forum.opennet.ru - "Выпуск пакетного фильтра nftables 1.0.3" (69)

"Выпуск пакетного фильтра nftables 1.0.3"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск пакетного фильтра nftables 1.0.3"	+/–
Сообщение от opennews (ok), 01-Июн-22, 14:08
Опубликован выпуск пакетного фильтра nftables 1.0.3, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Необходимые для работы выпуска nftables 1.0.3 изменения включены в состав ядра Linux 5.18... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57285
Ответить \| Правка \| Cообщить модератору

Оглавление

И сюда NFT добралось, Zenitur (ok), 14:08 , 01-Июн-22, (1) +1

Соглы, не нужно , Robin Hood (?), 13:04 , 04-Июн-22, (70) +1

Полезняшка, особенно если списки часто меняются Впервые за долгое время что-то , mumu (ok), 14:13 , 01-Июн-22, (2) +4

Тикль крут сам по себе , Покойник (?), 14:15 , 01-Июн-22, (3) –1

У вас там , Аноним (7), 16:04 , 01-Июн-22, (7)

Говняшка Если что-то добавляется, то расчитываешь, что оно там и будет Потом г, Mikk (??), 14:21 , 01-Июн-22, (4) –8

Так там греп бесполезен - это ж неосиляторы юникса изобрели Грепом они пользова, пох. (?), 15:55 , 01-Июн-22, (6) –4

Я сейчас использую обратно совместимый вариант Всё работает без погрешностей П, Аноним (8), 16:20 , 01-Июн-22, (8)
Удачи вам почитать грепом wtmp, блин Да и вообще, умилительное зрелище, когда пр, Аноним (10), 16:27 , 01-Июн-22, (10)

т е команду strings ты так и ниасилил , 1 (??), 16:43 , 01-Июн-22, (12)
last обеспечивает вполне читаемый грепом вывод, без всякого node js парсера Нео, пох. (?), 17:44 , 01-Июн-22, (17) –4
wtmp пусть читает last возможно, когда делали wtmp бинарным, имели в виду это б, john_erohin (?), 17:47 , 01-Июн-22, (19) +1

В коммерческих юниксах и логи аудита бинарные Тем более забавно видеть всякие a, Аноним (10), 17:59 , 01-Июн-22, (23) –1

Казалось бы, при чём здесь Поттеринг, бинарные логи в systemd , Аноним (7), 18:11 , 01-Июн-22, (28)

Всё это было появилось в юниксах ещё в 1993 Поттеринг на самом деле мало чего но, Аноним (50), 12:58 , 02-Июн-22, (50) +1

Был дух лабораторного юникс, простого и ортогонального, и были коммерческие юник, www2 (??), 07:31 , 08-Июн-22, (71)

оно так и есть, только не keyvalue а специфический стор, причем - sparse file, п, пох. (?), 18:33 , 01-Июн-22, (32)

Так и не было никогда За вменяемым синтаксисом - в bsd, но там возможностей недо, User (??), 19:46 , 01-Июн-22, (38)

Все нормально было в iptables с синтаксисом И человекочитаемый, и удобоотлажива, пох. (?), 22:16 , 01-Июн-22, (40) +2

Не-не-не, Девид Блейн Вот смотри простое правило ipfw add allow proto from to , User (??), 07:51 , 02-Июн-22, (46) +2

а на реальный конфиг смотрят такие ТРИ человека со знанием предметной области - , пох. (?), 08:06 , 02-Июн-22, (47)

Порог вхождения , однако Три человека со знанием ЗАКЛИНАНИЯ -Жи ассепт Тут ни, User (??), 13:16 , 02-Июн-22, (51)

пороги там давно были пройдены Просто оно нечеловекочитаемо могу с точностью до, пох. (?), 17:13 , 02-Июн-22, (53)

На этой стадии ваш наставник должен дать вам по рукам Ну, или если вы не джун - , Аноним (10), 16:23 , 01-Июн-22, (9)

и зазубрить еще стопиццот бессмысленных заклинаний безусловно, высокого умища п, пох. (?), 17:41 , 01-Июн-22, (16)

Необязательно зубрить, достаточно уметь читать Потому что клиповое мышление не п, Аноним (10), 17:53 , 01-Июн-22, (20) +2

Безусловно, каждая ерундовая операция требует почитания нет дурачок, это у тебя , пох. (?), 18:29 , 01-Июн-22, (30) +1

Угу, одна книжка на все юниксы А как с реальными системами работать начинаешь, , Аноним (35), 18:57 , 01-Июн-22, (35)

grep, awk и sed у юниксвари были точно такие же ну ок, были у них специфичные г, пох. (?), 22:19 , 01-Июн-22, (41) –1

да не было никакой системы, система явно склеена из разномастных кусков линуксо, edo (ok), 04:01 , 02-Июн-22, (43)

аж двух - bsd и sysv - и да, про это тоже написано в книжке 85го года Но некогд, пох. (?), 07:50 , 02-Июн-22, (45)

Классика ригидного сознания помноженная на магическое мышление , Аноним (57), 19:44 , 02-Июн-22, (57)

Данная вам подсказка работает точно так же, как ipset test Собственно, эта фича, Аноним (35), 17:57 , 01-Июн-22, (22) +1

get element в мозгах девляпсов переводится как test Ну ооок Чем дальше от ваш, пох. (?), 18:39 , 01-Июн-22, (34)

Все же чтобы с апломбом вещать благоглупости, стоило бы с обсуждаемым предметом , Аноним (35), 19:02 , 01-Июн-22, (36)

Ъ Даже 2Ъ grep - он ОДИН и для ВСЕГО что есть строка А выяснять, что кому в ка, User (??), 19:41 , 01-Июн-22, (37) +1

Эх, вот если бы ещё реальность была такая же точно 8212 однотипная, один раз , Аноним (57), 19:49 , 02-Июн-22, (58) +1

Ну да, ну да И колесо чот давненько круглое Добавлю-ка я углов, в этой семанти, User (??), 04:55 , 03-Июн-22, (65)

Разрабы и пользователи ipset смотрят на вас с некоторым удивлением , Аноним (35), 17:47 , 01-Июн-22, (18)

Сейчас прибежит пох и скажет, что на его вин Wюниксе никакого ipset нет, а пот, Аноним (10), 17:56 , 01-Июн-22, (21)

ну да, костыль же Причем украденый у фряхи где, в силу родовой травмы, по друго, пох. (?), 18:37 , 01-Июн-22, (33)

Уборщику из ДЦ невдомёк, что окружения бывают динамическими Применить правило X, Аноним (57), 19:42 , 02-Июн-22, (56)

судя по твоим истошным взвизгам - тебя и в уборщики не берут Собственно, квалифи, пох. (?), 22:06 , 02-Июн-22, (60)

Тут ты прав, не берут Но я и не просился никогда У меня-то проблемы разобратьс, Аноним (63), 02:01 , 03-Июн-22, (63)

угу, все сплошь в очереди - запили нам что-нить на новейшем еще недоделанном ин, пох. (?), 09:19 , 03-Июн-22, (67)

Придёшь, когда правил хотя бы 10к будет, пообщаемся , Аноним (63), 02:02 , 03-Июн-22, (64)

А зачем мне общаться с подобными м-ками Безусловно каждому васяну с локалхостом,, пох. (?), 09:16 , 03-Июн-22, (66)

А если захочешь убавить , Аноним (13), 17:11 , 01-Июн-22, (13)

Отработает и выдаст другой набор элементов, с учетом удаленного , Аноним (35), 18:02 , 01-Июн-22, (24)

Ага, только это не виртуальная машина eBPF, которая тоже есть в Linux Почему Н, Аноним (14), 17:38 , 01-Июн-22, (14)

Была запилена раньше, чем в ядре появилось BPF , Аноним (7), 18:04 , 01-Июн-22, (25)

при попытке запилить в ведре что-то хотя бы отдаленно похожее на уже имеющееся -, пох. (?), 22:09 , 02-Июн-22, (61)

Тоже склоняюсь к мнению, что авторы идеи с BPF - уважаемые люди в около керне, Аноним (7), 12:31 , 03-Июн-22, (68)

Так просвети глупцов, Анончик (?), 20:48 , 01-Июн-22, (39)

Исключение двух именованых списков не работает iifname int_ifs ip daddr s, andy (??), 17:41 , 01-Июн-22, (15)

Вложенные списки в принципе обещаны , Аноним (35), 18:05 , 01-Июн-22, (26)

Кто подскажет, что существенно изменилось при переходе с 0 9 9 на 1 0 Правила, , Аноним (7), 18:07 , 01-Июн-22, (27)

ты чего, совсем слепой - девятку от единички отличить не можешь Сейчас местные н, пох. (?), 22:11 , 02-Июн-22, (62)

В ansible нет модуля поэтому пока ждём , Аноним (29), 18:26 , 01-Июн-22, (29) –2

Воистину девляпс , пох. (?), 18:30 , 01-Июн-22, (31) +2

Как запретить выход в сеть приложениям Какой там аналог -m cgroup --path user s, Аноним (42), 00:16 , 02-Июн-22, (42)

meta cgroup 4096 drop или что-то такоеcgroup ы в meta модуле есть, lockywolf (ok), 06:11 , 02-Июн-22, (44)

Оно еще не deprecated , test1559 (?), 09:30 , 02-Июн-22, (48)

Его же не Поттеринг запилил , Аноним (7), 11:33 , 02-Июн-22, (49)

Так мой системный менеджер и не deprecated , поцтеринг (?), 17:21 , 02-Июн-22, (55)

Твой аудиосервер депрекейтед , Аноним (7), 12:34 , 03-Июн-22, (69)

А для не_марсиан ничего нету Ну и да летят года,меняются версии, а документация, Аноним (52), 14:33 , 02-Июн-22, (52)

_уже_ нету разработчикам и читать-то ее некогда, а ты хочешь чтоб ее писали Впро, пох. (?), 17:20 , 02-Июн-22, (54) +1
Стыдно на опеннете про документацию жаловаться Тут же каждый матёрый сишник, пи, Аноним (57), 19:51 , 02-Июн-22, (59)

Сообщения [Сортировка по времени | RSS]

1. "Выпуск пакетного фильтра nftables 1.0.3" +1 +/–

Сообщение от Zenitur (ok), 01-Июн-22, 14:08

И сюда NFT добралось

Ответить | Правка | Наверх | Cообщить модератору

70. "Выпуск пакетного фильтра nftables 1.0.3" +1 +/–

Сообщение от Robin Hood (?), 04-Июн-22, 13:04

Соглы, не нужно.

Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск пакетного фильтра nftables 1.0.3" +4 +/–

Сообщение от mumu (ok), 01-Июн-22, 14:13

> auto-merge во время работы
Полезняшка, особенно если списки часто меняются. Впервые за долгое время что-то практичное, а не безумный синтаксический сахар в духе "а давайте добавим в файрволл Tcl".

Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск пакетного фильтра nftables 1.0.3" –1 +/–

Сообщение от Покойник (?), 01-Июн-22, 14:15

Тикль крут сам по себе.

Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (7), 01-Июн-22, 16:04

У вас там.

Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск пакетного фильтра nftables 1.0.3" –8 +/–

Сообщение от Mikk (??), 01-Июн-22, 14:21

Говняшка. Если что-то добавляется, то расчитываешь, что оно там и будет. Потом грепнешь и удивишься, куда оно пропало. Такие оптимизации должны быть скрыты.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Выпуск пакетного фильтра nftables 1.0.3" –4 +/–

Сообщение от пох. (?), 01-Июн-22, 15:55

Так там греп бесполезен - это ж неосиляторы юникса изобрели.
Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки, а не загадочные скобочки пятнадцати разновидностей.
Вон, в json выводи и интуитивно-приятно парси его. После этого удивляться что что-то куда-то пропало уже будет и несмешно даже.
А лучше просто учи синтаксис firewalld. Все равно докеры шмокеры там поперек тебя лазят и после них руками уже ничего нормально не исправить.
Все, нет в лиnoopsе нормального пакетного фильтра, для людей, хотели как ввенде - нате вам.
А этот бред из текста новости - все равно ни понять, ни отлаживать не получится.
                   udp length 47-63 @th,160,128
0x0e373135363130333131303735353203 goto nat_dns_dnstc
- ну просто ж прекрасное. Уже и похрен куда его уоптимизирует - его только выкрасить и выбросить можно.

Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (8), 01-Июн-22, 16:20

Я сейчас использую обратно совместимый вариант. Всё работает без погрешностей. При миграции только имена команд подправил и все взлетело.

Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (10), 01-Июн-22, 16:27

> Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки
Удачи вам почитать грепом wtmp, блин.
Да и вообще, умилительное зрелище, когда приходит подоконник и начинает учить, как оно на юниксе должно быть, а сам максимум фрю под вмварью видел.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

12. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от 1 (??), 01-Июн-22, 16:43

> Удачи вам почитать грепом wtmp, блин.
т.е. команду strings ты так и ниасилил ?

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск пакетного фильтра nftables 1.0.3" –4 +/–

Сообщение от пох. (?), 01-Июн-22, 17:44

>> Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки
> Удачи вам почитать грепом wtmp, блин.
last обеспечивает вполне читаемый грепом вывод, без всякого node.js парсера. Неожиданное открытие?
> Да и вообще, умилительное зрелище, когда приходит подоконник и начинает учить, как
> оно на юниксе должно быть, а сам максимум фрю под вмварью
> видел.
ну вот и не приходи сюда. Со своими привычками "как в венде". Впрочем, поздно уже, конечно. Разработчики стали такие же точно.
Причем и винду тоже не умеют.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

19. "Выпуск пакетного фильтра nftables 1.0.3" +1 +/–

Сообщение от john_erohin (?), 01-Июн-22, 17:47

wtmp пусть читает last.
возможно, когда делали wtmp бинарным, имели в виду "это будет база данных навроде BerkleyDB".

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

23. "Выпуск пакетного фильтра nftables 1.0.3" –1 +/–

Сообщение от Аноним (10), 01-Июн-22, 17:59

В коммерческих юниксах и логи аудита бинарные.
(Тем более забавно видеть всякие ausearch и aureport в линуксах, где логи аудита всегда были текстовые)

Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (7), 01-Июн-22, 18:11

>В коммерческих юниксах и логи аудита бинарные.
Казалось бы, при чём здесь Поттеринг, бинарные логи в systemd...

Ответить | Правка | Наверх | Cообщить модератору

50. "Выпуск пакетного фильтра nftables 1.0.3" +1 +/–

Сообщение от Аноним (50), 02-Июн-22, 12:58

Всё это было появилось в юниксах ещё в 1993.
Поттеринг на самом деле мало чего нового (так, чтобы аналогофнет) предложил в 2010 - просто более или менее довёл линукс до паритета возможностей с коммерческими юниксами.
Тем смешнее была клоунада "защитников старого доброго Unix way", которые этих юниксов в глаза не видели и фич не узнали.

Ответить | Правка | Наверх | Cообщить модератору

71. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от www2 (??), 08-Июн-22, 07:31

Был дух лабораторного юникс, простого и ортогонального, и были коммерческие юниксы, сложного и избыточного. Коммерческие юниксы никогда не соответствовали духу лабораторного юникса.

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от пох. (?), 01-Июн-22, 18:33

> wtmp пусть читает last.
> возможно, когда делали wtmp бинарным, имели в виду "это будет база данных
> навроде BerkleyDB".
оно так и есть, только не keyvalue а специфический стор, причем - sparse file, поскольку хранит не "лог" а состояние "на сейчас".
Не самое удачное изобретение, если честно (его регулярно пытаются переизобрести, но каждый раз получается еще хуже чем было). Но таки да - инструментарий для работы с ним по прежнему укладывается в юникс-парадигму, его писали - давно.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

38. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от User (??), 01-Июн-22, 19:46

Так и не было никогда.
За вменяемым синтаксисом - в bsd, но там возможностей недоклали, а в последнее время и просто "клали" - костыли. А, ну ещё в какую циску, да. Там конечно "море легаси", но в ем свои плюсы.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

40. "Выпуск пакетного фильтра nftables 1.0.3" +2 +/–

Сообщение от пох. (?), 01-Июн-22, 22:16

Все нормально было в iptables с синтаксисом. И человекочитаемый, и удобоотлаживаемый, чего не хватало - ну, фейсбуку понятно чего - бабла.
В bsd ничего вменяемого нет - либо простыня ipfw с юзерхелпером (б-же мой, какое у нас тысячелетье-то на дворе) для nat, как только их больше одного - хрен ты уже разберешь кто там на ком стоял. Либо совершенно невменяемый криво-косо и с опозданием на пять лет портированный из openbsd. С юзерхелперами для протоколов сложнее голого udp.
И про циску тоже не надо мне тут:
nat (inside,outside) source static vcenter interface service vcenter-1 vcenter-1
nat (inside,outside) source static vcenter interface service vcenter-web vcenter-web
nat (inside,outside) source static vcenter interface service vcenter-control-web vcenter-control-web
nat (inside,outside) source static vcenter interface service vcenter-console-web vcenter-console-web
nat (inside,outside) source static vcenter interface service https https no-proxy-arp
ШИ-ТО тут написано и почему ОНО так, к лесу в известной позе, а к тебе почему-то передом?! Нет, это работающие правила, static Dnat для доступа ИЗВНЕ. Нет, интерфейс outside там где и должен был бы быть.
Это у меня еще нет синтаксиса через object-groups, тоже задом-наперед, а без пол-банки я тебе его не напишу с первой попытки правильно.
На фоне этого страшилища iptables-то просто откровение дарованное нам с рыжым. Его можно было просто читать (да, не тратя времени на пережевывание и зубреж простыни манов, если тебе не надо было что-то совсем уж экзотического).

Ответить | Правка | Наверх | Cообщить модератору

46. "Выпуск пакетного фильтра nftables 1.0.3" +2 +/–

Сообщение от User (??), 02-Июн-22, 07:51

Не-не-не, Девид Блейн! Вот смотри: простое правило ipfw add allow proto from to несёт 0 - "ноль" дополнительных уровней абстракции и читается любым человеком даже без знания предметной области. Да, в реальном мире у нас тут же появляются setup keep-state/check-state, но! Это абстракции уровня "предметной области", а не "инструмента". Сравните с ай-пи-табляйс - тут же, на входе - две чисто инструментальных концепции - "таблицы" и "цепочки", которые Никак не кореллируют с предметной областью. Патамучта-патаму. Это даже если не говорить про в доску упоротый синтаксис с мешаниной --\-, больших-маленьких букв (которые опять же, никому без мануала ни о чем не говорят) --и-длинных-слов. Простые вещи должны делаться просто, не?
Да, эта простота провоцирует разростание простыней (плюс куча goto, ой, skip), плюс сколько-нибудь сложные вещи становятся нумнэээ... Такоэ. Ну так сколько ж ему годиков?
Вот в ПФ (опенбсдшного изводу особенно) done right - простые вещи делаются просто, сложные - немного сложнее. правда каких-либо причин делать хоть какие-то вещи на опенбсде я не нахожу (Простые с тем или иным геморроем делаются и другими инструментами, а сложные опенбсдя в общем-то не тянет. Теоретически какбыда, а на практике - нихрена) - но сам инструмент с т.з. пользователя хороший.
Тут ей-ей, файрволлд - шаг в правильном направлении. Большинство простых юзкейсов он покрывает, позволяя при этом решать сложные задачи низкоуровневыми инструментами. Но чисто его по возможностям даже и айпифв сравнивать смишно - чисто линуксовая поизнедоделка, без (nf|ip)tables потребности не покрывает, а они - см. Выше.

Ответить | Правка | Наверх | Cообщить модератору

47. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от пох. (?), 02-Июн-22, 08:06

> любым человеком даже без знания предметной области.
а на реальный конфиг смотрят такие ТРИ человека со знанием предметной области - и не могут быстро найти где же ошибка в этой адовой простыне и почему сеть сломалась и на какой "skipto" они не попали.
Понятно что ты можешь скопировать эту чушь в iptables (не, не можешь, потому что nat все же отделен от фильтра) и сделать похожую нечитабельную простыню на пять экранов, но первое что сделают при ее разборе, если беглый взгляд не помог найти проблему - аккуратно нарежут на ломтики отдельных цепочек, чтобы каждую было можно охватить взглядом и отлаживать отдельно.
> так сколько ж ему годиков?
ну так в этом и проблема - за эвонсколько годиков (три всего) в линуксе ушли от плоской простыни навсегда, а эти так и остались с ней в обнимку. Теперь там еще и fibers в той же плоской простыне.
Циска на то и ентерпрайс что ей понадобилось всего лишь 20 лет чтобы это понять (в asa v8 сделали таки acl'и работающими с уже оттранслированными адресами как в линухе, до того был "bsd way")
> Тут ей-ей, файрволлд - шаг в правильном направлении.
увы, но ровно под него и прогнулись (это ж редгад, попробуй покривляйся золотому спонсору) - весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей дряни, решающей за тебя как настраивать фильтры. В коде они с удовольствием будут парсить json.
Причем "какввенде" опять почему-то не вышло, место чоль проклято, вышла неудобная неуправляемая фигня. Зато она в rhel поэтому это ваше будущее.

Ответить | Правка | Наверх | Cообщить модератору

51. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от User (??), 02-Июн-22, 13:16

>а на реальный конфиг смотрят такие ТРИ человека со знанием предметной области
"Порог вхождения", однако. Три человека со знанием ЗАКЛИНАНИЯ -Жи ассепт! Тут ничем не лучше.
>Понятно что ты можешь скопировать эту чушь в iptables
Так не можешь). Если бы "мог" вопросов бы не было - простые вещи просто, сложные - чуть сложнее. А тут тебе сразу на входе куча синтаксического мусора + концепций инструмента. В этом-то и претензия
>ну так в этом и проблема - за эвонсколько годиков
Угу. Проблема. Ну так и не надо в как-там по молодёжному? 2к22? Айпифэвэ насиловать). Есть пф.
>весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей дряни, решающей за тебя как настраивать фильтры
Ну, не знаю как ты - а я распедалить что там в 33 слоя насрано на ноде кубера в сколько-нибудь разумное время вот в принципе не смогу. Всё, лоу-левел не для меня, дайте мне тогда простой инструмент высокого уровня который будет решать _мои_ а не куберодокероштотатам задачи, в идеале - не ломая этот штотатам нафиг. Плевать уже что там под капотом, все равно я туда не полезу. И тут проблема не в том, что firewalld это такой ipfw - а в том, что он "плохой ipfw").

Ответить | Правка | Наверх | Cообщить модератору

53. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от пох. (?), 02-Июн-22, 17:13

> "Порог вхождения", однако.
пороги там давно были пройдены. Просто оно нечеловекочитаемо.
> Так не можешь).
могу с точностью до синтаксиса - оно ж ничего толком не умеет. Правда скипы придется реализовывать через отдельные цепочки, поэтому все равно читаемей получится чем оригинал плоской простыней.
> Есть пф.
ничем не лучше, увы. Сложные вещи на нем делаются черезмерно запутанно и простые тоже можно ухитриться сделать так что потом хрен разберешься как работало.
>> весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей
>> дряни, решающей за тебя как настраивать фильтры
> Ну, не знаю как ты - а я распедалить что там в 33 слоя насрано на ноде кубера в сколько-нибудь
мущина, ну вам же сказали - это не для вас. для вас firewalldЕ! А это - для роботов, т-поватых но старательных.
> разумное время вот в принципе не смогу.
ну сможешь, допустим (там-то ничего особо сложного нет, только кривое) -  а толку? Все равно же лезть руками туда совершенно бессмысленно, не будешь же ты свою систему управления кодить.  Расслабьтесь, фиреволом в модном современном линoops'е уже управляете не вы.

Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (10), 01-Июн-22, 16:23

> Потом грепнешь и удивишься, куда оно пропало.
На этой стадии ваш наставник должен дать вам по рукам.
Ну, или если вы не джун - то начальник на дверь указать.
Если человек настолько глуп, чтобы не осилить прочитать ман и найти там nft get element - нечего ему делать в профессии. Небось он grep и вместо ldd использует, нуачо, иногда же срабатывало!

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

16. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от пох. (?), 01-Июн-22, 17:41

> Если человек настолько глуп, чтобы не осилить прочитать ман и найти там
и зазубрить еще стопиццот бессмысленных заклинаний (безусловно, высокого умища признак)
> nft get element - нечего ему делать в профессии. Небось он
девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован")
Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные инструменты, и экосистему вокруг универсальных инструментов построенную (unix называлась, не, не слышали), а софта, написанного макакерами и требующего читать и зубрить ман для совершенно тривиального действия, отдельно на каждую невменяемую поделку - просто стараются не допускать к использованию.

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск пакетного фильтра nftables 1.0.3" +2 +/–

Сообщение от Аноним (10), 01-Июн-22, 17:53

> и зазубрить еще стопиццот бессмысленных заклинаний (безусловно, высокого умища признак)
Необязательно зубрить, достаточно уметь читать.
> Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные инструменты
Потому что клиповое мышление не позволяет запомнить более пяти "заклинаний", а самостоятельно читать маны - это девляпство и рокет сайнс.

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск пакетного фильтра nftables 1.0.3" +1 +/–

Сообщение от пох. (?), 01-Июн-22, 18:29

Безусловно, каждая ерундовая операция требует почитания.
>> Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные
>> инструменты
> Потому что клиповое мышление не позволяет
нет дурачок, это у тебя клиповое мышление, мы родились когда не было клипов - а у нас - юникс-система (была), где не нужно (было) тратить время на чтение ненужного - достаточно было прочитать книжку (а не man), один раз. Именно потому что тривиальные вещи делались тривиально, и удобно автоматизировались - БЕЗ необходимости тратить время на еще один нескучный инструментарий еще одного макакиного выcepa. Который через неделю объявят немодным и изобретут новый не доделав старого.
Именно этим она была - удобна. Тем что инструменты образовывали _систему_.
А теперь даже винда более логична и последовательна со своим "все есть объект, только иногда он почему-то строка".

Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (35), 01-Июн-22, 18:57

Угу, одна книжка на все юниксы. А как с реальными системами работать начинаешь, так сразу вылазят у юникствари свою игрушки, скотины другие, у чпукса своя атмосферка, а в соплярисе вообще все не как у людей. И уходит та книжка работать подставкой под кофейную кружку.

Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск пакетного фильтра nftables 1.0.3" –1 +/–

Сообщение от пох. (?), 01-Июн-22, 22:19

> Угу, одна книжка на все юниксы. А как с реальными системами работать
> начинаешь, так сразу вылазят у юникствари свою игрушки
grep, awk и sed у юниксвари были точно такие же (ну ок, были у них специфичные глюки но _админу_ а не кодеру надо было суметь вляпаться)
Если вы этого не понимаете - что именно такие инструменты образовывали юникс-систему, то да, книжка вам подставкой под кружку, и объявляете год линукса на десктопе со своего макбука.

Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от edo (ok), 02-Июн-22, 04:01

> Именно этим она была - удобна. Тем что инструменты образовывали _систему_.
да не было никакой системы, система явно склеена из разномастных кусков. линуксовый man ps, например, весело читать, половина опций указывается с дефисом, половина — без. а всё потому, что совместимость с этими «системными» юниксами.
другое дело, что, несмотря на всё это, система получилась достаточно удобной — никто не спорит.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

45. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от пох. (?), 02-Июн-22, 07:50

> да не было никакой системы, система явно склеена из разномастных кусков. линуксовый
аж двух - bsd и sysv - и да, про это тоже написано в книжке 85го года. Но некогда читать, надо девляпать.
> man ps, например, весело читать, половина опций указывается с дефисом, половина
потому что тогда еще пытались в совместимость а не "зубри ман".
Поэтому сделали чтоб работали оба синтаксиса, и даже если ты намешал что-то не попадающее ни в тот, ни в другой - все равно что-то похожее показать.
(получилось так себе потому что у оригинала этот минус как раз есть, с тех самых годов, хотя и optional - что логично для программы у которой нет файловых аргументов и нужды их отличать)

Ответить | Правка | Наверх | Cообщить модератору

57. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (57), 02-Июн-22, 19:44

Классика ригидного сознания помноженная на магическое мышление.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

22. "Выпуск пакетного фильтра nftables 1.0.3" +1 +/–

Сообщение от Аноним (35), 01-Июн-22, 17:57

> девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован")
Данная вам подсказка работает точно так же, как ipset test. Собственно, эта фича повторяет то, что ipset умел хз сколько лет. В чем причина такой ажитации к ней со стороны ниасиляторов nftables тайна великая есть.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

34. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от пох. (?), 01-Июн-22, 18:39

>> девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован")
> Данная вам подсказка работает точно так же, как ipset test
get element в мозгах девляпсов переводится как test? Ну ооок...
Чем дальше от ваших поделок, тем более ок.

Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (35), 01-Июн-22, 19:02

Все же чтобы с апломбом вещать благоглупости, стоило бы с обсуждаемым предметом ознакомиться. Так бы даже до вас дошло, что в семантике nftables get element логичен.

Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск пакетного фильтра nftables 1.0.3" +1 +/–

Сообщение от User (??), 01-Июн-22, 19:41

Ъ. Даже 2Ъ.
grep - он ОДИН и для ВСЕГО что есть строка. А выяснять, что кому в какой логике и чьей семантике "логично" каждый раз при выполнении однотипных вроде как действий - любил я противоестественным способом такое щастье.

Ответить | Правка | Наверх | Cообщить модератору

58. "Выпуск пакетного фильтра nftables 1.0.3" +1 +/–

Сообщение от Аноним (57), 02-Июн-22, 19:49

Эх, вот если бы ещё реальность была такая же точно — однотипная, один раз что-то подумал и больше вообще никогда думать не надо. Но вот на тебе — телеги больше не модно, автомобили подавай им. Вёслами деды гребли — надо было какому-то девляпсу парус придумать и опять переучивайся. Не успел парус осилить — паровая машина. А за ней вообще страх что началось, дизели какие-то, атомоходы. Любил я противоестественным способом такое щастье.

Ответить | Правка | Наверх | Cообщить модератору

65. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от User (??), 03-Июн-22, 04:55

Ну да, ну да. И колесо чот давненько круглое. Добавлю-ка я углов, в этой семантике вроде логично. Или ось к ободу прикреплю... Хм... Дилемма!

Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (35), 01-Июн-22, 17:47

Разрабы и пользователи ipset смотрят на вас с некоторым удивлением.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

21. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (10), 01-Июн-22, 17:56

Сейчас прибежит "пох" и скажет, что на его вин^Wюниксе никакого ipset нет, а потому - это девляпсовская смузи-хрень и (в его колхозе) не нужнО.

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от пох. (?), 01-Июн-22, 18:37

> Сейчас прибежит "пох" и скажет, что на его вин^Wюниксе никакого ipset нет,
> а потому - это девляпсовская смузи-хрень и (в его колхозе) не
> нужнО.
ну да, костыль же. Причем украденый у фряхи где, в силу родовой травмы, по другому вообще нельзя.
Не знаю что в твоем колхозе такое делают что тебе нужны эти сеты вместо плоской таблицы. В которой хотя бы понятно что зачем и откуда взялось, и да, работает grep.

Ответить | Правка | Наверх | Cообщить модератору

56. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (57), 02-Июн-22, 19:42

> вместо плоской таблицы
Уборщику из ДЦ невдомёк, что окружения бывают динамическими?
> хотя бы понятно что зачем и откуда взялось
Применить правило X к набору Y — что ж тут непонятного-то?

Ответить | Правка | Наверх | Cообщить модератору

60. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от пох. (?), 02-Июн-22, 22:06

>> вместо плоской таблицы
> Уборщику из ДЦ невдомёк, что окружения бывают динамическими?
судя по твоим истошным взвизгам - тебя и в уборщики не берут?
Собственно, квалификация такова, что да, тебе явно не судьба, зубрение инструкций все же не заменяет отсутствющих мозгов.
У меня вполне себе динамически добавляются и удаляются правила - как в ipfw, так и в iptables.
>> хотя бы понятно что зачем и откуда взялось
> Применить правило X к набору Y — что ж тут непонятного-то?
То что ты никогда не работал в этой области - уже вполне понятно. Теоретик.
Васянский локалхост где похрену что ты там нафигачил - никого, разумеется, не интересует.

Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (63), 03-Июн-22, 02:01

Тут ты прав, не берут. Но я и не просился никогда. У меня-то проблемы разобраться с новым инструментарием нет, от того и очередь из кастомеров стоит. Нанял бы пару толковых ребят себе в помощь, да где взять — все в датацентрах полы моют.

Ответить | Правка | Наверх | Cообщить модератору

67. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от пох. (?), 03-Июн-22, 09:19

> Тут ты прав, не берут. Но я и не просился никогда. У
> меня-то проблемы разобраться с новым инструментарием нет, от того и очередь
> из кастомеров стоит.
угу, все сплошь в очереди - "запили нам что-нить на новейшем еще недоделанном инструментарии - мы сами не знаем, нахрена он нужен, но нам очень надо, для отчета инвестору!"
А как спросишь тебя по предметной области - выясняется что ничего ты не делал и ничего не умеешь.
Проблемы зазубрить еще один нескучный синтаксис у тебя нет? Безусловно, это то за чем выстраиваются в очереди. Сплошь гуглы, пейсбуки и яндексы. И мешки денег несут!

Ответить | Правка | Наверх | Cообщить модератору

64. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (63), 03-Июн-22, 02:02

> У меня вполне себе динамически добавляются и удаляются правила - как в ipfw, так и в iptables.
Придёшь, когда правил хотя бы 10к будет, пообщаемся.

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

66. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от пох. (?), 03-Июн-22, 09:16

А зачем мне общаться с подобными м-ками?
Безусловно каждому васяну с локалхостом, вроде тебя, нужны 100k правил, низкоуровнего пакетного фильтра, на минуточку. Которые потом ни контролировать, ни найти почему у пользователя "виснет" соединение", уже, естественно, нереально - так что и действительно уже пох, что оно там на"оптимизирует".

Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (13), 01-Июн-22, 17:11

> а затем если добавить новые элементы
А если захочешь убавить?

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (35), 01-Июн-22, 18:02

Отработает и выдаст другой набор элементов, с учетом удаленного.

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (14), 01-Июн-22, 17:38

> выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters)
Ага, только это не виртуальная машина eBPF, которая тоже есть в Linux. Почему? Никто не знает.

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (7), 01-Июн-22, 18:04

Была запилена раньше, чем в ядре появилось BPF.

Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от пох. (?), 02-Июн-22, 22:09

> Была запилена раньше, чем в ядре появилось BPF.
при попытке запилить в ведре что-то хотя бы отдаленно похожее на уже имеющееся - обычно проистекает ведро вони и визгов о запрете дублирования кода, с требованием немедля все переписать для еще более полного его реюза.
Интересно, почему тут этого не произошло (нет, неинтересно - это кого надо нога).
P.S. bpf в ядре "появилось" во времена 1.3, по-моему. Только это не тот bpf.

Ответить | Правка | Наверх | Cообщить модератору

68. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (7), 03-Июн-22, 12:31

Тоже склоняюсь к мнению, что авторы идеи с BPF - "уважаемые" люди в (около)кернелтусовке.

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Анончик (?), 01-Июн-22, 20:48

Так просвети глупцов

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

15. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от andy (??), 01-Июн-22, 17:41

Исключение двух именованых списков не работает:
iifname $int_ifs ip daddr != { @stormwall, @akamai } meta l4proto tcp redirect to :9051

Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (35), 01-Июн-22, 18:05

Вложенные списки в принципе обещаны?

Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (7), 01-Июн-22, 18:07

Кто подскажет, что существенно изменилось при переходе с 0.9.9 на 1.0? Правила, загруженные в 0.9.9, работают как задумывалось. Они же, будучи загруженными в 1.0.x, не пропускают инет с локалку.

Ответить | Правка | Наверх | Cообщить модератору

62. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от пох. (?), 02-Июн-22, 22:11

> Кто подскажет, что существенно изменилось при переходе с 0.9.9 на 1.0?
ты чего, совсем слепой - девятку от единички отличить не можешь?
> Правила, загруженные в 0.9.9, работают как задумывалось. Они же, будучи загруженными в
> 1.0.x, не пропускают инет с локалку.
Сейчас местные не-уборщицы из ДЦ объяснят тебе как отлаживать правила фильтации.
Я уже открыл попкорн.

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск пакетного фильтра nftables 1.0.3" –2 +/–

Сообщение от Аноним (29), 01-Июн-22, 18:26

В ansible нет модуля поэтому пока ждём.

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск пакетного фильтра nftables 1.0.3" +2 +/–

Сообщение от пох. (?), 01-Июн-22, 18:30

> В ansible нет модуля поэтому пока ждём.
Воистину девляпс!

Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (42), 02-Июн-22, 00:16

Как запретить  выход в сеть приложениям?
Какой там аналог -m cgroup --path user.slice/firefox -j ACCEPT ??

Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от lockywolf (ok), 02-Июн-22, 06:11

meta cgroup == 4096 drop
или что-то такое
cgroup'ы в meta модуле есть

Ответить | Правка | Наверх | Cообщить модератору

48. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от test1559 (?), 02-Июн-22, 09:30

Оно еще не deprecated?

Ответить | Правка | Наверх | Cообщить модератору

49. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (7), 02-Июн-22, 11:33

Его же не Поттеринг запилил.

Ответить | Правка | Наверх | Cообщить модератору

55. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от поцтеринг (?), 02-Июн-22, 17:21

> Его же не Поттеринг запилил.
Так мой системный менеджер и не deprecated!

Ответить | Правка | Наверх | Cообщить модератору

69. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (7), 03-Июн-22, 12:34

Твой аудиосервер депрекейтед.

Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (52), 02-Июн-22, 14:33

А для не_марсиан ничего нету?
Ну и да: летят года,меняются версии, а документация всё также пребывает в состоянии десятка неактуальных wiki-страниц.

Ответить | Правка | Наверх | Cообщить модератору

54. "Выпуск пакетного фильтра nftables 1.0.3" +1 +/–

Сообщение от пох. (?), 02-Июн-22, 17:20

> А для не_марсиан ничего нету?
_уже_ нету.
> Ну и да: летят года,меняются версии, а документация всё также пребывает в
> состоянии десятка неактуальных wiki-страниц.
разработчикам и читать-то ее некогда, а ты хочешь чтоб ее писали.
Впрочем, тоже ничего особо нового - еще на автора lartc разработчик наезжал что он все не так понял и это надо срочно переписать (и вообще каззел).  Что не так - разумеется, снисходить до объяснений не собирался.
А ведь человек сделал совершенно титаническую работу, по обрывкам, экспериментами и изучением кода _среверсив_, по сути, как оно должно было работать и как этим теперь пользоваться.

Ответить | Правка | Наверх | Cообщить модератору

59. "Выпуск пакетного фильтра nftables 1.0.3" +/–

Сообщение от Аноним (57), 02-Июн-22, 19:51

Стыдно на опеннете про документацию жаловаться. Тут же каждый матёрый сишник, пишущий без багов тотально оптимальный код. Прочитай исходники.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Выпуск пакетного фильтра nftables 1.0.3"	+1 +/–
Сообщение от Zenitur (ok), 01-Июн-22, 14:08
И сюда NFT добралось
Ответить \| Правка \| Наверх \| Cообщить модератору


	70. "Выпуск пакетного фильтра nftables 1.0.3"	+1 +/–
	Сообщение от Robin Hood (?), 04-Июн-22, 13:04
	Соглы, не нужно.
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Выпуск пакетного фильтра nftables 1.0.3"	+4 +/–
Сообщение от mumu (ok), 01-Июн-22, 14:13
> auto-merge во время работы Полезняшка, особенно если списки часто меняются. Впервые за долгое время что-то практичное, а не безумный синтаксический сахар в духе "а давайте добавим в файрволл Tcl".
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Выпуск пакетного фильтра nftables 1.0.3"	–1 +/–
	Сообщение от Покойник (?), 01-Июн-22, 14:15
	Тикль крут сам по себе.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от Аноним (7), 01-Июн-22, 16:04
	У вас там.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Выпуск пакетного фильтра nftables 1.0.3"	–8 +/–
	Сообщение от Mikk (??), 01-Июн-22, 14:21
	Говняшка. Если что-то добавляется, то расчитываешь, что оно там и будет. Потом грепнешь и удивишься, куда оно пропало. Такие оптимизации должны быть скрыты.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	6. "Выпуск пакетного фильтра nftables 1.0.3"	–4 +/–
	Сообщение от пох. (?), 01-Июн-22, 15:55
	Так там греп бесполезен - это ж неосиляторы юникса изобрели. Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки, а не загадочные скобочки пятнадцати разновидностей. Вон, в json выводи и интуитивно-приятно парси его. После этого удивляться что что-то куда-то пропало уже будет и несмешно даже. А лучше просто учи синтаксис firewalld. Все равно докеры шмокеры там поперек тебя лазят и после них руками уже ничего нормально не исправить. Все, нет в лиnoopsе нормального пакетного фильтра, для людей, хотели как ввенде - нате вам. А этот бред из текста новости - все равно ни понять, ни отлаживать не получится. udp length 47-63 @th,160,128 0x0e373135363130333131303735353203 goto nat_dns_dnstc - ну просто ж прекрасное. Уже и похрен куда его уоптимизирует - его только выкрасить и выбросить можно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от Аноним (8), 01-Июн-22, 16:20
	Я сейчас использую обратно совместимый вариант. Всё работает без погрешностей. При миграции только имена команд подправил и все взлетело.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от Аноним (10), 01-Июн-22, 16:27
	> Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки Удачи вам почитать грепом wtmp, блин. Да и вообще, умилительное зрелище, когда приходит подоконник и начинает учить, как оно на юниксе должно быть, а сам максимум фрю под вмварью видел.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	12. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от 1 (??), 01-Июн-22, 16:43
	> Удачи вам почитать грепом wtmp, блин. т.е. команду strings ты так и ниасилил ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Выпуск пакетного фильтра nftables 1.0.3"	–4 +/–
	Сообщение от пох. (?), 01-Июн-22, 17:44
	>> Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки > Удачи вам почитать грепом wtmp, блин. last обеспечивает вполне читаемый грепом вывод, без всякого node.js парсера. Неожиданное открытие? > Да и вообще, умилительное зрелище, когда приходит подоконник и начинает учить, как > оно на юниксе должно быть, а сам максимум фрю под вмварью > видел. ну вот и не приходи сюда. Со своими привычками "как в венде". Впрочем, поздно уже, конечно. Разработчики стали такие же точно. Причем и винду тоже не умеют.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	19. "Выпуск пакетного фильтра nftables 1.0.3"	+1 +/–
	Сообщение от john_erohin (?), 01-Июн-22, 17:47
	wtmp пусть читает last. возможно, когда делали wtmp бинарным, имели в виду "это будет база данных навроде BerkleyDB".
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	23. "Выпуск пакетного фильтра nftables 1.0.3"	–1 +/–
	Сообщение от Аноним (10), 01-Июн-22, 17:59
	В коммерческих юниксах и логи аудита бинарные. (Тем более забавно видеть всякие ausearch и aureport в линуксах, где логи аудита всегда были текстовые)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от Аноним (7), 01-Июн-22, 18:11
	>В коммерческих юниксах и логи аудита бинарные. Казалось бы, при чём здесь Поттеринг, бинарные логи в systemd...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	50. "Выпуск пакетного фильтра nftables 1.0.3"	+1 +/–
	Сообщение от Аноним (50), 02-Июн-22, 12:58
	Всё это было появилось в юниксах ещё в 1993. Поттеринг на самом деле мало чего нового (так, чтобы аналогофнет) предложил в 2010 - просто более или менее довёл линукс до паритета возможностей с коммерческими юниксами. Тем смешнее была клоунада "защитников старого доброго Unix way", которые этих юниксов в глаза не видели и фич не узнали.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	71. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от www2 (??), 08-Июн-22, 07:31
	Был дух лабораторного юникс, простого и ортогонального, и были коммерческие юниксы, сложного и избыточного. Коммерческие юниксы никогда не соответствовали духу лабораторного юникса.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от пох. (?), 01-Июн-22, 18:33
	> wtmp пусть читает last. > возможно, когда делали wtmp бинарным, имели в виду "это будет база данных > навроде BerkleyDB". оно так и есть, только не keyvalue а специфический стор, причем - sparse file, поскольку хранит не "лог" а состояние "на сейчас". Не самое удачное изобретение, если честно (его регулярно пытаются переизобрести, но каждый раз получается еще хуже чем было). Но таки да - инструментарий для работы с ним по прежнему укладывается в юникс-парадигму, его писали - давно.
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	38. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от User (??), 01-Июн-22, 19:46
	Так и не было никогда. За вменяемым синтаксисом - в bsd, но там возможностей недоклали, а в последнее время и просто "клали" - костыли. А, ну ещё в какую циску, да. Там конечно "море легаси", но в ем свои плюсы.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	40. "Выпуск пакетного фильтра nftables 1.0.3"	+2 +/–
	Сообщение от пох. (?), 01-Июн-22, 22:16
	Все нормально было в iptables с синтаксисом. И человекочитаемый, и удобоотлаживаемый, чего не хватало - ну, фейсбуку понятно чего - бабла. В bsd ничего вменяемого нет - либо простыня ipfw с юзерхелпером (б-же мой, какое у нас тысячелетье-то на дворе) для nat, как только их больше одного - хрен ты уже разберешь кто там на ком стоял. Либо совершенно невменяемый криво-косо и с опозданием на пять лет портированный из openbsd. С юзерхелперами для протоколов сложнее голого udp. И про циску тоже не надо мне тут: nat (inside,outside) source static vcenter interface service vcenter-1 vcenter-1 nat (inside,outside) source static vcenter interface service vcenter-web vcenter-web nat (inside,outside) source static vcenter interface service vcenter-control-web vcenter-control-web nat (inside,outside) source static vcenter interface service vcenter-console-web vcenter-console-web nat (inside,outside) source static vcenter interface service https https no-proxy-arp ШИ-ТО тут написано и почему ОНО так, к лесу в известной позе, а к тебе почему-то передом?! Нет, это работающие правила, static Dnat для доступа ИЗВНЕ. Нет, интерфейс outside там где и должен был бы быть. Это у меня еще нет синтаксиса через object-groups, тоже задом-наперед, а без пол-банки я тебе его не напишу с первой попытки правильно. На фоне этого страшилища iptables-то просто откровение дарованное нам с рыжым. Его можно было просто читать (да, не тратя времени на пережевывание и зубреж простыни манов, если тебе не надо было что-то совсем уж экзотического).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Выпуск пакетного фильтра nftables 1.0.3"	+2 +/–
	Сообщение от User (??), 02-Июн-22, 07:51
	Не-не-не, Девид Блейн! Вот смотри: простое правило ipfw add allow proto from to несёт 0 - "ноль" дополнительных уровней абстракции и читается любым человеком даже без знания предметной области. Да, в реальном мире у нас тут же появляются setup keep-state/check-state, но! Это абстракции уровня "предметной области", а не "инструмента". Сравните с ай-пи-табляйс - тут же, на входе - две чисто инструментальных концепции - "таблицы" и "цепочки", которые Никак не кореллируют с предметной областью. Патамучта-патаму. Это даже если не говорить про в доску упоротый синтаксис с мешаниной --\-, больших-маленьких букв (которые опять же, никому без мануала ни о чем не говорят) --и-длинных-слов. Простые вещи должны делаться просто, не? Да, эта простота провоцирует разростание простыней (плюс куча goto, ой, skip), плюс сколько-нибудь сложные вещи становятся нумнэээ... Такоэ. Ну так сколько ж ему годиков? Вот в ПФ (опенбсдшного изводу особенно) done right - простые вещи делаются просто, сложные - немного сложнее. правда каких-либо причин делать хоть какие-то вещи на опенбсде я не нахожу (Простые с тем или иным геморроем делаются и другими инструментами, а сложные опенбсдя в общем-то не тянет. Теоретически какбыда, а на практике - нихрена) - но сам инструмент с т.з. пользователя хороший. Тут ей-ей, файрволлд - шаг в правильном направлении. Большинство простых юзкейсов он покрывает, позволяя при этом решать сложные задачи низкоуровневыми инструментами. Но чисто его по возможностям даже и айпифв сравнивать смишно - чисто линуксовая поизнедоделка, без (nf\|ip)tables потребности не покрывает, а они - см. Выше.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от пох. (?), 02-Июн-22, 08:06
	> любым человеком даже без знания предметной области. а на реальный конфиг смотрят такие ТРИ человека со знанием предметной области - и не могут быстро найти где же ошибка в этой адовой простыне и почему сеть сломалась и на какой "skipto" они не попали. Понятно что ты можешь скопировать эту чушь в iptables (не, не можешь, потому что nat все же отделен от фильтра) и сделать похожую нечитабельную простыню на пять экранов, но первое что сделают при ее разборе, если беглый взгляд не помог найти проблему - аккуратно нарежут на ломтики отдельных цепочек, чтобы каждую было можно охватить взглядом и отлаживать отдельно. > так сколько ж ему годиков? ну так в этом и проблема - за эвонсколько годиков (три всего) в линуксе ушли от плоской простыни навсегда, а эти так и остались с ней в обнимку. Теперь там еще и fibers в той же плоской простыне. Циска на то и ентерпрайс что ей понадобилось всего лишь 20 лет чтобы это понять (в asa v8 сделали таки acl'и работающими с уже оттранслированными адресами как в линухе, до того был "bsd way") > Тут ей-ей, файрволлд - шаг в правильном направлении. увы, но ровно под него и прогнулись (это ж редгад, попробуй покривляйся золотому спонсору) - весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей дряни, решающей за тебя как настраивать фильтры. В коде они с удовольствием будут парсить json. Причем "какввенде" опять почему-то не вышло, место чоль проклято, вышла неудобная неуправляемая фигня. Зато она в rhel поэтому это ваше будущее.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от User (??), 02-Июн-22, 13:16
	>а на реальный конфиг смотрят такие ТРИ человека со знанием предметной области "Порог вхождения", однако. Три человека со знанием ЗАКЛИНАНИЯ -Жи ассепт! Тут ничем не лучше. >Понятно что ты можешь скопировать эту чушь в iptables Так не можешь). Если бы "мог" вопросов бы не было - простые вещи просто, сложные - чуть сложнее. А тут тебе сразу на входе куча синтаксического мусора + концепций инструмента. В этом-то и претензия >ну так в этом и проблема - за эвонсколько годиков Угу. Проблема. Ну так и не надо в как-там по молодёжному? 2к22? Айпифэвэ насиловать). Есть пф. >весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей дряни, решающей за тебя как настраивать фильтры Ну, не знаю как ты - а я распедалить что там в 33 слоя насрано на ноде кубера в сколько-нибудь разумное время вот в принципе не смогу. Всё, лоу-левел не для меня, дайте мне тогда простой инструмент высокого уровня который будет решать _мои_ а не куберодокероштотатам задачи, в идеале - не ломая этот штотатам нафиг. Плевать уже что там под капотом, все равно я туда не полезу. И тут проблема не в том, что firewalld это такой ipfw - а в том, что он "плохой ipfw").
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от пох. (?), 02-Июн-22, 17:13
	> "Порог вхождения", однако. пороги там давно были пройдены. Просто оно нечеловекочитаемо. > Так не можешь). могу с точностью до синтаксиса - оно ж ничего толком не умеет. Правда скипы придется реализовывать через отдельные цепочки, поэтому все равно читаемей получится чем оригинал плоской простыней. > Есть пф. ничем не лучше, увы. Сложные вещи на нем делаются черезмерно запутанно и простые тоже можно ухитриться сделать так что потом хрен разберешься как работало. >> весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей >> дряни, решающей за тебя как настраивать фильтры > Ну, не знаю как ты - а я распедалить что там в 33 слоя насрано на ноде кубера в сколько-нибудь мущина, ну вам же сказали - это не для вас. для вас firewalldЕ! А это - для роботов, т-поватых но старательных. > разумное время вот в принципе не смогу. ну сможешь, допустим (там-то ничего особо сложного нет, только кривое) - а толку? Все равно же лезть руками туда совершенно бессмысленно, не будешь же ты свою систему управления кодить. Расслабьтесь, фиреволом в модном современном линoops'е уже управляете не вы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от Аноним (10), 01-Июн-22, 16:23
	> Потом грепнешь и удивишься, куда оно пропало. На этой стадии ваш наставник должен дать вам по рукам. Ну, или если вы не джун - то начальник на дверь указать. Если человек настолько глуп, чтобы не осилить прочитать ман и найти там nft get element - нечего ему делать в профессии. Небось он grep и вместо ldd использует, нуачо, иногда же срабатывало!
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	16. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от пох. (?), 01-Июн-22, 17:41
	> Если человек настолько глуп, чтобы не осилить прочитать ман и найти там и зазубрить еще стопиццот бессмысленных заклинаний (безусловно, высокого умища признак) > nft get element - нечего ему делать в профессии. Небось он девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован") Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные инструменты, и экосистему вокруг универсальных инструментов построенную (unix называлась, не, не слышали), а софта, написанного макакерами и требующего читать и зубрить ман для совершенно тривиального действия, отдельно на каждую невменяемую поделку - просто стараются не допускать к использованию.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Выпуск пакетного фильтра nftables 1.0.3"	+2 +/–
	Сообщение от Аноним (10), 01-Июн-22, 17:53
	> и зазубрить еще стопиццот бессмысленных заклинаний (безусловно, высокого умища признак) Необязательно зубрить, достаточно уметь читать. > Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные инструменты Потому что клиповое мышление не позволяет запомнить более пяти "заклинаний", а самостоятельно читать маны - это девляпство и рокет сайнс.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Выпуск пакетного фильтра nftables 1.0.3"	+1 +/–
	Сообщение от пох. (?), 01-Июн-22, 18:29
	Безусловно, каждая ерундовая операция требует почитания. >> Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные >> инструменты > Потому что клиповое мышление не позволяет нет дурачок, это у тебя клиповое мышление, мы родились когда не было клипов - а у нас - юникс-система (была), где не нужно (было) тратить время на чтение ненужного - достаточно было прочитать книжку (а не man), один раз. Именно потому что тривиальные вещи делались тривиально, и удобно автоматизировались - БЕЗ необходимости тратить время на еще один нескучный инструментарий еще одного макакиного выcepa. Который через неделю объявят немодным и изобретут новый не доделав старого. Именно этим она была - удобна. Тем что инструменты образовывали _систему_. А теперь даже винда более логична и последовательна со своим "все есть объект, только иногда он почему-то строка".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от Аноним (35), 01-Июн-22, 18:57
	Угу, одна книжка на все юниксы. А как с реальными системами работать начинаешь, так сразу вылазят у юникствари свою игрушки, скотины другие, у чпукса своя атмосферка, а в соплярисе вообще все не как у людей. И уходит та книжка работать подставкой под кофейную кружку.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Выпуск пакетного фильтра nftables 1.0.3"	–1 +/–
	Сообщение от пох. (?), 01-Июн-22, 22:19
	> Угу, одна книжка на все юниксы. А как с реальными системами работать > начинаешь, так сразу вылазят у юникствари свою игрушки grep, awk и sed у юниксвари были точно такие же (ну ок, были у них специфичные глюки но _админу_ а не кодеру надо было суметь вляпаться) Если вы этого не понимаете - что именно такие инструменты образовывали юникс-систему, то да, книжка вам подставкой под кружку, и объявляете год линукса на десктопе со своего макбука.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Выпуск пакетного фильтра nftables 1.0.3"	+/–
	Сообщение от edo (ok), 02-Июн-22, 04:01
	> Именно этим она была - удобна. Тем что инструменты образовывали _систему_. да не было никакой системы, система явно склеена из разномастных кусков. линуксовый man ps, например, весело читать, половина опций указывается с дефисом, половина — без. а всё потому, что совместимость с этими «системными» юниксами. другое дело, что, несмотря на всё это, система получилась достаточно удобной — никто не спорит.
	Ответить \| Правка \| К родителю #30 \| Наверх \| Cообщить модератору