Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск пакетного фильтра nftables 0.9.7"	+/–
Сообщение от opennews (??), 29-Окт-20, 12:12
Опубликован выпуск пакетного фильтра nftables 0.9.7, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.7 изменения включены в состав ядра Linux 5.10-rc1... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53984
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от InuYasha (??), 29-Окт-20, 12:12	+10 +/–
Хоть в своё время я с ним и посношался приличное время, но всё равно оценил. НФТ - это реально шаг вперёд. >Улучшена пометка ошибок в выражениях. Где вы были раньше... (T_T)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

2. Сообщение от Аноним (2), 29-Окт-20, 12:27	–3 +/–
table, set, define, test... Бл, какое-то программирование сплошное. Раньше все так легко админилось в линухе простыми конфигами, а теперь все больше чувствуешь себя кодером и хацкером...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #8, #27, #77

3. Сообщение от Random (??), 29-Окт-20, 12:53	+9 +/–
Им бы вменяемую документацию...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #57

4. Сообщение от Аноним (4), 29-Окт-20, 13:08	+3 +/–
все это что? Конфиг sendmail, который компилять надо? Конфиг nginx, на котором программировать пытаются? Конфиг того же апача вот прям простой с учетом всех возможностей?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #5

5. Сообщение от Аноним (5), 29-Окт-20, 13:35	+/–
Так то сейчас на конфиге нжинкс пытаются девушку заменить. А раньше в советские времена оно было понятно и просто.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #11

6. Сообщение от macfaq (?), 29-Окт-20, 13:58	+/–
Кто реально пользовался - оно только кажется переусложнённым нечто или так и есть?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #23, #31, #54

7. Сообщение от Имя (?), 29-Окт-20, 14:01	+4 +/–
https://wiki.nftables.org/wiki-nftables/index.php/Quick_refe...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #22

8. Сообщение от Аноним (11), 29-Окт-20, 14:09	+2 +/–
> Бл, какое-то программирование сплошное. Раньше все так легко админилось в линухе простыми конфигами, а теперь все больше чувствуешь себя кодером и хацкером... Это вам к Поттерингу, пятая дверь направо. Если вы его хорошо попросите, он придёт и заменит весь кодинг на простые ini-файлы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

9. Сообщение от Аноним (9), 29-Окт-20, 14:18	+/–
Ipchains был лучше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #15

10. Сообщение от б.б. (?), 29-Окт-20, 14:18	–1 +/–
как в этой штуке сделать NAT? вместо обычного iptables -t nat -j MASQUERADE -A POSTROUTING
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #14, #16, #56

11. Сообщение от Аноним (11), 29-Окт-20, 14:22	+5 +/–
Это когда вместо канплюктеров считали на счётах, арифмометрах и логарифмических линейках? А вы точно арифмометр осилите?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #29

12. Сообщение от Аноним (11), 29-Окт-20, 14:27	+/–
https://wiki.archlinux.org/index.php/Nftables_(п═я┐я│я│п╨п╦п╧)#п°п╟я│п╨п╟я─п╟п╢п╦п╫пЁ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #13

13. Сообщение от Аноним (11), 29-Окт-20, 14:29	+4 +/–
Какие всё-таки кривые у Чиркова руки... Не можешь корректно обработать URL — так хотя бы не вандаль его. https://shorturl.at/aAOPT
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #18, #37, #38, #39, #43

14. Сообщение от Аноним (9), 29-Окт-20, 14:33	+/–
nft add rule nat postrouting masquerade
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #20, #25, #80

15. Сообщение от Дедушка (?), 29-Окт-20, 14:42	+7 +/–
При ipchains-то у меня х.. стоял!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

16. Сообщение от flkghdfgklh (?), 29-Окт-20, 14:48	+/–
nft add rule nat postrouting masquerade
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

17. Сообщение от timur.davletshin (ok), 29-Окт-20, 14:57	+2 +/–
Молодец! Большой прогресс. Год назад ты не мог модули ядра скомпилировать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #30

18. Сообщение от антифрактал (?), 29-Окт-20, 15:20	+3 +/–
ты ж не донатишь ему, отсюда такие спецэффекты
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #19, #24

19. Сообщение от Аноним (11), 29-Окт-20, 15:29	+1 +/–
Кривизна рук от донатов не зависит. Предпочитаю донатить людям с прямыми руками, чтобы они делали что-то хорошее и качественное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

20. Сообщение от Аноним (11), 29-Окт-20, 15:33	+2 +/–
Только сначала нужно определить таблицу nat и цепочку postrouting. nft — не дубовый iptables, здесь можно создавать таблицы и цепочки с любыми именами. Важен только тип таблицы (ip, ip6, inet), хук цепочки (prerouting, input, forward, output, postrouting) и приоритет цепочки в хуке. В iptables это было жёстко забито без возможности изменить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #21, #55, #66

21. Сообщение от б.б. (?), 29-Окт-20, 15:58	+2 +/–
>  Только сначала нужно определить таблицу nat и цепочку postrouting. а как?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #52

22. Сообщение от funtt (?), 29-Окт-20, 15:59	+7 +/–
Там же написано: "вменяемую".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

23. Сообщение от EuPhobos (ok), 29-Окт-20, 16:22	+3 +/–
Нужно главное в голове закрепить, что это не iptables. Если включить логику, nft сразу становится понятен и гибок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #28, #36

24. Сообщение от Аноним (24), 29-Окт-20, 16:37	+/–
Этому багу по меньшей мере лет 10, и то, скорее всего раньше я не замечал. Если бы это был не перл поверх фряхи с кои8р, оно бы даже прошло незамеченным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #42, #51

25. Сообщение от Takishima (ok), 29-Окт-20, 16:39	+/–
Не нужно запускать команду nft … для добавления отдельных правил. https://wiki.nftables.org/wiki-nftables/index.php/Atomic_rul... Теперь всё атомарно обновляется, в отличие от iptables. Пишем все правила в /etc/nftables.conf (он запускаемый) и запускаем его каждый раз при обновлении, либо systemctl reload nftables Вот фрагмент: table ip nat {         chain c_postrouting {                 type nat hook postrouting priority srcnat                 policy accept                 oifname "eth0" masquerade         } }
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #26, #34, #65, #93

26. Сообщение от Takishima (ok), 29-Окт-20, 16:44	+/–
Если вместо oifname "eth0" masquerade написать oif "eth0" masquerade То обещают более быструю работу правила. Но для "oif" интерфейс должен присутствовать в момент загрузка правил, иначе будет ошибка, т.к. проверяется ID интерфейса. А "oifname" сравнивает строки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #58

27. Сообщение от псевдонимус (?), 29-Окт-20, 16:47	+1 +/–
Ты дурак или прикидываешься?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

28. Сообщение от псевдонимус (?), 29-Окт-20, 16:52	–5 +/–
Одно из преимуществ Линукс - крутой пакетный фильтр кануло в небытие.  А линуксоиды, как Алкснис: стоят вместе с пингвинами, улыбаются и машут :-(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

29. Сообщение от InuYasha (??), 29-Окт-20, 17:22	+1 +/–
Вот на счёты не наезжай, да??
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

30. Сообщение от InuYasha (??), 29-Окт-20, 17:22	–2 +/–
> Молодец! Большой прогресс. Год назад ты не мог модули ядра скомпилировать. Давай сегодня без клеветы, ок?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #40

31. Сообщение от Аноним (31), 29-Окт-20, 17:26	+/–
Не, не сложно. Легко преобразуются из iptables правила и все.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #49, #69, #91

32. Сообщение от Аноним (-), 29-Окт-20, 17:53	+/–
daddr saddr , многословность и неоднозначность (что какбы стремно для такой вещи как фаервол) . пока что слишком убого чтоб использовать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #53

33. Сообщение от Аноним (-), 29-Окт-20, 17:55	–1 +/–
Зыж лучше бы перепортировали все это барахло под синтаксис всеми любимого ipchains или уже ipfw на худой конец , его даже младенцы понимают без проблем, вот куда надо стремиться, а не городить черти  пойми что
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #35

34. Сообщение от Аноним (34), 29-Окт-20, 18:37	+1 +/–
Нужно! Улучшенная поддержка динамического обновления правил это одна из фич, которой они гордятся. Предлагаю сойтись на том, что все зависит от условий: не вижу смысла записывать в конфиг временное правило или тем более переделывать работу fail2ban чтобы он модифицировал конфиг
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #101

35. Сообщение от пох. (?), 29-Окт-20, 18:51	–5 +/–
Так они попытались. Пресловутый встроенный враппер. Фейлящийся на тривиальном конфиге из десятка простых правил. Собственно, это все что надо знать о тех людях, которые притащили нам это ненужно, вместо нескольких небольших исправлений в iptables (обещанных двадцать лет назад но "что-то никак руки не дошли", а потом и вовсе куда-то делись, вместе с головой).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

36. Сообщение от Аноним (2), 29-Окт-20, 20:03	+1 +/–
>гибок Гибуч!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #47

37. Сообщение от Аноним (2), 29-Окт-20, 20:04	+/–
У меня не работает ссылка. Перебрасывает на главную просто.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

38. Сообщение от Аноним (38), 29-Окт-20, 20:14	+1 +/–
по твоему шортурл тоже какая-то лажа
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

39. Сообщение от Аноним (39), 29-Окт-20, 20:32	+1 +/–
В данном случае вы вставили ссылку без экранирования unicode-символов (браузеры помещают в буфер обмена кривую ссылку, если копировать не весь URL). Нормальные ссылки отображаются нормально, например https://ru.wikipedia.org/wiki/%D0%93%D0%... Вопрос по ссылки со скобками задавали уже. Делается это осмысленно, часто ссылки указывают в скобках, и если слепо следовать RFC при разборе, то финальная скобка попадает в URL.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #62

40. Сообщение от timur.davletshin (ok), 29-Окт-20, 20:37	–4 +/–
>> Молодец! Большой прогресс. Год назад ты не мог модули ядра скомпилировать. > Давай сегодня без клеветы, ок? Ноут тот уже настроил?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

41. Сообщение от Аноним (41), 29-Окт-20, 20:41	+/–
Вот я не как не пойму что такое hook, зачем он нужен и что он вообще делает в nft?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #59

42. Сообщение от Аноним (-), 29-Окт-20, 20:53	+/–
> Если бы это был не перл поверх фряхи с кои8р, оно бы даже прошло незамеченным. Там уже пару лет пингвинчик, если что.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #45

43. Сообщение от Ordu (ok), 29-Окт-20, 20:58	+/–
shorturl не работает. Но iconv -f utf-8 -t koi8-r может справиться с теми кракозяблами в url'е.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

44. Сообщение от Ordu (ok), 29-Окт-20, 21:16	–1 +/–
А можно я оффтопично задам вопрос про роутинг на OpenWRT? Мне просто ппц лень возиться, я с iptables сталкиваюсь может раз в пять лет, и каждый раз это читать всю гору документации заново, потому что я забыл всё к чертям. Ситуация такая: есть локальный небольшой провайдер, который отрубает интернет за неуплату в 00:00 какого-то там числа каждого месяца. У него ограниченный выбор способов оплаты, и из них мне подходит один -- в лк есть ссылка, которая отправляет на сайт банка, где надо номер карточки вогнать и нажать "ок". Но хрень в том, что когда интернет отключен, не прогрузить сайт банка. А если на роутере переключить wifi в режим клиента и подключить к инету через мобилу, то можно прогрузить любой сайт, но личный кабинет у провайдера не грузится. Я ковырял почему так, думал может если в hosts вписать локальный адрес лк, чтобы туда через локалку ходило, то заработает, но хрен там был -- дело не в днс, лк в любом случае висит на одном и том же ip-адресе, и проблему можно решить, видимо, только роутингом: гонять весь трафик по цепочке десктоп-роутер-мобила-интернет, а трафик к лк по цепочке десктоп-роутер-сеть_провайдера-лк. Очень хочется сделать так, чтобы когда мне интернет отрубают, я бы мобилу перевёл в режим точки доступа и в панели управления OpenWRT нажал бы кнопку (ну или на крайняк, сделал бы ssh на него и запустил бы скрипт) и всё бы заработало. А когда интернет обратно включат, я бы мобилу перевёл бы в режим клиента, нажал бы кнопку в панели управления OpenWRT (запустил бы другой скрипт) и опять весь трафик шёл бы через локалку. Но пилять, как жеж мне влом разбираться в этом гумне снова. Может кто шарит настолько, что навскидку может написать конфигурацию? (Тут в этом ТЗ существенным требованием является то, чтобы мне не надо было бы ничего помнить про таблицы и цепочки iptables -- я всё равно забуду за месяц). Если всем влом или никто не шарит настолько, чтобы без труда из головы написать такой конфиг, то простите, пожалуйста, мою потреблятскую сущность, и не обращайте внимания на мой нытьё. Может я как-нибудь соберусь с духом, перечитаю доки, запилю конфигурацию сам, найти способ оттестировать, допилю до работоспособности, облегчённо выдохну и забуду, наконец, про проблему.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46

45. Сообщение от Аноним (24), 29-Окт-20, 21:20	+/–
>> Если бы это был не перл поверх фряхи с кои8р, оно бы даже прошло незамеченным. > Там уже пару лет пингвинчик, если что. Правда? Я это пропустил. Ну, тогда не понятно, почему бы уже не использовать юникод, в конце концов, можно всё сконвертировать автоматически -- данных там не так чтобы много за 25 лет накопилось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

46. Сообщение от flkghdfgklh (?), 29-Окт-20, 21:40	+1 +/–
ip route add N.N.N.N via Y.Y.Y.Y dev ethN
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #48

47. Сообщение от псевдонимус (?), 29-Окт-20, 21:58	+1 +/–
Злогибуч.%0A
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

48. Сообщение от Ordu (ok), 29-Окт-20, 21:58	+/–
> ip route add N.N.N.N via Y.Y.Y.Y dev ethN Ох ведь, да, точно! Это ведь роутингом делается и iptables не нужон. Круто! Спасибо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #63

49. Сообщение от псевдонимус (?), 29-Окт-20, 22:00	+/–
Магия, да? И ты ей радуешься :-(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

51. Сообщение от псевдонимус (?), 29-Окт-20, 22:10	+/–
> Этому багу по меньшей мере лет 10, и то, скорее всего раньше > я не замечал. Если бы это был не перл поверх фряхи > с кои8р, оно бы даже прошло незамеченным. Тут копейкаосб с протухшими шляпными патчами. Ынтырпрайз.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

52. Сообщение от псевдонимус (?), 29-Окт-20, 22:13	–1 +/–
>>  Только сначала нужно определить таблицу nat и цепочку postrouting. > а как? С помощью волшебной палочки или цветика-семицветика это делается сполпинка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

53. Сообщение от псевдонимус (?), 29-Окт-20, 22:20	–1 +/–
> daddr saddr , многословность и неоднозначность (что какбы стремно для такой вещи > как фаервол) . пока что слишком убого чтоб использовать. Оно не сделается лучше. Со временем станет похожим на фрибсд ipwf, только хуже (посмотри сложные правила на нем, хер ты там поймёшь навскидку, как пакет обрабатывается). Pederastы, сэр.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #61

54. Сообщение от comrade (ok), 29-Окт-20, 22:22	+/–
> оно только кажется переусложнённым нечто или так и есть? А разница какая? Результат один - придётся с ним иметь дело.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #96

55. Сообщение от comrade (ok), 29-Окт-20, 22:26	–1 +/–
> В iptables это было жёстко забито без возможности изменить И добавить необходимое было ну никак нельзя. Решили заново задизайнить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #60

56. Сообщение от comrade (ok), 29-Окт-20, 22:34	–2 +/–
Да почти так же. Внизу написали. По этому поводу уместно вспомнить анекдот о ж...е и д...е. И что из-за одного слова надо было целый язык придумывать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #81

57. Сообщение от Аноним (57), 29-Окт-20, 23:26	+1 +/–
man nft который идёт в комплекте вроде бы соответствует последней версии
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

58. Сообщение от llolik (ok), 29-Окт-20, 23:31	+/–
> для "oif" интерфейс должен присутствовать в момент загрузка правил Ну если у него в правиле eth0, т.е. "железный" интерфейс, то, в принципе, нормально. iif/oif не надо использовать с vlan/bond и прочими виртуальными интерфейсами, т.к., всё правильно, при загрузке на момент инициализации nftables виртуальные интерфейсы ещё не созданы и загрузка конфига обломается (а c *name нет).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

59. Сообщение от llolik (ok), 29-Окт-20, 23:41	+2 +/–
https://wiki.nftables.org/wiki-nftables/index.php/Netfilter_... Если совсем просто, указывает в каком месте перехватывать пакеты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #88, #90

60. Сообщение от пох. (?), 30-Окт-20, 00:03	+2 +/–
Так это и не было необходимым. Какая кому печаль что ты не можешь придумать нескучное имячко вместо FORWARD или nat ? Пользы тому кто будет разгребать за тобой - кстати, немало - потому что ему не придется гадать, что это такое и в каком месте срабатывает. Но нет, надо было сделать мегаусложненное ненужно, в котором и сам его автор через неделю разобраться не сможет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #64

61. Сообщение от пох. (?), 30-Окт-20, 00:10	+/–
ipfw линеен (не считая местного goto) - его сложные правила разбирать противно и чревато ошибками, но можно. А тут вообще ничего сложнее совсем тривиальщины разобрать в принципе не получится, если тебе только не оставят детальных комментариев - это все равно что пытаться понять назначение и принцип работы впервые увиденной сишной программы по ее некомментированному коду. Ну только еще и, вдобавок, очередной нескучный собственный язычок с бредовым нерегулярным синтаксисом. Полагаю, для того и брали. Это очень ведь хорошо, для некоторых, что в их гуанокоде никто не разбирается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

62. Сообщение от Аноним (-), 30-Окт-20, 00:21	+2 +/–
Нормальные ссылки для людей выглядят так: https://ru.wikipedia.org/wiki/Гиперссылка %D0%93%D0%... оставьте роботам, пожалуйста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #68, #75

63. Сообщение от flkghdfgklh (?), 30-Окт-20, 02:20	–1 +/–
Да не за что Вообще имеет смысл роутить через гейт провайдера не только IPшник его сайта с кабинетом, но всю его подсеть, но это опционально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #67, #86

64. Сообщение от б.б. (?), 30-Окт-20, 03:14	+/–
фишка в том, что у меня эти команды ситуативны. я как 15 лет назад её забивал по обстоятельствам, так и сейчас забиваю на разных компьютерах - они там требуются разово, на конкретной ситуации, и на разные интерфейсы - иногда даже на разные интерфейсы в одном сеансе. и последние 15 лет это работало. а в последние пару недель просто сломалось - например, у меня есть debian sid, обновлённый несколько недель назад, с ядром 5.8.0-2. и debian testing, с ядром 5.8.0-3. в первом echo 1 / /proc/sys...forwarding и iptables nat работают, а во втором - нет, не работают обе команды. хотя несколько недель назад тоже работали. в альте сизиф тоже не работают обе команды. нужна конкретная команда, которую я могу ввести на любом современном linux, как я 15 лет до этого вводил прошлую команду. настраивать 10 компьютеров на все возможные интерфейсы мне, честно говоря, не хочется - до этого всё работало прекрасно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #74

65. Сообщение от б.б. (?), 30-Окт-20, 03:15	–1 +/–
а без интерфейса можно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #72

66. Сообщение от abu (?), 30-Окт-20, 05:16	+/–
Разве в Iptables нельзя именовать цепочки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #73

67. Сообщение от Ordu (ok), 30-Окт-20, 05:22	+/–
> имеет смысл роутить через гейт провайдера не только IPшник его сайта с кабинетом, но всю его подсеть Да, но насколько я понял, разглядывая вывод ip route, OpenWRT делал это автоматически, на основании описания сети полученного через DHCP от прова -- по маске подсети. Но это не работало, потому что ip лк не попадает в подсетку, поэтому маршрутизируется дефолтным маршрутом -- я не сразу догадался, из-за того, что подсетка /19, а я не копенгаген в уме двоичную арифметику выполнять над десятично-трёхзначными числами. Короче, я начинаю подозревать, админам прова надо руки пообрывать за такое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #71

68. Сообщение от Аноним (39), 30-Окт-20, 07:36	+/–
Национальные символы в URL подлежат обязательному экранированию https://tools.ietf.org/html/rfc1738 "only alphanumerics, the special characters "$-_.+!*'(),", and reserved characters used for their reserved purposes may be used unencoded within a URL" lowalpha       = "a" | "b" | "c" | "d" | "e" | "f" | "g" | "h" |                  "i" | "j" | "k" | "l" | "m" | "n" | "o" | "p" |                  "q" | "r" | "s" | "t" | "u" | "v" | "w" | "x" |                  "y" | "z" hialpha        = "A" | "B" | "C" | "D" | "E" | "F" | "G" | "H" | "I" |                  "J" | "K" | "L" | "M" | "N" | "O" | "P" | "Q" | "R" |                  "S" | "T" | "U" | "V" | "W" | "X" | "Y" | "Z"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

69. Сообщение от Аноним (69), 30-Окт-20, 09:13	+/–
Простите, как из iptables в nftables переписать очень актуальное правило iptables -A INPUT -p tcp -m tcp --sport 80 -m string --string "Location: http://lawfilter." --algo bm --to 65535 -j DROP ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #70

70. Сообщение от llolik (ok), 30-Окт-20, 09:51	+/–
> Простите, как из iptables в nftables переписать очень актуальное правило Пока никак. string extension ещё пока не реализован (consider native interface) https://wiki.nftables.org/wiki-nftables/index.php/Supported_...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

71. Сообщение от flkghdfgklh (?), 30-Окт-20, 11:09	–1 +/–
Хм, да админам прова однозначно руки отрывать за подобное. У меня на каком-то из провайдеров на россии похожее было, что к ЛК route надо было руками прописывать, хотя к части сетей прова он прилетал прямой по DHCP. На Корбине/Билайне это что ли было? Не помню.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #87

72. Сообщение от Takishima (ok), 30-Окт-20, 13:34	+/–
> а без интерфейса можно? Всё можно, но не всё полезно. Будет NAT'ить там, где не надо, может таблица соединений ненужными записями заполняться. Вообще, по-хорошему надо бы ещё на lo отключить трекинг соединений. И натить только форварженные пакеты, вот так получше будет: table ip nat {         chain c_postrouting {                 type nat hook postrouting priority srcnat                 policy accept                 oif "eth0" fib saddr type != local masquerade         } } table ip t_raw {         chain c_output {                 type filter hook output priority raw                 policy accept                 oif lo notrack         } }
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #76

73. Сообщение от Takishima (ok), 30-Окт-20, 13:40	+/–
> Разве в Iptables нельзя именовать цепочки? Встроенные (INPUT/OUTPUT/FORWARD/и т.п.) нельзя переименовать, т.к. их функция определяется именем. В nft по дефолту нет никаких цепочек, они создаются с произвольным именем и вешаются в нужные места (hook) с нужным приоритетом (priority).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #92

74. Сообщение от пох. (?), 30-Окт-20, 14:02	+/–
> недель просто сломалось - например, у меня есть debian sid, обновлённый > несколько недель назад, с ядром 5.8.0-2. и debian testing, с ядром > 5.8.0-3. в первом echo 1 / /proc/sys...forwarding и iptables nat работают, > а во втором - нет, не работают обе команды. хотя несколько потому что во втором эти команды - кривовраппер. Но тебе вообще-то никто не мешал поставить правильный пакет - он еще есть. И alternatives за тебя перепишет, и разжует. И даже в рот положит. Но это не путь модного джедая. > команды. нужна конкретная команда, которую я могу ввести на любом современном > linux, как я 15 лет до этого вводил прошлую команду. настраивать ааа, так то на современном, а ты-то про какой-то там де6иллиан 1990го года. Записывай: ufw allow ssh (ну или что там у тебя) заметь - никакие "интерфейсы" не надо - интерфейсы у нас каждый день по-разному называются и хрен угадаешь. https://www.digitalocean.com/community/tutorials/how-to-set-... вот, учись. Ну или если тебя тоже в подвале к корпоративной стойке приковали, тогда тебе сюда: https://www.digitalocean.com/community/tutorials/how-to-set-... заметь - оба эти варианта работают именно на _любом_ ведре. Сами разбираясь, какой сегодня враппер и какой синтаксис объявлен модным. А если ты имел в виду - сохранить видимость собственного контроля над ситуацией - так ее у тебя, по собственному же признанию, и раньше не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #78

75. Сообщение от пох. (?), 30-Окт-20, 14:15	+/–
> Нормальные ссылки для людей выглядят так: https://ru.wikipedia.org/wiki/Гиперссылка нормальные ссылки для людей вообще-то выглядят так: https://ru.wikipedia.org/wiki/Hyperlink а рашкованский алфавит (которого, внезапно, может вообще не быть на машине индуса) оставьте для содержимого, а не для _технической_ информации, которой является ссылка. То что викивракия не осилила человеческой транслитерации и вместо этого пихает левые символы в url - проблема ее механизма, написанного бездарными кодерами двадцать лет назад. Но стандартов это не нарушает, в отличие от ваших ссылок. И да, некоторые стандарты у нас еще те, древние, и написаны инженерами, которые об этом были в курсе. > %D0%93%D0%... оставьте роботам, пожалуйста. url и предназначены для роботов. Для людей предназначен ТЕКСТ между тегами a href и /a Поскольку тут сайт для технических специалистов или мнящих себя таковыми - предполагается, что они обладают минимальной технической грамотностью, и их можно не заставлять сопровождать каждую ссылку открывающим и закрывающим тегами вручную. Разумеется, напрасно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

76. Сообщение от б.б. (?), 30-Окт-20, 15:50	–1 +/–
> Всё можно, но не всё полезно. Будет NAT'ить там, где не надо, может таблица соединений ненужными записями заполняться. меня полностью устраивало, как оно натило. одной командой из четырёх слов и трёх закорючек. пока это не отломали в угоду неизвестно чему. хочу так же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

77. Сообщение от BorichL (?), 30-Окт-20, 15:54	+/–
Ой, какие мы нежные, нам бы всё галочки мышком потыкивать.... Когда предыдущую версию dbmail c PostgreSQL ставил, пришлось запросы в исходниках править, чтоб заработало, ничего в этом страшного нет. А уж сколько раз конторский сайтец приходилось править по мере выхода новых пыхопыхов...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

78. Сообщение от б.б. (?), 30-Окт-20, 16:31	+/–
> потому что во втором эти команды - кривовраппер. Но тебе вообще-то никто не мешал поставить правильный пакет - он еще есть. И alternatives за тебя перепишет, и разжует. И даже в рот положит. Но это не путь модного джедая. оно везде iptables-nft но в одном случае работает, а в другом - ругается на то, что нет таблицы или что-то такое
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #79, #85

79. Сообщение от б.б. (?), 30-Окт-20, 16:33	–1 +/–
причём, самое интересное, что в тех случаях, где не работает iptables, нет и /proc/sys/net/ipv4/ip_forwarding. а где он есть - там оно работает. видимо, оно как-то связано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

80. Сообщение от б.б. (?), 30-Окт-20, 16:34	+/–
nft add rule nat postrouting masquerade Error: Could not process rule: No such file or directory add rule nat postrouting masquerade              ^^^^^^^^^^^
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #82

81. Сообщение от б.б. (?), 30-Окт-20, 16:39	+/–
ага так же. только не работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

82. Сообщение от llolik (ok), 30-Окт-20, 16:51	+/–
> nft add rule nat postrouting masquerade > Error: Could not process rule: No such file or directory > add rule nat postrouting masquerade >             >  ^^^^^^^^^^^ nft add table nat перед этим?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #83

83. Сообщение от б.б. (?), 30-Окт-20, 17:14	+/–
то же самое, подчёркивает postrouting
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #84

84. Сообщение от llolik (ok), 30-Окт-20, 18:45	+/–
> то же самое, подчёркивает postrouting 1.Создаём таблицу - nft add table nat 2.Создаём цепочку - nft 'add chain nat postrouting { type nat hook postrouting priority 100 ; }' 3.Создаём правило - nft add rule nat postrouting masquerade (маскарадить всё-на-всё так себе затея, но как демонстрация сойдёт) Проверка nft list ruleset. В nft по умолчанию нет ничего и все объекты (таблицы, цепочки и правила) надо создавать. Всё из консоли забивать не обязательно, можно забить таблицы в /etc/nftables.conf или в другой файл и туда заинклюдить (nftables это умеет).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

85. Сообщение от пох. (?), 30-Окт-20, 22:01	–1 +/–
Ну говорю же - кривовраппер. Поставь нормальный, он еще ставится. Или переходи уже на темную сторону, ставь бубунточку. де6иллиан застрял в позапрошлом веке со своими кривыми костылями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

86. Сообщение от провайдер (?), 30-Окт-20, 22:05	–1 +/–
> Вообще имеет смысл роутить через гейт провайдера не только IPшник его сайта > с кабинетом, но всю его подсеть, но это опционально. не имеет - мы не обязаны предоставлять злостным неплательщикам доступ и к этой сети тоже. К личному кабинету - предоставляем, чтоб он мог оплатить свой долг. Это бесплатно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

87. Сообщение от провайдер (?), 30-Окт-20, 22:08	+/–
> Хм, да админам прова однозначно руки отрывать за подобное. Ну конечно. Мы же должны, ради ублажения клиента (постоянно просрочивающего срок очередной оплаты - чтоб ему самому зарплату так же платили!) сделать плоскую сеточку /19 чтоб ему удобно было нас наяпывать. Или, может, прислать ему стопицот реальных префиксов, которые у нас на маршрутизаторы приходят? А у него впопенворота не лопнут от такого? > каком-то из провайдеров на россии похожее было, что к ЛК route > надо было руками прописывать, хотя к части сетей прова он прилетал Не надо ничего руками (кривыми) прописывать - надо платить вовремя, и тогда весь интернет, а не только личный кабинет, ВНЕЗАПНО, будут доступны через default gateway. А кроилово - ведет к попадалову.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #102

88. Сообщение от Аноним (-), 31-Окт-20, 09:31	+/–
Теперь буем запускать natd ? Очень такой прогресс прям по всему лицу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #89

89. Сообщение от llolik (ok), 31-Окт-20, 10:17	+/–
> Теперь буем запускать natd А если развернуть мысль в контексте, а то я что-то не догнал причем здесь NAT и FreeBSD (тк natd оттуда вообще-то)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

90. Сообщение от Random (??), 31-Окт-20, 11:10	+/–
Вот только output должен бы быть перед роутингом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #95

91. Сообщение от Random (??), 31-Окт-20, 11:12	+/–
Какой эквивалент для таргета TTL?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #98

92. Сообщение от abu (?), 31-Окт-20, 13:16	+/–
Полагаю, что выгляжу ретроградом и неосилятором ветров перемен, но думаю, что и в nftables я начну с того же самого - создам  INPUT, OUTPUT, FORWARD и т.д. То есть, =нельзя переименовать= для меня, по крайней мере в начале, не будет какой-то там киллер-фичей. Что до приоритетов - надо будет посмотреть примеры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

93. Сообщение от abu (?), 31-Окт-20, 13:20	+/–
> Теперь всё атомарно обновляется, в отличие от iptables. Пишем все правила в > /etc/nftables.conf (он запускаемый) и запускаем его каждый раз при обновлении, либо > systemctl reload nftables iptables-save > res vim res iptables-restore < res не?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #94

94. Сообщение от Takishima (ok), 31-Окт-20, 13:31	+/–
>> Теперь всё атомарно обновляется, в отличие от iptables. Пишем все правила в >> /etc/nftables.conf (он запускаемый) и запускаем его каждый раз при обновлении, либо >> systemctl reload nftables > iptables-save > res > vim res > iptables-restore < res > не? Оно в iptables не атомарно, на самом деле. Можно получить ситуацию, когда часть правил не загружена ещё, а очередной пакет пришёл.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #97

95. Сообщение от llolik (ok), 31-Окт-20, 16:57	+/–
> Вот только output должен бы быть перед роутингом. Ну wiki.nftables.org не я писал, хотя по идее должно быть так, да. ЧСХ в других картинках нарисовано правильно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #100

96. Сообщение от macfaq (?), 31-Окт-20, 16:59	+/–
>> оно только кажется переусложнённым нечто или так и есть? > А разница какая? Результат один - придётся с ним иметь дело. Одна даёт, другая дразнится. Для себя интересуюсь, в ближайшем будущем я с nft вряд ли что-то делать буду, а лёгкий интерес есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

97. Сообщение от abu (?), 31-Окт-20, 18:36	+1 +/–
О как. Спасибо за объяснение!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

98. Сообщение от Takishima (ok), 31-Окт-20, 19:18	+/–
> Какой эквивалент для таргета TTL? Например, так (будет работать и для локальных пакетов, и форварженных): table ip mangle {   chain postrouting {     type filter hook postrouting priority mangle     policy accept     ip daddr 1.1.1.1 ip ttl set 68   } } Читаем в man nft:    EXTENSION HEADER STATEMENT            extension_header_expression set value В данном случае — "ip ttl" это и есть extension_header_expression
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #99

99. Сообщение от Random (??), 01-Ноя-20, 00:31	+/–
Спасибо, уже неплохо, хотя из мана это неочевидно (ещё раз к вопросу о вменяемой документации). Но хотелось бы не столько "--ttl-set", сколько "--ttl-inc" (типа, скрыть от трассировки dnat'ящий хост)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #103

100. Сообщение от Random (??), 01-Ноя-20, 00:35	+/–
И ещё раз к вопросу о вменяемой документации... :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

101. Сообщение от Random (??), 01-Ноя-20, 00:43	+/–
Вот да, динамическое изменение правил выглядит более сложным (если при этом надо анализировать уже существующие правила).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

102. Сообщение от Random (??), 01-Ноя-20, 00:56	+/–
default gateway - понятие динамическое, провайдеров может быть более одного даже для домашнего инета. Но некоторые вещи, типа того же ЛК, направляем строго через того или иного провайдера, вот это руками и прописано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

103. Сообщение от Takishima (ok), 01-Ноя-20, 00:56	+/–
> Спасибо, уже неплохо, хотя из мана это неочевидно (ещё раз к вопросу > о вменяемой документации). Ну я кроме мана не использовал ничего. Хз, какая должна быть вменяемая. Разве что примеров побольше. > Но хотелось бы не столько "--ttl-set", сколько "--ttl-inc" (типа, скрыть от трассировки > dnat'ящий хост) От трассировки можно, например, просто дропать исходящие icmp ttl exceeded. Это самое простое и дубовое. Или что-то типа такого (вместо XX и YY подставить нужные числа): table ip mangle {   chain prerouting {     type filter hook prerouting priority mangle     policy accept     iifname "eth0" ip daddr 192.0.2.33 ip ttl < XX ip ttl set YY   } } Или можно дропать пакеты с маленьким ttl, т.к. это в 99.99% трейсроут, а в остальных случаях они и так не нужны уже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #104

104. Сообщение от Random (??), 01-Ноя-20, 01:16	+/–
> От трассировки можно, например, просто дропать исходящие icmp ttl exceeded. Это самое > простое и дубовое. А вот чтобы была красивая трассировка до цели, но dnat'ящий хост в ней не отображался - не было "двойного" ответа от целевого ip, при этом был ответ именно от цели (напр., для диагностики/мониторинга). > Или можно дропать пакеты с маленьким ttl, т.к. это в 99.99% трейсроут, > а в остальных случаях они и так не нужны уже. А также дропать пакеты с большим ttl, т.к. это в 99.99% скан, а src заносить в афроамериканский список.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема