Выпуск пакетного фильтра nftables 0.9.4

01.04.2020 21:37

Опубликован выпуск пакетного фильтра nftables 0.9.4, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.4 изменения включены в состав будущей ветки ядра Linux 5.6.

На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Основные новшества:

Поддержка диапазонов в присоединениях (concatenation, определённые связки адресов и портов, упрощающие сопоставление). Например, для набора "whitelist", элементы которого являются присоединением, указание флага "interval" будет указывать на то, что набор может включать диапазоны в присоединении (для присоединения "ipv4_addr . ipv4_addr . inet_service" раньше можно было перечислять точные совпадения вида "192.168.10.35 . 192.68.11.123 . 80", а теперь можно указывать группы адресов "192.168.10.35-192.168.10.40 . 192.68.11.123-192.168.11.125 . 80"):
```
    table ip foo {
           set whitelist {
                   type ipv4_addr . ipv4_addr . inet_service
                   flags interval
                   elements = { 192.168.10.35-192.168.10.40 . 192.68.11.123-192.168.11.125 . 80 }
           }

           chain bar {
                   type filter hook prerouting priority filter; policy drop;
                   ip saddr . ip daddr . tcp dport @whitelist accept
           }
    }
```

В наборах и map-списках обеспечена возможность использования директивы "typeof", определяющей формат элемента при сопоставлении. Например:



     table ip foo {
            set whitelist {
                    typeof ip saddr
                    elements = { 192.168.10.35, 192.168.10.101, 192.168.10.135 }
            }

            chain bar {
                    type filter hook prerouting priority filter; policy drop;
                    ip daddr @whitelist accept
            }
     }

     table ip foo {
            map addr2mark {
                typeof ip saddr : meta mark
                elements = { 192.168.10.35 : 0x00000001, 192.168.10.135 : 0x00000002 }
            }
     }

Добавлена возможность использования присоединений в NAT-привязках, что позволяет указывать адрес и порт при определении NAT-преобразований на основе map-списков или именованных наборов:
```
      nft add rule ip nat pre dnat ip addr . port to ip saddr map { 1.1.1.1 : 2.2.2.2 . 30 }

 
      nft add map ip nat destinations { type ipv4_addr . inet_service : ipv4_addr . inet_service \\; }
      nft add rule ip nat pre dnat ip addr . port to ip saddr . tcp dport map @destinations
```
Поддержка аппаратного ускорения с выносом некоторых операций фильтрации на плечи сетевой карты. Ускорение включается через утилиту ethtool ("ethtool -K eth0 hw-tc-offload on"), после чего активируется в nftables для основной цепочки при помощи флага "offload". При использовании ядра Linux 5.6 поддерживается аппаратное ускорение для сопоставления полей заголовка и проверки входящего интерфейса в сочетании с приёмом, отбрасыванием, дублированием (dup) и перенаправлением (fwd) пакетов. В примере ниже операции отбрасывания пакетов, приходящих от адреса 192.168.30.20, выполняются на уровне сетевой карты, без передачи пакетов ядру:
```
     # cat file.nft
     table netdev x {
            chain y {
                type filter hook ingress device eth0 priority 10; flags offload;
                ip saddr 192.168.30.20 drop
            }
     }
     # nft -f file.nft
```

Улучшено информирование о месте ошибки в правилах.


     # nft delete rule ip y z handle 7
     Error: Could not process rule: No such file or directory
     delete rule ip y z handle 7
                    ^

     # nft delete rule ip x x handle 7
     Error: Could not process rule: No such file or directory
     delete rule ip x x handle 7
                               ^

     # nft delete table twst
     Error: No such file or directory; did you mean table â€˜test' in family ip?
     delete table twst
                  ^^^^

В первом примере показано, что таблица "y" отсутствует в системе, во втором, что отсутствует обработчик "7", а в третьем, что выводится подсказка об опечатке при наборе имени таблицы.

Добавлена поддержка проверки slave-интерфейса через указание "meta sdif" или "meta sdifname":
```
        ... meta sdifname vrf1 ...
```
Добавлена поддержка операции сдвига вправо или влево. Например, для сдвига существующей метки пакета влево на 1 бит и установки меньшего бита в 1:
```
        ... meta mark set meta mark lshift 1 or 0x1 ...
```

Реализована опция "-V" для отображения расширенной информации о версии.


     # nft -V
       nftables v0.9.4 (Jive at Five)
          cli:          readline
          json:         yes
          minigmp:      no
          libxtables:   yes

Опции командной строки теперь обязательно должны указываться перед командами. Например, нужно указывать "nft -a list ruleset", а запуск "nft list ruleset -a" приведёт к выводу ошибки.

исправить +14 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/52656-nftables

Ключевые слова: nftables, firewall

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (58)

1.1, Аноним (1), 22:51, 01/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Изменение TTL запилили?

2.3, Аноним (3), 23:16, 01/04/2020 [^] [^^] [^^^] [ответить]	+3 +/–
# nft -f /etc/nftables/ipv4-mangle.nft # nft add rule ip mangle output oif eth0 ip ttl set 255

3.25, Аноним (25), 11:01, 02/04/2020 [^] [^^] [^^^] [ответить]	+/–
> mangle Это какой хук?

4.27, Аноним (3), 11:23, 02/04/2020 [^] [^^] [^^^] [ответить]	+1 +/–
# cat /etc/nftables/ipv4-mangle.nft #!/usr/sbin/nft -f table mangle { chain output { type route hook output priority -150; } }

1.2, Аноним (-), 23:00, 01/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Я новичок в файрволах. Есть ли смысл учить iptables, или можно сразу nftables? Если что, пользуюсь Ubuntu.

2.4, Fyjy (?), 23:20, 01/04/2020 [^] [^^] [^^^] [ответить]	+13 +/–
Если новичок, то сразу учи nft или знакомься с надстройками типа firehol/shorewall. iptables жив и будет жить еще достаточно долго, но nft его заменяет и новичку нет смысла его изучать. Это нам тяжело переучиваться, все же с релиза ядра 2.4 живем с iptables, а тебе с нуля проще сразу учить то что будет жить дальше.

3.10, нах. (?), 00:38, 02/04/2020 [^] [^^] [^^^] [ответить]

+4 +/–

присоединяюсь к совету.
Только нам не потому "тяжело переучиваться" что "с 2.4" живем.
Я лично довольно давно живу. ipf пережил, fwadm пережил, ipchains пережил, и никого из них жалко совершенно не было (ну, правда, пока не выяснилось что нас нае..ли, и обещанных "прям в следующей версии" возможностей ipchains в iptables не будет никогда, потому что проталкивавшая в ядро новое-стильное-модное-молодежное макака уже унеслась в туманную даль, гордо неся обо.ный хвост, а оставшиеся неасиляторы тривиальные баги чинили по десять лет, видимо, не смогли разобраться в коде - но мы уже как-то привыкли без packet tracer'а и без нормального gre conntrack/nat)

Но это потому что их писали - для людей. А эту хрень написали для макак, которые руками фильтры никогда не настраивали в принципе - им это было не по уму. Зато они умели г-нокодить, и понакодили порождений снов разума. И вот теперь получите инструмент - удобный уже им, а не нам. Ведь удобство труда горе-разработчиков в стотыщ раз важнее каких-то поганых пользователей.

3.20, СеменСеменыч777 (?), 09:06, 02/04/2020 [^] [^^] [^^^] [ответить]	+3 +/–
удваиваю firehol. очередной собачий язык учить - так себе занятие.

3.34, э2 (?), 12:10, 02/04/2020 [^] [^^] [^^^] [ответить]	+/–
Один написан на perl, другой собран только для убунты и арча

2.5, Анонюга (?), 23:23, 01/04/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Так iptables - deprecated. Смысл учить то, что мертво? :)

2.7, Аноним (-), 00:16, 02/04/2020 [^] [^^] [^^^] [ответить]	–8 +/–
учитывая что nftables это абстракция над iptables - да

3.11, Аноним (11), 01:40, 02/04/2020 [^] [^^] [^^^] [ответить]	+6 +/–
Ты чёт перепутал.

2.8, нах. (?), 00:23, 02/04/2020 [^] [^^] [^^^] [ответить]

–1 +/–

можно сразу учить где там галочки у гуевого интерфейса к systemd-firewalld

А, не разглядел, бубунта... выброси на...й. Ну то есть можешь, конечно, потратить время на ее ufw, но не говори что тебя не предупреждали.

По-моему, уже даже глядя на примеры в этой новости, вполне можно сообразить, что авторам nft в голову не приходит что кто-то будет эти правила старательно долбить руками. Этот бред абсолютно не человекочитаем и не человеконаписуем. Вся затея была в том чтобы сделать удобно - пейсателям на пихоне и игого. Если ты не собираешься к ним присоединяться, тебе не то что не потребуется, а вредно для себя и окружающих лезть туда руками.

Потому что твоя самоделка, в результате, будет конфликтовать с штатными системными средствами.
Вот их надо освоить, да - чтобы когда на чужой машине надо открыть порт - не ломать там существующую конфигурацию.

1.6, Аноним (6), 23:28, 01/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Пожалуйста прекратите путать людей. Логика работает в BPF, а это ну ни как не пространство пользователя. Будьте уж поаккуратнее в том, что вы пишите публично

2.17, Аноним (17), 08:20, 02/04/2020 [^] [^^] [^^^] [ответить]

–1 +/–

> Логика работает в BPF, а это ну ни как не пространство пользователя.

Внимательно перечитайте новость, там написано, что в пространстве пользователя обрабатываются логика определения правил фильтрации и генерируется BPF-код, а сам BPF код как раз выполняется в ядре:

"обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF".

2.18, Аноним (17), 08:32, 02/04/2020 [^] [^^] [^^^] [ответить]	+/–
А по поводу логики работы с протоколами в user space, вот выдержка из документации: "Even worse, the capabilities and syntax tend to vary from one protocol to the next. By moving all of that knowledge out to user space, nftables greatly simplifies the in-kernel code and allows for much more consistent treatment of all protocols."

2.51, Аноним (51), 02:34, 03/04/2020 [^] [^^] [^^^] [ответить]	+/–
Там не BPF, а своя виртуальная машина. На BPF так и не переделали.

1.9, нах. (?), 00:27, 02/04/2020 [ответить] [﹢﹢﹢] [ · · · ]

–1 +/–

Улучшено информирование о месте ошибки в правилах.
# nft delete rule ip y z handle 7
Error: Could not process rule: No such file or directory

кто-нибудь, забейте этим улучшаторам их улучшизмы в задницу - раз они не понимают, что начинать улучшение надо с удаления нахрен слов про "файлы и directory", когда ни о каких файлах речь не идет вообще.

Представляю, как там код в ядре написан, такими-то руками.

2.13, Вебмакака (?), 04:31, 02/04/2020 [^] [^^] [^^^] [ответить]

+1 +/–

Минорщина. Утилита не для обычного пользователя, а сисадмин поймет, что это ENOENT.

>Представляю, как там код в ядре написан, такими-то руками.

Ох да, щас бы по шаблону обработки ошибок в С - передать код ошибки в strerror о качестве остального кода судить.

3.32, Аноним (32), 11:35, 02/04/2020 [^] [^^] [^^^] [ответить]	+2 +/–
> Минорщина. Утилита не для обычного пользователя, а сисадмин поймет, что это ENOENT. Сейчас пошли «стильно-модно-молодёжные» смузи-админы типа присутствующего здесь «нах», профессиональные занятия которых были слишком далеки от глубокого копания в системе, и поэтому возможности приобрести подобные знания у них не было.

3.48, нах. (?), 16:35, 02/04/2020 [^] [^^] [^^^] [ответить]

+1 +/–

> Минорщина. Утилита не для обычного пользователя, а сисадмин поймет, что это ENOENT.

да, у него ж встроенный хрустальный шар для гадания что тут на самом деле хотели сказать.

> Ох да, щас бы по шаблону обработки ошибок в С - передать код ошибки в strerror о качестве
> остального кода судить.

когда хрустального шара не завезли - вполне по таким признакам и судить. Если у макаки в голове подобные шаблоны - и она не видит даже уже полезши улучшать именно этот кусок, что сообщение об ошибке тут ни к селу, ни к городу, и что вместо волшебного strerror надо взять и написать свой обработчик - очевидно что такими же шаблонами слеплен и весь остальной код.

А скорее это и не в голове шаблон, а копипаста со стековерфлоу, "всегда ж так делали, фиг его знает почему там про файлы какие-то - нехай админы разбираются, они привычные, гадать на кофейной гуще".

P.S. если что - вторым образцом подобного дерьмокода, как вчера выяснилось, оказался btrfs.
Впрочем, я и не ожидал ничего другого.

4.53, Аноним (32), 18:09, 03/04/2020 [^] [^^] [^^^] [ответить]

+/–

> да, у него ж встроенный хрустальный шар для гадания что тут на самом деле хотели сказать.

Это называется "квалификация".

С точки зрения непрофессонала, и многие вещи в IT (да и в любой другой специализированной области) могут выглядеть не интуитивно. В этом вопросе стоит принимать в расчёт только мнение профессионалов, к коим вы, очевидно, не относитесь.

4.55, Вебмакака (?), 05:28, 04/04/2020 [^] [^^] [^^^] [ответить]

+1 +/–

В хрустальную документацию пусть посмотрит, ага)

>очевидно

А мне почему-то очевидно, откуда сообщение про файлы, а вот про качество кода уже не совсем.

>нехай админы разбираются, они привычные

Работа такая - разбираться в тонкостях системы, не?

>гадать на кофейной гуще

О, нет. В новых утилитах как раз нормальные сообщения с подсказками, это от этих ваших олдовых тулов такого никогда не дождешься.

5.56, нах. (?), 13:26, 04/04/2020 [^] [^^] [^^^] [ответить]

+/–

> Работа такая - разбираться в тонкостях системы, не?

ЛОЖНОЕ сообщение о причинах ошибки - это не "тонкости системы", а м-дизм макаки разработчика. Я уж не знаю, каким упертым кретином надо быть, чтобы упорно не желать это признать. Работа копаться в макачьем г-не, различая его сорта на вкус - ну да, такая.

Сколько бы ты ни хвастался своим "мне очевидно".

Мне вот, получивши подобную херню от btrfs (причем, естественно, в таком месте, где руками не очень поотлаживаешь) было совсем неочевидно, чего именно она не нашла - то ли с точкой монтирования чего не так, то ли с модулем, то ли с mount backend.
Оказалось, нет, это она не нашла subvol. Что мешало разработчику вывести subvolume not found, а не заставлять гадать какого еще "файла" ему надо? То что он - макака, perror и всех дел. Они всегда так делают - задними банан чистят, пока передними дроч..ут, а хвостом пишут код.

Поэтому совершенно не удивляет, когда и в других, более критичных местах, этот код оказывается точно таким же макачьим г-ном. Хвост-то обос..ный.

2.14, Наноним (?), 04:32, 02/04/2020 [^] [^^] [^^^] [ответить]	+/–
ты что живого кода никогда в глаза не видел? если enoent это no such file то при чем тут девелоперы нфт?

3.16, Аноним (16), 07:24, 02/04/2020 [^] [^^] [^^^] [ответить]	+2 +/–
все он правильно сказал, на уровне файрвола никаких файлов нет. А то так можно дойти до того, что и виндовый бсод можно кидать.

4.23, КО (?), 10:15, 02/04/2020 [^] [^^] [^^^] [ответить]	+/–
https://ru.qwe.wiki/wiki/Everything_is_a_file

4.24, КО (?), 10:15, 02/04/2020 [^] [^^] [^^^] [ответить]	+/–
Ну собственно ошибка про это и говорит - файла-то нет. :)

4.28, Аноним (32), 11:26, 02/04/2020 [^] [^^] [^^^] [ответить]

+/–

> все он правильно сказал, на уровне файрвола никаких файлов нет.

А в man 3 errno нет варианта "таблица не найдена" :)

Из доступных вариантов действительно ближе всего
ENOENT No such file or directory (POSIX.1).

5.41, нах. (?), 15:09, 02/04/2020 Скрыто ботом-модератором [к модератору]	+/–

3.21, нах. (?), 09:19, 02/04/2020 [^] [^^] [^^^] [ответить]	–4 +/–
при том что можно вместо perror проявить остатки разума и написать no such entry... большой текст свёрнут, показать

4.29, Аноним (32), 11:27, 02/04/2020 [^] [^^] [^^^] [ответить]	+8 +/–
"Макаки, макаки!" — кричал высококвалифицированный специалист, никогда не слышавший про errno и perror.

5.36, нах. (?), 14:27, 02/04/2020 [^] [^^] [^^^] [ответить]

+/–

> "Макаки, макаки!" — кричал высококвалифицированный специалист, никогда не слышавший
> про errno и perror.

вот такие м-ки как ты и пишут такой код.

Использующие errno и perror, предназначенные для работы с файлами и сокетами там, где нет никаких файлов.

да еще имеюще наглость что-то вякать про мою квалификацию - когда уже носом ткнули в нормально написанное до них.

6.42, Аноним (32), 15:51, 02/04/2020 [^] [^^] [^^^] [ответить]

–1 +/–

> Использующие errno и perror, предназначенные для работы с файлами и сокетами там, где нет никаких файлов.

Ага, EAFNOSUPPORT, ECONNABORTED, ECHLD, EHOSTDOWN — ну точно про файлы.
Ещё раз отмечу, что вы потрясающий специалист!

> да еще имеюще наглость что-то вякать про мою квалификацию

Да пошутил я! Ни в коем случае не собирался всерьёз говорить о том, чего нет.

7.57, муу (?), 21:03, 04/04/2020 [^] [^^] [^^^] [ответить]	+/–
> Ни в коем случае не собирался всерьёз говорить о том, чего нет. Орнул и плюсанул

2.31, Аноним (32), 11:31, 02/04/2020 [^] [^^] [^^^] [ответить]	+/–
> кто-нибудь, забейте этим улучшаторам их улучшизмы в задницу - раз они не понимают, что начинать улучшение надо с удаления нахрен слов про "файлы и directory", когда ни о каких файлах речь не идет вообще. Боюсь, что авторы glibc не согласятся кромсать perror ради этого.

3.35, нах. (?), 14:25, 02/04/2020 [^] [^^] [^^^] [ответить]

+/–

авторов поделки по имени nft никто не заставлял его вызывать. За две строчки до кода, еще и вручную таки правильно разбирающегося с причинами ошибки. Могли потратиться на лишний printf.

Более того, поскольку ядерный интерфейс писали за соседним смузи - никто не заставлял вообще пользоваться не для того предназначенными кодами ошибок вместо своих, заточенных именно под файрвол, а не работу с файлами.

4.43, Аноним (32), 15:56, 02/04/2020 [^] [^^] [^^^] [ответить]	+/–
Использование местечковых кодов ошибки вместо стандартных, специально для "специалистов" вашего уровня, которые никогда не слышали про ENOENT, выглядит несколько неоправданно. Ведь вас же к админству чего-то, кроме локалхоста, никто не подпустит :) А ваш локалхост будет защищён роутером провайдера, настроенным куда более грамотными людьми, чем вы (на самом деле, даже мой кот более квалифицированный админ, чем вы), так что и здесь всё под контролем.

2.58, InuYasha (?), 00:04, 06/04/2020 [^] [^^] [^^^] [ответить]	+/–
+1 на самом деле, загрёбывает регулярно тратить время на догадки "а о чём же может быть это сообщение?" "кто виноват?" "что делать?" Чтоб не быть голословным, весь свой код проглядел, передокументировал и в тексты ошибок или usage info вставил примеры и указания, что делать. Потому что я хочу чтоб моим софтом пользовались люди.

1.12, Аноним (12), 03:06, 02/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Оно умеет в постоянные правила без костылей?

2.15, Аноним (15), 06:03, 02/04/2020 [^] [^^] [^^^] [ответить]	+/–
постоянные умеет, без костылей не умеет.

2.33, Аноним (32), 11:39, 02/04/2020 [^] [^^] [^^^] [ответить]	+/–
> Оно умеет в постоянные правила без костылей? Как и любая подсистема ядра с настраиваемыми правилами (sysctl, ipsec, routing, iscsi target, rfkill, alsa, etc), фаервол не занимается сохранением своего состояния сам. Для этого существуют userspace-программы, которые восстанавливают ядерные правила при загрузке (и, опционально, сохраняют их при выключении).

3.37, нах. (?), 14:39, 02/04/2020 [^] [^^] [^^^] [ответить]

+/–

> Для этого существуют userspace-программы, которые восстанавливают ядерные правила при
> загрузке (и, опционально, сохраняют их при выключении).

и опционально - фейлятся при запуске, оставляя дыру открытой.
линyпсы такие линyпсы.

4.44, Аноним (32), 15:58, 02/04/2020 [^] [^^] [^^^] [ответить]	+/–
А у вас на винде типа всё идеально?

5.47, нах. (?), 16:28, 02/04/2020 [^] [^^] [^^^] [ответить]

+/–

внезапно-нестартовавшего файрвола, оставившего открытой маршрутизацию (даже не локальные порты, а форвардинг) - последние пятнадцать лет не наблюдали, знаете ли. Если знаете, как этого добиться - расскажите, иногда как раз бывает надо.

А у вас в б-жественной бубунточке и прекрасном де6иллиане - из коробки никакого файрвола вообще нет, даже номинального. Надо знать о том где он и как называется, и не забыть поставить - наперегонки с подбирающими эксплойты, если адрес в публичной сети. Судя по логам - успевают не все.

25 лет назад была, конечно, одна забавная история, но в винде тогда никакого файрвола не было, это был 3d party софт. Одной очень нынче уважаемой корпорации (я тогда поставил себе галочку - никогда с ее продуктами дел не иметь - ни разу не пожалел).

1.19, Anonimous (?), 08:51, 02/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
kvm к сожалению использует iptables

2.30, Аноним (32), 11:29, 02/04/2020 [^] [^^] [^^^] [ответить]	+/–
И многие другие пока продолжат. Docker, Kubernetes, VirtualBox... Потому что у iptables версии уже давно начинаются с единицы, а значит, есть гарантии стабильности интерфейса.

3.38, нах. (?), 14:42, 02/04/2020 [^] [^^] [^^^] [ответить]

+/–

> И многие другие пока продолжат. Docker, Kubernetes, VirtualBox...
> Потому что у iptables версии уже давно начинаются с единицы, а значит,
> есть гарантии стабильности интерфейса.

от того что макака начнет ляпать версии а-ля гугль - интерфейс лучше не сделается.

А вот iptables уже давно выпилен, включить обратно в современных системах непросто, и чем они там "пользуются", каким кривым враппером - лучше не знать.

P.S. а доскер ваш и вообще банкрот

4.45, Аноним (32), 15:59, 02/04/2020 [^] [^^] [^^^] [ответить]	–1 +/–
> А вот iptables уже давно выпилен, включить обратно в современных системах непросто, Вот это новость! У вас на десяточке был iptables?

2.49, size_t (?), 20:38, 02/04/2020 [^] [^^] [^^^] [ответить]	+/–
kvm - это модуль ядра. как он может использовать userspace-приложение?

1.22, Аноним (22), 09:48, 02/04/2020 [ответить] [﹢﹢﹢] [ · · · ]

+3 +/–

Чувствую что скоро люди будут в квм пробрасывать сетевуху, устанавливать РоутерОС и настраивать сеть там, в том числе и фаервол.

В следующей переписке под названием fckTables придется писать байткодом, это ведь удобно, для разработчиков :)

2.26, Аноним (32), 11:23, 02/04/2020 [^] [^^] [^^^] [ответить]	+/–
А в RouterOS тоже будет nftables, просто с нескучным фронтом от микротика :)

3.40, нах. (?), 14:45, 02/04/2020 [^] [^^] [^^^] [ответить]

+/–

> А в RouterOS тоже будет nftables, просто с нескучным фронтом от микротика
> :)

главное верьте, верьте, что макачье дерьмо кому-то нужно

2.39, нах. (?), 14:44, 02/04/2020 [^] [^^] [^^^] [ответить]

+/–

> Чувствую что скоро люди будут в квм пробрасывать сетевуху, устанавливать РоутерОС и
> настраивать сеть там, в том числе и фаервол.

ты перепутал с asaV/juniper (кому на _нормальный_ файрвол денег не хватило - нормальный - это ни разу не пакетный фильтр)

а так да, сто лет уже так делаем.

Вот когда-то оооочень давно - в vmware пробрасывали сетевуху и устанавливали линукс. Но эти времена давным-давно прошли.

3.46, Аноним (32), 16:01, 02/04/2020 [^] [^^] [^^^] [ответить]	–1 +/–
> а так да, сто лет уже так делаем. Позвольте вам не поверить. Выше вы уже наглядно продемонстрировали, что к IT вы можете иметь отношение разве что в качестве уборщика в датацентре. А им даже перетыкать кабели строго-настрого запрещено.

4.50, нах. (?), 00:15, 03/04/2020 [^] [^^] [^^^] [ответить]

+/–

пока что это вы и вам подобные м-ки демонстрируете.

Тщась доказать, что no such file - это именно те слова, которые надо выводить, когда ни о каком файле речь в помине не идет. Извиняйте, но вы - м-к. Эталонный. И все кто разделяет эту прекрасную идею - тоже. Второе место на конкурсе - ваше.

Я бы вам, на всякий случай, пол в датацентре подметать тоже не доверил - м-к он везде м-к.

5.52, Аноним (32), 18:06, 03/04/2020 [^] [^^] [^^^] [ответить]	+/–
Не то, чтобы меня очень интересует мнение об мне какого-то уборщика, но ваш гнев весьма забавен. Продолжайте :)

1.54, Старый одмин (?), 19:57, 03/04/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Подожду немного и перейду сразу на bpfilter

игнорирование участников | лог модерирования

Добавить комментарий

Текст: