forum.opennet.ru - "Выпуск пакетного фильтра nftables 1.0.3" (69)

"Выпуск пакетного фильтра nftables 1.0.3"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск пакетного фильтра nftables 1.0.3"	+/–
Сообщение от opennews (ok), 01-Июн-22, 14:08
Опубликован выпуск пакетного фильтра nftables 1.0.3, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Необходимые для работы выпуска nftables 1.0.3 изменения включены в состав ядра Linux 5.18... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57285
Ответить \| Правка \| Cообщить модератору

Оглавление

И сюда NFT добралось, Zenitur (ok), 14:08 , 01-Июн-22, (1) +1

Соглы, не нужно , Robin Hood (?), 13:04 , 04-Июн-22, (70) +1

Полезняшка, особенно если списки часто меняются Впервые за долгое время что-то , mumu (ok), 14:13 , 01-Июн-22, (2) +4

Тикль крут сам по себе , Покойник (?), 14:15 , 01-Июн-22, (3) –1

У вас там , Аноним (7), 16:04 , 01-Июн-22, (7)

Говняшка Если что-то добавляется, то расчитываешь, что оно там и будет Потом г, Mikk (??), 14:21 , 01-Июн-22, (4) –8

Так там греп бесполезен - это ж неосиляторы юникса изобрели Грепом они пользова, пох. (?), 15:55 , 01-Июн-22, (6) –4

Я сейчас использую обратно совместимый вариант Всё работает без погрешностей П, Аноним (8), 16:20 , 01-Июн-22, (8)
Удачи вам почитать грепом wtmp, блин Да и вообще, умилительное зрелище, когда пр, Аноним (10), 16:27 , 01-Июн-22, (10)

т е команду strings ты так и ниасилил , 1 (??), 16:43 , 01-Июн-22, (12)
last обеспечивает вполне читаемый грепом вывод, без всякого node js парсера Нео, пох. (?), 17:44 , 01-Июн-22, (17) –4
wtmp пусть читает last возможно, когда делали wtmp бинарным, имели в виду это б, john_erohin (?), 17:47 , 01-Июн-22, (19) +1

В коммерческих юниксах и логи аудита бинарные Тем более забавно видеть всякие a, Аноним (10), 17:59 , 01-Июн-22, (23) –1

Казалось бы, при чём здесь Поттеринг, бинарные логи в systemd , Аноним (7), 18:11 , 01-Июн-22, (28)

Всё это было появилось в юниксах ещё в 1993 Поттеринг на самом деле мало чего но, Аноним (50), 12:58 , 02-Июн-22, (50) +1

Был дух лабораторного юникс, простого и ортогонального, и были коммерческие юник, www2 (??), 07:31 , 08-Июн-22, (71)

оно так и есть, только не keyvalue а специфический стор, причем - sparse file, п, пох. (?), 18:33 , 01-Июн-22, (32)

Так и не было никогда За вменяемым синтаксисом - в bsd, но там возможностей недо, User (??), 19:46 , 01-Июн-22, (38)

Все нормально было в iptables с синтаксисом И человекочитаемый, и удобоотлажива, пох. (?), 22:16 , 01-Июн-22, (40) +2

Не-не-не, Девид Блейн Вот смотри простое правило ipfw add allow proto from to , User (??), 07:51 , 02-Июн-22, (46) +2

а на реальный конфиг смотрят такие ТРИ человека со знанием предметной области - , пох. (?), 08:06 , 02-Июн-22, (47)

Порог вхождения , однако Три человека со знанием ЗАКЛИНАНИЯ -Жи ассепт Тут ни, User (??), 13:16 , 02-Июн-22, (51)

пороги там давно были пройдены Просто оно нечеловекочитаемо могу с точностью до, пох. (?), 17:13 , 02-Июн-22, (53)

На этой стадии ваш наставник должен дать вам по рукам Ну, или если вы не джун - , Аноним (10), 16:23 , 01-Июн-22, (9)

и зазубрить еще стопиццот бессмысленных заклинаний безусловно, высокого умища п, пох. (?), 17:41 , 01-Июн-22, (16)

Необязательно зубрить, достаточно уметь читать Потому что клиповое мышление не п, Аноним (10), 17:53 , 01-Июн-22, (20) +2

Безусловно, каждая ерундовая операция требует почитания нет дурачок, это у тебя , пох. (?), 18:29 , 01-Июн-22, (30) +1

Угу, одна книжка на все юниксы А как с реальными системами работать начинаешь, , Аноним (35), 18:57 , 01-Июн-22, (35)

grep, awk и sed у юниксвари были точно такие же ну ок, были у них специфичные г, пох. (?), 22:19 , 01-Июн-22, (41) –1

да не было никакой системы, система явно склеена из разномастных кусков линуксо, edo (ok), 04:01 , 02-Июн-22, (43)

аж двух - bsd и sysv - и да, про это тоже написано в книжке 85го года Но некогд, пох. (?), 07:50 , 02-Июн-22, (45)

Классика ригидного сознания помноженная на магическое мышление , Аноним (57), 19:44 , 02-Июн-22, (57)

Данная вам подсказка работает точно так же, как ipset test Собственно, эта фича, Аноним (35), 17:57 , 01-Июн-22, (22) +1

get element в мозгах девляпсов переводится как test Ну ооок Чем дальше от ваш, пох. (?), 18:39 , 01-Июн-22, (34)

Все же чтобы с апломбом вещать благоглупости, стоило бы с обсуждаемым предметом , Аноним (35), 19:02 , 01-Июн-22, (36)

Ъ Даже 2Ъ grep - он ОДИН и для ВСЕГО что есть строка А выяснять, что кому в ка, User (??), 19:41 , 01-Июн-22, (37) +1

Эх, вот если бы ещё реальность была такая же точно 8212 однотипная, один раз , Аноним (57), 19:49 , 02-Июн-22, (58) +1

Ну да, ну да И колесо чот давненько круглое Добавлю-ка я углов, в этой семанти, User (??), 04:55 , 03-Июн-22, (65)

Разрабы и пользователи ipset смотрят на вас с некоторым удивлением , Аноним (35), 17:47 , 01-Июн-22, (18)

Сейчас прибежит пох и скажет, что на его вин Wюниксе никакого ipset нет, а пот, Аноним (10), 17:56 , 01-Июн-22, (21)

ну да, костыль же Причем украденый у фряхи где, в силу родовой травмы, по друго, пох. (?), 18:37 , 01-Июн-22, (33)

Уборщику из ДЦ невдомёк, что окружения бывают динамическими Применить правило X, Аноним (57), 19:42 , 02-Июн-22, (56)

судя по твоим истошным взвизгам - тебя и в уборщики не берут Собственно, квалифи, пох. (?), 22:06 , 02-Июн-22, (60)

Тут ты прав, не берут Но я и не просился никогда У меня-то проблемы разобратьс, Аноним (63), 02:01 , 03-Июн-22, (63)

угу, все сплошь в очереди - запили нам что-нить на новейшем еще недоделанном ин, пох. (?), 09:19 , 03-Июн-22, (67)

Придёшь, когда правил хотя бы 10к будет, пообщаемся , Аноним (63), 02:02 , 03-Июн-22, (64)

А зачем мне общаться с подобными м-ками Безусловно каждому васяну с локалхостом,, пох. (?), 09:16 , 03-Июн-22, (66)

А если захочешь убавить , Аноним (13), 17:11 , 01-Июн-22, (13)

Отработает и выдаст другой набор элементов, с учетом удаленного , Аноним (35), 18:02 , 01-Июн-22, (24)

Ага, только это не виртуальная машина eBPF, которая тоже есть в Linux Почему Н, Аноним (14), 17:38 , 01-Июн-22, (14)

Была запилена раньше, чем в ядре появилось BPF , Аноним (7), 18:04 , 01-Июн-22, (25)

при попытке запилить в ведре что-то хотя бы отдаленно похожее на уже имеющееся -, пох. (?), 22:09 , 02-Июн-22, (61)

Тоже склоняюсь к мнению, что авторы идеи с BPF - уважаемые люди в около керне, Аноним (7), 12:31 , 03-Июн-22, (68)

Так просвети глупцов, Анончик (?), 20:48 , 01-Июн-22, (39)

Исключение двух именованых списков не работает iifname int_ifs ip daddr s, andy (??), 17:41 , 01-Июн-22, (15)

Вложенные списки в принципе обещаны , Аноним (35), 18:05 , 01-Июн-22, (26)

Кто подскажет, что существенно изменилось при переходе с 0 9 9 на 1 0 Правила, , Аноним (7), 18:07 , 01-Июн-22, (27)

ты чего, совсем слепой - девятку от единички отличить не можешь Сейчас местные н, пох. (?), 22:11 , 02-Июн-22, (62)

В ansible нет модуля поэтому пока ждём , Аноним (29), 18:26 , 01-Июн-22, (29) –2

Воистину девляпс , пох. (?), 18:30 , 01-Июн-22, (31) +2

Как запретить выход в сеть приложениям Какой там аналог -m cgroup --path user s, Аноним (42), 00:16 , 02-Июн-22, (42)

meta cgroup 4096 drop или что-то такоеcgroup ы в meta модуле есть, lockywolf (ok), 06:11 , 02-Июн-22, (44)

Оно еще не deprecated , test1559 (?), 09:30 , 02-Июн-22, (48)

Его же не Поттеринг запилил , Аноним (7), 11:33 , 02-Июн-22, (49)

Так мой системный менеджер и не deprecated , поцтеринг (?), 17:21 , 02-Июн-22, (55)

Твой аудиосервер депрекейтед , Аноним (7), 12:34 , 03-Июн-22, (69)

А для не_марсиан ничего нету Ну и да летят года,меняются версии, а документация, Аноним (52), 14:33 , 02-Июн-22, (52)

_уже_ нету разработчикам и читать-то ее некогда, а ты хочешь чтоб ее писали Впро, пох. (?), 17:20 , 02-Июн-22, (54) +1
Стыдно на опеннете про документацию жаловаться Тут же каждый матёрый сишник, пи, Аноним (57), 19:51 , 02-Июн-22, (59)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Zenitur (ok), 01-Июн-22, 14:08 +1 +/–

И сюда NFT добралось

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #70

2. Сообщение от mumu (ok), 01-Июн-22, 14:13 +4 +/–

> auto-merge во время работы
Полезняшка, особенно если списки часто меняются. Впервые за долгое время что-то практичное, а не безумный синтаксический сахар в духе "а давайте добавим в файрволл Tcl".

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4

3. Сообщение от Покойник (?), 01-Июн-22, 14:15 –1 +/–

Тикль крут сам по себе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #7

4. Сообщение от Mikk (??), 01-Июн-22, 14:21 –8 +/–

Говняшка. Если что-то добавляется, то расчитываешь, что оно там и будет. Потом грепнешь и удивишься, куда оно пропало. Такие оптимизации должны быть скрыты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6, #9, #18

6. Сообщение от пох. (?), 01-Июн-22, 15:55 –4 +/–

Так там греп бесполезен - это ж неосиляторы юникса изобрели.
Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки, а не загадочные скобочки пятнадцати разновидностей.
Вон, в json выводи и интуитивно-приятно парси его. После этого удивляться что что-то куда-то пропало уже будет и несмешно даже.
А лучше просто учи синтаксис firewalld. Все равно докеры шмокеры там поперек тебя лазят и после них руками уже ничего нормально не исправить.
Все, нет в лиnoopsе нормального пакетного фильтра, для людей, хотели как ввенде - нате вам.
А этот бред из текста новости - все равно ни понять, ни отлаживать не получится.
                   udp length 47-63 @th,160,128
0x0e373135363130333131303735353203 goto nat_dns_dnstc
- ну просто ж прекрасное. Уже и похрен куда его уоптимизирует - его только выкрасить и выбросить можно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #8, #10, #38

7. Сообщение от Аноним (7), 01-Июн-22, 16:04 +/–

У вас там.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

8. Сообщение от Аноним (8), 01-Июн-22, 16:20 +/–

Я сейчас использую обратно совместимый вариант. Всё работает без погрешностей. При миграции только имена команд подправил и все взлетело.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

9. Сообщение от Аноним (10), 01-Июн-22, 16:23 +/–

> Потом грепнешь и удивишься, куда оно пропало.
На этой стадии ваш наставник должен дать вам по рукам.
Ну, или если вы не джун - то начальник на дверь указать.
Если человек настолько глуп, чтобы не осилить прочитать ман и найти там nft get element - нечего ему делать в профессии. Небось он grep и вместо ldd использует, нуачо, иногда же срабатывало!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #16

10. Сообщение от Аноним (10), 01-Июн-22, 16:27 +/–

> Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки
Удачи вам почитать грепом wtmp, блин.
Да и вообще, умилительное зрелище, когда приходит подоконник и начинает учить, как оно на юниксе должно быть, а сам максимум фрю под вмварью видел.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #12, #17, #19

12. Сообщение от 1 (??), 01-Июн-22, 16:43 +/–

> Удачи вам почитать грепом wtmp, блин.
т.е. команду strings ты так и ниасилил ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

13. Сообщение от Аноним (13), 01-Июн-22, 17:11 +/–

> а затем если добавить новые элементы
А если захочешь убавить?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

14. Сообщение от Аноним (14), 01-Июн-22, 17:38 +/–

> выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters)
Ага, только это не виртуальная машина eBPF, которая тоже есть в Linux. Почему? Никто не знает.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #39

15. Сообщение от andy (??), 01-Июн-22, 17:41 +/–

Исключение двух именованых списков не работает:
iifname $int_ifs ip daddr != { @stormwall, @akamai } meta l4proto tcp redirect to :9051

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

16. Сообщение от пох. (?), 01-Июн-22, 17:41 +/–

> Если человек настолько глуп, чтобы не осилить прочитать ман и найти там
и зазубрить еще стопиццот бессмысленных заклинаний (безусловно, высокого умища признак)
> nft get element - нечего ему делать в профессии. Небось он
девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован")
Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные инструменты, и экосистему вокруг универсальных инструментов построенную (unix называлась, не, не слышали), а софта, написанного макакерами и требующего читать и зубрить ман для совершенно тривиального действия, отдельно на каждую невменяемую поделку - просто стараются не допускать к использованию.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #20, #22

17. Сообщение от пох. (?), 01-Июн-22, 17:44 –4 +/–

>> Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки
> Удачи вам почитать грепом wtmp, блин.
last обеспечивает вполне читаемый грепом вывод, без всякого node.js парсера. Неожиданное открытие?
> Да и вообще, умилительное зрелище, когда приходит подоконник и начинает учить, как
> оно на юниксе должно быть, а сам максимум фрю под вмварью
> видел.
ну вот и не приходи сюда. Со своими привычками "как в венде". Впрочем, поздно уже, конечно. Разработчики стали такие же точно.
Причем и винду тоже не умеют.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

18. Сообщение от Аноним (35), 01-Июн-22, 17:47 +/–

Разрабы и пользователи ipset смотрят на вас с некоторым удивлением.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #21

19. Сообщение от john_erohin (?), 01-Июн-22, 17:47 +1 +/–

wtmp пусть читает last.
возможно, когда делали wtmp бинарным, имели в виду "это будет база данных навроде BerkleyDB".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #23, #32

20. Сообщение от Аноним (10), 01-Июн-22, 17:53 +2 +/–

> и зазубрить еще стопиццот бессмысленных заклинаний (безусловно, высокого умища признак)
Необязательно зубрить, достаточно уметь читать.
> Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные инструменты
Потому что клиповое мышление не позволяет запомнить более пяти "заклинаний", а самостоятельно читать маны - это девляпство и рокет сайнс.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #30

21. Сообщение от Аноним (10), 01-Июн-22, 17:56 +/–

Сейчас прибежит "пох" и скажет, что на его вин^Wюниксе никакого ipset нет, а потому - это девляпсовская смузи-хрень и (в его колхозе) не нужнО.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #33

22. Сообщение от Аноним (35), 01-Июн-22, 17:57 +1 +/–

> девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован")
Данная вам подсказка работает точно так же, как ipset test. Собственно, эта фича повторяет то, что ipset умел хз сколько лет. В чем причина такой ажитации к ней со стороны ниасиляторов nftables тайна великая есть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #34

23. Сообщение от Аноним (10), 01-Июн-22, 17:59 –1 +/–

В коммерческих юниксах и логи аудита бинарные.
(Тем более забавно видеть всякие ausearch и aureport в линуксах, где логи аудита всегда были текстовые)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #28

24. Сообщение от Аноним (35), 01-Июн-22, 18:02 +/–

Отработает и выдаст другой набор элементов, с учетом удаленного.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

25. Сообщение от Аноним (7), 01-Июн-22, 18:04 +/–

Была запилена раньше, чем в ядре появилось BPF.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #61

26. Сообщение от Аноним (35), 01-Июн-22, 18:05 +/–

Вложенные списки в принципе обещаны?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

27. Сообщение от Аноним (7), 01-Июн-22, 18:07 +/–

Кто подскажет, что существенно изменилось при переходе с 0.9.9 на 1.0? Правила, загруженные в 0.9.9, работают как задумывалось. Они же, будучи загруженными в 1.0.x, не пропускают инет с локалку.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #62

28. Сообщение от Аноним (7), 01-Июн-22, 18:11 +/–

>В коммерческих юниксах и логи аудита бинарные.
Казалось бы, при чём здесь Поттеринг, бинарные логи в systemd...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #50

29. Сообщение от Аноним (29), 01-Июн-22, 18:26 –2 +/–

В ansible нет модуля поэтому пока ждём.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31

30. Сообщение от пох. (?), 01-Июн-22, 18:29 +1 +/–

Безусловно, каждая ерундовая операция требует почитания.
>> Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные
>> инструменты
> Потому что клиповое мышление не позволяет
нет дурачок, это у тебя клиповое мышление, мы родились когда не было клипов - а у нас - юникс-система (была), где не нужно (было) тратить время на чтение ненужного - достаточно было прочитать книжку (а не man), один раз. Именно потому что тривиальные вещи делались тривиально, и удобно автоматизировались - БЕЗ необходимости тратить время на еще один нескучный инструментарий еще одного макакиного выcepa. Который через неделю объявят немодным и изобретут новый не доделав старого.
Именно этим она была - удобна. Тем что инструменты образовывали _систему_.
А теперь даже винда более логична и последовательна со своим "все есть объект, только иногда он почему-то строка".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #35, #43, #57

31. Сообщение от пох. (?), 01-Июн-22, 18:30 +2 +/–

> В ansible нет модуля поэтому пока ждём.
Воистину девляпс!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

32. Сообщение от пох. (?), 01-Июн-22, 18:33 +/–

> wtmp пусть читает last.
> возможно, когда делали wtmp бинарным, имели в виду "это будет база данных
> навроде BerkleyDB".
оно так и есть, только не keyvalue а специфический стор, причем - sparse file, поскольку хранит не "лог" а состояние "на сейчас".
Не самое удачное изобретение, если честно (его регулярно пытаются переизобрести, но каждый раз получается еще хуже чем было). Но таки да - инструментарий для работы с ним по прежнему укладывается в юникс-парадигму, его писали - давно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

33. Сообщение от пох. (?), 01-Июн-22, 18:37 +/–

> Сейчас прибежит "пох" и скажет, что на его вин^Wюниксе никакого ipset нет,
> а потому - это девляпсовская смузи-хрень и (в его колхозе) не
> нужнО.
ну да, костыль же. Причем украденый у фряхи где, в силу родовой травмы, по другому вообще нельзя.
Не знаю что в твоем колхозе такое делают что тебе нужны эти сеты вместо плоской таблицы. В которой хотя бы понятно что зачем и откуда взялось, и да, работает grep.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #56

34. Сообщение от пох. (?), 01-Июн-22, 18:39 +/–

>> девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован")
> Данная вам подсказка работает точно так же, как ipset test
get element в мозгах девляпсов переводится как test? Ну ооок...
Чем дальше от ваших поделок, тем более ок.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #36

35. Сообщение от Аноним (35), 01-Июн-22, 18:57 +/–

Угу, одна книжка на все юниксы. А как с реальными системами работать начинаешь, так сразу вылазят у юникствари свою игрушки, скотины другие, у чпукса своя атмосферка, а в соплярисе вообще все не как у людей. И уходит та книжка работать подставкой под кофейную кружку.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #41

36. Сообщение от Аноним (35), 01-Июн-22, 19:02 +/–

Все же чтобы с апломбом вещать благоглупости, стоило бы с обсуждаемым предметом ознакомиться. Так бы даже до вас дошло, что в семантике nftables get element логичен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #37

37. Сообщение от User (??), 01-Июн-22, 19:41 +1 +/–

Ъ. Даже 2Ъ.
grep - он ОДИН и для ВСЕГО что есть строка. А выяснять, что кому в какой логике и чьей семантике "логично" каждый раз при выполнении однотипных вроде как действий - любил я противоестественным способом такое щастье.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #58

38. Сообщение от User (??), 01-Июн-22, 19:46 +/–

Так и не было никогда.
За вменяемым синтаксисом - в bsd, но там возможностей недоклали, а в последнее время и просто "клали" - костыли. А, ну ещё в какую циску, да. Там конечно "море легаси", но в ем свои плюсы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #40

39. Сообщение от Анончик (?), 01-Июн-22, 20:48 +/–

Так просвети глупцов

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

40. Сообщение от пох. (?), 01-Июн-22, 22:16 +2 +/–

Все нормально было в iptables с синтаксисом. И человекочитаемый, и удобоотлаживаемый, чего не хватало - ну, фейсбуку понятно чего - бабла.
В bsd ничего вменяемого нет - либо простыня ipfw с юзерхелпером (б-же мой, какое у нас тысячелетье-то на дворе) для nat, как только их больше одного - хрен ты уже разберешь кто там на ком стоял. Либо совершенно невменяемый криво-косо и с опозданием на пять лет портированный из openbsd. С юзерхелперами для протоколов сложнее голого udp.
И про циску тоже не надо мне тут:
nat (inside,outside) source static vcenter interface service vcenter-1 vcenter-1
nat (inside,outside) source static vcenter interface service vcenter-web vcenter-web
nat (inside,outside) source static vcenter interface service vcenter-control-web vcenter-control-web
nat (inside,outside) source static vcenter interface service vcenter-console-web vcenter-console-web
nat (inside,outside) source static vcenter interface service https https no-proxy-arp
ШИ-ТО тут написано и почему ОНО так, к лесу в известной позе, а к тебе почему-то передом?! Нет, это работающие правила, static Dnat для доступа ИЗВНЕ. Нет, интерфейс outside там где и должен был бы быть.
Это у меня еще нет синтаксиса через object-groups, тоже задом-наперед, а без пол-банки я тебе его не напишу с первой попытки правильно.
На фоне этого страшилища iptables-то просто откровение дарованное нам с рыжым. Его можно было просто читать (да, не тратя времени на пережевывание и зубреж простыни манов, если тебе не надо было что-то совсем уж экзотического).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #46

41. Сообщение от пох. (?), 01-Июн-22, 22:19 –1 +/–

> Угу, одна книжка на все юниксы. А как с реальными системами работать
> начинаешь, так сразу вылазят у юникствари свою игрушки
grep, awk и sed у юниксвари были точно такие же (ну ок, были у них специфичные глюки но _админу_ а не кодеру надо было суметь вляпаться)
Если вы этого не понимаете - что именно такие инструменты образовывали юникс-систему, то да, книжка вам подставкой под кружку, и объявляете год линукса на десктопе со своего макбука.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

42. Сообщение от Аноним (42), 02-Июн-22, 00:16 +/–

Как запретить  выход в сеть приложениям?
Какой там аналог -m cgroup --path user.slice/firefox -j ACCEPT ??

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44

43. Сообщение от edo (ok), 02-Июн-22, 04:01 +/–

> Именно этим она была - удобна. Тем что инструменты образовывали _систему_.
да не было никакой системы, система явно склеена из разномастных кусков. линуксовый man ps, например, весело читать, половина опций указывается с дефисом, половина — без. а всё потому, что совместимость с этими «системными» юниксами.
другое дело, что, несмотря на всё это, система получилась достаточно удобной — никто не спорит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #45

44. Сообщение от lockywolf (ok), 02-Июн-22, 06:11 +/–

meta cgroup == 4096 drop
или что-то такое
cgroup'ы в meta модуле есть

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

45. Сообщение от пох. (?), 02-Июн-22, 07:50 +/–

> да не было никакой системы, система явно склеена из разномастных кусков. линуксовый
аж двух - bsd и sysv - и да, про это тоже написано в книжке 85го года. Но некогда читать, надо девляпать.
> man ps, например, весело читать, половина опций указывается с дефисом, половина
потому что тогда еще пытались в совместимость а не "зубри ман".
Поэтому сделали чтоб работали оба синтаксиса, и даже если ты намешал что-то не попадающее ни в тот, ни в другой - все равно что-то похожее показать.
(получилось так себе потому что у оригинала этот минус как раз есть, с тех самых годов, хотя и optional - что логично для программы у которой нет файловых аргументов и нужды их отличать)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

46. Сообщение от User (??), 02-Июн-22, 07:51 +2 +/–

Не-не-не, Девид Блейн! Вот смотри: простое правило ipfw add allow proto from to несёт 0 - "ноль" дополнительных уровней абстракции и читается любым человеком даже без знания предметной области. Да, в реальном мире у нас тут же появляются setup keep-state/check-state, но! Это абстракции уровня "предметной области", а не "инструмента". Сравните с ай-пи-табляйс - тут же, на входе - две чисто инструментальных концепции - "таблицы" и "цепочки", которые Никак не кореллируют с предметной областью. Патамучта-патаму. Это даже если не говорить про в доску упоротый синтаксис с мешаниной --\-, больших-маленьких букв (которые опять же, никому без мануала ни о чем не говорят) --и-длинных-слов. Простые вещи должны делаться просто, не?
Да, эта простота провоцирует разростание простыней (плюс куча goto, ой, skip), плюс сколько-нибудь сложные вещи становятся нумнэээ... Такоэ. Ну так сколько ж ему годиков?
Вот в ПФ (опенбсдшного изводу особенно) done right - простые вещи делаются просто, сложные - немного сложнее. правда каких-либо причин делать хоть какие-то вещи на опенбсде я не нахожу (Простые с тем или иным геморроем делаются и другими инструментами, а сложные опенбсдя в общем-то не тянет. Теоретически какбыда, а на практике - нихрена) - но сам инструмент с т.з. пользователя хороший.
Тут ей-ей, файрволлд - шаг в правильном направлении. Большинство простых юзкейсов он покрывает, позволяя при этом решать сложные задачи низкоуровневыми инструментами. Но чисто его по возможностям даже и айпифв сравнивать смишно - чисто линуксовая поизнедоделка, без (nf|ip)tables потребности не покрывает, а они - см. Выше.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #47

47. Сообщение от пох. (?), 02-Июн-22, 08:06 +/–

> любым человеком даже без знания предметной области.
а на реальный конфиг смотрят такие ТРИ человека со знанием предметной области - и не могут быстро найти где же ошибка в этой адовой простыне и почему сеть сломалась и на какой "skipto" они не попали.
Понятно что ты можешь скопировать эту чушь в iptables (не, не можешь, потому что nat все же отделен от фильтра) и сделать похожую нечитабельную простыню на пять экранов, но первое что сделают при ее разборе, если беглый взгляд не помог найти проблему - аккуратно нарежут на ломтики отдельных цепочек, чтобы каждую было можно охватить взглядом и отлаживать отдельно.
> так сколько ж ему годиков?
ну так в этом и проблема - за эвонсколько годиков (три всего) в линуксе ушли от плоской простыни навсегда, а эти так и остались с ней в обнимку. Теперь там еще и fibers в той же плоской простыне.
Циска на то и ентерпрайс что ей понадобилось всего лишь 20 лет чтобы это понять (в asa v8 сделали таки acl'и работающими с уже оттранслированными адресами как в линухе, до того был "bsd way")
> Тут ей-ей, файрволлд - шаг в правильном направлении.
увы, но ровно под него и прогнулись (это ж редгад, попробуй покривляйся золотому спонсору) - весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей дряни, решающей за тебя как настраивать фильтры. В коде они с удовольствием будут парсить json.
Причем "какввенде" опять почему-то не вышло, место чоль проклято, вышла неудобная неуправляемая фигня. Зато она в rhel поэтому это ваше будущее.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #51

48. Сообщение от test1559 (?), 02-Июн-22, 09:30 +/–

Оно еще не deprecated?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

49. Сообщение от Аноним (7), 02-Июн-22, 11:33 +/–

Его же не Поттеринг запилил.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #55

50. Сообщение от Аноним (50), 02-Июн-22, 12:58 +1 +/–

Всё это было появилось в юниксах ещё в 1993.
Поттеринг на самом деле мало чего нового (так, чтобы аналогофнет) предложил в 2010 - просто более или менее довёл линукс до паритета возможностей с коммерческими юниксами.
Тем смешнее была клоунада "защитников старого доброго Unix way", которые этих юниксов в глаза не видели и фич не узнали.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #71

51. Сообщение от User (??), 02-Июн-22, 13:16 +/–

>а на реальный конфиг смотрят такие ТРИ человека со знанием предметной области
"Порог вхождения", однако. Три человека со знанием ЗАКЛИНАНИЯ -Жи ассепт! Тут ничем не лучше.
>Понятно что ты можешь скопировать эту чушь в iptables
Так не можешь). Если бы "мог" вопросов бы не было - простые вещи просто, сложные - чуть сложнее. А тут тебе сразу на входе куча синтаксического мусора + концепций инструмента. В этом-то и претензия
>ну так в этом и проблема - за эвонсколько годиков
Угу. Проблема. Ну так и не надо в как-там по молодёжному? 2к22? Айпифэвэ насиловать). Есть пф.
>весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей дряни, решающей за тебя как настраивать фильтры
Ну, не знаю как ты - а я распедалить что там в 33 слоя насрано на ноде кубера в сколько-нибудь разумное время вот в принципе не смогу. Всё, лоу-левел не для меня, дайте мне тогда простой инструмент высокого уровня который будет решать _мои_ а не куберодокероштотатам задачи, в идеале - не ломая этот штотатам нафиг. Плевать уже что там под капотом, все равно я туда не полезу. И тут проблема не в том, что firewalld это такой ipfw - а в том, что он "плохой ipfw").

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #53

52. Сообщение от Аноним (52), 02-Июн-22, 14:33 +/–

А для не_марсиан ничего нету?
Ну и да: летят года,меняются версии, а документация всё также пребывает в состоянии десятка неактуальных wiki-страниц.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54, #59

53. Сообщение от пох. (?), 02-Июн-22, 17:13 +/–

> "Порог вхождения", однако.
пороги там давно были пройдены. Просто оно нечеловекочитаемо.
> Так не можешь).
могу с точностью до синтаксиса - оно ж ничего толком не умеет. Правда скипы придется реализовывать через отдельные цепочки, поэтому все равно читаемей получится чем оригинал плоской простыней.
> Есть пф.
ничем не лучше, увы. Сложные вещи на нем делаются черезмерно запутанно и простые тоже можно ухитриться сделать так что потом хрен разберешься как работало.
>> весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей
>> дряни, решающей за тебя как настраивать фильтры
> Ну, не знаю как ты - а я распедалить что там в 33 слоя насрано на ноде кубера в сколько-нибудь
мущина, ну вам же сказали - это не для вас. для вас firewalldЕ! А это - для роботов, т-поватых но старательных.
> разумное время вот в принципе не смогу.
ну сможешь, допустим (там-то ничего особо сложного нет, только кривое) -  а толку? Все равно же лезть руками туда совершенно бессмысленно, не будешь же ты свою систему управления кодить.  Расслабьтесь, фиреволом в модном современном линoops'е уже управляете не вы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

54. Сообщение от пох. (?), 02-Июн-22, 17:20 +1 +/–

> А для не_марсиан ничего нету?
_уже_ нету.
> Ну и да: летят года,меняются версии, а документация всё также пребывает в
> состоянии десятка неактуальных wiki-страниц.
разработчикам и читать-то ее некогда, а ты хочешь чтоб ее писали.
Впрочем, тоже ничего особо нового - еще на автора lartc разработчик наезжал что он все не так понял и это надо срочно переписать (и вообще каззел).  Что не так - разумеется, снисходить до объяснений не собирался.
А ведь человек сделал совершенно титаническую работу, по обрывкам, экспериментами и изучением кода _среверсив_, по сути, как оно должно было работать и как этим теперь пользоваться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

55. Сообщение от поцтеринг (?), 02-Июн-22, 17:21 +/–

> Его же не Поттеринг запилил.
Так мой системный менеджер и не deprecated!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #69

56. Сообщение от Аноним (57), 02-Июн-22, 19:42 +/–

> вместо плоской таблицы
Уборщику из ДЦ невдомёк, что окружения бывают динамическими?
> хотя бы понятно что зачем и откуда взялось
Применить правило X к набору Y — что ж тут непонятного-то?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #60

57. Сообщение от Аноним (57), 02-Июн-22, 19:44 +/–

Классика ригидного сознания помноженная на магическое мышление.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

58. Сообщение от Аноним (57), 02-Июн-22, 19:49 +1 +/–

Эх, вот если бы ещё реальность была такая же точно — однотипная, один раз что-то подумал и больше вообще никогда думать не надо. Но вот на тебе — телеги больше не модно, автомобили подавай им. Вёслами деды гребли — надо было какому-то девляпсу парус придумать и опять переучивайся. Не успел парус осилить — паровая машина. А за ней вообще страх что началось, дизели какие-то, атомоходы. Любил я противоестественным способом такое щастье.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #65

59. Сообщение от Аноним (57), 02-Июн-22, 19:51 +/–

Стыдно на опеннете про документацию жаловаться. Тут же каждый матёрый сишник, пишущий без багов тотально оптимальный код. Прочитай исходники.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

60. Сообщение от пох. (?), 02-Июн-22, 22:06 +/–

>> вместо плоской таблицы
> Уборщику из ДЦ невдомёк, что окружения бывают динамическими?
судя по твоим истошным взвизгам - тебя и в уборщики не берут?
Собственно, квалификация такова, что да, тебе явно не судьба, зубрение инструкций все же не заменяет отсутствющих мозгов.
У меня вполне себе динамически добавляются и удаляются правила - как в ipfw, так и в iptables.
>> хотя бы понятно что зачем и откуда взялось
> Применить правило X к набору Y — что ж тут непонятного-то?
То что ты никогда не работал в этой области - уже вполне понятно. Теоретик.
Васянский локалхост где похрену что ты там нафигачил - никого, разумеется, не интересует.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #63, #64

61. Сообщение от пох. (?), 02-Июн-22, 22:09 +/–

> Была запилена раньше, чем в ядре появилось BPF.
при попытке запилить в ведре что-то хотя бы отдаленно похожее на уже имеющееся - обычно проистекает ведро вони и визгов о запрете дублирования кода, с требованием немедля все переписать для еще более полного его реюза.
Интересно, почему тут этого не произошло (нет, неинтересно - это кого надо нога).
P.S. bpf в ядре "появилось" во времена 1.3, по-моему. Только это не тот bpf.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #68

62. Сообщение от пох. (?), 02-Июн-22, 22:11 +/–

> Кто подскажет, что существенно изменилось при переходе с 0.9.9 на 1.0?
ты чего, совсем слепой - девятку от единички отличить не можешь?
> Правила, загруженные в 0.9.9, работают как задумывалось. Они же, будучи загруженными в
> 1.0.x, не пропускают инет с локалку.
Сейчас местные не-уборщицы из ДЦ объяснят тебе как отлаживать правила фильтации.
Я уже открыл попкорн.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

63. Сообщение от Аноним (63), 03-Июн-22, 02:01 +/–

Тут ты прав, не берут. Но я и не просился никогда. У меня-то проблемы разобраться с новым инструментарием нет, от того и очередь из кастомеров стоит. Нанял бы пару толковых ребят себе в помощь, да где взять — все в датацентрах полы моют.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #67

64. Сообщение от Аноним (63), 03-Июн-22, 02:02 +/–

> У меня вполне себе динамически добавляются и удаляются правила - как в ipfw, так и в iptables.
Придёшь, когда правил хотя бы 10к будет, пообщаемся.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #66

65. Сообщение от User (??), 03-Июн-22, 04:55 +/–

Ну да, ну да. И колесо чот давненько круглое. Добавлю-ка я углов, в этой семантике вроде логично. Или ось к ободу прикреплю... Хм... Дилемма!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

66. Сообщение от пох. (?), 03-Июн-22, 09:16 +/–

А зачем мне общаться с подобными м-ками?
Безусловно каждому васяну с локалхостом, вроде тебя, нужны 100k правил, низкоуровнего пакетного фильтра, на минуточку. Которые потом ни контролировать, ни найти почему у пользователя "виснет" соединение", уже, естественно, нереально - так что и действительно уже пох, что оно там на"оптимизирует".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

67. Сообщение от пох. (?), 03-Июн-22, 09:19 +/–

> Тут ты прав, не берут. Но я и не просился никогда. У
> меня-то проблемы разобраться с новым инструментарием нет, от того и очередь
> из кастомеров стоит.
угу, все сплошь в очереди - "запили нам что-нить на новейшем еще недоделанном инструментарии - мы сами не знаем, нахрена он нужен, но нам очень надо, для отчета инвестору!"
А как спросишь тебя по предметной области - выясняется что ничего ты не делал и ничего не умеешь.
Проблемы зазубрить еще один нескучный синтаксис у тебя нет? Безусловно, это то за чем выстраиваются в очереди. Сплошь гуглы, пейсбуки и яндексы. И мешки денег несут!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

68. Сообщение от Аноним (7), 03-Июн-22, 12:31 +/–

Тоже склоняюсь к мнению, что авторы идеи с BPF - "уважаемые" люди в (около)кернелтусовке.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

69. Сообщение от Аноним (7), 03-Июн-22, 12:34 +/–

Твой аудиосервер депрекейтед.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

70. Сообщение от Robin Hood (?), 04-Июн-22, 13:04 +1 +/–

Соглы, не нужно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

71. Сообщение от www2 (??), 08-Июн-22, 07:31 +/–

Был дух лабораторного юникс, простого и ортогонального, и были коммерческие юниксы, сложного и избыточного. Коммерческие юниксы никогда не соответствовали духу лабораторного юникса.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Zenitur (ok), 01-Июн-22, 14:08	+1 +/–
И сюда NFT добралось
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #70

2. Сообщение от mumu (ok), 01-Июн-22, 14:13	+4 +/–
> auto-merge во время работы Полезняшка, особенно если списки часто меняются. Впервые за долгое время что-то практичное, а не безумный синтаксический сахар в духе "а давайте добавим в файрволл Tcl".
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #3, #4

3. Сообщение от Покойник (?), 01-Июн-22, 14:15	–1 +/–
Тикль крут сам по себе.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #7

4. Сообщение от Mikk (??), 01-Июн-22, 14:21	–8 +/–
Говняшка. Если что-то добавляется, то расчитываешь, что оно там и будет. Потом грепнешь и удивишься, куда оно пропало. Такие оптимизации должны быть скрыты.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #6, #9, #18

6. Сообщение от пох. (?), 01-Июн-22, 15:55	–4 +/–
Так там греп бесполезен - это ж неосиляторы юникса изобрели. Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки, а не загадочные скобочки пятнадцати разновидностей. Вон, в json выводи и интуитивно-приятно парси его. После этого удивляться что что-то куда-то пропало уже будет и несмешно даже. А лучше просто учи синтаксис firewalld. Все равно докеры шмокеры там поперек тебя лазят и после них руками уже ничего нормально не исправить. Все, нет в лиnoopsе нормального пакетного фильтра, для людей, хотели как ввенде - нате вам. А этот бред из текста новости - все равно ни понять, ни отлаживать не получится. udp length 47-63 @th,160,128 0x0e373135363130333131303735353203 goto nat_dns_dnstc - ну просто ж прекрасное. Уже и похрен куда его уоптимизирует - его только выкрасить и выбросить можно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #8, #10, #38

7. Сообщение от Аноним (7), 01-Июн-22, 16:04	+/–
У вас там.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

8. Сообщение от Аноним (8), 01-Июн-22, 16:20	+/–
Я сейчас использую обратно совместимый вариант. Всё работает без погрешностей. При миграции только имена команд подправил и все взлетело.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

9. Сообщение от Аноним (10), 01-Июн-22, 16:23	+/–
> Потом грепнешь и удивишься, куда оно пропало. На этой стадии ваш наставник должен дать вам по рукам. Ну, или если вы не джун - то начальник на дверь указать. Если человек настолько глуп, чтобы не осилить прочитать ман и найти там nft get element - нечего ему делать в профессии. Небось он grep и вместо ldd использует, нуачо, иногда же срабатывало!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #16

10. Сообщение от Аноним (10), 01-Июн-22, 16:27	+/–
> Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки Удачи вам почитать грепом wtmp, блин. Да и вообще, умилительное зрелище, когда приходит подоконник и начинает учить, как оно на юниксе должно быть, а сам максимум фрю под вмварью видел.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #12, #17, #19

12. Сообщение от 1 (??), 01-Июн-22, 16:43	+/–
> Удачи вам почитать грепом wtmp, блин. т.е. команду strings ты так и ниасилил ?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

13. Сообщение от Аноним (13), 01-Июн-22, 17:11	+/–
> а затем если добавить новые элементы А если захочешь убавить?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #24

14. Сообщение от Аноним (14), 01-Июн-22, 17:38	+/–
> выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters) Ага, только это не виртуальная машина eBPF, которая тоже есть в Linux. Почему? Никто не знает.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #25, #39

15. Сообщение от andy (??), 01-Июн-22, 17:41	+/–
Исключение двух именованых списков не работает: iifname $int_ifs ip daddr != { @stormwall, @akamai } meta l4proto tcp redirect to :9051
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #26

16. Сообщение от пох. (?), 01-Июн-22, 17:41	+/–
> Если человек настолько глуп, чтобы не осилить прочитать ман и найти там и зазубрить еще стопиццот бессмысленных заклинаний (безусловно, высокого умища признак) > nft get element - нечего ему делать в профессии. Небось он девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован") Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные инструменты, и экосистему вокруг универсальных инструментов построенную (unix называлась, не, не слышали), а софта, написанного макакерами и требующего читать и зубрить ман для совершенно тривиального действия, отдельно на каждую невменяемую поделку - просто стараются не допускать к использованию.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #20, #22

17. Сообщение от пох. (?), 01-Июн-22, 17:44	–4 +/–
>> Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки > Удачи вам почитать грепом wtmp, блин. last обеспечивает вполне читаемый грепом вывод, без всякого node.js парсера. Неожиданное открытие? > Да и вообще, умилительное зрелище, когда приходит подоконник и начинает учить, как > оно на юниксе должно быть, а сам максимум фрю под вмварью > видел. ну вот и не приходи сюда. Со своими привычками "как в венде". Впрочем, поздно уже, конечно. Разработчики стали такие же точно. Причем и винду тоже не умеют.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

18. Сообщение от Аноним (35), 01-Июн-22, 17:47	+/–
Разрабы и пользователи ipset смотрят на вас с некоторым удивлением.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #21

19. Сообщение от john_erohin (?), 01-Июн-22, 17:47	+1 +/–
wtmp пусть читает last. возможно, когда делали wtmp бинарным, имели в виду "это будет база данных навроде BerkleyDB".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #23, #32

20. Сообщение от Аноним (10), 01-Июн-22, 17:53	+2 +/–
> и зазубрить еще стопиццот бессмысленных заклинаний (безусловно, высокого умища признак) Необязательно зубрить, достаточно уметь читать. > Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные инструменты Потому что клиповое мышление не позволяет запомнить более пяти "заклинаний", а самостоятельно читать маны - это девляпство и рокет сайнс.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #30

21. Сообщение от Аноним (10), 01-Июн-22, 17:56	+/–
Сейчас прибежит "пох" и скажет, что на его вин^Wюниксе никакого ipset нет, а потому - это девляпсовская смузи-хрень и (в его колхозе) не нужнО.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #33

22. Сообщение от Аноним (35), 01-Июн-22, 17:57	+1 +/–
> девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован") Данная вам подсказка работает точно так же, как ipset test. Собственно, эта фича повторяет то, что ipset умел хз сколько лет. В чем причина такой ажитации к ней со стороны ниасиляторов nftables тайна великая есть.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #34

23. Сообщение от Аноним (10), 01-Июн-22, 17:59	–1 +/–
В коммерческих юниксах и логи аудита бинарные. (Тем более забавно видеть всякие ausearch и aureport в линуксах, где логи аудита всегда были текстовые)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #28

24. Сообщение от Аноним (35), 01-Июн-22, 18:02	+/–
Отработает и выдаст другой набор элементов, с учетом удаленного.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

25. Сообщение от Аноним (7), 01-Июн-22, 18:04	+/–
Была запилена раньше, чем в ядре появилось BPF.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #61

26. Сообщение от Аноним (35), 01-Июн-22, 18:05	+/–
Вложенные списки в принципе обещаны?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

27. Сообщение от Аноним (7), 01-Июн-22, 18:07	+/–
Кто подскажет, что существенно изменилось при переходе с 0.9.9 на 1.0? Правила, загруженные в 0.9.9, работают как задумывалось. Они же, будучи загруженными в 1.0.x, не пропускают инет с локалку.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #62

28. Сообщение от Аноним (7), 01-Июн-22, 18:11	+/–
>В коммерческих юниксах и логи аудита бинарные. Казалось бы, при чём здесь Поттеринг, бинарные логи в systemd...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23 Ответы: #50

29. Сообщение от Аноним (29), 01-Июн-22, 18:26	–2 +/–
В ansible нет модуля поэтому пока ждём.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #31

30. Сообщение от пох. (?), 01-Июн-22, 18:29	+1 +/–
Безусловно, каждая ерундовая операция требует почитания. >> Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные >> инструменты > Потому что клиповое мышление не позволяет нет дурачок, это у тебя клиповое мышление, мы родились когда не было клипов - а у нас - юникс-система (была), где не нужно (было) тратить время на чтение ненужного - достаточно было прочитать книжку (а не man), один раз. Именно потому что тривиальные вещи делались тривиально, и удобно автоматизировались - БЕЗ необходимости тратить время на еще один нескучный инструментарий еще одного макакиного выcepa. Который через неделю объявят немодным и изобретут новый не доделав старого. Именно этим она была - удобна. Тем что инструменты образовывали _систему_. А теперь даже винда более логична и последовательна со своим "все есть объект, только иногда он почему-то строка".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20 Ответы: #35, #43, #57

31. Сообщение от пох. (?), 01-Июн-22, 18:30	+2 +/–
> В ansible нет модуля поэтому пока ждём. Воистину девляпс!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29

32. Сообщение от пох. (?), 01-Июн-22, 18:33	+/–
> wtmp пусть читает last. > возможно, когда делали wtmp бинарным, имели в виду "это будет база данных > навроде BerkleyDB". оно так и есть, только не keyvalue а специфический стор, причем - sparse file, поскольку хранит не "лог" а состояние "на сейчас". Не самое удачное изобретение, если честно (его регулярно пытаются переизобрести, но каждый раз получается еще хуже чем было). Но таки да - инструментарий для работы с ним по прежнему укладывается в юникс-парадигму, его писали - давно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19