Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск пакетного фильтра nftables 1.0.6"	+1 +/–
Сообщение от opennews (??), 23-Дек-22, 11:49
Опубликован выпуск пакетного фильтра nftables 1.0.6, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58378
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Выпуск пакетного фильтра nftables 1.0.6"	+1 +/–
Сообщение от Аноним (1), 23-Дек-22, 11:49
долгих лет
Ответить | Правка | Наверх | Cообщить модератору

	25. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от Владимир (??), 23-Дек-22, 21:09
	Благодарствую ...
	Ответить | Правка | Наверх | Cообщить модератору

5. "Выпуск пакетного фильтра nftables 1.0.6"	+2 +/–
Сообщение от mumu (ok), 23-Дек-22, 12:08
> В оптимизаторе правил, вызываемом при указании опции "-o/--optimize" Судя по примеру это опция -o/--obfuscate, превращающая правила в нечитаемое для человека месиво.
Ответить | Правка | Наверх | Cообщить модератору

	18. "Выпуск пакетного фильтра nftables 1.0.6"	+3 +/–
	Сообщение от Аноним (-), 23-Дек-22, 16:45
	Оптимизация всегда превращает код в нечитаемое для человека месиво. И чем больше оптимизаций, тем сложнее разобраться. Исключением может быть -Os у gcc, и то не всегда. Но хуже всего, когда оптимизация проводится вручную -- тогда не только результат компиляции, но и сорец становится нечитаемым месивом, и вот тогда разобраться в этом вообще никаких шансов.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от fuggy (ok), 23-Дек-22, 21:54
	А разве это нельзя делать при запуске, а хранить сами правила в обфусцированном виде.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от trickybestia (ok), 23-Дек-22, 23:20
	Что делать? При запуске чего? Правила nftables компилируются при загрузке в ядро. Если хотите получить результат оптимизаций обратно в виде текста, вызовите `nft list ruleset`.
	Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
Сообщение от аНОНИМ (?), 23-Дек-22, 12:20
Какой профит от этого нфтаблес? Насколько он быстрее чем фильтр от iptables?
Ответить | Правка | Наверх | Cообщить модератору

	10. "Выпуск пакетного фильтра nftables 1.0.6"	+2 +/–
	Сообщение от Попандопала (?), 23-Дек-22, 14:14
	Использую,но так как правила просто переводил из iptables в то,что понимает nftables,то ни хрена ни чем не лучше. Для меня все едино. Лишний геморрой только с настройкой ядра,а старенькому iptables надо правила скормить и все.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Выпуск пакетного фильтра nftables 1.0.6"	+1 +/–
	Сообщение от Аноним (12), 23-Дек-22, 14:21
	Какой там гемор с настройкой ядра?
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Выпуск пакетного фильтра nftables 1.0.6"	–2 +/–
	Сообщение от Попандопала (?), 23-Дек-22, 14:51
	Надо включать дополнительные примочки в core netfilter configuration, ip netfilter configuration иначе правила вообще не загрузятся как и сам nftables по сути.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от Аноним (33), 24-Дек-22, 12:40
	Для вас не будет открытием, что для iptables надо тоже включать дополнительные примочки, без которых iptables'у из userspace просто некуда будет загружать правила?
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от Попандопала (?), 24-Дек-22, 13:49
	ХЗ. Iptables я только устанавливаю и в автозагрузку добавляю по сути, а Nftables  надо в паре мест ткнуть при настройке ядра. Иначе при тех же в принципе правилах что и в Iptables только приведенные к пониманию Nftables, он не распознает что-то там. Имею ввиду ванильное ядро и его настройки по умолчанию. Вот этого мне недостаточно.
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от Попандопала (?), 24-Дек-22, 13:52
	Правила Nfables  у меня в /var/lib/nftables, а где они лежат у Iptables я не знаю. Просто эти 20 строчек копирую в xterm.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от Аноним (33), 24-Дек-22, 14:58
	iptables в автозагрузке у вас срабатывает только потому, что добрый дядя, собравший вам ядро, уже эти настройки ткнул. Сегодня он их ткнул для iptables, завтра будет тыкать для nftables, а вам для оживления iptables тыкать эти настройки самостоятельно. Кстати, что за такой NIH-дистрибутив, у которого nftables в ядре выключен?
	Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

	39. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от Попандопала (?), 24-Дек-22, 15:11
	Nftables не выключен,ему там просто надо донастроить. Gentoo-sources и дополнительно с патчами RT
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от Ophely (?), 23-Дек-22, 20:56
	А я вот жду что щас еще вылазит какая-то бабушка и давай спрашивать чем это поделие лучше ipchains.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	28. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от Аноним (33), 23-Дек-22, 22:05
	Зачем спрашивать про такое новье? Надо про ipfw
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от pofigist (?), 23-Дек-22, 23:35
	Чем он лучше zbfw? Это - firewall здорового человека. А все ваши *tables - firewall курильщика... И при этом курильщика чего-то крайне нездорового и незаконного...
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от Владимир (??), 23-Дек-22, 21:09
	Фильтр из пакета скоростью хоть и не блещет, зато дешев. Да и пакеты всегда под рукой, можно много фильтров понаделать ...
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	31. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от Аноним (31), 24-Дек-22, 05:43
	Профит в декларативном конфиге и атомарных апдейтах. Быстрее намного, но до ~10k правил ты это вряд ли заметишь.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	38. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от Аноним (33), 24-Дек-22, 15:09
	не, разница на линейных портянках проявится уже на первой сотне правил. Танцы с ipset'тами как-то ситуацию выправляют, но тоже как раз в районе ~1k элементов в сете тоже начнет проигрывать nftables'ам.
	Ответить | Правка | Наверх | Cообщить модератору

15. "Выпуск пакетного фильтра nftables 1.0.6"	+1 +/–
Сообщение от Осколок счастья (?), 23-Дек-22, 15:39
А документации к нему так и не завезли? (нет, дюжина вики-страниц с  кучей дохлых ссылок - это не она).
Ответить | Правка | Наверх | Cообщить модератору

	16. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от Alexey V. Pautov (?), 23-Дек-22, 16:02
	Вообще-то вот: https://netfilter.org/documentation/index.html
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от Riff (?), 24-Дек-22, 12:52
	Ну, это не совсем оно. Это документация по нетфильтру. К ней претензий нет. А в том месте где упоминается nftables мы имеет те же самые 5 вики-страниц, состоящих из примеров без пояснений. PS: не даром шляпники для него фронтенд (firewalld) накалякали. Понимают, что в проде, когда нужно быстренько включить доступ сетевому сервису на куче узлов, этот обфусцированный набор правил полезен, как лысому расческа.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от Аноним (33), 24-Дек-22, 18:56
	Все же firewalld появился чуть ли не за десять лет до начала работ над nftables. И придумали его чтобы на уровне объектных абстракций рулить плоскими правилами iptables. Как итог на выходе получалась укурочная дичь, которая более-менее работала как примерно ожидалось. Про производительность получившихся макарон никто особо не задумывался, для производительности правила вручную обтачивались надфилем с тотальным упрощением всего и вся.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от Аноним (-), 23-Дек-22, 16:08
	Знания по крохам собираются. А кто то в коде даже может разобрсться. В общем, будем эксперементировать!
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

19. "Выпуск пакетного фильтра nftables 1.0.6"	+2 +/–
Сообщение от Советский инженер на пенсии (?), 23-Дек-22, 16:56
В openwrt сие чудо есть?
Ответить | Правка | Наверх | Cообщить модератору

	20. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от Аноним (20), 23-Дек-22, 17:52
	С 22.03.0 версии на него перешли.
	Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
Сообщение от lucentcode (ok), 23-Дек-22, 20:33
Фильтрацию по строкам нормальную так и не завезли(аналог модуля string от xtables). Грустно это, столько лет развивается, а паритета по функционалу с xtables до сих пор нет.
Ответить | Правка | Наверх | Cообщить модератору

	32. "Выпуск пакетного фильтра nftables 1.0.6"	+/–
	Сообщение от Аноним (31), 24-Дек-22, 05:50
	Вас не поймёшь: то unix-философию выдумываете себе, то строки фаерволлом фильтруете. Фаерволл — это l3, строки четырьмя этажами выше.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема