The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск пакетного фильтра nftables 1.0.3

01.06.2022 13:49

Опубликован выпуск пакетного фильтра nftables 1.0.3, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Необходимые для работы выпуска nftables 1.0.3 изменения включены в состав ядра Linux 5.18.

В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком.

Непосредственно правила фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя.

Основные новшества:

  • В set-списках появилась поддержка сопоставления имён сетевых интерфейсов по маске, например, заданной с использованием символа "*":
    
         table inet testifsets {
            set simple_wild {
                   type ifname
                   flags interval
                   elements = { "abcdef*",
                                "othername",
                                "ppp0" }
            }
    
            chain v4icmp {
                    type filter hook input priority 0; policy accept;
                    iifname @simple_wild counter packets 0 bytes 0
                    iifname { "abcdef*", "eth0" } counter packets 0 bytes 0
            }
         }
    
  • Реализовано автоматическое объединение пересекающихся элементов set-списка во время работы. Ранее при выставлении опции "auto-merge" объединение производилось на стадии объявления правил, а теперь срабатывает и при инкрементальном добавлении новых элементов в процессе работы. Например, на этапе объявления список
    
       set y {
          flags interval
          auto-merge
          elements = { 1.2.3.0, 1.2.3.255, 1.2.3.0/24,
                       3.3.3.3, 4.4.4.4, 4.4.4.4-4.4.4.8,
                       3.3.3.4, 3.3.3.5 }
       }
    
    будет превращён в
    
       elements = { 1.2.3.0/24, 3.3.3.3-3.3.3.5,
                    4.4.4.4-4.4.4.8 }
    
    а затем если добавить новые элементы
    
         # nft add element ip x y { 1.2.3.0-1.2.4.255, 3.3.3.6 }
    
    примет вид
    
       elements = { 1.2.3.0-1.2.4.255, 3.3.3.3-3.3.3.6,
                    4.4.4.4-4.4.4.8 }
    

    При удалении из списка отдельных элементов, попадающих в существующие элементы с диапазонами, диапазон сокращается или разделяется.

  • В оптимизатор правил, вызываемый при указании опции "-o/--optimize", добавлена поддержка объединения нескольких правил трансляции адресов (NAT) в map-список. Например, для набора
    
         # cat ruleset.nft
         table ip x {
                chain y {
                        type nat hook postrouting priority srcnat; policy drop;
                        ip saddr 1.1.1.1 tcp dport 8000 snat to 4.4.4.4:80
                        ip saddr 2.2.2.2 tcp dport 8001 snat to 5.5.5.5:90
                }
         }
    

    выполнение "nft -o -c -f ruleset.nft" приведёт к преобразованию раздельных правил "ip saddr" в map-список:

    
        snat to ip saddr . tcp dport map { 1.1.1.1 . 8000 : 4.4.4.4 . 80, 
    2.2.2.2 . 8001 : 5.5.5.5 . 90 }
    

    Аналогично в map-списки могут преобразовываться и raw-выражения:

    
         # cat ruleset.nft
         table ip x {
                [...]
    
                chain nat_dns_acme {
                        udp length 47-63 @th,160,128 
    0x0e373135363130333131303735353203 goto nat_dns_dnstc
                        udp length 62-78 @th,160,128 
    0x0e31393032383939353831343037320e goto nat_dns_this_5301
                        udp length 62-78 @th,160,128 
    0x0e31363436323733373931323934300e goto nat_dns_saturn_5301
                        udp length 62-78 @th,160,128 
    0x0e32393535373539353636383732310e goto nat_dns_saturn_5302
                        udp length 62-78 @th,160,128 
    0x0e38353439353637323038363633390e goto nat_dns_saturn_5303
                        drop
                }
         }
    

    после оптимизации получим map-cписок:

    
       udp length . @th,160,128 vmap { 47-63 . 
       0x0e373135363130333131303735353203 : goto nat_dns_dnstc, 62-78 . 
       0x0e31393032383939353831343037320e : goto nat_dns_this_5301, 62-78 . 
       0x0e31363436323733373931323934300e : goto nat_dns_saturn_5301, 62-78 . 
       0x0e32393535373539353636383732310e : goto nat_dns_saturn_5302, 62-78 . 
       0x0e38353439353637323038363633390e : goto nat_dns_saturn_5303 }
    
  • Разрешено использование raw-выражений в операциях конкатенации. Например:
    
         # nft add rule x y ip saddr . @ih,32,32 { 1.1.1.1 . 0x14, 2.2.2.2 . 0x1e }
    или
         table x {
                set y {
                        typeof ip saddr . @ih,32,32
                        elements = { 1.1.1.1 . 0x14 }
                }
         }
    
  • Добавлена поддержка указания целочисленных полей заголовков в операциях конкатенации:
    
         table inet t {
                map m1 {
                        typeof udp length . @ih,32,32 : verdict
                        flags interval
                        elements = { 20-80 . 0x14 : accept,
                                     1-10 . 0xa : drop }
                }
    
                chain c {
                        type filter hook input priority 0; policy drop;
                        udp length . @ih,32,32 vmap @m1
                }
         }
    
  • Добавлена поддержка сброса TCP-опций (работает только при наличии ядра Linux 5.18+):
    
         tcp flags syn reset tcp option sack-perm
    
  • Ускорено выполнение команд вывода цепочек ("nft list chain x y").


  1. Главная ссылка к новости (https://www.mail-archive.com/n...)
  2. OpenNews: Выпуск пакетного фильтра iptables 1.8.8
  3. OpenNews: Уязвимость в подсистеме ядра Linux Netfilter
  4. OpenNews: Выпуск пакетного фильтра nftables 1.0.2
  5. OpenNews: Выпуск пакетного фильтра nftables 1.0.0
  6. OpenNews: В ядре Linux выявлены эксплуатируемые уязвимости в nf_tables, watch_queue и IPsec
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57285-nftables
Ключевые слова: nftables, firewall, netfilter
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (69) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Zenitur (ok), 14:08, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    И сюда NFT добралось
     
     
  • 2.70, Robin Hood (?), 13:04, 04/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Соглы, не нужно.
     

  • 1.2, mumu (ok), 14:13, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > auto-merge во время работы

    Полезняшка, особенно если списки часто меняются. Впервые за долгое время что-то практичное, а не безумный синтаксический сахар в духе "а давайте добавим в файрволл Tcl".

     
     
  • 2.3, Покойник (?), 14:15, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тикль крут сам по себе.
     
     
  • 3.7, Аноним (7), 16:04, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    У вас там.
     
  • 2.4, Mikk (??), 14:21, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Говняшка. Если что-то добавляется, то расчитываешь, что оно там и будет. Потом грепнешь и удивишься, куда оно пропало. Такие оптимизации должны быть скрыты.
     
     
  • 3.6, пох. (?), 15:55, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Так там греп бесполезен - это ж неосиляторы юникса изобрели Грепом они пользов... большой текст свёрнут, показать
     
     
  • 4.8, Аноним (8), 16:20, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я сейчас использую обратно совместимый вариант. Всё работает без погрешностей. При миграции только имена команд подправил и все взлетело.
     
  • 4.10, Аноним (10), 16:27, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки

    Удачи вам почитать грепом wtmp, блин.

    Да и вообще, умилительное зрелище, когда приходит подоконник и начинает учить, как оно на юниксе должно быть, а сам максимум фрю под вмварью видел.

     
     
  • 5.12, 1 (??), 16:43, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Удачи вам почитать грепом wtmp, блин.

    т.е. команду strings ты так и ниасилил ?

     
  • 5.17, пох. (?), 17:44, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >> Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки
    > Удачи вам почитать грепом wtmp, блин.

    last обеспечивает вполне читаемый грепом вывод, без всякого node.js парсера. Неожиданное открытие?

    > Да и вообще, умилительное зрелище, когда приходит подоконник и начинает учить, как
    > оно на юниксе должно быть, а сам максимум фрю под вмварью
    > видел.

    ну вот и не приходи сюда. Со своими привычками "как в венде". Впрочем, поздно уже, конечно. Разработчики стали такие же точно.

    Причем и винду тоже не умеют.


     
  • 5.19, john_erohin (?), 17:47, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    wtmp пусть читает last.

    возможно, когда делали wtmp бинарным, имели в виду "это будет база данных навроде BerkleyDB".

     
     
  • 6.23, Аноним (10), 17:59, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В коммерческих юниксах и логи аудита бинарные.

    (Тем более забавно видеть всякие ausearch и aureport в линуксах, где логи аудита всегда были текстовые)

     
     
  • 7.28, Аноним (7), 18:11, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >В коммерческих юниксах и логи аудита бинарные.

    Казалось бы, при чём здесь Поттеринг, бинарные логи в systemd...

     
     
  • 8.50, Аноним (50), 12:58, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всё это было появилось в юниксах ещё в 1993 Поттеринг на самом деле мало чего н... текст свёрнут, показать
     
     
  • 9.71, www2 (??), 07:31, 08/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Был дух лабораторного юникс, простого и ортогонального, и были коммерческие юник... текст свёрнут, показать
     
  • 6.32, пох. (?), 18:33, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > wtmp пусть читает last.
    > возможно, когда делали wtmp бинарным, имели в виду "это будет база данных
    > навроде BerkleyDB".

    оно так и есть, только не keyvalue а специфический стор, причем - sparse file, поскольку хранит не "лог" а состояние "на сейчас".
    Не самое удачное изобретение, если честно (его регулярно пытаются переизобрести, но каждый раз получается еще хуже чем было). Но таки да - инструментарий для работы с ним по прежнему укладывается в юникс-парадигму, его писали - давно.

     
  • 4.38, User (??), 19:46, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так и не было никогда.
    За вменяемым синтаксисом - в bsd, но там возможностей недоклали, а в последнее время и просто "клали" - костыли. А, ну ещё в какую циску, да. Там конечно "море легаси", но в ем свои плюсы.
     
     
  • 5.40, пох. (?), 22:16, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Все нормально было в iptables с синтаксисом. И человекочитаемый, и удобоотлаживаемый, чего не хватало - ну, фейсбуку понятно чего - бабла.

    В bsd ничего вменяемого нет - либо простыня ipfw с юзерхелпером (б-же мой, какое у нас тысячелетье-то на дворе) для nat, как только их больше одного - хрен ты уже разберешь кто там на ком стоял. Либо совершенно невменяемый криво-косо и с опозданием на пять лет портированный из openbsd. С юзерхелперами для протоколов сложнее голого udp.

    И про циску тоже не надо мне тут:
    nat (inside,outside) source static vcenter interface service vcenter-1 vcenter-1
    nat (inside,outside) source static vcenter interface service vcenter-web vcenter-web
    nat (inside,outside) source static vcenter interface service vcenter-control-web vcenter-control-web
    nat (inside,outside) source static vcenter interface service vcenter-console-web vcenter-console-web
    nat (inside,outside) source static vcenter interface service https https no-proxy-arp

    ШИ-ТО тут написано и почему ОНО так, к лесу в известной позе, а к тебе почему-то передом?! Нет, это работающие правила, static Dnat для доступа ИЗВНЕ. Нет, интерфейс outside там где и должен был бы быть.

    Это у меня еще нет синтаксиса через object-groups, тоже задом-наперед, а без пол-банки я тебе его не напишу с первой попытки правильно.

    На фоне этого страшилища iptables-то просто откровение дарованное нам с рыжым. Его можно было просто читать (да, не тратя времени на пережевывание и зубреж простыни манов, если тебе не надо было что-то совсем уж экзотического).

     
     
  • 6.46, User (??), 07:51, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не-не-не, Девид Блейн! Вот смотри: простое правило ipfw add allow proto from to несёт 0 - "ноль" дополнительных уровней абстракции и читается любым человеком даже без знания предметной области. Да, в реальном мире у нас тут же появляются setup keep-state/check-state, но! Это абстракции уровня "предметной области", а не "инструмента". Сравните с ай-пи-табляйс - тут же, на входе - две чисто инструментальных концепции - "таблицы" и "цепочки", которые Никак не кореллируют с предметной областью. Патамучта-патаму. Это даже если не говорить про в доску упоротый синтаксис с мешаниной --\-, больших-маленьких букв (которые опять же, никому без мануала ни о чем не говорят) --и-длинных-слов. Простые вещи должны делаться просто, не?
    Да, эта простота провоцирует разростание простыней (плюс куча goto, ой, skip), плюс сколько-нибудь сложные вещи становятся нумнэээ... Такоэ. Ну так сколько ж ему годиков?
    Вот в ПФ (опенбсдшного изводу особенно) done right - простые вещи делаются просто, сложные - немного сложнее. правда каких-либо причин делать хоть какие-то вещи на опенбсде я не нахожу (Простые с тем или иным геморроем делаются и другими инструментами, а сложные опенбсдя в общем-то не тянет. Теоретически какбыда, а на практике - нихрена) - но сам инструмент с т.з. пользователя хороший.
    Тут ей-ей, файрволлд - шаг в правильном направлении. Большинство простых юзкейсов он покрывает, позволяя при этом решать сложные задачи низкоуровневыми инструментами. Но чисто его по возможностям даже и айпифв сравнивать смишно - чисто линуксовая поизнедоделка, без (nf|ip)tables потребности не покрывает, а они - см. Выше.
     
     
  • 7.47, пох. (?), 08:06, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > любым человеком даже без знания предметной области.

    а на реальный конфиг смотрят такие ТРИ человека со знанием предметной области - и не могут быстро найти где же ошибка в этой адовой простыне и почему сеть сломалась и на какой "skipto" они не попали.

    Понятно что ты можешь скопировать эту чушь в iptables (не, не можешь, потому что nat все же отделен от фильтра) и сделать похожую нечитабельную простыню на пять экранов, но первое что сделают при ее разборе, если беглый взгляд не помог найти проблему - аккуратно нарежут на ломтики отдельных цепочек, чтобы каждую было можно охватить взглядом и отлаживать отдельно.

    > так сколько ж ему годиков?

    ну так в этом и проблема - за эвонсколько годиков (три всего) в линуксе ушли от плоской простыни навсегда, а эти так и остались с ней в обнимку. Теперь там еще и fibers в той же плоской простыне.

    Циска на то и ентерпрайс что ей понадобилось всего лишь 20 лет чтобы это понять (в asa v8 сделали таки acl'и работающими с уже оттранслированными адресами как в линухе, до того был "bsd way")

    > Тут ей-ей, файрволлд - шаг в правильном направлении.

    увы, но ровно под него и прогнулись (это ж редгад, попробуй покривляйся золотому спонсору) - весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей дряни, решающей за тебя как настраивать фильтры. В коде они с удовольствием будут парсить json.
    Причем "какввенде" опять почему-то не вышло, место чоль проклято, вышла неудобная неуправляемая фигня. Зато она в rhel поэтому это ваше будущее.

     
     
  • 8.51, User (??), 13:16, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Порог вхождения , однако Три человека со знанием ЗАКЛИНАНИЯ -Жи ассепт Тут ни... текст свёрнут, показать
     
     
  • 9.53, пох. (?), 17:13, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    пороги там давно были пройдены Просто оно нечеловекочитаемо могу с точностью д... текст свёрнут, показать
     
  • 3.9, Аноним (10), 16:23, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Потом грепнешь и удивишься, куда оно пропало.

    На этой стадии ваш наставник должен дать вам по рукам.
    Ну, или если вы не джун - то начальник на дверь указать.

    Если человек настолько глуп, чтобы не осилить прочитать ман и найти там nft get element - нечего ему делать в профессии. Небось он grep и вместо ldd использует, нуачо, иногда же срабатывало!

     
     
  • 4.16, пох. (?), 17:41, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Если человек настолько глуп, чтобы не осилить прочитать ман и найти там

    и зазубрить еще стопиццот бессмысленных заклинаний (безусловно, высокого умища признак)

    > nft get element - нечего ему делать в профессии. Небось он

    девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован")

    Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные инструменты, и экосистему вокруг универсальных инструментов построенную (unix называлась, не, не слышали), а софта, написанного макакерами и требующего читать и зубрить ман для совершенно тривиального действия, отдельно на каждую невменяемую поделку - просто стараются не допускать к использованию.

     
     
  • 5.20, Аноним (10), 17:53, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > и зазубрить еще стопиццот бессмысленных заклинаний (безусловно, высокого умища признак)

    Необязательно зубрить, достаточно уметь читать.

    > Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные инструменты

    Потому что клиповое мышление не позволяет запомнить более пяти "заклинаний", а самостоятельно читать маны - это девляпство и рокет сайнс.

     
     
  • 6.30, пох. (?), 18:29, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Безусловно, каждая ерундовая операция требует почитания.

    >> Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные
    >> инструменты
    > Потому что клиповое мышление не позволяет

    нет дурачок, это у тебя клиповое мышление, мы родились когда не было клипов - а у нас - юникс-система (была), где не нужно (было) тратить время на чтение ненужного - достаточно было прочитать книжку (а не man), один раз. Именно потому что тривиальные вещи делались тривиально, и удобно автоматизировались - БЕЗ необходимости тратить время на еще один нескучный инструментарий еще одного макакиного выcepa. Который через неделю объявят немодным и изобретут новый не доделав старого.

    Именно этим она была - удобна. Тем что инструменты образовывали _систему_.

    А теперь даже винда более логична и последовательна со своим "все есть объект, только иногда он почему-то строка".

     
     
  • 7.35, Аноним (35), 18:57, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Угу, одна книжка на все юниксы. А как с реальными системами работать начинаешь, так сразу вылазят у юникствари свою игрушки, скотины другие, у чпукса своя атмосферка, а в соплярисе вообще все не как у людей. И уходит та книжка работать подставкой под кофейную кружку.
     
     
  • 8.41, пох. (?), 22:19, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    grep, awk и sed у юниксвари были точно такие же ну ок, были у них специфичные г... текст свёрнут, показать
     
  • 7.43, edo (ok), 04:01, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Именно этим она была - удобна. Тем что инструменты образовывали _систему_.

    да не было никакой системы, система явно склеена из разномастных кусков. линуксовый man ps, например, весело читать, половина опций указывается с дефисом, половина — без. а всё потому, что совместимость с этими «системными» юниксами.

    другое дело, что, несмотря на всё это, система получилась достаточно удобной — никто не спорит.

     
     
  • 8.45, пох. (?), 07:50, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    аж двух - bsd и sysv - и да, про это тоже написано в книжке 85го года Но некогд... текст свёрнут, показать
     
  • 7.57, Аноним (57), 19:44, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Классика ригидного сознания помноженная на магическое мышление.
     
  • 5.22, Аноним (35), 17:57, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован")

    Данная вам подсказка работает точно так же, как ipset test. Собственно, эта фича повторяет то, что ipset умел хз сколько лет. В чем причина такой ажитации к ней со стороны ниасиляторов nftables тайна великая есть.

     
     
  • 6.34, пох. (?), 18:39, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован")
    > Данная вам подсказка работает точно так же, как ipset test

    get element в мозгах девляпсов переводится как test? Ну ооок...

    Чем дальше от ваших поделок, тем более ок.

     
     
  • 7.36, Аноним (35), 19:02, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Все же чтобы с апломбом вещать благоглупости, стоило бы с обсуждаемым предметом ознакомиться. Так бы даже до вас дошло, что в семантике nftables get element логичен.
     
     
  • 8.37, User (??), 19:41, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ъ Даже 2Ъ grep - он ОДИН и для ВСЕГО что есть строка А выяснять, что кому в к... текст свёрнут, показать
     
     
  • 9.58, Аноним (57), 19:49, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эх, вот если бы ещё реальность была такая же точно 8212 однотипная, один раз ... текст свёрнут, показать
     
     
  • 10.65, User (??), 04:55, 03/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, ну да И колесо чот давненько круглое Добавлю-ка я углов, в этой семанти... текст свёрнут, показать
     
  • 3.18, Аноним (35), 17:47, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Разрабы и пользователи ipset смотрят на вас с некоторым удивлением.
     
     
  • 4.21, Аноним (10), 17:56, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас прибежит "пох" и скажет, что на его вин^Wюниксе никакого ipset нет, а потому - это девляпсовская смузи-хрень и (в его колхозе) не нужнО.
     
     
  • 5.33, пох. (?), 18:37, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Сейчас прибежит "пох" и скажет, что на его вин^Wюниксе никакого ipset нет,
    > а потому - это девляпсовская смузи-хрень и (в его колхозе) не
    > нужнО.

    ну да, костыль же. Причем украденый у фряхи где, в силу родовой травмы, по другому вообще нельзя.
    Не знаю что в твоем колхозе такое делают что тебе нужны эти сеты вместо плоской таблицы. В которой хотя бы понятно что зачем и откуда взялось, и да, работает grep.

     
     
  • 6.56, Аноним (57), 19:42, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > вместо плоской таблицы

    Уборщику из ДЦ невдомёк, что окружения бывают динамическими?

    > хотя бы понятно что зачем и откуда взялось

    Применить правило X к набору Y — что ж тут непонятного-то?

     
     
  • 7.60, пох. (?), 22:06, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> вместо плоской таблицы
    > Уборщику из ДЦ невдомёк, что окружения бывают динамическими?

    судя по твоим истошным взвизгам - тебя и в уборщики не берут?
    Собственно, квалификация такова, что да, тебе явно не судьба, зубрение инструкций все же не заменяет отсутствющих мозгов.

    У меня вполне себе динамически добавляются и удаляются правила - как в ipfw, так и в iptables.

    >> хотя бы понятно что зачем и откуда взялось
    > Применить правило X к набору Y — что ж тут непонятного-то?

    То что ты никогда не работал в этой области - уже вполне понятно. Теоретик.

    Васянский локалхост где похрену что ты там нафигачил - никого, разумеется, не интересует.

     
     
  • 8.63, Аноним (63), 02:01, 03/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тут ты прав, не берут Но я и не просился никогда У меня-то проблемы разобратьс... текст свёрнут, показать
     
     
  • 9.67, пох. (?), 09:19, 03/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    угу, все сплошь в очереди - запили нам что-нить на новейшем еще недоделанном ин... текст свёрнут, показать
     
  • 8.64, Аноним (63), 02:02, 03/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Придёшь, когда правил хотя бы 10к будет, пообщаемся ... текст свёрнут, показать
     
     
  • 9.66, пох. (?), 09:16, 03/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем мне общаться с подобными м-ками Безусловно каждому васяну с локалхостом... текст свёрнут, показать
     

  • 1.13, Аноним (13), 17:11, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > а затем если добавить новые элементы

    А если захочешь убавить?

     
     
  • 2.24, Аноним (35), 18:02, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Отработает и выдаст другой набор элементов, с учетом удаленного.
     

  • 1.14, Аноним (14), 17:38, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters)

    Ага, только это не виртуальная машина eBPF, которая тоже есть в Linux. Почему? Никто не знает.

     
     
  • 2.25, Аноним (7), 18:04, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Была запилена раньше, чем в ядре появилось BPF.
     
     
  • 3.61, пох. (?), 22:09, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Была запилена раньше, чем в ядре появилось BPF.

    при попытке запилить в ведре что-то хотя бы отдаленно похожее на уже имеющееся - обычно проистекает ведро вони и визгов о запрете дублирования кода, с требованием немедля все переписать для еще более полного его реюза.

    Интересно, почему тут этого не произошло (нет, неинтересно - это кого надо нога).

    P.S. bpf в ядре "появилось" во времена 1.3, по-моему. Только это не тот bpf.


     
     
  • 4.68, Аноним (7), 12:31, 03/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тоже склоняюсь к мнению, что авторы идеи с BPF - "уважаемые" люди в (около)кернелтусовке.
     
  • 2.39, Анончик (?), 20:48, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так просвети глупцов
     

  • 1.15, andy (??), 17:41, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Исключение двух именованых списков не работает:
    iifname $int_ifs ip daddr != { @stormwall, @akamai } meta l4proto tcp redirect to :9051
     
     
  • 2.26, Аноним (35), 18:05, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вложенные списки в принципе обещаны?
     

  • 1.27, Аноним (7), 18:07, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто подскажет, что существенно изменилось при переходе с 0.9.9 на 1.0? Правила, загруженные в 0.9.9, работают как задумывалось. Они же, будучи загруженными в 1.0.x, не пропускают инет с локалку.
     
     
  • 2.62, пох. (?), 22:11, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто подскажет, что существенно изменилось при переходе с 0.9.9 на 1.0?

    ты чего, совсем слепой - девятку от единички отличить не можешь?

    > Правила, загруженные в 0.9.9, работают как задумывалось. Они же, будучи загруженными в
    > 1.0.x, не пропускают инет с локалку.

    Сейчас местные не-уборщицы из ДЦ объяснят тебе как отлаживать правила фильтации.
    Я уже открыл попкорн.

     

  • 1.29, Аноним (29), 18:26, 01/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    В ansible нет модуля поэтому пока ждём.
     
     
  • 2.31, пох. (?), 18:30, 01/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В ansible нет модуля поэтому пока ждём.

    Воистину девляпс!

     

  • 1.42, Аноним (42), 00:16, 02/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как запретить  выход в сеть приложениям?

    Какой там аналог -m cgroup --path user.slice/firefox -j ACCEPT ??

     
     
  • 2.44, lockywolf (ok), 06:11, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    meta cgroup == 4096 drop

    или что-то такое

    cgroup'ы в meta модуле есть

     

  • 1.48, test1559 (?), 09:30, 02/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Оно еще не deprecated?
     
     
  • 2.49, Аноним (7), 11:33, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Его же не Поттеринг запилил.
     
     
  • 3.55, поцтеринг (?), 17:21, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Его же не Поттеринг запилил.

    Так мой системный менеджер и не deprecated!


     
     
  • 4.69, Аноним (7), 12:34, 03/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Твой аудиосервер депрекейтед.
     

  • 1.52, Аноним (52), 14:33, 02/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А для не_марсиан ничего нету?

    Ну и да: летят года,меняются версии, а документация всё также пребывает в состоянии десятка неактуальных wiki-страниц.

     
     
  • 2.54, пох. (?), 17:20, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А для не_марсиан ничего нету?

    _уже_ нету.

    > Ну и да: летят года,меняются версии, а документация всё также пребывает в
    > состоянии десятка неактуальных wiki-страниц.

    разработчикам и читать-то ее некогда, а ты хочешь чтоб ее писали.

    Впрочем, тоже ничего особо нового - еще на автора lartc разработчик наезжал что он все не так понял и это надо срочно переписать (и вообще каззел).  Что не так - разумеется, снисходить до объяснений не собирался.

    А ведь человек сделал совершенно титаническую работу, по обрывкам, экспериментами и изучением кода _среверсив_, по сути, как оно должно было работать и как этим теперь пользоваться.

     
  • 2.59, Аноним (57), 19:51, 02/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Стыдно на опеннете про документацию жаловаться. Тут же каждый матёрый сишник, пишущий без багов тотально оптимальный код. Прочитай исходники.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру