), 29-Окт-20, 23:26 
man nft который идёт в комплекте вроде бы соответствует последней версии
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

6. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от macfaq (?), 29-Окт-20, 13:58 
Кто реально пользовался - оно только кажется переусложнённым нечто или так и есть?
Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Аноним (9), 29-Окт-20, 14:18 
Ipchains был лучше
Ответить | Правка | Наверх | Cообщить модератору

15. "Выпуск пакетного фильтра nftables 0.9.7"  +7 +/
Сообщение от Дедушка (?), 29-Окт-20, 14:42 
При ipchains-то у меня х.. стоял!
Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск пакетного фильтра nftables 0.9.7"  +3 +/
Сообщение от EuPhobos (ok), 29-Окт-20, 16:22 
Нужно главное в голове закрепить, что это не iptables.
Если включить логику, nft сразу становится понятен и гибок.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

28. "Выпуск пакетного фильтра nftables 0.9.7"  –5 +/
Сообщение от псевдонимус (?), 29-Окт-20, 16:52 
Одно из преимуществ Линукс - крутой пакетный фильтр кануло в небытие.  А линуксоиды, как Алкснис: стоят вместе с пингвинами, улыбаются и машут :-(
Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск пакетного фильтра nftables 0.9.7"  +1 +/
Сообщение от Аноним (2), 29-Окт-20, 20:03 
>гибок

Гибуч!

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

47. "Выпуск пакетного фильтра nftables 0.9.7"  +1 +/
Сообщение от псевдонимус (?), 29-Окт-20, 21:58 
Злогибуч.%0A
Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Аноним (31), 29-Окт-20, 17:26 
Не, не сложно. Легко преобразуются из iptables правила и все.)
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

49. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от псевдонимус (?), 29-Окт-20, 22:00 
Магия, да? И ты ей радуешься :-(
Ответить | Правка | Наверх | Cообщить модератору

69. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Аноним (69), 30-Окт-20, 09:13 
Простите, как из iptables в nftables переписать очень актуальное правило

iptables -A INPUT -p tcp -m tcp --sport 80 -m string --string "Location: http://lawfilter." --algo bm --to 65535 -j DROP

?

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

70. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от llolik (ok), 30-Окт-20, 09:51 
> Простите, как из iptables в nftables переписать очень актуальное правило

Пока никак. string extension ещё пока не реализован (consider native interface)
https://wiki.nftables.org/wiki-nftables/index.php/Supported_...

Ответить | Правка | Наверх | Cообщить модератору

91. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Random (??), 31-Окт-20, 11:12 
Какой эквивалент для таргета TTL?
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

98. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Takishima (ok), 31-Окт-20, 19:18 
> Какой эквивалент для таргета TTL?

Например, так (будет работать и для локальных пакетов, и форварженных):

table ip mangle {
  chain postrouting {
    type filter hook postrouting priority mangle
    policy accept

    ip daddr 1.1.1.1 ip ttl set 68
  }
}

Читаем в man nft:

   EXTENSION HEADER STATEMENT
           extension_header_expression set value

В данном случае — "ip ttl" это и есть extension_header_expression

Ответить | Правка | Наверх | Cообщить модератору

99. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Random (??), 01-Ноя-20, 00:31 
Спасибо, уже неплохо, хотя из мана это неочевидно (ещё раз к вопросу о вменяемой документации).
Но хотелось бы не столько "--ttl-set", сколько "--ttl-inc" (типа, скрыть от трассировки dnat'ящий хост)

Ответить | Правка | Наверх | Cообщить модератору

103. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Takishima (ok), 01-Ноя-20, 00:56 
> Спасибо, уже неплохо, хотя из мана это неочевидно (ещё раз к вопросу
> о вменяемой документации).

Ну я кроме мана не использовал ничего. Хз, какая должна быть вменяемая. Разве что примеров побольше.

> Но хотелось бы не столько "--ttl-set", сколько "--ttl-inc" (типа, скрыть от трассировки
> dnat'ящий хост)

От трассировки можно, например, просто дропать исходящие icmp ttl exceeded. Это самое простое и дубовое.

Или что-то типа такого (вместо XX и YY подставить нужные числа):

table ip mangle {
  chain prerouting {
    type filter hook prerouting priority mangle
    policy accept

    iifname "eth0" ip daddr 192.0.2.33 ip ttl < XX ip ttl set YY
  }
}

Или можно дропать пакеты с маленьким ttl, т.к. это в 99.99% трейсроут, а в остальных случаях они и так не нужны уже.

Ответить | Правка | Наверх | Cообщить модератору

104. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Random (??), 01-Ноя-20, 01:16 
> От трассировки можно, например, просто дропать исходящие icmp ttl exceeded. Это самое
> простое и дубовое.

А вот чтобы была красивая трассировка до цели, но dnat'ящий хост в ней не отображался - не было "двойного" ответа от целевого ip, при этом был ответ именно от цели (напр., для диагностики/мониторинга).

> Или можно дропать пакеты с маленьким ttl, т.к. это в 99.99% трейсроут,
> а в остальных случаях они и так не нужны уже.

А также дропать пакеты с большим ttl, т.к. это в 99.99% скан, а src заносить в афроамериканский список.

Ответить | Правка | Наверх | Cообщить модератору

54. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от comrade (ok), 29-Окт-20, 22:22 
> оно только кажется переусложнённым нечто или так и есть?

А разница какая? Результат один - придётся с ним иметь дело.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

96. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от macfaq (?), 31-Окт-20, 16:59 
>> оно только кажется переусложнённым нечто или так и есть?
> А разница какая? Результат один - придётся с ним иметь дело.

Одна даёт, другая дразнится. Для себя интересуюсь, в ближайшем будущем я с nft вряд ли что-то делать буду, а лёгкий интерес есть.

Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск пакетного фильтра nftables 0.9.7"  –1 +/
Сообщение от б.б. (?), 29-Окт-20, 14:18 
как в этой штуке сделать NAT? вместо обычного iptables -t nat -j MASQUERADE -A POSTROUTING
Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Аноним (11), 29-Окт-20, 14:27 
https://wiki.archlinux.org/index.php/Nftables_(п═я┐я│я│п╨п╦п╧)#п°п╟я│п╨п╟я─п╟п╢п╦п╫пЁ
Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск пакетного фильтра nftables 0.9.7"  +4 +/
Сообщение от Аноним (11), 29-Окт-20, 14:29 
Какие всё-таки кривые у Чиркова руки... Не можешь корректно обработать URL — так хотя бы не вандаль его.

https://shorturl.at/aAOPT

Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск пакетного фильтра nftables 0.9.7"  +3 +/
Сообщение от антифрактал (?), 29-Окт-20, 15:20 
ты ж не донатишь ему, отсюда такие спецэффекты
Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск пакетного фильтра nftables 0.9.7"  +1 +/
Сообщение от Аноним (11), 29-Окт-20, 15:29 
Кривизна рук от донатов не зависит.

Предпочитаю донатить людям с прямыми руками, чтобы они делали что-то хорошее и качественное.

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Аноним (24), 29-Окт-20, 16:37 
Этому багу по меньшей мере лет 10, и то, скорее всего раньше я не замечал. Если бы это был не перл поверх фряхи с кои8р, оно бы даже прошло незамеченным.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

42. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Аноним (-), 29-Окт-20, 20:53 
> Если бы это был не перл поверх фряхи с кои8р, оно бы даже прошло незамеченным.

Там уже пару лет пингвинчик, если что.


Ответить | Правка | Наверх | Cообщить модератору

45. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Аноним (24), 29-Окт-20, 21:20 
>> Если бы это был не перл поверх фряхи с кои8р, оно бы даже прошло незамеченным.
> Там уже пару лет пингвинчик, если что.

Правда? Я это пропустил. Ну, тогда не понятно, почему бы уже не использовать юникод, в конце концов, можно всё сконвертировать автоматически -- данных там не так чтобы много за 25 лет накопилось.

Ответить | Правка | Наверх | Cообщить модератору

51. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от псевдонимус (?), 29-Окт-20, 22:10 
> Этому багу по меньшей мере лет 10, и то, скорее всего раньше
> я не замечал. Если бы это был не перл поверх фряхи
> с кои8р, оно бы даже прошло незамеченным.

Тут копейкаосб с протухшими шляпными патчами. Ынтырпрайз.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

37. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Аноним (2), 29-Окт-20, 20:04 
У меня не работает ссылка. Перебрасывает на главную просто.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

38. "Выпуск пакетного фильтра nftables 0.9.7"  +1 +/
Сообщение от Аноним (38), 29-Окт-20, 20:14 
по твоему шортурл тоже какая-то лажа
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

39. "Выпуск пакетного фильтра nftables 0.9.7"  +1 +/
Сообщение от Аноним (39), 29-Окт-20, 20:32 
В данном случае вы вставили ссылку без экранирования unicode-символов (браузеры помещают в буфер обмена кривую ссылку, если копировать не весь URL).
Нормальные ссылки отображаются нормально, например https://ru.wikipedia.org/wiki/%D0%93%D0%...

Вопрос по ссылки со скобками задавали уже. Делается это осмысленно, часто ссылки указывают в скобках, и если слепо следовать RFC при разборе, то финальная скобка попадает в URL.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

62. "Выпуск пакетного фильтра nftables 0.9.7"  +2 +/
Сообщение от Аноним (-), 30-Окт-20, 00:21 
Нормальные ссылки для людей выглядят так: https://ru.wikipedia.org/wiki/Гиперссылка
%D0%93%D0%... оставьте роботам, пожалуйста.
Ответить | Правка | Наверх | Cообщить модератору

68. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Аноним (39), 30-Окт-20, 07:36 
Национальные символы в URL подлежат обязательному экранированию

https://tools.ietf.org/html/rfc1738 "only alphanumerics, the special characters "$-_.+!*'(),", and reserved characters used for their reserved purposes may be used unencoded within a URL"

lowalpha       = "a" | "b" | "c" | "d" | "e" | "f" | "g" | "h" |
                 "i" | "j" | "k" | "l" | "m" | "n" | "o" | "p" |
                 "q" | "r" | "s" | "t" | "u" | "v" | "w" | "x" |
                 "y" | "z"
hialpha        = "A" | "B" | "C" | "D" | "E" | "F" | "G" | "H" | "I" |
                 "J" | "K" | "L" | "M" | "N" | "O" | "P" | "Q" | "R" |
                 "S" | "T" | "U" | "V" | "W" | "X" | "Y" | "Z"

Ответить | Правка | Наверх | Cообщить модератору

75. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от пох. (?), 30-Окт-20, 14:15 
> Нормальные ссылки для людей выглядят так: https://ru.wikipedia.org/wiki/Гиперссылка

нормальные ссылки для людей вообще-то выглядят так: https://ru.wikipedia.org/wiki/Hyperlink
а рашкованский алфавит (которого, внезапно, может вообще не быть на машине индуса) оставьте для содержимого, а не для _технической_ информации, которой является ссылка. То что викивракия не осилила человеческой транслитерации и вместо этого пихает левые символы в url - проблема ее механизма, написанного бездарными кодерами двадцать лет назад. Но стандартов это не нарушает, в отличие от ваших ссылок.

И да, некоторые стандарты у нас еще те, древние, и написаны инженерами, которые об этом были в курсе.

> %D0%93%D0%... оставьте роботам, пожалуйста.

url и предназначены для роботов. Для людей предназначен ТЕКСТ между тегами a href и /a

Поскольку тут сайт для технических специалистов или мнящих себя таковыми - предполагается, что они обладают минимальной технической грамотностью, и их можно не заставлять сопровождать каждую ссылку открывающим и закрывающим тегами вручную. Разумеется, напрасно.

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

43. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Ordu (ok), 29-Окт-20, 20:58 
shorturl не работает. Но iconv -f utf-8 -t koi8-r может справиться с теми кракозяблами в url'е.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

14. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Аноним (9), 29-Окт-20, 14:33 
nft add rule nat postrouting masquerade
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

20. "Выпуск пакетного фильтра nftables 0.9.7"  +2 +/
Сообщение от Аноним (11), 29-Окт-20, 15:33 
Только сначала нужно определить таблицу nat и цепочку postrouting.

nft — не дубовый iptables, здесь можно создавать таблицы и цепочки с любыми именами. Важен только тип таблицы (ip, ip6, inet), хук цепочки (prerouting, input, forward, output, postrouting) и приоритет цепочки в хуке.
В iptables это было жёстко забито без возможности изменить.

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск пакетного фильтра nftables 0.9.7"  +2 +/
Сообщение от б.б. (?), 29-Окт-20, 15:58 
>  Только сначала нужно определить таблицу nat и цепочку postrouting.

а как?

Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск пакетного фильтра nftables 0.9.7"  –1 +/
Сообщение от псевдонимус (?), 29-Окт-20, 22:13 
>>  Только сначала нужно определить таблицу nat и цепочку postrouting.
> а как?

С помощью волшебной палочки или цветика-семицветика это делается сполпинка.

Ответить | Правка | Наверх | Cообщить модератору

55. "Выпуск пакетного фильтра nftables 0.9.7"  –1 +/
Сообщение от comrade (ok), 29-Окт-20, 22:26 
> В iptables это было жёстко забито без возможности изменить

И добавить необходимое было ну никак нельзя. Решили заново задизайнить.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

60. "Выпуск пакетного фильтра nftables 0.9.7"  +2 +/
Сообщение от пох. (?), 30-Окт-20, 00:03 
Так это и не было необходимым. Какая кому печаль что ты не можешь придумать нескучное имячко вместо FORWARD или nat ? Пользы тому кто будет разгребать за тобой - кстати, немало - потому что ему не придется гадать, что это такое и в каком месте срабатывает.

Но нет, надо было сделать мегаусложненное ненужно, в котором и сам его автор через неделю разобраться не сможет.

Ответить | Правка | Наверх | Cообщить модератору

64. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от б.б. (?), 30-Окт-20, 03:14 
фишка в том, что у меня эти команды ситуативны. я как 15 лет назад её забивал по обстоятельствам, так и сейчас забиваю на разных компьютерах - они там требуются разово, на конкретной ситуации, и на разные интерфейсы - иногда даже на разные интерфейсы в одном сеансе. и последние 15 лет это работало. а в последние пару недель просто сломалось - например, у меня есть debian sid, обновлённый несколько недель назад, с ядром 5.8.0-2. и debian testing, с ядром 5.8.0-3. в первом echo 1 / /proc/sys...forwarding и iptables nat работают, а во втором - нет, не работают обе команды. хотя несколько недель назад тоже работали. в альте сизиф тоже не работают обе команды. нужна конкретная команда, которую я могу ввести на любом современном linux, как я 15 лет до этого вводил прошлую команду. настраивать 10 компьютеров на все возможные интерфейсы мне, честно говоря, не хочется - до этого всё работало прекрасно.
Ответить | Правка | Наверх | Cообщить модератору

74. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от пох. (?), 30-Окт-20, 14:02 
> недель просто сломалось - например, у меня есть debian sid, обновлённый
> несколько недель назад, с ядром 5.8.0-2. и debian testing, с ядром
> 5.8.0-3. в первом echo 1 / /proc/sys...forwarding и iptables nat работают,
> а во втором - нет, не работают обе команды. хотя несколько

потому что во втором эти команды - кривовраппер. Но тебе вообще-то никто не мешал поставить правильный пакет - он еще есть. И alternatives за тебя перепишет, и разжует. И даже в рот положит. Но это не путь модного джедая.

> команды. нужна конкретная команда, которую я могу ввести на любом современном
> linux, как я 15 лет до этого вводил прошлую команду. настраивать

ааа, так то на современном, а ты-то про какой-то там де6иллиан 1990го года. Записывай: ufw allow ssh
(ну или что там у тебя)

заметь - никакие "интерфейсы" не надо - интерфейсы у нас каждый день по-разному называются и хрен угадаешь.

https://www.digitalocean.com/community/tutorials/how-to-set-...
вот, учись.
Ну или если тебя тоже в подвале к корпоративной стойке приковали, тогда тебе сюда: https://www.digitalocean.com/community/tutorials/how-to-set-...

заметь - оба эти варианта работают именно на _любом_ ведре. Сами разбираясь, какой сегодня враппер и какой синтаксис объявлен модным.

А если ты имел в виду - сохранить видимость собственного контроля над ситуацией - так ее у тебя, по собственному же признанию, и раньше не было.

Ответить | Правка | Наверх | Cообщить модератору

78. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от б.б. (?), 30-Окт-20, 16:31 
> потому что во втором эти команды - кривовраппер. Но тебе вообще-то никто не мешал поставить правильный пакет - он еще есть. И alternatives за тебя перепишет, и разжует. И даже в рот положит. Но это не путь модного джедая.

оно везде iptables-nft

но в одном случае работает, а в другом - ругается на то, что нет таблицы или что-то такое

Ответить | Правка | Наверх | Cообщить модератору

79. "Выпуск пакетного фильтра nftables 0.9.7"  –1 +/
Сообщение от б.б. (?), 30-Окт-20, 16:33 
причём, самое интересное, что в тех случаях, где не работает iptables, нет и /proc/sys/net/ipv4/ip_forwarding. а где он есть - там оно работает. видимо, оно как-то связано.
Ответить | Правка | Наверх | Cообщить модератору

85. "Выпуск пакетного фильтра nftables 0.9.7"  –1 +/
Сообщение от пох. (?), 30-Окт-20, 22:01 
Ну говорю же - кривовраппер. Поставь нормальный, он еще ставится.

Или переходи уже на темную сторону, ставь бубунточку. де6иллиан застрял в позапрошлом веке со своими кривыми костылями.

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

66. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от abu (?), 30-Окт-20, 05:16 
Разве в Iptables нельзя именовать цепочки?
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

73. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Takishima (ok), 30-Окт-20, 13:40 
> Разве в Iptables нельзя именовать цепочки?

Встроенные (INPUT/OUTPUT/FORWARD/и т.п.) нельзя переименовать, т.к. их функция определяется именем.

В nft по дефолту нет никаких цепочек, они создаются с произвольным именем и вешаются в нужные места (hook) с нужным приоритетом (priority).

Ответить | Правка | Наверх | Cообщить модератору

92. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от abu (?), 31-Окт-20, 13:16 
Полагаю, что выгляжу ретроградом и неосилятором ветров перемен, но думаю, что и в nftables я начну с того же самого - создам  INPUT, OUTPUT, FORWARD и т.д. То есть, =нельзя переименовать= для меня, по крайней мере в начале, не будет какой-то там киллер-фичей.

Что до приоритетов - надо будет посмотреть примеры.

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Takishima (ok), 29-Окт-20, 16:39 
Не нужно запускать команду nft … для добавления отдельных правил.

https://wiki.nftables.org/wiki-nftables/index.php/Atomic_rul...

Теперь всё атомарно обновляется, в отличие от iptables. Пишем все правила в /etc/nftables.conf (он запускаемый) и запускаем его каждый раз при обновлении, либо systemctl reload nftables

Вот фрагмент:

table ip nat {
        chain c_postrouting {
                type nat hook postrouting priority srcnat
                policy accept

                oifname "eth0" masquerade
        }
}

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

26. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Takishima (ok), 29-Окт-20, 16:44 
Если вместо

oifname "eth0" masquerade

написать

oif "eth0" masquerade

То обещают более быструю работу правила. Но для "oif" интерфейс должен присутствовать в момент загрузка правил, иначе будет ошибка, т.к. проверяется ID интерфейса. А "oifname" сравнивает строки.

Ответить | Правка | Наверх | Cообщить модератору

58. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от llolik (ok), 29-Окт-20, 23:31 
> для "oif" интерфейс должен присутствовать в момент загрузка правил

Ну если у него в правиле eth0, т.е. "железный" интерфейс, то, в принципе, нормально. iif/oif не надо использовать с vlan/bond и прочими виртуальными интерфейсами, т.к., всё правильно, при загрузке на момент инициализации nftables виртуальные интерфейсы ещё не созданы и загрузка конфига обломается (а c *name нет).

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск пакетного фильтра nftables 0.9.7"  +1 +/
Сообщение от Аноним (34), 29-Окт-20, 18:37 
Нужно! Улучшенная поддержка динамического обновления правил это одна из фич, которой они гордятся.

Предлагаю сойтись на том, что все зависит от условий: не вижу смысла записывать в конфиг временное правило или тем более переделывать работу fail2ban чтобы он модифицировал конфиг

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

101. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Random (??), 01-Ноя-20, 00:43 
Вот да, динамическое изменение правил выглядит более сложным (если при этом надо анализировать уже существующие правила).

Ответить | Правка | Наверх | Cообщить модератору

65. "Выпуск пакетного фильтра nftables 0.9.7"  –1 +/
Сообщение от б.б. (?), 30-Окт-20, 03:15 
а без интерфейса можно?
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

72. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Takishima (ok), 30-Окт-20, 13:34 
> а без интерфейса можно?

Всё можно, но не всё полезно. Будет NAT'ить там, где не надо, может таблица соединений ненужными записями заполняться.

Вообще, по-хорошему надо бы ещё на lo отключить трекинг соединений. И натить только форварженные пакеты, вот так получше будет:

table ip nat {
        chain c_postrouting {
                type nat hook postrouting priority srcnat
                policy accept

                oif "eth0" fib saddr type != local masquerade
        }
}

table ip t_raw {
        chain c_output {
                type filter hook output priority raw
                policy accept

                oif lo notrack
        }
}

Ответить | Правка | Наверх | Cообщить модератору

76. "Выпуск пакетного фильтра nftables 0.9.7"  –1 +/
Сообщение от б.б. (?), 30-Окт-20, 15:50 
> Всё можно, но не всё полезно. Будет NAT'ить там, где не надо, может таблица соединений ненужными записями заполняться.

меня полностью устраивало, как оно натило. одной командой из четырёх слов и трёх закорючек. пока это не отломали в угоду неизвестно чему. хочу так же.

Ответить | Правка | Наверх | Cообщить модератору

93. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от abu (?), 31-Окт-20, 13:20 
> Теперь всё атомарно обновляется, в отличие от iptables. Пишем все правила в
> /etc/nftables.conf (он запускаемый) и запускаем его каждый раз при обновлении, либо
> systemctl reload nftables

iptables-save > res
vim res
iptables-restore < res

не?

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

94. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Takishima (ok), 31-Окт-20, 13:31 
>> Теперь всё атомарно обновляется, в отличие от iptables. Пишем все правила в
>> /etc/nftables.conf (он запускаемый) и запускаем его каждый раз при обновлении, либо
>> systemctl reload nftables
> iptables-save > res
> vim res
> iptables-restore < res
> не?

Оно в iptables не атомарно, на самом деле. Можно получить ситуацию, когда часть правил не загружена ещё, а очередной пакет пришёл.

Ответить | Правка | Наверх | Cообщить модератору

97. "Выпуск пакетного фильтра nftables 0.9.7"  +1 +/
Сообщение от abu (?), 31-Окт-20, 18:36 
О как. Спасибо за объяснение!
Ответить | Правка | Наверх | Cообщить модератору

80. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от б.б. (?), 30-Окт-20, 16:34 
nft add rule nat postrouting masquerade
Error: Could not process rule: No such file or directory
add rule nat postrouting masquerade
             ^^^^^^^^^^^
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

82. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от llolik (ok), 30-Окт-20, 16:51 
> nft add rule nat postrouting masquerade
> Error: Could not process rule: No such file or directory
> add rule nat postrouting masquerade
>            
>  ^^^^^^^^^^^

nft add table nat перед этим?

Ответить | Правка | Наверх | Cообщить модератору

83. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от б.б. (?), 30-Окт-20, 17:14 
то же самое, подчёркивает postrouting
Ответить | Правка | Наверх | Cообщить модератору

84. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от llolik (ok), 30-Окт-20, 18:45 
> то же самое, подчёркивает postrouting

1.Создаём таблицу - nft add table nat
2.Создаём цепочку - nft 'add chain nat postrouting { type nat hook postrouting priority 100 ; }'
3.Создаём правило - nft add rule nat postrouting masquerade (маскарадить всё-на-всё так себе затея, но как демонстрация сойдёт)

Проверка nft list ruleset.
В nft по умолчанию нет ничего и все объекты (таблицы, цепочки и правила) надо создавать. Всё из консоли забивать не обязательно, можно забить таблицы в /etc/nftables.conf или в другой файл и туда заинклюдить (nftables это умеет).

Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от flkghdfgklh (?), 29-Окт-20, 14:48 
nft add rule nat postrouting masquerade
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

56. "Выпуск пакетного фильтра nftables 0.9.7"  –2 +/
Сообщение от comrade (ok), 29-Окт-20, 22:34 
Да почти так же. Внизу написали.
По этому поводу уместно вспомнить анекдот о ж...е и д...е. И что из-за одного слова надо было целый язык придумывать?
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

81. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от б.б. (?), 30-Окт-20, 16:39 
ага так же. только не работает.
Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Аноним (-), 29-Окт-20, 17:53 
daddr saddr , многословность и неоднозначность (что какбы стремно для такой вещи как фаервол) . пока что слишком убого чтоб использовать.
Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск пакетного фильтра nftables 0.9.7"  –1 +/
Сообщение от Аноним (-), 29-Окт-20, 17:55 
Зыж лучше бы перепортировали все это барахло под синтаксис всеми любимого ipchains или уже ipfw на худой конец , его даже младенцы понимают без проблем, вот куда надо стремиться, а не городить черти  пойми что
Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск пакетного фильтра nftables 0.9.7"  –5 +/
Сообщение от пох. (?), 29-Окт-20, 18:51 
Так они попытались. Пресловутый встроенный враппер. Фейлящийся на тривиальном конфиге из десятка простых правил.

Собственно, это все что надо знать о тех людях, которые притащили нам это ненужно, вместо нескольких небольших исправлений в iptables (обещанных двадцать лет назад но "что-то никак руки не дошли", а потом и вовсе куда-то делись, вместе с головой).

Ответить | Правка | Наверх | Cообщить модератору

53. "Выпуск пакетного фильтра nftables 0.9.7"  –1 +/
Сообщение от псевдонимус (?), 29-Окт-20, 22:20 
> daddr saddr , многословность и неоднозначность (что какбы стремно для такой вещи
> как фаервол) . пока что слишком убого чтоб использовать.

Оно не сделается лучше. Со временем станет похожим на фрибсд ipwf, только хуже (посмотри сложные правила на нем, хер ты там поймёшь навскидку, как пакет обрабатывается). Pederastы, сэр.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

61. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от пох. (?), 30-Окт-20, 00:10 
ipfw линеен (не считая местного goto) - его сложные правила разбирать противно и чревато ошибками, но можно. А тут вообще ничего сложнее совсем тривиальщины разобрать в принципе не получится, если тебе только не оставят детальных комментариев - это все равно что пытаться понять назначение и принцип работы впервые увиденной сишной программы по ее некомментированному коду.
Ну только еще и, вдобавок, очередной нескучный собственный язычок с бредовым нерегулярным синтаксисом.

Полагаю, для того и брали. Это очень ведь хорошо, для некоторых, что в их гуанокоде никто не разбирается.

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Анонимemail (41), 29-Окт-20, 20:41 
Вот я не как не пойму что такое hook, зачем он нужен и что он вообще делает в nft?
Ответить | Правка | Наверх | Cообщить модератору

59. "Выпуск пакетного фильтра nftables 0.9.7"  +2 +/
Сообщение от llolik (ok), 29-Окт-20, 23:41 
https://wiki.nftables.org/wiki-nftables/index.php/Netfilter_...
Если совсем просто, указывает в каком месте перехватывать пакеты.
Ответить | Правка | Наверх | Cообщить модератору

88. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Аноним (-), 31-Окт-20, 09:31 
Теперь буем запускать natd ? Очень такой прогресс прям по всему лицу.
Ответить | Правка | Наверх | Cообщить модератору

89. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от llolik (ok), 31-Окт-20, 10:17 
> Теперь буем запускать natd

А если развернуть мысль в контексте, а то я что-то не догнал причем здесь NAT и FreeBSD (тк natd оттуда вообще-то)

Ответить | Правка | Наверх | Cообщить модератору

90. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Random (??), 31-Окт-20, 11:10 
Вот только output должен бы быть перед роутингом.
Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

95. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от llolik (ok), 31-Окт-20, 16:57 
> Вот только output должен бы быть перед роутингом.

Ну wiki.nftables.org не я писал, хотя по идее должно быть так, да. ЧСХ в других картинках нарисовано правильно.

Ответить | Правка | Наверх | Cообщить модератору

100. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Random (??), 01-Ноя-20, 00:35 
И ещё раз к вопросу о вменяемой документации... :)
Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск пакетного фильтра nftables 0.9.7"  –1 +/
Сообщение от Ordu (ok), 29-Окт-20, 21:16 
А можно я оффтопично задам вопрос про роутинг на OpenWRT? Мне просто ппц лень возиться, я с iptables сталкиваюсь может раз в пять лет, и каждый раз это читать всю гору документации заново, потому что я забыл всё к чертям.

Ситуация такая: есть локальный небольшой провайдер, который отрубает интернет за неуплату в 00:00 какого-то там числа каждого месяца. У него ограниченный выбор способов оплаты, и из них мне подходит один -- в лк есть ссылка, которая отправляет на сайт банка, где надо номер карточки вогнать и нажать "ок". Но хрень в том, что когда интернет отключен, не прогрузить сайт банка. А если на роутере переключить wifi в режим клиента и подключить к инету через мобилу, то можно прогрузить любой сайт, но личный кабинет у провайдера не грузится.

Я ковырял почему так, думал может если в hosts вписать локальный адрес лк, чтобы туда через локалку ходило, то заработает, но хрен там был -- дело не в днс, лк в любом случае висит на одном и том же ip-адресе, и проблему можно решить, видимо, только роутингом: гонять весь трафик по цепочке десктоп-роутер-мобила-интернет, а трафик к лк по цепочке десктоп-роутер-сеть_провайдера-лк. Очень хочется сделать так, чтобы когда мне интернет отрубают, я бы мобилу перевёл в режим точки доступа и в панели управления OpenWRT нажал бы кнопку (ну или на крайняк, сделал бы ssh на него и запустил бы скрипт) и всё бы заработало. А когда интернет обратно включат, я бы мобилу перевёл бы в режим клиента, нажал бы кнопку в панели управления OpenWRT (запустил бы другой скрипт) и опять весь трафик шёл бы через локалку.

Но пилять, как жеж мне влом разбираться в этом гумне снова. Может кто шарит настолько, что навскидку может написать конфигурацию? (Тут в этом ТЗ существенным требованием является то, чтобы мне не надо было бы ничего помнить про таблицы и цепочки iptables -- я всё равно забуду за месяц). Если всем влом или никто не шарит настолько, чтобы без труда из головы написать такой конфиг, то простите, пожалуйста, мою потреблятскую сущность, и не обращайте внимания на мой нытьё. Может я как-нибудь соберусь с духом, перечитаю доки, запилю конфигурацию сам, найти способ оттестировать, допилю до работоспособности, облегчённо выдохну и забуду, наконец, про проблему.

Ответить | Правка | Наверх | Cообщить модератору

46. "Выпуск пакетного фильтра nftables 0.9.7"  +1 +/
Сообщение от flkghdfgklh (?), 29-Окт-20, 21:40 
ip route add N.N.N.N via Y.Y.Y.Y dev ethN
Ответить | Правка | Наверх | Cообщить модератору

48. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Ordu (ok), 29-Окт-20, 21:58 
> ip route add N.N.N.N via Y.Y.Y.Y dev ethN

Ох ведь, да, точно! Это ведь роутингом делается и iptables не нужон. Круто! Спасибо!

Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск пакетного фильтра nftables 0.9.7"  –1 +/
Сообщение от flkghdfgklh (?), 30-Окт-20, 02:20 
Да не за что
Вообще имеет смысл роутить через гейт провайдера не только IPшник его сайта с кабинетом, но всю его подсеть, но это опционально.
Ответить | Правка | Наверх | Cообщить модератору

67. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Ordu (ok), 30-Окт-20, 05:22 
> имеет смысл роутить через гейт провайдера не только IPшник его сайта с кабинетом, но всю его подсеть

Да, но насколько я понял, разглядывая вывод ip route, OpenWRT делал это автоматически, на основании описания сети полученного через DHCP от прова -- по маске подсети. Но это не работало, потому что ip лк не попадает в подсетку, поэтому маршрутизируется дефолтным маршрутом -- я не сразу догадался, из-за того, что подсетка /19, а я не копенгаген в уме двоичную арифметику выполнять над десятично-трёхзначными числами. Короче, я начинаю подозревать, админам прова надо руки пообрывать за такое.

Ответить | Правка | Наверх | Cообщить модератору

71. "Выпуск пакетного фильтра nftables 0.9.7"  –1 +/
Сообщение от flkghdfgklh (?), 30-Окт-20, 11:09 
Хм, да админам прова однозначно руки отрывать за подобное. У меня на каком-то из провайдеров на россии похожее было, что к ЛК route надо было руками прописывать, хотя к части сетей прова он прилетал прямой по DHCP. На Корбине/Билайне это что ли было? Не помню.
Ответить | Правка | Наверх | Cообщить модератору

87. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от провайдер (?), 30-Окт-20, 22:08 
> Хм, да админам прова однозначно руки отрывать за подобное.

Ну конечно. Мы же должны, ради ублажения клиента (постоянно просрочивающего срок очередной оплаты - чтоб ему самому зарплату так же платили!) сделать плоскую сеточку /19 чтоб ему удобно было нас наяпывать. Или, может, прислать ему стопицот реальных префиксов, которые у нас на маршрутизаторы приходят? А у него впопенворота не лопнут от такого?

> каком-то из провайдеров на россии похожее было, что к ЛК route
> надо было руками прописывать, хотя к части сетей прова он прилетал

Не надо ничего руками (кривыми) прописывать - надо платить вовремя, и тогда весь интернет, а не только личный кабинет, ВНЕЗАПНО, будут доступны через default gateway.

А кроилово - ведет к попадалову.

Ответить | Правка | Наверх | Cообщить модератору

102. "Выпуск пакетного фильтра nftables 0.9.7"  +/
Сообщение от Random (??), 01-Ноя-20, 00:56 
default gateway - понятие динамическое, провайдеров может быть более одного даже для домашнего инета.
Но некоторые вещи, типа того же ЛК, направляем строго через того или иного провайдера, вот это руками и прописано.
Ответить | Правка | Наверх | Cообщить модератору

86. "Выпуск пакетного фильтра nftables 0.9.7"  –1 +/
Сообщение от провайдер (?), 30-Окт-20, 22:05 

> Вообще имеет смысл роутить через гейт провайдера не только IPшник его сайта
> с кабинетом, но всю его подсеть, но это опционально.

не имеет - мы не обязаны предоставлять злостным неплательщикам доступ и к этой сети тоже.

К личному кабинету - предоставляем, чтоб он мог оплатить свой долг. Это бесплатно.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру