LINUX.ORG.RU

Семейство утилит iptables переведут с ip_tables на BPF

 , , ,


3

5

На конференции Netfilter Workshop разработчики сетевой подсистемы ядра Linux объявили о скором переходе ставших традиционными утилит конфигурирования netfilter (iptables, ebtables, arptables) с ядерной подсистемы ip_tables на Berkeley Packet Filter/x_tables, предоставляющей более гибкие возможности по управлению обработкой проходящих через Linux сетевых пакетов и возможно большей производительностью обработки за счёт использования JIT-компилятора.

Устаревшим утилитам будет присвоен постфикс "-legacy".

Также доступен транслятор для перевода правил iptables в синтаксис «родной» утилиты новой подсистемы ядра (nft): iptables-translate.

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: Shaman007 (всего исправлений: 1)
Ответ на: комментарий от anonymous

Вообще ядерный ip_tables принимает от юзерспейса таблицы целиком. Например, весь ipv4 filter, со всеми его цепочками. Поэтому сделать атомарное изменение нескольких правил таблицы можно. Просто в юзерспейсных утилитах iptables и ip6tables такая возможность не реализована, они работают с одним правилом за запуск. Вот iptables-restore работает транзакциями.

iliyap ★★★★★
()
Ответ на: комментарий от anonymous

Ты имеешь в виду дроп пакетов или необновление счетчиков на правилах? Просто мне вот не очевидно, чем я могу «посмотреть» дроп, и с чем я могу сверить счетчики.

iliyap ★★★★★
()
Ответ на: комментарий от iliyap

не очевидно, чем я могу «посмотреть» дроп, и с чем я могу сверить счетчики

Я имею в виду именно дроп пакетов. Со счётчиками всё ещё хуже.

Посмотреть же просто: ping -f.

anonymous
()
Ответ на: комментарий от Black_Shadow

Оно нужно там, где виртуалки создаются-удаляются с новыми адресами и интерфейсами каждый раз. OpenShift и иже с ними.

Yustas ★★★★
()
Ответ на: комментарий от dogbert

Интересно, доживём ли когда-нибудь до рабочего application-based firewall

OpenSnitch не подойдёт?

hobbit ★★★★★
()

Когда ж уже пройдет эпидемия синдрома NIH? Ну в самом деле, сколько можно? Сперва альса их не устраивает, потом инит им не понравился, затем иксы вдруг оказались якобы нерабочими, нужно срочно втюхнуть вяленого, плевать, что он не работает, но нужно же чем-то выпендриться, затем вдруг гтк2 и кт4 стали резко убогими, нужно срочно запилить громоздкое гтк3, накрутить на него убогий третий гном, сделать кт5, на котором плазма падает еще чаще, теперь вот iptables не устраивает, давайте перепиливать

anonymous
()
Ответ на: комментарий от anonymous

Слишком скучно, нужно на Electron, сервисы на Node.js, хранение конфигураций в Mongo.

anonymous
()

Наконецто :-)

cvv ★★★★★
()
Ответ на: комментарий от anonymous

Чем же? И что тогда удобно? Скучные виндовсковские обои защитник, брандамуэр и центр безопасности?

anonymous
()
Ответ на: комментарий от anonymous

Где мои define в iptables? Только про лапшу на баше не вспоминай.

anonymous
()
Ответ на: комментарий от anonymous

iptables не устраивает

При чём давно уже не устраивает, но альтернатив не было. Да и сейчас нет, но хотя бы вот надежда появилась, что будут.

anonymous
()
Ответ на: комментарий от anonymous

ну так когда создавали iptables там много чего в протокол было нахардкожено что потом пришлось городить костыли и подпорки..

но в nft это всё-таки решено, хоть и не полностью, да.

Thero ★★★★★
()
Ответ на: комментарий от kawaii_neko

так уже было сделано несколько лет назад b эта эпоха перехода теперь закончена.

Thero ★★★★★
()

так и не понял, какие правила могут транслироваться? те, которые для iptables-(save|restore), те, которые можно вытянуть из ядра или можно кормить любой произвольный набор аргументов iptables?

ananas ★★★★★
()
Последнее исправление: ananas (всего исправлений: 1)
Ответ на: комментарий от ChAnton

Зачем по миллион раз переделывать то, что привычно, и что самое главное-ОТЛИЧНО РАБОТАЕТ!?

Тут JIT обещают и частичный, но стандартизованный оффлоад простейших правил на процессор сетевухи. Оно, конечно, потребует обновления соответствующих дров. Но на локалхосте это не нужно, и сетевух таких нет там. Бонусом - старый синтаксис правил.

Suigintou ★★★★★
()
Ответ на: комментарий от ananas

есть iptables-compat( который берёт вызов iptables и компилит его в байткод nft и отдаёт на исполнение) эта штука прожёвывает всё поэтому она теперь станет iptables

и есть iptables-translate который скушает твою команду к iptables и выдаст аналогичную команду для nft чтоб ты мог переписать свои скрипты по красоте.

Thero ★★★★★
()
Ответ на: комментарий от anonymous

Сколько раз вам нужно повторять, что application based firewall - безполезная хуита, если не контролировать доступ к файловой системе, ipc и прочему. Не бывает рабочего application-based firewall по определению.

Чего там контролировать? Я хочу, чтобы /usr/bin/firefox мог выйти в интернеты, а /usr/local/games/ContraptionMaker/ContraptionMaker.sh — нет, ибо нехер качать обновы без спросу.
В сраной винде я могу это сделать через встроенный файрфолл. В лучшей сетевой операционке всех времён и народов — нет.

dogbert ★★★★★
()
Ответ на: комментарий от Deleted

Я только один кейс могу придумать - помоечный шаред хостинг, где проще запретить, чем продиагностировать рассадник вирья. Как это знакомо - решать следствие, а не причину :))

Любой средний по больнице локалхост, где недосуг заботиться о джипиэльности софта и заниматься аудитом кода запускаемых игрулек.

dogbert ★★★★★
()
Ответ на: комментарий от anonymous

Тогда сразу файрволл потуши

А зачем ты его запускал для локалхоста?

LamerOk ★★★★★
()
Ответ на: комментарий от anonymous

Другой вопрос, что в линукс это (КМК) не особенно-то и надо, при условии, что установлены б/м проверенные приложения из б/м проверенных репозиториев, а не как в винде - кульные прожки с файлообменников.

В линуксе теперь есть целый Flathub и DockerHub, куда одни упыри публикуют каку, а другие оттуда скачивают, что даже похлестче.

Flathub пока еще не нужен никому™, а на докерхабе уже зловреда есть, хоть жопой жуй.

shimon ★★★★★
()
Ответ на: комментарий от dogbert

Чего там контролировать? Я хочу, чтобы /usr/bin/firefox мог выйти в интернеты, а /usr/local/games/ContraptionMaker/ContraptionMaker.sh — нет, ибо нехер качать обновы без спросу.

Ну так отключи в нём обновы, блджад.

Там контролировать, чтобы /usr/local/games/ContraptionMaker/ContraptionsMaker.sh не прописал тебе alias sudo=«снести opensnitch и прочее нинужно кхерам» в ~/.bashrc например.

anonymous
()
Ответ на: комментарий от Black_Shadow

согласен только путаницу создает и лишние абстракции.

anonymous
()
Ответ на: комментарий от shimon

Flathub пока еще не нужен никому™, а на докерхабе уже зловреда есть, хоть жопой жуй.

Где то мелькала новость насчет докерхаба, там кто то в контейнеры майнера засунул.

anonymous
()

я не пойму: зачем каждый день это переводить?

только-только отвыкли от ipchains и привыкли к iptables, теперь опять заново все перепривыкать.

блин!

rsync ★★
()
Ответ на: комментарий от anonymous

И что же мешает добавить транзакционное обновление в iptables? NIH-cиндром?

Nastishka ★★★★★
()

Давно хотел попробовать nftables, теперь и повод есть.

voltmod ★★★
()
Ответ на: комментарий от anonymous

Если тебе это не нужно - не ори, что никому это не нужно.

zgen ★★★★★
()
Ответ на: комментарий от anonymous

Типичный школоло-гномосек, ему объясняют, почему оно не работает, мечут, блджаж, бисер перед ним, а он на единственном понятом слове пробует выехать.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.