https://www.opennet.me/openforum/vsluhforumID3/68920.html В течение минувшей недели проект Netfilter (http://www.netfilter.org/), занимающийся разработкой одноименного фреймворка для фильтрации и преобразования пакетов в ядре Linux, объявил (http://lists.netfilter.org/pipermail/netfilter-announce/2010/thread.html) о выходе новых версий сразу нескольких субпроектов, развивающихся под его эгидой:<br><br><br><br><br><br>- libnetfilter_queue 1.0.0 (http://lists.netfilter.org/pipermail/netfilter-announce/2010/000154.html). Данная библиотека позволяет ядру передавать пакеты на обработку userspace-приложениям, обеспечивая взаимодействие с модулем nfnetlink_queue через интерфейс nfnetlink. Этот механизм заменяет собой устаревший интерфейс ip_queue/libipq. Библиотека libnetfilter_queue используется в ряде проектов, таких как:<br><br><br>- l7-filter-userspace (http://l7-filter.sourceforge.net/) &#8212; может определять протокол прикладного уровня путем анализа пакета с применением регулярных выражений. <br>- NuFW (http://www.nufw.org/) &#8212; обеспечивает разрешение или бл...<br><br>URL: http://lists.n https://www.opennet.me/openforum/vsluhforumID3/68920.html#19 Tue, 20 Jul 2010 07:46:55 GMT Думаю проблемы только из-за того что протокол разработан cisco и соответсвенно права принадлежат ей.<br> https://www.opennet.me/openforum/vsluhforumID3/68920.html#18 Mon, 19 Jul 2010 08:49:24 GMT &gt;BTW, есть ли инфа, почему ещё не "взяли под крыло"? Что-то сходу <br>&gt;ничего не нагуглилось. Где-нибудь в xtables-addons ему сейчас самое место. <br><br>Может, напишете человеку, который занимается xtables-addons (http://jengelh.medozas.de/contact/)?<br>Кстати, если вас не затруднит, отпишитесь потом здесь. Не то чтобы лично для меня судьба ipt_NETFLOW так уж важна, просто самому любопытно, в чем же дело.<br> https://www.opennet.me/openforum/vsluhforumID3/68920.html#17 Mon, 19 Jul 2010 08:44:38 GMT &gt;Хм. А кто сказал, что это баг, когда это всю жизнь было фичей? Хочешь большой список правил - используй iptables-restore, всегда так жили.<br><br>Теперь будем жить лучше =)<br><br>&gt;И не могли бы Вы рассказать, как именно он устраняется в xtables2?<br><br>Как-то так<br>&gt;The internal structure of the ruleset is switched from the serialized blob format (concatenated packed structs) to linked lists.<br><br>Подробности можно почитать здесь: http://lwn.net/Articles/345176<br><br>&gt;До каких версий апгрейдиться, чтобы пощупать?<br><br>Это просто набор патчей, которые потихоньку коммитят в ядро. Обычные юзеры и админы не должны заметить никакой разницы - отличия будут видны только разработчикам.<br> https://www.opennet.me/openforum/vsluhforumID3/68920.html#16 Mon, 19 Jul 2010 06:34:13 GMT &gt;Нет, просто главный баг архитектуры netfilter, с которого все начиналось (необходимость перезагружать <br>&gt;всю таблицу при добавлении одного правила) успешно устраняется мейнстримным проектом xtables2, <br>&gt;<br><br>Хм. А кто сказал, что это баг, когда это всю жизнь было фичей? Хочешь большой список правил - используй iptables-restore, всегда так жили.<br>И не могли бы Вы рассказать, как именно он устраняется в xtables2? До каких версий апгрейдиться, чтобы пощупать?<br><br>Сам по себе nftables - да, никому и не был нужен. Более того, на первый взгляд сильно усложнял работу с фаерволлом своим гораздо более идиотским синтаксисом.<br> https://www.opennet.me/openforum/vsluhforumID3/68920.html#15 Mon, 19 Jul 2010 06:20:18 GMT &gt;Бедные процессоры. <br>&gt;<br>&gt;ipt_NETFLOW &#8212; единственное решение, которое себя хорошо показало на высоконагруженном PPPoE-концентраторе. <br><br>Плюсую.<br><br>BTW, есть ли инфа, почему ещё не "взяли под крыло"? Что-то сходу ничего не нагуглилось. Где-нибудь в xtables-addons ему сейчас самое место.<br> https://www.opennet.me/openforum/vsluhforumID3/68920.html#14 Sun, 18 Jul 2010 23:28:40 GMT Начиная с 1.4.6 - можно.<br>iptables -A OUTPUT -d 192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 -j ...<br><br>При этом автоматически добавятся три правила, каждое для одной подсети, в остальном одинаковые.<br> https://www.opennet.me/openforum/vsluhforumID3/68920.html#13 Sun, 18 Jul 2010 23:26:27 GMT Вы пробовали ulogd2? Говорят, во второй ветке его переписали с нуля, и он получился очень быстрым. Правда, пока что в netflow экспортировать не умеет =(<br> https://www.opennet.me/openforum/vsluhforumID3/68920.html#12 Sun, 18 Jul 2010 16:00:39 GMT Кстати, подскажите, как задавать несколько подсетей в --dst у iptables. Нужен матч, или таки можно штатными средствами?<br> https://www.opennet.me/openforum/vsluhforumID3/68920.html#11 Sun, 18 Jul 2010 12:19:38 GMT Бедные процессоры.<br><br>ipt_NETFLOW &#8212; единственное решение, которое себя хорошо показало на высоконагруженном PPPoE-концентраторе.<br>