The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск пакетного фильтра nftables 1.0.1"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск пакетного фильтра nftables 1.0.1"  +/
Сообщение от opennews (?), 20-Ноя-21, 12:32 
Опубликован выпуск пакетного фильтра nftables 1.0.1, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Необходимые для работы выпуска nftables 1.0.1 изменения включены в состав ядра Linux 5.16-rc1...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56192

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск пакетного фильтра nftables 1.0.1"  –2 +/
Сообщение от А где же каменты (?), 20-Ноя-21, 12:32 
Какие преимущества перед openbsd pf?
Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск пакетного фильтра nftables 1.0.1"  +18 +/
Сообщение от Stanislav (??), 20-Ноя-21, 12:35 
Есть на значительно бОльшем числе реальных серверов, выставленных голой жопой в инет для зарабатывания денег.
Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск пакетного фильтра nftables 1.0.1"  +/
Сообщение от Аноним (8), 20-Ноя-21, 13:32 
Из коробки в ванилле.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

17. "Выпуск пакетного фильтра nftables 1.0.1"  +/
Сообщение от Аноним (17), 20-Ноя-21, 19:14 
А какой юзкейс у вас для нетбзд? Просто интересно.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

18. "Выпуск пакетного фильтра nftables 1.0.1"  +/
Сообщение от Аноним (17), 20-Ноя-21, 19:14 
А какой юзкейс у вас для опенбзд? Просто интересно.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

7. "Выпуск пакетного фильтра nftables 1.0.1"  +/
Сообщение от Аноним (7), 20-Ноя-21, 13:22 
Все ещё её научили его отрабатывать нормальными кодами ошибки на не определённые ситуации.
Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск пакетного фильтра nftables 1.0.1"  +1 +/
Сообщение от Аноним (9), 20-Ноя-21, 13:41 
Patches are WELCOME.

// b.

Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск пакетного фильтра nftables 1.0.1"  +/
Сообщение от Ilya Indigo (ok), 20-Ноя-21, 15:11 
> Сокращено потребление памяти при загрузке больших set- и map-списков.
> Ускорена перезагрузка set- и map-списков.

Ждём выпуска 5.16 что бы проверить.

Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск пакетного фильтра nftables 1.0.1"  +/
Сообщение от Аноним (12), 20-Ноя-21, 16:12 
Ну кстати сеты у него внатуре очень тормозные при любых внешних манипуляциях с ними, в отличие от старого доброго ipset
Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск пакетного фильтра nftables 1.0.1"  +2 +/
Сообщение от Ilya Indigo (ok), 20-Ноя-21, 16:50 
> Ну кстати сеты у него внатуре очень тормозные при любых внешних манипуляциях
> с ними, в отличие от старого доброго ipset

У меня sshguard уже с 50к айпишиками и на sshg-fw-nft-sets инициализация растягивается до часа, но если через sshg-fw-iptables (я так понимаю он ipset использует), то это занимает несколько минут.
По этому продолжаю использовать в sshguard и firewalld (если там использовать одно а там другое будет очень плохо) iptables.

Ответить | Правка | Наверх | Cообщить модератору

15. "Выпуск пакетного фильтра nftables 1.0.1"  +2 +/
Сообщение от onanim (?), 20-Ноя-21, 18:17 
> 50к айпишиками

зачем отдельные IP? я почти все страны заблокировал подсетями, iptables+ipset полёт нормальный.

bash-4.2# iptables-save|grep blacklist|wc -l
198
bash-4.2# ipset save|wc -l
16942

Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск пакетного фильтра nftables 1.0.1"  +/
Сообщение от onanim (?), 20-Ноя-21, 18:18 
> 198

это страны; подсети для каждой страны записаны в ipset.

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск пакетного фильтра nftables 1.0.1"  +1 +/
Сообщение от Онаним (?), 20-Ноя-21, 23:15 
VPN для доступа к боевым SSH уже отменили?
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

22. "Выпуск пакетного фильтра nftables 1.0.1"  –1 +/
Сообщение от Онаним (?), 20-Ноя-21, 23:16 
Не то, чтобы я сильно против, но это ж надо ж так извращаться.
Сертификаты на доступе в виртуальную подсеть, дальше RSA/EC ключи для SSH.
Зачем вообще SSH голой жопой в паблик-то вывешивать?
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

25. "Выпуск пакетного фильтра nftables 1.0.1"  +3 +/
Сообщение от onanim (?), 21-Ноя-21, 08:57 
> Зачем вообще SSH голой жопой в паблик-то вывешивать?

а что не так? это же не Proftpd или Exim)

Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск пакетного фильтра nftables 1.0.1"  +1 +/
Сообщение от Онаним (?), 21-Ноя-21, 09:09 
Ну вот у чела 50к адресов в фильтре, чтобы в этот самый SSH не долбили.
Если всё так просто, как вы говорите - зачем они ему?
Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск пакетного фильтра nftables 1.0.1"  +/
Сообщение от onanim (?), 21-Ноя-21, 10:57 
> Ну вот у чела 50к адресов в фильтре, чтобы в этот самый
> SSH не долбили.
> Если всё так просто, как вы говорите - зачем они ему?

вот и я чуть выше недоумеваю - зачем блокировать 50к долбящих SSH, если можно просто заблокировать большинство стран, откуда даже теоретически не возможны посетители, а против долбления со всяких Amazon и Digitalocean прописать одно простое правило iptables - не чаще одной долбёжки в 30 секунд.

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск пакетного фильтра nftables 1.0.1"  +1 +/
Сообщение от Аноним (29), 21-Ноя-21, 12:26 
Надо полагать, что вышеобозначенные продукты написаны жопой, потому что даже мой самопал на sh загружает 80к айпишников при хреновой реализации (one by one) ну минуты две от силы.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

31. "Выпуск пакетного фильтра nftables 1.0.1"  +/
Сообщение от лютый жабби__ (?), 22-Ноя-21, 11:44 
>У меня sshguard уже с 50к айпишиками

бред, перевешай с 22 на 3хххх-4хххх и никто не найдёт

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

32. "Выпуск пакетного фильтра nftables 1.0.1"  +/
Сообщение от Аноним (32), 22-Ноя-21, 13:40 
еще и древний рецент, никто не отменял
Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск пакетного фильтра nftables 1.0.1"  –5 +/
Сообщение от Анонимemail (14), 20-Ноя-21, 17:28 
Фильтры какие-то - черт ногу сломит, другое дело Защитник Виндовс. Просто работает и все!!
Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск пакетного фильтра nftables 1.0.1"  +1 +/
Сообщение от john_erohin (?), 20-Ноя-21, 19:55 
> Защитник Виндовс. Просто работает и все!!

ложь. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1170

и что-то еще было, я сейчас не помню.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск пакетного фильтра nftables 1.0.1"  +1 +/
Сообщение от Аноним (8), 21-Ноя-21, 00:02 
Только никто не знает, как оно там работает.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

24. "Выпуск пакетного фильтра nftables 1.0.1"  +2 +/
Сообщение от анонимуслинус (?), 21-Ноя-21, 00:21 
даже ребята и мелкософта не знают. куда уж нам)))
Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск пакетного фильтра nftables 1.0.1"  +/
Сообщение от Анонимemail (14), 20-Ноя-21, 22:46 
Филькина грамота это все ваши писульки. Защитник Виндовс - тру остальное тлен!
Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск пакетного фильтра nftables 1.0.1"  +4 +/
Сообщение от InuYasha (??), 21-Ноя-21, 10:57 
как ни старайся, тебе до Фрактала и КвертиРега ещё жиреть и жиреть...
Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск пакетного фильтра nftables 1.0.1"  +1 +/
Сообщение от Аноним (-), 22-Ноя-21, 09:36 
Они создание документации специально игнорят?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру