iptables всё

Причем, можно этого даже не заметить сразу. Ну отвалился файрвол, ну поимели через какой-то сервис, который не настраивали торчать в интернет. Зато борьба с легаси.

Да кого волнуют проблемы роллинг-релизов, кроме админов локалхоста

тоже самое на старом родном iptables, для сравнения.

На иптаблесе компактнее и комменты не нужны, правила сами за себя говорт

Погоди, так вроде же как раз nftables собирались заменить на какую то новую вундервафлю?

Старые тулзы переименуют в iptables-legacy, а новые будут называться как старые, но будут использовать nf_tables.

Дебилы б.. До сих пор помню синтаксис ipchains, посредством которого нельзя было прокинуть порты в локалку. iptables обладает полным и достаточным функционалом, менять его на что то другое - это по принципу - меняем хорошее на новое.

Жду переезда на pf через пятилетку.

даяхз. мне iptables кажется очевиднее

+1 iptables мне тоже как то проще для понимания.

Что мешало сделать альтернативный структурированный синтаксис правил для иптаблес за много лет?

bpfilter, оно еще сырое пока.

А прикинь, бейсика то нет, вдруг. И ты такой идешь и делаешь вдоль, ибо совместимости швах.

А чем тебе nftables не альтернативный синтаксис? Ретрограды могут как и раньше писать для иптейблс и транслировать готовой тулзой в правила для нфтейблс. А нормальные люди сразу под человеческий нфтейблс писать будут.

Лучше бы чортов tc в человеческий вид привели. А то чтобы банально зарезать какой-нибудь IP/PORT по скорости, надо тонну фигни написать.

Сделали бы как тот же iptables - какой-нибудь, с такими же рулесами

trafcontrol -o eth0 -s 1.2.3.4 -p tcp -sport 80 -limit 10Мbit

trafcontrol rule add dev eth0 from 1.2.3.4 tcp src port 80 limit 10Mbit

Несложно скриптик написать, конечно, но его приходится таскать с собой по машинам, что не очень удобно.

Нет, вместо писанины «нф» полность, надо было только конвертер из модных конфигов в иптаблес написать и на этом остановиться.

А мне вот нравится программировать на дебильном бейсике с номерами строк, но я понимаю, что это ментальное отклонение.

Хе-хе, это ты с заводским софтом не сталкивался.

Запросто может быть, что какой-нибудь химический реактор управляется таким бейсиком, по программе написанной в конце 80-х. Переписать - полный анрыл, никто уже не знает как что и почему в ней. И еще хорошо, если все это можно в эмуляторе запускать, а не поддерживать раритетное железо в рабочем состоянии.

К счастью ведром рулят люди поумнее среднего лоровского ретрограда-нинужниста.

имхо это пример неудачный и слишком простой. Когда появляется куча отдельных цепочек читаемость сильно падает, особенно если оно еще и автоматически генерируется и надо добавить ручками свои правила (привет openshift!). На первый взгляд в nftables подобные вещи выглядят гораздо более читаемыми.

А старожилы помнят ещё ipchains, когда iptables ещё в помине не было. Впрочем подозреваю, что и следующий виток эволюции не даст линуксу нормальный fw.

К счастью мнение ведрорулей совпало с мнением среднего лоровского хипстера-модника.

Ты бы лучше ссылок накинул где показывают как и почему «нф» делает «ип» по многим критериям, а не только модными конфигами.

Не пробовал, даже не совсем в курсе с чего начать, но была тема, чел доказывал, что совсем просто вообще на Си написать фильтр вместо iptables или чего еще.

Я припоминаю, как ред хат с сусей грязно конкурировал. Вышла суся 11. Там 2.6.27 (вери лонг стейбл ядро линукс). Через год вышел рхел с 2.6.32. Причём столько всего понадобавляли в ядро в последний момент. Что просто так бинарь от RHEL6 и SLES11 не запустишь! Куча новых вызовов ядра, Glibc 2.12, OpenSSL 1.0, gnutls 2.6, KRB5 1.6, Xinput 2.

В этот раз суся поступила умнее. Выпустила SLES 12 после RHEL 7, чтобы ничего такого не случилось!

А сейчас вот собирается релизиться SLES 15. До релиза месяц. Код уже давно заморожен. Похоже что ситуация повторится, и перед релизом RHEL 8 быстренько поломают совместимость со всем старым. Перейдут на Wayland, дропнут iptables, выпустят OpenSSL 3 (или перейдут на LibreSSL), PipeWire, Dbus Broker... В Сусе что-то знали про nftables, раз дропнули SuSEFirewall2

А старожилы помнят ещё ipchains, когда iptables ещё в помине не было.

Тогда немного другая ситуация была. iptables был объективно лучше и с бОльшими возможностями. Сейчас «не так все однозначно» и попахивает заменой шила на мыло.

а когда ipchains меняли на iptables, так же было?

нет.

https://linux-audit.com/differences-between-iptables-and-nftables-explained/

а не только модными конфигами

Прочти нашу ветку, поймай суть разговора.

Good news is that the libnftables high level API is in great shape. It recently gained a new high level JSON API thanks to Phil Sutter.

Бгы =) Что скажут местные JS-хейтеры на это? Только не надо, что JSON никакого отношения к JS не имеет.

Норм тема, ибо жсон хорошо читаем. Но я не определился — хейтер я или нет, когда как, ибо контекст применения важен..

контекст применения важен

В данном случае можно запилить скрипты для файрвола на ноде. Или сделать тулзу для администрирования файрвола на электроне.

Это уже биндинги, а не парсинг конфигов в некий AST.

Можно переходить уже с ipfwadm?

Какая-то истерика на ровном месте.

Старые тулзы переименуют в iptables-legacy, а новые будут называться как старые, но будут использовать nf_tables.

Пффф. Надо было вообще выкинуть к черту это сраное легаси. Ынтырпрайз сидит на 10+ лет поддержке и им срать, а макаки пусть переучиваются сразу.

К любому ужосу привыкаешь, а тут не просто новое выкатили, а еще и заставляют!

Ну так пользователи/админы ничего не заметят. Там совместимо всё. Просто используют другой механизм. Я про /usr/sbin/iptables

ufw

Новые хоть такой же интерфейс предоставлять будут?

Правильно. IPchains
был удобнее!

Да ладно тебе. В линуксе интерфейс настройки файрвола несколько раз менялся. Когда ipchains на iptables меняли, ничего страшного не случилось.

Изменилась команда и добавился аргумент, емнип. Колбаса параметров осталась прежней.

Эта штука заменяет кучу отдельных управлялок, которые очень сильно пересекались.

Похоже что ситуация повторится, и перед релизом RHEL 8 быстренько поломают совместимость со всем старым. Перейдут на Wayland, дропнут iptables, выпустят OpenSSL 3 (или перейдут на LibreSSL), PipeWire, Dbus Broker...

...и RedHat заслуженно сдохнет. Этой говноконторе, которая только и делает что гадит линуксу и СПО, давно пора загнуться.

Они сделали очень много. Огромный вклад в ядро за последние 20 лет. Порт Firefox на Linux (на GTK 1-3).

Они сделали очень много.

Конечно много: kudzu, ядерный полигон добровольного тестирования fedora, pulseaudio, вяленый, systemd, avahi, активное продвижение технологий мелкософта, содействие во внедрении SecureBoot, и ещё много вредных штуковин и действий.

Да за такие дела редхату надо от стыда закрыться.

Огромный вклад в ядро за последние 20 лет.

Который всё равно сильно отстаёт от вклада сообщества.

Порт Firefox на Linux (на GTK 1-3).

Firefox изначально на линуксе работал. Зачем было делать какие-то дополнительные порты, неясно.

На Опеннете была статистика. Корпорации делают больше.

Что касается деятельности Поттеринга (avahi, pulseaudio, systemd) - Red Hat напоминает Шрама из Короля Льва. В молодости он спас короля от гибели. А потом пожалел об этом. Или я с чем-то путаю...

Что касается ядерного полигона. Разве это плохо? Там GRUB появился в 2003-м, сейчас им пользуются все.

> Firefox изначально на линуксе работал

Порт гуи на GTK делал Red Hat. Ещё браузера Мозилла на первый GTK.

Порт гуи на GTK делал Red Hat.

И что? До этого Netscape прекрасно на motif работал.

Ещё браузера Мозилла на первый GTK.

Точно уже не помню, но вроде сразу на GTK2 переводили.

В любом случае, утверждение про «порт Firefox на Linux» неверно - и Firefox, и Mozilla унаследовали исходно кроссплатформенную кодовую базу от Netscape.

Фиг вам называется (с) Переход ipfw -> ipchains был простым. А вот ipchains -> iptables сложнее.

а если ситуация, когда новый дистр, а на нем что-то старое не поднимается?

Очень смешно. Т.е. смены систем инициализации, версий софта, это не проблема? А вот только nftables подгадил. Прям беда печаль. Сколько случаев когда в рамках одного релиза после обновления отваливается то тот то другой демон...

А у тебя настроено модемное соединение с РОЛ?

Кстати вот тут проблем как раз нет. Не помню что бы конфиги править приходилось, во всяком случае еще 3 года назад работало (не РОЛ а свой модемный пул у клиента), как были конфиги (клиента) еще с конца 90-х, так они и «переезжали» между версиями ос.