LINUX.ORG.RU

Семейство утилит iptables переведут с ip_tables на BPF

 , , ,


3

5

На конференции Netfilter Workshop разработчики сетевой подсистемы ядра Linux объявили о скором переходе ставших традиционными утилит конфигурирования netfilter (iptables, ebtables, arptables) с ядерной подсистемы ip_tables на Berkeley Packet Filter/x_tables, предоставляющей более гибкие возможности по управлению обработкой проходящих через Linux сетевых пакетов и возможно большей производительностью обработки за счёт использования JIT-компилятора.

Устаревшим утилитам будет присвоен постфикс "-legacy".

Также доступен транслятор для перевода правил iptables в синтаксис «родной» утилиты новой подсистемы ядра (nft): iptables-translate.

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: Shaman007 (всего исправлений: 1)

Ответ на: комментарий от Thero

сделали и так и так

Нет, сделали как обычно, все перекрутив и выбросив то, что выбрасывать не имело никакого смысла, от слова совсем.

сделали и так и так и даже вот те пожелания учли.. но кажется >>вы против любых изменений в принципе.

Еще раз нет. Изменения изменениям рознь, и те изменения которые сделали в данном случае-это преднамеренное насильственное устраивание бардака и хаоса с целью внести сумятицу, усложнить и создать геморрой, что уже в свою очередь ставиться целью подменить и подмять стандарты.

ChAnton ★★
()
Последнее исправление: ChAnton (всего исправлений: 1)

Долго нам еще не видать стабильного линуксячего десктопа :(

anonymous
()
Ответ на: комментарий от ChAnton

мне кажется вы просто не понимаете что произошло или намеренно пытаетесь внести хаос и сумятицу в тред.

bpf не просто быстрее, но позволяет решить большее число актуальных индустриальных задач по фильтрации пакетов для которых ip_tables уже устарели. и у нас тут получился прекрасный пример того как можно переключиться на новые технологии так что ничего не сломается. просто нет никакого смысла компилить iptables в ip_tables когда можно компилировать их в bpf. переходить на синтаксис nftables не обязательно, но рекомендовано. в отличие от системд тут была возможность сделать всё правильно и ей воспользовались.

Thero ★★★★★
()
Ответ на: комментарий от dogbert

Интересно, доживём ли когда-нибудь до рабочего application-based firewall или так и будем корячиться с профилями для AppArmor и контекстами для SELinux?

Нет, блджад.

Сколько раз вам нужно повторять, что application based firewall - безполезная хуита, если не контролировать доступ к файловой системе, ipc и прочему. Не бывает рабочего application-based firewall по определению.

anonymous
()
Ответ на: комментарий от Thero

переходить на синтаксис nftables не обязательно

правильно, нужно подождать более-менее стабильного bpf , а потом переходить на него. А те кто пока использует iptables так и будут использовать его.

anonymous
()
Ответ на: комментарий от Thero

bpf не просто быстрее, но позволяет решить большее число >>актуальных индустриальных задач по фильтрации пакетов для >>которых ip_tables уже устарели.

Нет. Это не более чем просто слова, которые превратили в «веский» повод все перековырять, полностью поменяв как полностю работающую структуру, тоесть принципиально внутренности ядерного пространства, так и синтаксис, хотя делать ни того, ни другого никакого особого смысла не было.

ChAnton ★★
()
Ответ на: комментарий от anonymous

есть сомнения что bpfilter действительно нужен сейчас, но он имеет право на существование и вполне возможно что однажды наступит время когда появятся задачи которые nftables уже неспособен решать.. писать правила на сишке это конечно весело, но есть сомнения по безопасности подобной фичи.

Thero ★★★★★
()
Ответ на: комментарий от anonymous

А те кто пока использует iptables так и будут использовать >>его.

Правильно, а проприетарщики, а также проплаченные ими тролли путь идут лесом. Но ведь они навязывают свои ненужные изменения и с неимоверными усилиями и скоростью внедряют хаос.

ChAnton ★★
()
Ответ на: комментарий от ChAnton

ну да, конечно. везде заговор и обман. штукатурка не трескается крыша не стоит на подпорках всё работает нам не нужно строить новый склад мы к этому прикрутили второй ярус для ип6, тут у нас дублируется код, мы по десять раз гоняем инструкции туда сюда и всё работает крайне неэффективно, но работает же! значит нельзя трогать ничего. зачем строить водопровод можно ведь итак ведром воды наносить..

о том что iptables не справляется с современными задачами стало ясно ещё в 2008м году когда количество подпорок и пристроенных кое-как к кое-как расширяемому протоколу зданий начало пугать самих разработчиков iptables..

и да скорее всего nftables будет тоже заменён.

Thero ★★★★★
()
Ответ на: комментарий от ChAnton

хаос это то что представляет собой текущий netfilter стэк из iptables, ip6tables, ebtables, arptables и собственно ядерного ip_tables

и да nftables внедряют уже почти 10 лет.. я понимаю что это слишком быстро по сравнению с вэйландом, но и задачка несколько попроще.

Thero ★★★★★
()
Ответ на: комментарий от Thero

Но при этом никто особо не спешат переплывать на что-то ещё, я не говорю про тех кто не знает , что firewalld это тоже обвязка.

anonymous
()
Ответ на: комментарий от ChAnton

ОТЛИЧНО РАБОТАЕТ

Дефайны в iptables мне сделай. И не надо говорить, что конфигурировать firewall портянкой на баше — это норма в 2018.

anonymous
()
Ответ на: комментарий от anonymous

этот феномен давно известен и представляет своего рода комбинацию консервативной лени и стокгольмского синдрома. а ещё люди склонны привязываться к объектам и как оказалось не только материальным и готовы залатывать любимую рубашку даже после того как на ней не останется ни кусочка исходной ткани и это неплохо, до некоторых абстрактных разумных пределов которые априори невозможно определить объективно.

Thero ★★★★★
()
Ответ на: комментарий от anonymous

я более чем уверен что он не знает как работает iptables( и семейство его расширений) поэтому и не знает что там всё плохо и уже дымится, но давайте и правда подождём когда оно начнёт гореть.

Thero ★★★★★
()
Ответ на: комментарий от ChAnton

внедряют хаос

В твой маня-мирок разве что.

Deleted
()
Ответ на: комментарий от Deleted

L29Ah, по ссылке пишут про переход на nf_tables, а не bpf, что за 4.2 в новости?

ага, текст новости писавший по своей ссылке не ходил и не читал

сегодня ради эксперимента перевёл свою Fedora с firewalld на сабжевый nf_tables, жить можно

whereisthelinus
()
Ответ на: комментарий от mx__

mx__ ★★★ (22.06.2018 7:20:08) раутер фиревалл

ты всё никак к логопеду не сходишь я смотрю.

system-root ★★★★★
()
Ответ на: комментарий от d_a

А вот этот вредный цирк с выделением в особую группу портов <1024 надо бы завершать. Польза от него вся осталась в таком далёком времени, что на ЛОРе мало кто в это время-то и разговаривать умел. Не говоря уже о.

anonymous
()
Ответ на: комментарий от ChAnton

ОТЛИЧНО РАБОТАЕТ

iptables отлично не работает, но на локалхосте этого не видно. Транзакционность? Нет, не слышали.

anonymous
()
Ответ на: комментарий от anonymous

В iptables — ничем, и в этом большая печаль. В nft есть. Но nft не готов для прода.

anonymous
()

вроде же nftables теперь является заменой?

cvs-255 ★★★★★
()
Последнее исправление: cvs-255 (всего исправлений: 1)
Ответ на: комментарий от Thero

iptables, ip6tables

Вот это ещё одна проблема (кстати, не решённая в nftables). С какого-то перепугу для IPv6 надо использовать отдельные бинарники, отдельные ipset, отдельное небо и отдельного Аллаха. Из-за чего правила дублируюся постоянно и всё превращается в операционный ад быстрее, чем приближается пенсия.

anonymous
()
Ответ на: комментарий от dogbert

Интересно, доживём ли когда-нибудь до рабочего application-based firewall

Индусы движутся в этом направлении

kto_tama ★★★★★
()
Ответ на: комментарий от anonymous

Да всю эту unix-модель надо было выкинуть и делать процессу неотключаемый MAC после первого bind(2), но линус сказал что мы типа совместимы поэтому жрите что есть.

d_a ★★★★★
()
Ответ на: комментарий от zgen

Если тебе это не нужно, или ты не знаешь, кому это нужно - не значит что это никому не нужно.

Я только один кейс могу придумать - помоечный шаред хостинг, где проще запретить, чем продиагностировать рассадник вирья. Как это знакомо - решать следствие, а не причину :))

Deleted
()
Ответ на: комментарий от d_a

Даже в рамках текущей модели нет внятных объяснений необходимости существования каких-то особых привелегий для портов <1024. Да и не было толком — костыль костылём же.

anonymous
()
Ответ на: комментарий от dogbert

Я для общего образования спрошу - а чем это отличается от cgroups+iptables? Я вполне успешно режу так доступ в сеть некоторым приложениям, наверное можно и более сложные правила навернуть.

Confucij
()
Ответ на: комментарий от Confucij

Удобством для конечного пользователя. Так-то можно и в ip ns засунуть.

anonymous
()
Ответ на: комментарий от Black_Shadow

Первым делом сношу firewalld, так как непонятно, нахер он нужен, если всё тоже самое, и даже больше, можно довольно просто написать правилами для iptables.

firewall-cmd --permanent --add-service=samba

твой вариант?

Legioner ★★★★★
()
Ответ на: комментарий от dogbert

Так был же, даже несколько. Забыл как называется. Недавно на опеннете новость была.

sergej ★★★★★
()
Ответ на: комментарий от anonymous

Транзакция не особо чего? Модификации? Потому что в работе файрвола не на локалхосте я места для нее как бы не вижу

Nastishka ★★★★★
()
Ответ на: комментарий от Legioner

Расскажи мне, если у тебя установлены firewalld и какой-нибудь libvirt или docker, чьи правила окажутся в iptables выше и почему?

anonymous
()
Ответ на: комментарий от anonymous

Вы ещё скажите что не видите смысла в ограничении доступа к файловой системе и конфигах. Порты менее 1024 может открыть только администратор системы или процесс который администратор счёл доверенным, то есть по сути порт менее 1024 означает доверенный сервис

Nastishka ★★★★★
()
Ответ на: комментарий от Legioner

А потом разруливать, что это говно наоткрывало и насоздавало. А потом поймать конфликты с каким-нибудь docker или livbirt. Честно пытался использовать на CentOS, думая, что это шаг вперёд. Но нет, это просто костыльная обёртка. Вот на nftables переведу все основные хосты.

anonymous
()
Ответ на: комментарий от anonymous

И как эту проблему решит nf_filter или bpf? Правильно, никак. Ибо при модификации существующего конфига правило может быть добавлено в любое место. Как и при iptables -I

Nastishka ★★★★★
()
Ответ на: комментарий от anonymous

Ну если времени лишнего много, разруливай. Я самбу открыл и дальше пошёл, а какие там порты, я даже не знаю и знать не хочу. Про конфликты с докером, думаю, на стековерфлу первый же ответ скопипастить в консоль и всё.

Legioner ★★★★★
()
Ответ на: комментарий от Nastishka

И как эту проблему решит nf_filter или bpf? Правильно, никак.

Правильно, никак. Это срач о firewalld.

anonymous
()
Ответ на: комментарий от Legioner

Видимо смотря кто первый запустится.

Гениально, чо.

anonymous
()
Ответ на: комментарий от anonymous

Если дебианом пользуюсь, так и делаю, там его нет по умолчанию и без него хорошо. В рхеле включили по умолчанию, приходится конфигурировать. По-мне бесполезная затея в большинстве случаев, но что поделаешь.

Legioner ★★★★★
()
Ответ на: комментарий от Thero

и у нас тут получился прекрасный пример того как можно переключиться на новые технологии так что ничего не сломается

«Ничего не сломается» — это когда iptables останется со старым синтаксисом, а рядышком появится iptables-bpf с новым крутым форматом для описания правил.

kawaii_neko ★★★★
()
Ответ на: комментарий от dogbert

Интересно, доживём ли когда-нибудь до рабочего application-based firewall или так и будем корячиться с профилями для AppArmor и контекстами для SELinux?

Такой уже существует - OpenSnitch: OpenSnitch — интерактивный сетевой экран , интерактивный сетевой экран, https://www.opensnitch.io/

SakuraKun ★★★★★
()
Ответ на: комментарий от Nastishka

Транзакция не особо чего? Модификации? Потому что в работе файрвола не на локалхосте я места для нее как бы не вижу

Ну раз не видишь, тогда и говорить не о чем. К сожалению — моему, видимо — я вижу острую необходимость в транзакционном обновлении правил фаерволла и именно в проде.

anonymous
()
Ответ на: комментарий от Nastishka

Вы ещё скажите что не видите смысла в ограничении доступа к файловой системе и конфигах. Порты менее 1024 может открыть только администратор системы или процесс который администратор счёл доверенным, то есть по сути порт менее 1024 означает доверенный сервис

Что значит «доверенный сервис»? Можно какое-то строгое формальное определение сразу, чтобы потом воду в ступе не толочь? А то знаешь ли, бывает так, что администратор счёл процесс доверенным, но я не счёл доверенным того администратора и опять не сложилось.

Это ограничение имело смысл только в условиях острой нехватки персональных компьютеров и повсеместного интернета. Но сейчас, в наше время, проще найти дешёвый VPS, чем в иных местах обычный туалет или питьевую воду.

anonymous
()

Это тот BPF у которого JIT`ованный код на race condition подменить можно?

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.