Релиз iptables 1.4.9

Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Забавная фича =).

Хм. Добавить бы это в новость про ядро, было бы полнее

Ога, клёво бы было светодиоды на клаве приспособить под сетевую активность.

>Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

О, давно мечтал о чём-то подобном. :)

только жалко что на сервере клавиатура отключена

>Добавлена поддержка действия TEE, позволяющего выполнять зеркалирование определенного трафика на заданный хост. Ранее это действие было доступно только в комплекте xtables-addons.

Давно мечтал о таком.

>Давно мечтал о таком.

Оно уже несколько лет как в xtables-addons.

> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Класс!! Теперь можно будет на HTC-шном смарте видеть, когда кто-то в инет лезет )))
Рад за обладателей похаченых Android-девайсов, они такое поставить на раз-два смогут.

В dd-wrt его нету.

Это уже давно есть, если только для сетевого трафика.
Называется tleds

SCTP

Как много программ его могут применять?

> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Неимоверно круто. Лампочками на клавиатуре мигать сможет?)

> только жалко что на сервере клавиатура отключена

У кого отключена, а у кого и на стенке висит %)

// Хотя, на самом, деле хотелось снять. Она вызывала слишком много вопросов.

SCTP

Как много программ его могут применять?

Да даже, если и одна --- фичу-то уже написали, махать кулаками бессмысленно.

Ээ,добавить в новость надо было, новость про ядро была бы полнее, я хотел сказать

Я вот на это отвечал:

Ога, клёво бы было светодиоды на клаве приспособить под сетевую активность.

>Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Я одного не понимаю, почему ряд полезных фич из xtables-addons не портируют в основную ветку, а добавляют всякий шлак?

>Ога, клёво бы было светодиоды на клаве приспособить под сетевую активность.

Клавиатурные оно похоже не подцепит, проверяйте у себя /sys/class/leds/

Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

А для бипера версия есть? хочу морзяночку.

Класс. Особенно LED, теперь можно будет видеть когда ломятся в систему.

>>Добавлена возможность логического отрицания в критерии quota

Вроде бы quota был отключен когда-то из-за проблем на многоядерных процессорах? Снова включили?

> Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

Прикольно. Уже компиляю.

root@cr2:~# ls /sys/class/leds/

ls: cannot access /sys/class/leds/: No such file or directory

:-(

>Улучшена поддержка протокола SCTP

В принципе хорошо, но:
1. Не встречал ни одной программы, способной его использовать
2. Такие программы не скоро появятся т.к. винда его по сей день не поддерживает.

А он уже умеет создавать правила по приложению, которое запущено?

Например запретить всем выходить в интернеты, кроме браузера, wget, jabber-клиента, ну и ещё пары вещей?

знаю, что может по PID различать программы и запрещать/разрешать им что-то - но это костыльно и запутанно http://opennet.ru/docs/RUS/iptables/#PID-OWNERTXT

Неужели нельзя напрямую, по названию программы, или по полному пути типа /usr/bin/firefox ?

А где в сетевом пакете поле, содержащее имя отправившей пакет программы?

Ну если это не пересылающийся пакет, то в skbuf есть указатель на процесс.

Там есть PID =)

Ну и вообще, вендовые файрволлы обладают почему-то такой функциональностью. Как они это делают - в подробности не вдавался. Но думаю, что по PID легко можно узнать и имя программы, и уже этим как-то пользоваться.

Это будет работать только в OUTPUT, разве нет? Сколько видел МСЭ - везде OUTPUT пустой. ЧЯДНТ?

морально устаревшая, нечеловечески низкоуровневая архитектура. хотя, гибкая надо думать, учитывая кол-во критериев для matching'а.

и да, определение трафика «от такой-то команды» там таки работает?

быстрый гуглинг выдал https://honor.icsalabs.com/pipermail/firewall-wizards/2003-November/015662.html

Работает, но только на локальной машине. А на локальной машине МСЭ не нужен - он на шлюзе нужен или на сервере. На машинки хомячков ломиться никто не будет, да и нат там, а до рабочих мест тем более не достатьиз-за грамотного маршрутизатора

Ну и вообще, вендовые файрволлы обладают почему-то такой функциональностью. Как они это делают - в подробности не вдавался. Но думаю, что по PID легко можно узнать и имя программы, и уже этим как-то пользоваться.

этим может занятся selinux, пиши политики. Если лень заморачиваться есть тема запускать приклад под своим пользователем, тогда есть флаг

-m owner –cmd-owner uid

> определение трафика «от такой-то команды» там таки работает?

Давно уже нет.

> только жалко что на сервере клавиатура отключена

Можно попробывать воткнуть USB-шный светодиодный фонарик.. А если ещё воткнуть USB-шный китайский вентилятор то за сетевой активностью можно следить по потоку ветра! На вопрос «чего у тебя такой гул от вентилятора?» можно смело резать правду-матку что это хтота с директорского кабинета порно льёт!

>Ну и вообще, вендовые файрволлы обладают почему-то такой функциональностью. Как они это делают - в подробности не вдавался. Но думаю, что по PID легко можно узнать и имя программы, и уже этим как-то пользоваться.

Осильте пожалста NuFw, бгом молю... там можно преспокойной сказать «приложению firefox с машины 192.168.0.1 выход в интернет разрешаю»... и накручивается на iptables легко и непринужденно... Особенно если у вас Debian

Шо ж так долго подтверждали

Ммм, спасибо. Надо будет попробовать. Не знал о такой штуке.

Хотя у меня Gentoo.

>А он уже умеет создавать правила по приложению, которое запущено?

Нет. Уже не умеет.
Раньше умело (было -m owner --cmd-owner), но его выкинули из-за противоречий с SMP.

Эта задача легко решается на уровне мандатного контроля доступа. Зачем городить велосипеды с потерей производительности?

>знаю, что может по PID различать программы и запрещать/разрешать им что-то - но это костыльно и запутанно http://opennet.ru/docs/RUS/iptables/#PID-OWNERTXT

pid-owner и sid-owner тоже давно выкинули, кстати.

> использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила.

повесить прохождение пакета на CAPS lock

как так? Вот уроды.

А какие могут противоречия возникать с SMP?

а для мандатного контроля доступа что нужно? selinux? или что-то ещё?

>А какие могут противоречия возникать с SMP?

Хз. В общем, они не захотели, как openbsd'шники, пакеты только на одном процессорном ядре фильтровать.

а для мандатного контроля доступа что нужно? selinux?

SELinux — продвинутый контроль, с портами.
AppArmor — тупо разрешить/запретить TCP/UDP/ICMP/raw.

Ядро медленно но верно обрастает свистоперделками :) Что у нас там дальше ? Выезд лотка CD-привода при приходе пакета с определённой сигнатурой ?

дык ляпота же - ломится кто-то и тут машина начинает моргать лампочками, хлопать приводом, пищать спикером и с экрана кричать большими буквами:«БЕДА!БЕДА!»
^_^

>повесить прохождение пакета на CAPS lock

Ну да, капс лок включен - пропускаем пакеты. И наоборот.

>Улучшена поддержка протокола SAP2PP...

Прикольно, протокола еще не написали, а правиа состряпали, )))

>дык ляпота же - ломится кто-то и тут машина начинает моргать лампочками,

Кто на это смотреть будет если серверная месяцами на ключ заперта да ещю и на сигнализации стоить ? Ну и клавиатур там соответственно как бы одна на всех да и та в шкафу лежит на аварийный случай...

PS: Походу пришла идея прилинковать /dev/dsp к регулятору оборотов вентиля :) (вывод /dev/dsp через спикер уже был в древних ядрах...)

По реакции на LED узнаваем контингент ЛОРа - админы локалхостов, приходящие в неподдельный восторг, когда где-то в необычном месте что-то моргает не так как у всех.