LINUX.ORG.RU

Семейство утилит iptables переведут с ip_tables на BPF

 , , ,


3

5

На конференции Netfilter Workshop разработчики сетевой подсистемы ядра Linux объявили о скором переходе ставших традиционными утилит конфигурирования netfilter (iptables, ebtables, arptables) с ядерной подсистемы ip_tables на Berkeley Packet Filter/x_tables, предоставляющей более гибкие возможности по управлению обработкой проходящих через Linux сетевых пакетов и возможно большей производительностью обработки за счёт использования JIT-компилятора.

Устаревшим утилитам будет присвоен постфикс "-legacy".

Также доступен транслятор для перевода правил iptables в синтаксис «родной» утилиты новой подсистемы ядра (nft): iptables-translate.

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: Shaman007 (всего исправлений: 1)
Ответ на: комментарий от anonymous

И не говори... Сперва OSS их не устраивает, потом sh им не понравился, затем VT340 вдруг оказались якобы нерабочими, нужно срочно втюхнуть X Window System, плевать, что оно не работает, но нужно же чем-то выпендриться, затем вдруг Athena и Motif стали резко убогими, нужно срочно запилить громоздкое GTK+, накрутить на него убогий гном, сделать Qt, которое нужно под FreeBSD патчить, теперь вот ipf не устраивает, давайте перепиливать.

KOHb-TPOJIJIbJIEP
()
Ответ на: комментарий от Deleted

Крио-камера протекла?

у многих ещё ipfwadm в продакшене...

anonymous
()
Ответ на: комментарий от KOHb-TPOJIJIbJIEP

появление gtk никак не влияло на работу motif, по остальным примерам аналогично. а вот про пшшаудио, системд и т.п. уже так не сказать.

anonymous
()

На Qt хочу.

anonymous
()

Хорошая новость. Судя по форумам, есть пока ещё шероховатости, бывают правила, что не транслируются в nftables и не заводятся с помощью iptables-compat. Мне повезло, те правила что юзаю я - транслируются нормально.

lucentcode ★★★★★
()
Ответ на: комментарий от Vsevolod-linuxoid

Провайдер когда-то спокойно пережил переезд с ipchains на iptables, так что и тут особо проблем не будет. Главное, чтобы производительность не просадили с этими новшествами.

На самом деле, iptables с ipset сейчас используются только для удовлетворения РКН, ну и для локального прикрытия портов на серваках, всякие NAT и пр. решения для нищебродов, которые не могут себе белых айпишников купить давно уже не актуальны. Так что пофиг тащемта. Тем более, что когда BPF таки стабилизируется и будет готов, может уже и РКНов-то никаких не останется.

Stanson ★★★★★
()
Ответ на: комментарий от Promusik

ты пади исчо и «блуетуч» c «фрешкой» разобрать не сможешь чо такое?

mumpster ★★★★★
()

а можно для только что вышедших из анабиоза с криокамеры - чем вызван отказ от iptables?

mumpster ★★★★★
()

Линуксоды! Зачем вам нужны эти постоянные и непонятные выдрыгивания? Почему вы не хотите портировать себе pf?

anonymous
()

сайты не работают, вики с документацией не открывается.

system-root ★★★★★
()

Harsha Sharma, 18 years old from India, gave a talk explaining her work on nftables to the rest of Netfilter contributors. This is possible thanks to internship programs like Outreachy and Google Summer of Code. Varsha and Harsha, both are so brave for traveling so far from home to join a mostly european-white-men-only meeting. We where joined by 3 women this workshop and I would like to believe this is a symbol of our inclusiveness, of being a healthy community.

SJW-овщина пожирает наши гнулинуксы!

Harald ★★★★★
()
Ответ на: комментарий от mx__

Оно жежь всегда быдо надстройкой над iptables. Как теперь будет работать?

te111011010
()

А где-нибудь есть список чего недокодили в следующих версиях фаерволлов? ipchains , iptables ebtables arptables , nft. Сравнение конечно со всеми модулями написанными под фаерволы.

anonymous
()
Ответ на: комментарий от Stanson

На самом деле, iptables с ipset сейчас используются только для >>удовлетворения РКН, ну и для локального прикрытия портов на >>серваках, всякие NAT и пр. решения для нищебродов, которые не >>могут себе белых айпишников купить давно уже не актуальны.

Вы тут говорите конечно ну просто очень огромную чушь. Даже не буду вдаваться в холивар, ибо судя по вашему «потоку сознания» относительно сказанного вами-это не имеет никакого особого смысла-) Но то что вы весьма далеки от ИТ технологий в части организации и поддержки сетей и инфраструктур(причем о многих отдельных областях в данном контексте вы вообще никакого понятия не имеете)-это вполне очевидно. Ну либо просто «грамотно» троллите.

ChAnton ★★
()
Последнее исправление: ChAnton (всего исправлений: 2)
Ответ на: комментарий от ChAnton

Вы тут говорите конечно не просто очень огромную чушь. Даже не буду вдаваться в холивар, ибо судя по вашему «потоку сознания» относительно сказанного вами-это не имеет никакого особого смысла-)

Меня спросили, я ответил. Другого ответа о том, как сейчас обстоят дела с iptables в провайдерстве и почему переход на BPF особо меня не волнует у меня для вас нет.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

В провайдерстве с iptables дела обстоят вполне нормально, и NAT/PAT и прочие прибамбасы там используются на полную катушку по вполне определенным и очевидным факторам, думаю и сами должны это понимать. Но скажу лишь мельком только про одну маленьку деталь: Сетевой стек линукс кстати-один из самых быстрых, стабильных, и главное-бесплатных, а также в отличие от проприетарного дерьма-открытых, дальше развивать тему в вашем мозгу предлагаю вам самому.

Без обид, если что,

С уважением,

ChAnton ★★
()
Последнее исправление: ChAnton (всего исправлений: 1)
Ответ на: комментарий от ChAnton

В провайдерстве с iptables дела обстоят вполне нормально, и NAT/PAT и прочие прибамбасы там используются на полную катушку по вполне определенным и очевидным факторам, думаю и сами должны это понимать.

Чо мне понимать, я провайдер. Никаких определённых очевидных факторов для использования NAT в провайдерстве, кроме нищебродства и/или жабы (которая всегда выходит боком, на самом деле) на сегодня нет.

Stanson ★★★★★
()
Последнее исправление: Stanson (всего исправлений: 3)
Ответ на: комментарий от ChAnton

Зачем по миллион раз переделывать то, что привычно, и что самое главное-ОТЛИЧНО РАБОТАЕТ

Потому что в iptables есть некоторые врождённые проблемы - обязательные счётчики в каждом правиле, неспособность иметь в одном правиле больше 1-го src и так далее. И чтобы от этих недостатков избавится, приходится ломать совместимость.

Ну а раз всё равно совместимость сломали - почему бы не сделать более логичный формат описания правил?

С systemd путать не надо, тут добавляют возможности, там для решения некоторых проблем sysv init сделали монстра, который
решил эти проблемы, но добавил ещё больше других проблем.

selivan ★★★
()
Ответ на: комментарий от mumpster

а можно для только что вышедших из анабиоза с криокамеры - чем вызван отказ от iptables?

Thero в этом треде всё хорошо расписал.

Harliff ★★★★★
()
Ответ на: комментарий от ne-vlezay

Тогда зачем он нужен? Лучше бы VPLS в linux добавили бы)))

Тебя всё ещё не подключают по BGP без MPLS ? :-)))

AS ★★★★★
()
Ответ на: комментарий от anonymous

Почему вы не хотите портировать себе pf?

В теме про ядерную часть вообще-то, а не про юзерспейс.

AS ★★★★★
()
Ответ на: комментарий от AS

Я говорю потому, что от него было бы больше пользы, чем от переделки netfilter на bpf (и к тому же без возможности фильтрации по сигнатурам). Дело в том, что фильтрация по сигнатурам очень полезная вешь, можно не только фильтровать, но и классифицировать на прикладном уровне. Например такое правило:

iptables -A FORWARD -p udp -m string --hex-string "|4f 45 74 03|" --algo bm -m string --string "BogdanUbivan"--algo bm -j DROP
Блокирует грифиру игру на сервере в minetest на узлах связи.

ne-vlezay ★★★★★
()
Ответ на: комментарий от ne-vlezay

ридонли райтонли говно называть полезным. ну ок.
это как полезность регеэкспа для парсинга валидности почтовых ящиков. супер полезно. каждый раз — как первый раз.

system-root ★★★★★
()
Последнее исправление: system-root (всего исправлений: 1)
Ответ на: комментарий от dogbert

Потому что ниасилил загуглить --pid-owner? Бывает, чо...

anonymous
()
Ответ на: комментарий от ChAnton

Ой да ладно вам. Посмотрите на историю перед iptables был ipfw и ipchains и ничего, перезжали. Вот уже на iptables лично мне было тяжеловато переехать, но как-то осилил :) А тут вроде и транслятор правил завезли, так что должно быть достаточно комфортно в плане неспешного переезда.

anc ★★★★★
()
Ответ на: комментарий от anonymous

Для тех, кто в танке: он пропускает не «порты самбы», а просто порты с указанными номерами. А кто там на самом деле слушает - брандмауэр не волнует. Application-based - это когда пакеты из указанного порта разрешаем жрать конкретному процессу, а другим нэтЪ. Другой вопрос, что в линукс это (КМК) не особенно-то и надо

Ну судя по достаточно часто возникающим темам вида как ограничить доступ program-name, всетаки востребовано :)

anc ★★★★★
()
Ответ на: комментарий от anonymous

Нда? --uid(gid)-owner - это же привязка к uid/gid, запустившему процесс, а не к самому процессу. Толку-то.

Тут такая шняга, что не всегда можно поменять uid/gid процессу на какой-то уникальный. Но есть netns.

anc ★★★★★
()

НУЖНО БОЛЬШЕ ПЕРЕПИСЫВАНИЙ КОДА БОГУ ПЕРЕПИСЫВАНИЯ КОДА

ЗАЧЕМ ПЫТАТЬ ДОГНАТЬ ВИНДОВС 2000, ЕСЛИ МОЖНО ТОПТАТЬСЯ НА МЕСТЕ ПЕРЕПИСЫВАЯ КОД
Я СВОБОДНЫЙ ОТ ЗАДРОСТВА ЧЕЛОВЕК
ПЕРЕПИСЫВАЮ КОД ПО ТРИ РАЗА ДЕНЬ...

anonymous
()
Ответ на: комментарий от system-root

Всё же, как мне думается, linux.org.ru без аватар смотрится несколько скучновато...

anonymous
()
Ответ на: комментарий от mx__

Кек, особенно становится наплевать, когда для сколь нибудь сложных правил приходится писать direct rules

anonymous
()
Ответ на: комментарий от ChAnton

Еще раз нет. Изменения изменениям рознь, и те изменения которые сделали в данном случае-это преднамеренное насильственное устраивание бардака и хаоса с целью внести сумятицу, усложнить и создать геморрой, что уже в свою очередь ставиться целью подменить и подмять стандарты.

Мда, походу вы не прошли «старую школу». Здесь разговор о системе, которая позволит решить большее кол-во задач и еще как заявлено с меньшем оверхэдом. Сравните ipchains и iptables. Разница очевидна.

anc ★★★★★
()
Ответ на: комментарий от anonymous

Можно свой сервис написать, а ещё лучше понять что к чему и вланом прокинуть трафик внутрь ВМ которая по сути выполняет только роль фиревала между инетом и сетью предприятия.

mx__ ★★★★★
()
Ответ на: комментарий от mx__

А можно не обмазываться пустыми обёртками, которые сами по себе могут вносить баги и лишние сложности, и использовать полноценное решение. Благо с nftables, например, это уже гораздо более приятно, чем с iptables.

anonymous
()
Ответ на: комментарий от anonymous

С какого-то перепугу для IPv6 надо использовать отдельные бинарники, отдельные ipset, отдельное небо и отдельного Аллаха. Из-за чего правила дублируюся постоянно и всё превращается в операционный ад быстрее, чем приближается пенсия.

Может потому что v4 и v6 сильно отличаются? Нэ?

anc ★★★★★
()

Тут много личностей спрашивают про app-based firewall, кому и зачем он нужен.

Например, мне нужен. Даже приведу пример, где.

Держу я небольшую рендер-ферму на крякнутом софте, линупс используется исключительно как пускалка всякой вкусной проприетарщинки за сотни нефти. Но, вот, незадача - некоторый софт очень любит «звонить домой», чтобы пиратов анально покарали.

Сейчас эта задача у меня решена просто и в лоб - отдельный внешний фаерволл на микротике, который блочит все пакеты из подсети в интернет. А вот доступ МНЕ в эту подсеть из интернета затруднен - приходится прыгать с ssh туннелями, плюс взаимодействие с веб-сервисом сделано через пень-колоду.

А как было бы просто и красиво с апп-фв! Просто запретил некоторым процессам пользоваться сетью и гемора ноль.

Теперь ясен юзкейс?

anonymous
()
Ответ на: комментарий от anonymous

нафига тогда нужен apparmor, cgroups, lxc, прочая дичь? вот пока апп-фв не сделают, ну никак это не решить?

system-root ★★★★★
()
Ответ на: комментарий от anonymous

re: запретил некоторым процессам пользоваться сетью

Однако, как поступать с трафиком процессов, которые ходят в сеть через запуск внешних(man 1 wget, curl)? Которые запущены по символьной или настоящей ссылке(man ln, alternatives)? С поддельными библиотеками(LD_PRELOAD/etc.)? С удалённым файлом(mv firefox save && ln anyprogram firefox && $PWD/firefox & mv save firefox)? Запущенным по правильному имени но из поддельной файловой системы(choot или mount)?

Думаю, такой штуки нет потому, что она создаёт лишь видимость защиты.

DonkeyHot ★★★★★
()
Ответ на: комментарий от anonymous

А можно не обмазываться пустыми обёртками

Правильно, зачем скриптовые языки, си и в конце концов асм, пусть кодируют сразу в машинных кодах :) Утрировал но идея таже.

Так что будем надеяться что шапка допилит firewalld чтобы он сразу дергал BPF и вопрос будет решен.

mx__ ★★★★★
()
Ответ на: комментарий от anonymous

Пора уже SELinux какой-нибудь окончательно прикрутить

Так он уже прикручен. Но всё время встречаются какие-то куски, которым чего-то не хватает. Решаются эти проблемы чаще всего «setenforce 0». Получается, толку с этого немного.

Вероятно, у «здоровых» людей лень сильнее паранойи. Т.ч. с app-based фиреволом в реальной жизни будет то же.

DonkeyHot ★★★★★
()
Последнее исправление: DonkeyHot (всего исправлений: 1)
Ответ на: комментарий от mx__

Тема это сабж и там если что про iptables а не про netfilter.

Там, если что, не про утилиты юзерспейса. Читай внимательно.

AS ★★★★★
()
Ответ на: комментарий от anonymous

А как было бы просто и красиво с апп-фв! Просто запретил некоторым процессам пользоваться сетью и гемора ноль.

Ну запусти от определённого пользователя и запрети ему.

AS ★★★★★
()

А те, кто в теме, может пояснят суть нововведений. Собственно есть вопросы: 1. Говорят, что код ядерной подсистемы ip_tables очень запутанный, там много оверхеда и пр. в том же духе. Охотно верю. Но, по-моему у этой неприятности есть объективные предпосылки. Ведь, условно говоря, в ядре нет какого-то одного места, где сетевой пакет был бы полностью определен. Различные атрибуты и свойства сетевого пакета возникают на разных стадиях его обработки. Более того и фильтрацию по разным критериям целесообразно проводить на разных этапах обработки пакета. Тогда что же может быть кардинально улучшено в этом плане? 2. Почитал про планов громадьё. Так там тебе и трансляция в байт-код и виртуальная машина. Но, исходя из описанных в первом пункте проблем, как это вообще все можно реализовать? Ведь все равно, как ни крути, обработка пакетов будет вестись кучей модулей на разных этапах следования пакета. 3. Ну и по поводу удобных/неудобных правил фильтрации iptables. Ведь по сути то они полное отражение реально выполняемого процесса. Сетевой пакет проходит различные стадии обработки. На каждой из них (или на некоторых) его атрибуты сверяются с заданными атрибутами в таблицах. Ну что тут еще можно добавить и убавить, ну может быть, кроме расширения типов таких атрибутов?

zloy_starper ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.