LINUX.ORG.RU

Семейство утилит iptables переведут с ip_tables на BPF

 , , ,


3

5

На конференции Netfilter Workshop разработчики сетевой подсистемы ядра Linux объявили о скором переходе ставших традиционными утилит конфигурирования netfilter (iptables, ebtables, arptables) с ядерной подсистемы ip_tables на Berkeley Packet Filter/x_tables, предоставляющей более гибкие возможности по управлению обработкой проходящих через Linux сетевых пакетов и возможно большей производительностью обработки за счёт использования JIT-компилятора.

Устаревшим утилитам будет присвоен постфикс "-legacy".

Также доступен транслятор для перевода правил iptables в синтаксис «родной» утилиты новой подсистемы ядра (nft): iptables-translate.

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: Shaman007 (всего исправлений: 1)

картинки какие по ссылке ;) А так, одна надстройка, другая...

Deleted
()

Интересно, доживём ли когда-нибудь до рабочего application-based firewall или так и будем корячиться с профилями для AppArmor и контекстами для SELinux?

dogbert ★★★★★
()
Ответ на: комментарий от dogbert

Расшифровать можете ?

К примеру в фиревалле лепится сервис самба - он пропускает порты самбы. И чем ВАМ это не апп базед ?

mx__ ★★★★★
()
Ответ на: комментарий от mx__

фиревалле

лепится

апп базед

Молодой человек, если вы хотели придти к логопеду, то Вы ошиблись кабинетом. Здесь ЛОР, поэтому выражайтесь пожалуйста более мемо-разборчиво.

Promusik ★★★★★
()
Ответ на: комментарий от Promusik

фиревалле

firewalld

лепится

настраиваться

апп базед

application-based

Извините меня, все время забываю что на лор не только специалисты заходят.

mx__ ★★★★★
()
Ответ на: комментарий от mx__

Так давно уже перешли на firewalld.

firewalld-cmd там до сих пор выдает питоновский эксепшен если протокол или порт не указать. на мкс такой линукс никогда не возьмут.

anonymous
()
Ответ на: комментарий от mx__

Так давно уже перешли на firewalld.

А давно firewalld стал самостоятельным, и работает без iptables?

Black_Shadow ★★★★★
()
Ответ на: комментарий от mx__

Первым делом сношу firewalld, так как непонятно, нахер он нужен, если всё тоже самое, и даже больше, можно довольно просто написать правилами для iptables.

Black_Shadow ★★★★★
()

Семейство утилит iptables переведут с ip_tables на BPF

Драмы и нет практически, вот если бы с pf'ом что-нибудь подобное выкинули — то да, проблемы бы были вселенского масштаба.

anonymous
()

Правильно ли я понял, что новые iptables будут через транслятор добавлять правила bpf?

Т.е. обратная совместимость в синтаксисе сохраняется?

Tanger ★★★★★
()
Ответ на: комментарий от Deleted

Они не в курсе ;)

firewalld - обертка над iptables

Deleted
()

индуска на фотках симпатичная. ябывдул :-D

anonymous
()

Опять все перекроят и переворошат, а почему бы не сохранить хотя-бы синтаксис тот же самый что и был, а поменять только то, что находится «под капотом»? Да и под капотом ничего менять не надо, оно отличное работает. Зачем по миллион раз переделывать то, что привычно, и что самое главное-ОТЛИЧНО РАБОТАЕТ!? Видимо проприетарщики таки поставили перед собой цель придушить оперсорс посредством насаждения там хаоса и неразберихи, у них этого конечно не получится скорее всего в конечном счете, но они очень стараются. Примерно также было с systemd, но история с systemd-гораздо более глобальная диверсия проприетарщиков против опенсорс сообщества и unix-way.

ChAnton ★★
()
Последнее исправление: ChAnton (всего исправлений: 1)
Ответ на: комментарий от mx__

в фиревалле лепится сервис самба - он пропускает порты самбы

Для тех, кто в танке: он пропускает не «порты самбы», а просто порты с указанными номерами. А кто там на самом деле слушает - брандмауэр не волнует. Application-based - это когда пакеты из указанного порта разрешаем жрать конкретному процессу, а другим нэтЪ. Другой вопрос, что в линукс это (КМК) не особенно-то и надо, при условии, что установлены б/м проверенные приложения из б/м проверенных репозиториев, а не как в винде - кульные прожки с файлообменников. Хотя если такая фича появится - ну, жалко что ли, авось пригодится. Проприетарщину какую-нибудь запускать, которую начальство за откат продавило.

anonymous
()
Ответ на: комментарий от dogbert

Интересно, доживём ли когда-нибудь до рабочего >>application->>based firewall

Зачем? Это неправильно во всех отношениях, это же не винда какая-нибудь ущербная.

ChAnton ★★
()
Ответ на: комментарий от pfg

Это очевидно. Я имел в виду, у этого схожий с аналогами в BSD синтаксис?

Vsevolod-linuxoid ★★★★★
()
Ответ на: комментарий от mx__

К примеру в фиревалле лепится сервис самба - он пропускает порты самбы. И чем ВАМ это не апп базед ?

Гасим самбу, запускаем свое приложение на портах самбы и вуаля

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

Application-based - это когда пакеты из указанного порта разрешаем жрать конкретному процессу, а другим нэтЪ.

Выше уже отмечали: c --gid-owner можно добиться ну ровно того же самого.

anonymous
()
Ответ на: комментарий от ChAnton

доживём ли когда-нибудь до рабочего >>application->>based firewall

Зачем? Это неправильно во всех отношениях, это же не винда какая-нибудь ущербная.

Хе. Ну вот вы на своём личном кантупере контролируете, что у вас ставится. А на рабочем? Велит начальство накатить какую-то закрытую хрень - и накатите.

А оно мало ли что делает.

Вот ща модно, например, т.н. «телеметрию» слать производителю. Ладно, если оно шлет какую-то условно-полезную статистику типа «меня запустили на таком-то железе, я на ём делаю столько-то хренаций/сек, падаю с такими-то ошибками».

А если оно этой телеметрией весь канал отжирает, или шлет на сторону ваше файло?

anonymous
()
Ответ на: комментарий от anonymous

c --gid-owner можно добиться ну ровно того же самого.

Нда? --uid(gid)-owner - это же привязка к uid/gid, запустившему процесс, а не к самому процессу. Толку-то.

anonymous
()
Ответ на: комментарий от AVL2

Если оно смогло выключить самбу и запуститься на портах <1024 то сможет выключить любой ФВ (кроме внешнего).

d_a ★★★★★
()
Ответ на: комментарий от anonymous

uid/gid, запустившему процесс, а не к самому процессу. Толку-то.

В чем проблема-то? Какая цель? Что особенного позволяет добиться привязка, скажем по приложению по его пути (хэшу?), в отличие привязки по группе?

anonymous
()
Ответ на: комментарий от L29Ah

Сетевую часть apparmor вообще собираются тащить в ваниллу?

Это вроде зависит от того, через LSM оно или сбоку.

anonymous
()
Ответ на: комментарий от anonymous

--uid(gid)-owner - это же привязка к uid/gid, запустившему процесс, а не к самому процессу

В андроиде это отлично работает, например. Там у каждого приложения свой пользователь.

anonymous
()
Ответ на: комментарий от anonymous

Опять начинают рассказывать, что тебе это не нужно.

Цель такая же, какая решается с помощью Apparmor / Selinux

zgen ★★★★★
()

Замечательно, только выиграем.

entefeed ☆☆☆
()
Ответ на: комментарий от Deleted

firewalld - обертка над iptables.

Я тут глянул https://firewalld.org/documentation/concepts.html Хм. Ну видать да, но тогда вообще пофигу, допилят firewalld под эту новую шнягу а мы и не заметим, будем продолжать как обычно firewall-cmd дергать.

mx__ ★★★★★
()
Ответ на: комментарий от d_a

Ну так порты у приложений бывают и непривелигерованные. Какой нибудь сокс-прокси.

AVL2 ★★★★★
()
Ответ на: комментарий от mx__

К примеру в фиревалле

Как же отвратительно это читать!

ugoday ★★★★★
()
Ответ на: комментарий от zgen

Опять начинают рассказывать, что тебе это не нужно.
Цель такая же, какая решается с помощью Apparmor / Selinux

Т.е. ты внятно (не «сделай как там», ага) свои желания озвучить не можешь? Тогда действительно «не нужно».

anonymous
()
Ответ на: комментарий от Tanger

ну это как компиляция одного кода под разные архитектуры\наборы инструкций. правила описанные на языке iptables при исполнении теперь компилятся не в «байткод» iptables а в «байткод» nftables

но синтаксис правил nftables существенно отличается от синтаксиса iptables, собственно рекомендуется переходить на синтаксис nftables и для облегчения задачи по портированию есть специальный конвертор( который не очень помогает со сложными правилами судя по отзывам)

Thero ★★★★★
()
Ответ на: комментарий от zgen

Ну от тупого анонимуса я другого не ждал.

Быстро же ты на оскорбления перешел. Даже не ожидал такого бытрого слива. И да, нужность app-based файерволлов подтвердается их наличием (это помимо твоего позорного — фу! — слива).

anonymous
()
Ответ на: комментарий от dogbert

Gauntlet же был, и давно... Сдох, только, производительность не та и с DPI плохо.

gns ★★★★★
()
Ответ на: комментарий от Vsevolod-linuxoid

Непосредственное. Исторически там и был :)

gns ★★★★★
()
Ответ на: комментарий от ChAnton

сделали и так и так и даже вот те пожелания учли.. но кажется вы против любых изменений в принципе.

Thero ★★★★★
()
Ответ на: комментарий от L29Ah

У nftables пока своя вм, bpf еще очень сырое и пока где-то сбоку.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.