Разработчики Netfilter предоставили замену iptables

И пусть любители XML-ных конфигов удавятся!

+5 :))

что у нас там с --match-owner? зае***ся костыли городить на проверку процесса, генерящего траф...

Зачем? Мы будем пользовать fwbuilder

> Зачем? Мы будем пользовать fwbuilder

В своём гамаке хоть на голове стойте, мне пофиг.

Не прошло и десяти лет как до разрабов iptables дошло что правила пишутся людями.

непонимаю, зачем делать замену, почему не сделать дополнение, как во FreeBSD, помоиму было бы гораздо профитнее =/

Как я понял это счастье, то минимизируется ядерная часть, ядру передается уже этот псевдокод. А на userspace ложится задача прослойки между homo sapiens и kernel.

Гамак - DSL без IDE ;)

>Не прошло и десяти лет как до разрабов iptables дошло что правила пишутся людями.
Для людёв уже хз сколько времени существует ferm.

Костыли для инвалидов а не для людей.

а чего сложного в iptables что "люди" не осилили, там же все элементарно, не то что tc :)

>Костыли для инвалидов а не для людей.
Протестую, ferm не костыль, а прослойка между iptables и прослойкой между креслом и компьютером :-).
P.S. ferm, кстати, проводит верификацию конфига и в случае ошибки не применяет изменения. Обычный такой себе скрипт на PERL, кстати.

+1

пока не особо вижу чем оно лучше того, что уже есть

А нечего было ночами вместо сна компилять генту и писать конфиг к ипитаблесу, теперь ты не человек, потому разницы и не видишь.

с таким конфигом останется тока иксы ставить на сервер и гуевую конфигурилку. иптаблес рулит.

Они в каждую новую ветку впихивают новый пакетный фильтр. Этот вероятно войдет в 2.8

Пример конфига ferm:

table filter chain INPUT {
saddr (1.2.3.4 2.3.4.5 3.4.5.6 4.5.6.7 5.6.7.8) {
proto tcp dport (http https ssh) ACCEPT;
proto udp dport domain ACCEPT;
}
}


или так:
@def $ADMIN_HOSTS = (1.2.3.4 2.3.4.5 3.4.5.6 4.5.6.7 5.6.7.8);

table filter chain INPUT {
saddr $ADMIN_HOSTS {
proto tcp dport (http https ssh) ACCEPT;
proto udp dport domain ACCEPT;
}
}

Куда уж проще?

в принципе ничего нового - чекпойнт придумали это лет эдак 15 назад,правда они там используют язык inspect для написания правил.Ждем человеческих гуев.

> а чего сложного в iptables что "люди" не осилили, там же все элементарно, не то что tc :)

Точно подмечено. Синтаксис iptables может казаться странным, пока не столкнёшься с tc :)

а как же simple, keep it simple? iptables можно быстро по памяти настроить хоть в 30меговом дистрибутиве, хоть вообще в initrd. А теперь - файлы, длинные тексты.

Не хороните linux!

Хм... А я уже собирался на схеме фронт-енд для iptables делать...

люди обычно умеют читать. Есть отличный иптаблес туториал, после прочтения которого сразу начинаешь все понимать. мануал переведен на тучу языков.

Да. Но это читабельнее.

>Пример конфига ferm:
>
>table filter chain INPUT {
>saddr (1.2.3.4 2.3.4.5 3.4.5.6 4.5.6.7 5.6.7.8) {
>proto tcp dport (http https ssh) ACCEPT;
>proto udp dport domain ACCEPT;
>}
>}
>или так:
>@def $ADMIN_HOSTS = (1.2.3.4 2.3.4.5 3.4.5.6 4.5.6.7 5.6.7.8);
>
>table filter chain INPUT {
>saddr $ADMIN_HOSTS {
>proto tcp dport (http https ssh) ACCEPT;
>proto udp dport domain ACCEPT;
>}
>Куда уж проще?

Проще? Пожалуйста:
ВХОДЯЩИЕ (почта, сайт, ненужная фигня) = РАЗРЕШИТЬ
ВХОДЯЩИЕ (какой-то порт непонятный) = СЕРВЕР ВНУТРИ:ПОРТ
ИСХОДЯЩИЕ (все) = СДЕЛАТЬ КАК У ЛЮДЕЙ
ОСТАЛЬНОЕ = ОТВЕТИТЬ ТЕМ-ЖЕ

Ура, кто-то понял что значит для людей.

а в вашем IDE тяжело сделать поддержку нового DSL? ;-)

Даешь sendmail в ядро!

Прозреваю что из-за вынесения кода который будет принимать решения по правилам за пределы ядра всё это будет на порядок тормознее. Фрюшники опять вылезут и будут кричать что фря как говнороутер заруливает линуксы.
А синтаксис приятный весьма. Хотя что мешало сделать pf-подобный? Ну да ладно, посмотрим что из этого вырастет

++++++1

Нет, shorewall.

а вообще, нужен демон, который будет периодически тестировать сеть и перенастраивать ее в соответствии с изменяющимися условиями.

> а вообще, нужен демон, который будет периодически тестировать сеть и перенастраивать ее в соответствии с изменяющимися условиями.

Демоны для протоколов RIP и OSPF написали чорт знает как давно.

>Демоны для протоколов RIP и OSPF написали чорт знает как давно.
а зебра/квагга/бирд уже умеют за меня настроить файрволл?

> зебра/квагга

Quagga is a fork of GNU Zebra
http://www.ru.quagga.net/about.php

В 2.6 не было нового пакетного фильтра

>Прозреваю что из-за вынесения кода который будет принимать решения по правилам за пределы ядра всё это будет на порядок тормознее. Фрюшники опять вылезут и будут кричать что фря как говнороутер заруливает линуксы.

Подозрительный ты мой! Ядро работает согласно правилам в псевдокоде. Никакого userspace. userspace только переводит текстовые правила в псевдокод.

> ИСХОДЯЩИЕ (все) = СДЕЛАТЬ КАК У ЛЮДЕЙ

Метко

> Синтаксис iptables может казаться странным, пока не столкнёшься с tc

Утраиваю. После того, как попробовал настроить tc, iptablesa больше не боюсь.

> что у нас там с --match-owner? зае***ся костыли городить на проверку процесса, генерящего траф...

+1024 ^ pi А вообще посмотрим, пощупаем :)

>
Не прошло и десяти лет как до разрабов iptables дошло что правила пишутся людями.

по моему в iptables все ясно наглядно и понятно , в отличие от ЭТОГО.

А обратно псевдокод в правила кто переводит? Или из файла мы грузим понятные правила, а потом если надо постотреть текущие настройки, получаем кашу?

И так в iptables была проблема, что при выводе правил (iptables -L) получаем опции не совсем в том виде, в каком указывали при вводе, например, -j SNAT --to-source x.x.x.x, а в выводе to:x.x.x.x.

P.S. Интерестно, а будут в iptables добавлять возможность нескольких целей в одном правиле, типа "-j LOG -j DROP" ?

>по моему в iptables все ясно наглядно и понятно , в отличие от ЭТОГО.
+1, ппкс

Куда уже проще iptables'а не знаю, а вот на этих конструкциях мозг встал... бред какой-то, для освоения ipt синтаксиса нуна просто знать работу tcp/ip стэка, для освоения ЭТОГО походу еще и программить не подетски.

> После того, как попробовал настроить tc, iptablesa больше не боюсь.

Не пробовал настраивать tc, но в iptables всё достаточно понятно и вовсе не нужно быть биороботом чтобы понять =) В крайнем случае всегда есть iptables tutorial переведённый в том числе и на русский

Не имеет смысла - iptables и так очень-очень понятная вещь.

> Не прошло и десяти лет как до разрабов iptables дошло что правила пишутся людями.

Но белка-то справилась? ;) И среднестатистический пользователь осилит, если постарается.

>> Демоны для протоколов RIP и OSPF написали чорт знает как давно.
> а зебра/квагга/бирд уже умеют за меня настроить файрволл?

Конечно. А ещё кастрюля за тебя кашу переваривает.

> А обратно псевдокод в правила кто переводит? Или из файла мы грузим понятные правила, а потом если надо постотреть текущие настройки, получаем кашу?

А зачем? Давно ты программы декомпилировал?

+ iptables "гибче"

>Не пробовал настраивать tc

стоит попробовать. это развчлечение для стойких духом.

> И среднестатистический пользователь осилит, если постарается.

Среднестатистический пользователь не должен разбираться в iptables. Должен быть гуй, в котором можно просто и понятно настроить firewall. Базовые вещи. Если кому надо посложнее, пусть пишет правила сам.