1.1, mimocrocodile, 22:16, 21/02/2018 [ ответить] [ смотреть все]
+5 +/–
Какая у них интеллектуальная дискуссия, а был бы Линус обозвал бы всех макаками
1.3, Аноним, 22:32, 21/02/2018 [ ответить] [ смотреть все]
–3 +/–
А как жо Firewalld?..
1.4, Аноним, 22:40, 21/02/2018 [ ответить] [ смотреть все] +6 +/–
тык чтоже?: nftables учить или нет?
1.7, cat666, 22:58, 21/02/2018 [ ответить] [ смотреть все] –1 +/–
"Например, API iptables не предоставляет способа добавления или замены единичного правила или небольшого набора правил...." - Вельте бредит?
|
3.10, cat666, 23:20, 21/02/2018 [^] [ответить] [смотреть все] | +/– |
Спасибо за грамотный ответ! Не думал, что всё так запущено.
> Не путайте API iptables и утилиту iptables.
> Из FAQ:
> 4.5 Is there an C/C++ API for adding/removing rules?
> The answer unfortunately is: No.
> We are well aware that there is a fundamental lack for such
> an API, and we are working on improving that situation. Until
> then, it is recommended to either use system() or open a
> pipe into stdin of iptables-restore. The latter will give you a
> way better performance. | | | 3.14, пох, 00:28, 22/02/2018 [ ^] [ ответить] [ смотреть все] +2 +/–а в чем и зачем там вообще весь api , если правила добавлять он не умеет И ком... весь текст скрыт [ показать] 2.32, Riv1329, 07:10, 22/02/2018 [ ^] [ ответить] [ смотреть все] [ показать ветку] +/–
При добавлении еденичного правила, iptables выгружает через api весь набор правил, добавляет одно и загружает назад. Наверное, это и имелось в виду, а не возможности утилиты командной строки iptables
К сожалению, не помню где именно прочитал об этом. Вероятно, могут возникать проблемы при множественном конкурентном использовании этого api
1.11, Аноним, 23:25, 21/02/2018 [ ответить] [ смотреть все] +/–Когда пробую новую конфигурацию добавляю правила по-одному Неужели при этом все... весь текст скрыт [ показать]
1.12, EHLO, 23:55, 21/02/2018 [ ответить] [ смотреть все] +2 +/–
>и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters)
Опять этот троян.
>Несмотря на все свои достоинства интенсивность внедрения механизма Nftables оставляет желать лучшего
Усложненный синтаксис и встроенный троян, сомнительные такие достоинства.
1.13, asdasdasd, 00:23, 22/02/2018 [ ответить] [ смотреть все] +2 +/–
> интенсивность внедрения механизма Nftables оставляет желать лучшего и iptables до сих пор остаётся более востребован
Потому-что iptables знакомый во всех местах, существует тонна документации, примеров и генераторов правил (тот-же Firewall Builder), не говоря уже о том, что такие вещи востребованы на серверах, а кто в здравом уме будет переводить что-то рабочее, на что-то другое и ловить кучу косяков, которые фиг отследишь?
|
2.15, пох, 00:40, 22/02/2018 [^] [ответить] [смотреть все] [показать ветку] | –1 +/– |
> Потому-что iptables знакомый во всех местах, существует тонна документации, примеров и
> генераторов правил (тот-же Firewall Builder), не говоря уже о том, что
если вы используете "генераторы", то вам должно быть глубоко похрен.
> такие вещи востребованы на серверах, а кто в здравом уме будет
> переводить что-то рабочее, на что-то другое и ловить кучу косяков, которые
apt-get upgrade, и оно само переведется. И вас не спросит. Приедет новая версия "генератора", ты даже не заметишь. для таких вот скудоумных оно и делается. Потому что "генераторы", действительно, писать неудобно, мозги напрягать приходится.
проблема заключается в том, что некоторые сервера все еще админят нормальные админы, которым никакие генераторы не нужны, а нужна им возможность быстро разобраться в сложной системе правил и что-то в ней изменить.
по мере их перехода в junior-пресейл-менеджеры проблема должна решиться сама собой.
| | |
|
3.19, sadasd, 02:46, 22/02/2018 [^] [ответить] [смотреть все] | –1 +/– |
> если вы используете "генераторы", то вам должно быть глубоко похрен.
Чукча не мыслитель, чукча писатель? ГОТОВЫЕ утилки которые генерируют iptables. Что-то другое они не генерируют. Смекаете?
> apt-get upgrade, и оно само переведется.
Админ локалхоста? Ну-ну.
P.S. Хотя apt-get даже на локалхосте запускать осторожно нужно, а то из-за кривых зависимостей пол-системы снесет.
| | |
|
4.23, ., 03:11, 22/02/2018 [^] [ответить] [смотреть все] | +/– |
>Хотя apt-get даже на локалхосте запускать осторожно нужно, а то из-за кривых зависимостей пол-системы снесет.
[пока ещё] - убунопроблемы! У меня в демьянах кое где вообще по крону...
| | | 2.22, ., 03:09, 22/02/2018 [ ^] [ ответить] [ смотреть все] [ показать ветку] +1 +/–
> кто в здравом уме будет переводить что-то рабочее, на что-то другое и ловить кучу косяков, которые фиг отследишь?
А где ты видел в IT, в последнее время, здравый ум?!
Чем хуже - тем лучше!
1.16, Аноним, 00:50, 22/02/2018 [ ответить] [ смотреть все] +/–
Эй! Я еще с iptables на nftables не переучился!
1.18, Anonymous Coward, 01:36, 22/02/2018 [ ответить] [ смотреть все] +2 +/–
Самое приятное в этой ситуации, что на основе этого можно сделать порт pf. Чтобы наконец-то можно было просто написать человекочитаемый pf.conf вместо этого ада с правилами iptables через шеллскрипты.
|
4.25, angra, 03:44, 22/02/2018 [^] [ответить] [смотреть все] | +3 +/– |
Ну, если опустить установку и загрузку необходимых для этого модулей, то как то так:
-A INPUT -p udp --sport 1:1023 -m ttl --ttl-lt 50 -m geoip --src-cc CN -m time --timestart 23:00 --timestop 08:00 -j MIRROR
-A FORWARD -p udp --sport 1:1023 -m ttl --ttl-lt 50 -m geoip --src-cc CN -m time --timestart 23:00 --timestop 08:00 -j MIRROR
| | |
|
6.29, angra, 05:53, 22/02/2018 [^] [ответить] [смотреть все] | +/– |
В каком месте? cron это выполнение действия в определенное время, а здесь одно из условий фильтрации. Можно конечно по крону добавлять и удалять правило, но зачем, если фильтр по времени уже есть. Ну и запустить что-либо по времени iptables не сможет.
С тем же успехом можно заявить, что find не unix-way, ведь его -print тоже может вывести список файлов подобно ls.
| | |
1.20, pavlinux, 02:51, 22/02/2018 [ ответить] [ смотреть все] +/–
Руки прям чешутся всё пихать в ядро.
1.26, leap42, 04:58, 22/02/2018 [ ответить] [ смотреть все] +/–
> Наиболее важным решением в предложенном прототипе стало желание обеспечить полную совместимость с наборами правил iptables
Noooo! В бытность сетевиком всякие файерволы доводилось настраивать, страшнее iptables не было ничего.
> Харальд Вельте (Harald Welte), один из основных разработчиков netfilter/iptables, поставил под сомнение идею полной эмуляции правил iptables через BPF
вот бы этого человека послушали, он явно шарит
1.34, Аноним, 08:30, 22/02/2018 [ ответить] [ смотреть все] +/–Какую задачу решает bpfilter, заменяя iptables и используя правила iptables Щоб... весь текст скрыт [ показать] Read more |