https://www.opennet.ru/openforum/vsluhforumID3/138294.html Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.4.0, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64197<br> https://www.opennet.ru/openforum/vsluhforumID3/138294.html#68 Sun, 23 Nov 2025 10:16:01 GMT &gt;&gt; Ну, "неудобство" само по себе безопасность никоим образом не повышает, да?<br>&gt; зведза.<br>&gt; о5 придется аналогиями.<br>&gt; 1) 2FA неудобно ?<br>&gt; 2) 2FA повышает безопастность, повышает или зависит от реализации ?<br><br>На оба вопроса ответ - "зависит от реализации". Скажем, какой-нибудь ybikey или приличная интегрированная реализация webauthn вполне себе удобно и безопасно - а вот СМС на одном устройстве с терминалом - ни то, ни другое. <br><br>&gt;&gt; пользователь голосует рублем <br>&gt; пользователь жрет что дают.<br><br>Но некоторые вещи вот даже забесплатно не берут, ага?<br><br>&gt; против шмонов с разуванием в а/портах и на ж.д. что-то никто рублем <br>&gt; не голосует. хотя могли бы.<br>&gt; саботажем видеонаблюдения в туалетах тоже никто не занимается, <br>&gt; хотя чего проще - наклеил поверх объектва фольгу на суперклей и ушел. <br><br>Лицо борцов за-нашу-и-вашу-свободу, ага. <br> https://www.opennet.ru/openforum/vsluhforumID3/138294.html#67 Sun, 23 Nov 2025 09:17:48 GMT &gt; Ну, "неудобство" само по себе безопасность никоим образом не повышает, да?<br><br>зведза.<br>о5 придется аналогиями.<br><br>1) 2FA неудобно ?<br>2) 2FA повышает безопастность, повышает или зависит от реализации ?<br><br>&gt; пользователь голосует рублем<br><br>пользователь жрет что дают.<br>против шмонов с разуванием в а/портах и на ж.д. что-то никто рублем не голосует. хотя могли бы.<br>саботажем видеонаблюдения в туалетах тоже никто не занимается,<br>хотя чего проще - наклеил поверх объектва фольгу на суперклей и ушел.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/138294.html#66 Sun, 23 Nov 2025 09:11:42 GMT &gt; как-то куда проще, чем сабж.<br><br>это та самая простота которая хуже воровста.<br>1) какое правило будет обработано первым, а какое - вторым ? почему ?<br>2) второе правило действует на вход (сервер), на выход (клиенты к другим серверам),<br>на форвард, на вообще все ? если не на все то на какие интерфейсы ?<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/138294.html#65 Sun, 23 Nov 2025 08:15:28 GMT &gt;&gt; у пользователя есть потребность: "контролировать работу _программ_" с минимальными для себя накладными расходами.<br>&gt; пользователь забыл, что безопасность никогда не была удобной и никогда не будет. <br><br>Ну, "неудобство" само по себе безопасность никоим образом не повышает, да? Более того, "неудобная" СУИБ - _значительно_ повышает риски ошибочных настроек, не актуальных изменений и т.д. А пользователь - пользователь голосует рублем - причем, н-негодяй - за тех, кто не делает ему плохо-больно-неудобно-терпи-смерд-это-ради-безопасносте!<br> https://www.opennet.ru/openforum/vsluhforumID3/138294.html#64 Sat, 22 Nov 2025 10:52:02 GMT &gt; у пользователя есть потребность: "контролировать работу _программ_" с минимальными для себя накладными расходами.<br><br>пользователь забыл, что безопасность никогда не была удобной и никогда не будет.<br> https://www.opennet.ru/openforum/vsluhforumID3/138294.html#63 Tue, 18 Nov 2025 04:31:26 GMT &gt; Проще и лучше ipfw во freebsd не будет никогда фаирволла <br><br>Главное - больше пулуста правил в простыне не делать и вот нагрузки не давать, ага. А то как начинается разделение ingress\egress трафика по интерфейсам через skipto, да с keep-state - iptables во всей своей кривизне прям сильно проще оказывается. <br> https://www.opennet.ru/openforum/vsluhforumID3/138294.html#62 Tue, 18 Nov 2025 04:27:24 GMT &gt;&gt; По этому будем сознательно делать "так же, как на винде, но ХУЖЕ!".<br>&gt; отказать.<br>&gt; делать будем традиционным the UNIX way.<br>&gt; совпадет с виндовой идеологией (а кстати какая там идеология ?<br>&gt; прошу формулировку в 10 слов 1 предложение) или не совпадет - <br>&gt; вообще неважно и несущественно.<br><br>Вот смотри - у пользователя есть потребность: "контролировать работу _программ_" с минимальными для себя накладными расходами. Вы предлагаете - за счет пользователя - добавить дополнительные абстракции ns\user без каких-либо гарантий тождественности и с очень условной автоматизацией. <br><br>&gt;&gt; Не, я пожалуй несколько лучшего мнения о сообществе(ТМ), <br>&gt; нет никакого сообщества. каждый за себя.<br>&gt; если интересы совпали - это хорошо, если нет - тоже приемлемо.<br><br>Ну вот с этого надо КРУПНЫМИ БУКВАМИ начинать и этим же заканчивать. Еще добавлять знаменитое "НИКТО НИКОМУ НИЧЕГО НЕ ДОЛЖЕН", чтоб уж совсем хорошо. <br> https://www.opennet.ru/openforum/vsluhforumID3/138294.html#61 Sat, 15 Nov 2025 02:16:14 GMT &gt; По этому будем сознательно делать "так же, как на винде, но ХУЖЕ!".<br><br>отказать.<br>делать будем традиционным the UNIX way.<br>совпадет с виндовой идеологией (а кстати какая там идеология ?<br>прошу формулировку в 10 слов 1 предложение) или не совпадет -<br>вообще неважно и несущественно.<br><br>&gt; Не, я пожалуй несколько лучшего мнения о сообществе(ТМ), <br><br>нет никакого сообщества. каждый за себя.<br>если интересы совпали - это хорошо, если нет - тоже приемлемо.<br> https://www.opennet.ru/openforum/vsluhforumID3/138294.html#60 Thu, 13 Nov 2025 08:54:51 GMT Счётчики в какой-то версии из версии nftables добавили что прямо в элементы можно добавлять.<br>Обычное разрешение с нужных ip адресов на порт превращается в тот ещё квест на firewalld. <br>