LINUX.ORG.RU

Релиз iptables 1.4.9

 , ,


0

0

Cостоялся релиз iptables 1.4.9, в котором реализована полная совместимость с ядром 2.6.35.

Из других улучшений:

  • Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.
  • Добавлена поддержка действия TEE, позволяющего выполнять дублирование определенного трафика на заданный хост. Ранее это действие было доступно только в комплекте xtables-addons.
  • Добавлена возможность логического отрицания в критерии quota, что упрощает обработку пакетов, выходящих за рамки квоты.
  • Улучшена поддержка протокола SCTP: добавлено распознавание типа секции (chunk) FORWARD_TSN и флага SACK-IMMEDIATELY в DATA-секции.
  • Как всегда, исправлен ряд мелких ошибок в коде и документации.

Примеры применения новых возможностей можно посмотреть на opennet: http://www.opennet.ru/opennews/art.shtml?num=27513

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: Shaman007 (всего исправлений: 3)

Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Забавная фича =).

Deleted
()

Хм. Добавить бы это в новость про ядро, было бы полнее

darkshvein ☆☆
()

>Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

О, давно мечтал о чём-то подобном. :)

AX ★★★★★
()

>Добавлена поддержка действия TEE, позволяющего выполнять зеркалирование определенного трафика на заданный хост. Ранее это действие было доступно только в комплекте xtables-addons.

Давно мечтал о таком.

emaxx ★★
()

> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Класс!! Теперь можно будет на HTC-шном смарте видеть, когда кто-то в инет лезет )))
Рад за обладателей похаченых Android-девайсов, они такое поставить на раз-два смогут.

Magister2k7
()

> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Неимоверно круто. Лампочками на клавиатуре мигать сможет?)

melkor217 ★★★★★
()
Ответ на: комментарий от Sylvia

> только жалко что на сервере клавиатура отключена

У кого отключена, а у кого и на стенке висит %)

// Хотя, на самом, деле хотелось снять. Она вызывала слишком много вопросов.

melkor217 ★★★★★
()
Ответ на: комментарий от Atlant

SCTP

Как много программ его могут применять?

Да даже, если и одна --- фичу-то уже написали, махать кулаками бессмысленно.

RaySlava
() автор топика
Ответ на: комментарий от darkshvein

Я вот на это отвечал:

Ога, клёво бы было светодиоды на клаве приспособить под сетевую активность.

CyberTribe ★★
()

>Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Я одного не понимаю, почему ряд полезных фич из xtables-addons не портируют в основную ветку, а добавляют всякий шлак?

gh0stwizard ★★★★★
()
Ответ на: комментарий от darkshvein

>Ога, клёво бы было светодиоды на клаве приспособить под сетевую активность.

Клавиатурные оно похоже не подцепит, проверяйте у себя /sys/class/leds/

anonymous
()

Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.


А для бипера версия есть? хочу морзяночку.

splinter ★★★★★
()

Класс. Особенно LED, теперь можно будет видеть когда ломятся в систему.

BliecanBag
()

>>Добавлена возможность логического отрицания в критерии quota

Вроде бы quota был отключен когда-то из-за проблем на многоядерных процессорах? Снова включили?

wdtae
()
Ответ на: комментарий от anonymous

> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Прикольно. Уже компиляю.

root@cr2:~# ls /sys/class/leds/

ls: cannot access /sys/class/leds/: No such file or directory



:-(

drull ★☆☆☆
()

>Улучшена поддержка протокола SCTP

В принципе хорошо, но:
1. Не встречал ни одной программы, способной его использовать
2. Такие программы не скоро появятся т.к. винда его по сей день не поддерживает.

Deleted
()

А он уже умеет создавать правила по приложению, которое запущено?

Например запретить всем выходить в интернеты, кроме браузера, wget, jabber-клиента, ну и ещё пары вещей?

Flaming ★★
()
Ответ на: комментарий от hc

Там есть PID =)

Ну и вообще, вендовые файрволлы обладают почему-то такой функциональностью. Как они это делают - в подробности не вдавался. Но думаю, что по PID легко можно узнать и имя программы, и уже этим как-то пользоваться.

Flaming ★★
()
Ответ на: комментарий от wieker

Это будет работать только в OUTPUT, разве нет? Сколько видел МСЭ - везде OUTPUT пустой. ЧЯДНТ?

hc
()

морально устаревшая, нечеловечески низкоуровневая архитектура. хотя, гибкая надо думать, учитывая кол-во критериев для matching'а.

и да, определение трафика «от такой-то команды» там таки работает?

anonymous
()
Ответ на: комментарий от anonymous

Работает, но только на локальной машине. А на локальной машине МСЭ не нужен - он на шлюзе нужен или на сервере. На машинки хомячков ломиться никто не будет, да и нат там, а до рабочих мест тем более не достатьиз-за грамотного маршрутизатора

hc
()
Ответ на: комментарий от Flaming

Ну и вообще, вендовые файрволлы обладают почему-то такой функциональностью. Как они это делают - в подробности не вдавался. Но думаю, что по PID легко можно узнать и имя программы, и уже этим как-то пользоваться.

этим может занятся selinux, пиши политики. Если лень заморачиваться есть тема запускать приклад под своим пользователем, тогда есть флаг

-m owner –cmd-owner uid

testuser123
()
Ответ на: комментарий от anonymous

> определение трафика «от такой-то команды» там таки работает?

Давно уже нет.

tailgunner ★★★★★
()
Ответ на: комментарий от Sylvia

> только жалко что на сервере клавиатура отключена

Можно попробывать воткнуть USB-шный светодиодный фонарик.. А если ещё воткнуть USB-шный китайский вентилятор то за сетевой активностью можно следить по потоку ветра! На вопрос «чего у тебя такой гул от вентилятора?» можно смело резать правду-матку что это хтота с директорского кабинета порно льёт!

Deleted
()
Ответ на: комментарий от Flaming

>Ну и вообще, вендовые файрволлы обладают почему-то такой функциональностью. Как они это делают - в подробности не вдавался. Но думаю, что по PID легко можно узнать и имя программы, и уже этим как-то пользоваться.

Осильте пожалста NuFw, бгом молю... там можно преспокойной сказать «приложению firefox с машины 192.168.0.1 выход в интернет разрешаю»... и накручивается на iptables легко и непринужденно... Особенно если у вас Debian

Pinkbyte ★★★★★
()

Шо ж так долго подтверждали

gopnick
()
Ответ на: комментарий от Flaming

>А он уже умеет создавать правила по приложению, которое запущено?

Нет. Уже не умеет.
Раньше умело (было -m owner --cmd-owner), но его выкинули из-за противоречий с SMP.

Эта задача легко решается на уровне мандатного контроля доступа. Зачем городить велосипеды с потерей производительности?

nnz ★★★★
()

> использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

повесить прохождение пакета на CAPS lock

cvs-255 ★★★★★
()
Ответ на: комментарий от nnz

А какие могут противоречия возникать с SMP?

а для мандатного контроля доступа что нужно? selinux? или что-то ещё?

Flaming ★★
()
Ответ на: комментарий от Flaming

>А какие могут противоречия возникать с SMP?

Хз. В общем, они не захотели, как openbsd'шники, пакеты только на одном процессорном ядре фильтровать.

а для мандатного контроля доступа что нужно? selinux?


SELinux — продвинутый контроль, с портами.
AppArmor — тупо разрешить/запретить TCP/UDP/ICMP/raw.

nnz ★★★★
()

Ядро медленно но верно обрастает свистоперделками :) Что у нас там дальше ? Выезд лотка CD-привода при приходе пакета с определённой сигнатурой ?

sS ★★★★★
()
Ответ на: комментарий от sS

дык ляпота же - ломится кто-то и тут машина начинает моргать лампочками, хлопать приводом, пищать спикером и с экрана кричать большими буквами:«БЕДА!БЕДА!»
^_^

megabaks ★★★★
()
Ответ на: комментарий от cvs-255

>повесить прохождение пакета на CAPS lock

Ну да, капс лок включен - пропускаем пакеты. И наоборот.

tensai_cirno ★★★★★
()

>Улучшена поддержка протокола SAP2PP...

Прикольно, протокола еще не написали, а правиа состряпали, )))

anonymous
()
Ответ на: комментарий от megabaks

>дык ляпота же - ломится кто-то и тут машина начинает моргать лампочками,

Кто на это смотреть будет если серверная месяцами на ключ заперта да ещю и на сигнализации стоить ? Ну и клавиатур там соответственно как бы одна на всех да и та в шкафу лежит на аварийный случай...

PS: Походу пришла идея прилинковать /dev/dsp к регулятору оборотов вентиля :) (вывод /dev/dsp через спикер уже был в древних ядрах...)

sS ★★★★★
()

По реакции на LED узнаваем контингент ЛОРа - админы локалхостов, приходящие в неподдельный восторг, когда где-то в необычном месте что-то моргает не так как у всех.

m00n
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.