Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск пакетных фильтров nftables 0.9.8 и iptables 1.8.7"	+/–
Сообщение от opennews (?), 16-Янв-21, 18:37
Опубликован выпуск пакетного фильтра nftables 0.9.8, развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. Необходимые для работы выпуска nftables 0.9.8 изменения включены в состав ядра Linux 5.11-rc1... Подробнее: https://www.opennet.me/opennews/art.shtml?num=54419
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Антонимм (?), 16-Янв-21, 18:37	–10 +/–
Помню был такой "agnitum outpost firewall" на окнах.Вот такой же на linux надо.Удобный понятный наглядный прост в использовании умных знаний не требовал.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #8, #10, #18, #28, #47, #48, #81, #134, #185

2. Сообщение от leap42 (ok), 16-Янв-21, 18:51	+/–
cat /etc/sysconfig/nftables.conf table inet filter {   chain input {     type filter hook input priority 0; policy drop;     ct state established,related accept comment "Accept traffic originated from us"     iif lo accept comment "Accept all loopback connections"     ip protocol icmp accept comment "Accept ICMP"     ip6 nexthdr icmpv6 accept comment "Accept ICMPv6"     udp dport 5353 counter accept comment "Accept mDNS/UDP (resolved)"     udp dport 5060 counter accept comment "Accept SIP/UDP (Baresip)"     tcp dport { 5060, 5061 } counter accept comment "Accept SIP/TCP (Baresip)"     udp dport { 16384-16389 } counter accept comment "Accept RTP (Baresip)"     tcp dport 9881 counter accept comment "Accept Torrent/TCP (Transmission)"     udp dport 9881 counter accept comment "Accept Torrent/UDP (Transmission)"     counter comment "Count any other traffic"   }   chain forward {     type filter hook forward priority 0; policy drop;   }   chain output {     type filter hook output priority 0; policy accept;   } } ^^^ вот это разве непонятно? по-моему проще чем что-то по менюшкам натыкивать...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #27, #31, #46, #60, #92, #101

3. Сообщение от Аноним (4), 16-Янв-21, 18:52	–1 +/–
Тот без антивируса еще который был? Знатная вещь.
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (4), 16-Янв-21, 18:56	–3 +/–
Зачем ipv6, или не отключили примочку в ядре для одинаковости (ц) правил с ipv4?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #12

5. Сообщение от Аноним (-), 16-Янв-21, 18:59	–1 +/–
Когда уже 1.0 будет? Надоела эта вечная бета.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #14, #32

6. Сообщение от псевдонимус (?), 16-Янв-21, 19:06	–1 +/–
Если не нравится вечная бэтп, то большая часть бесплатных гнулинукс не для тебя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от пох. (?), 16-Янв-21, 19:25	–3 +/–
Вам надо просто поставить окна. Где все как вы любите - удобно, наглядно, и no user-servicable parts inside.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

8. Сообщение от анон45 (?), 16-Янв-21, 19:30	+2 +/–
а чо вы его минусуете? Он прав так-то
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #17

9. Сообщение от Аноним (-), 16-Янв-21, 19:40	+/–
С цацкой все ясно. А что в iptables-1.8.7 то поменяли ? Вообще непонятно новость какбы упоминает iptables в заголовке..
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #13

10. Сообщение от Аноним (10), 16-Янв-21, 19:42	+5 +/–
Так сделай интерфейс, пришли патч, кто мешает? Это опенсорс, детка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #16

11. Сообщение от Аноним (11), 16-Янв-21, 19:47	+5 +/–
Сломали все, раньше было лучше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

12. Сообщение от пох. (?), 16-Янв-21, 19:50	–3 +/–
просто клиент при копипасте со стека забыл удалить ненужное. Ибо синтаксис г-но и эта простыня совершенно нечитаема даже при том что полезного не умеет ровно вот ничего (хоть ssh от сканов бы прикрыл). Ну ладно хоть icmp не зобанил, как у них принято. Хотя лишние тоже невредно бы и пофильтровать. Теперь смотрим на не особо сложный гнороутер под столом - пяток сеток, две терминируются не на нем и нужно пробрасывать туннели через нат, пригоршня разных сервисов доступных в разных комбинациях с разных направлений (потому что незачем в сторону стораджа пускать виндовые машины, пусть и trusted сегмента, все равно им там делать нечего), прикидываем как ЭТА простыня в нескучном синтаксисе будет выглядеть и как будешь добавлять еще один хост через пол-года, когда уже подзабудешь что и зачем тут было... плюемся, идем узнавать, сколько стоит бу циско asa 5520. Ну оок - в штатах от 70, но если спалишься на таможне - отберут. В дефаултсити от 15000, краденые. В целом, и недорого. Одна даже с ssm, бесполезен без подписки, зато можно поиграться. Потому что линyпсь - всьо даже в качестве гуанороутеров. Доломали и это.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #20, #71, #94

13. Сообщение от пох. (?), 16-Янв-21, 19:54	+/–
> С цацкой все ясно. А что в iptables-1.8.7 то поменяли ? Написано ж - еще более улучшили кривовраппер, и он теперь позволяет хотя бы выводить правила в том же порядке, в котором вводили. Еще через пару лет будет и исполнять в нем же, а не рандомом. Все что надо знать о современном состоянии iptables, не так ли? А ты думал - ipsec sa match починят? Может, тебе еще и gre nat починить, совсем оборзел?! За двадцать гребаных лет переписывания переписанного ниасилен даже чекер. который в новой-модной-bpf-помойке невозможен в принципе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #41

14. Сообщение от пох. (?), 16-Янв-21, 19:55	+/–
о, инвестор нарисовался!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

16. Сообщение от пох. (?), 16-Янв-21, 19:59	–3 +/–
А эту невероятную херню кто делал? Аааа, ну да, ну да - sponsored by facebook. Это впопенсос детка. Что пейсбук оплатил - то и жрете с лопаты. А чего не оплатил - ждете патчей, потом будете ждать ебилдов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

17. Сообщение от пох. (?), 16-Янв-21, 20:01	+8 +/–
У нас УЖЕ есть одна винда. И в ней - почти нормальный и почти application firewall, все как он любит. А вот тем кому надо было _управляемый_ а не "мышом покликать он сам разберется лучше тебя" - куды теперь бечь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #57, #63, #91

18. Сообщение от Аноним (18), 16-Янв-21, 20:48	+/–
Не поверишь, у меня он сейчас стоит)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

20. Сообщение от СеменСеменыч777 (?), 16-Янв-21, 21:17	–2 +/–
все очень просто. нужен генератор правил типа firehol. пусть он делает неоптимально, зато все понятно и не надо учить очередной собачий язык. > незачем в сторону стораджа пускать виндовые машины, пусть и trusted сегмента, все равно им там делать нечего проблемы "уровня приложения" решаем на "сетевом уровне" ? ай молодца казахский хакер. ps: в цисках невозможен недорогой апгрейд. циски могут быть протроянены либо с завода, либо в "черном кабинете" перевозчика (например US Post). IOS для цисок пишут чурки^Wиндусы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #21

21. Сообщение от slepnoga (ok), 16-Янв-21, 21:35	–2 +/–
Сема, в asa линукса на бекплейне. ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #22

22. Сообщение от пох. (?), 16-Янв-21, 22:10	–2 +/–
они там используются для сугубо специфической цели - кое-как прочитать с флэшки единственный бинарник по имени asa. ВСЬО. Ни сетевой стек, ни б-же упаси, фиревал от этого линукса не используется. Только фича чтения бинарника и привязки к адресам. А, планировщик тоже не используется, до недавнего времени этот бинарник был строго single thread, потом, правда, _ssl_vpn_ и только он стал многотредовым, догадайся, почему так. Ну а до того тот же самый бинарник им qnx загружал, просто помер тот дедуля, который умел его готовить. У ssm10 - там полноценный линyпсь (то есть внутри асы есть еще одна железка с еще одним линyпсом) и в нем, собственно, что-то донельзя похожее на древние версии snort, но с совершенно другими и управлением, и особенностями работы. Главное, впрочем, сохранено - без коммерческой подписки на правила бесполезен феерично.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #29

24. Сообщение от Аноним (24), 16-Янв-21, 22:38	+2 +/–
Вангую что через пару лет nftables устареет и на смену ему придет systemd-tables
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #75

25. Сообщение от СеменСеменыч777 (?), 16-Янв-21, 22:43	+/–
systemd-nettablesd
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #37

26. Сообщение от Аноним (26), 16-Янв-21, 22:57	–2 +/–
Поддержку ipv4 пора удалять как устаревший протокол. Ну раз i386 и FTP убрали
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30, #95

27. Сообщение от Аноним (27), 16-Янв-21, 22:58	–3 +/–
А теперь запрети конкретному приложению доступ в сеть на лету, после запуска оного, для тестов, что именно у него сеть отвалилась. И так сто раз за час пока дебажишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #34, #38, #62, #172

28. Сообщение от Космозавр (?), 16-Янв-21, 23:01	+/–
а куда он, кстати, делся?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #136

29. Сообщение от slepnoga (ok), 16-Янв-21, 23:04	+/–
так я и написал - на бекплейне. Не Микроштык же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #33

30. Сообщение от Аноним (30), 16-Янв-21, 23:08	+5 +/–
И к ICMP прикрутить сертификаты, а то совсем не секурно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

31. Сообщение от Random (??), 16-Янв-21, 23:14	–2 +/–
На таком уровне всё элементарно. Но это конечный ПК, с одним инетом, без форварда, без динамических афроамериканских списков, полностью открытый на выход. А вот если посложнее - там начинается. Документация неполная и в разных местах иногда противоречит сама себе. Продукт очень сырой, то и дело натыкаешься на "особенности". Но потенциально не так всё плохо, если до ума доведут, много вкусностей. Потихоньку дополняю себе файл подсветки синтаксиса для mcedit - гораздо понятнее и удобнее становится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

32. Сообщение от Random (??), 16-Янв-21, 23:15	+/–
Там ещё дофига фиксить и допиливать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #79

33. Сообщение от пох. (?), 16-Янв-21, 23:16	–1 +/–
> так я и написал - на бекплейне. Не Микроштык же. Ну вон у ios-xr тоже типа на бэкплейне (кто бы понял где у этой штуки бэкплейн), но там вполне себе полноценный линукс, даже с rpm в 6ой серии. И оно реально и пачку демонов там держит, и еще хз что и сбоку бантик, и в шелл можно вывалиться, только непонятно что там делать, и даже top запустить (только еще меньше понятно для чего). А тут просто лоадер, чтоб не трахаться, тот бинарник по физическим адресам вручную размещать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #72

34. Сообщение от пох. (?), 16-Янв-21, 23:18	–1 +/–
> А теперь запрети конкретному приложению доступ в сеть на лету, после запуска > оного, для тестов, что именно у него сеть отвалилась. И так > сто раз за час пока дебажишь. ну брателла, эт тебе в wsl ;-) Там вендофиревалл все это умеет. А у этих, л@п4...нутыпонял, не, это слишком сложно. Вот сломать что до этого работало хоть как-то - эт пожалуйста, это могем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

37. Сообщение от Лёня Потный (?), 16-Янв-21, 23:21	+1 +/–
> systemd-nettablesd он у меня называется -firewalld. Уже давно пришел, уютно устроился и смотрит на вас добрыми-добрыми глазками. А, не это п-ц пришел. У firewalld глазков нету. Конечно же мы уже почти совсем поддеживаем в нем и nft.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #144

38. Сообщение от Аноним (38), 16-Янв-21, 23:24	+1 +/–
Конечно виндопользователям проще по 10 раз кликать для включение и отключение правила, но я не вижу никаких сложностей сделать это с nft. Ищу пид процесса, а потом по пиду хоть дроп, хоть реджект делаю НА ЛЕТУ. Да хоть tc ему наверну, если нужно посмотреть как с плохим интернетом работать будет. Ну и конечно же написать скрипт, который это делает - 10 минут, если в первый раз. А потом этот скрипт могу и в тесты добавить, ведь я же не мышко-кликательный холоп, чтобы на каждый билд вручную тестить отсутствие интернета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #44

40. Сообщение от онанимус (?), 16-Янв-21, 23:37	–1 +/–
оно действительно быстрее, чем iptables? есть смысл переезжать, если у меня под десять тысяч строк в iptables-save?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42, #52, #76

41. Сообщение от Аноним (41), 17-Янв-21, 00:37	+/–
Ну и славненько. А за двадцать лет то что должно было произойти ? Эта фигня была по фану написана и впринципе то всех все утстраивает. Кому надо - либо сами не могут даже сформулировать что им надо, а кто может - не хватит денег и сил это реализовать. Так что улыбаемся и машем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #43

42. Сообщение от пох. (?), 17-Янв-21, 00:49	+/–
очевидно, что это зависит не от количества тысяч строк, а от того, есть у тебя прямо сейчас какие-то проблемы с этим количеством или нет. И не решает ли их просто разнесение по разным веткам, если еще не, или даже переход на ipset (на мой взгляд бесполезен, но на десятке тысяч я не мерял, может и есть какой профит) Скорее всего - управлять этой махиной тебе станет сильно сложнее чем сейчас. Вон, посмотри на этих героев, которым "подсветка синтаксиса" понадобилась, разбираться что они сами же и наколбасили. Я-то обхожусь grep в основном. С другой стороны - legacy версию явно скоро не доломают так просто объявят устаревшей и переезжать куда-то все равно придется. Лично я планирую на промышленные файрволы для периметра, и ufw/firewalld для хостов. Прикрыть пару портов хватит и этого,а ковыряться в кошмарном синтаксисе - пусть пейсбук будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #50, #58

43. Сообщение от пох. (?), 17-Янв-21, 00:57	–2 +/–
> Ну и славненько. А за двадцать лет то что должно было произойти ? Хотя бы то что Рыжий обещал "как только, так сразу". И нап-дел, как обычно. > Эта фигня была по фану написана До этой фигни была другая фигня - которая, в отличие от нее, хотя бы умела человеческим образом сказать, проходит через нее пакет с такими вот параметрами, или нет. Ну там еще много чего попереломали, кажется, как раз gre в том числе, но может и казаться (в смысле, может он и там не работал уже/еще). Про другие поломанные модули Рыжий точно кричал что это мелочи и как только, так непременно. А потом просто исчез. > Так что улыбаемся и машем. В смысле, бежим хватать ту краденую циску за пятнарик, пока другие не утащили? Я до понедельника подумаю, да. За ssm это хорошая цена (хотя, конечно, нах не нужен и только жрать электричество будет). Интересно, работает ли по сей день генератор лицензий...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #104

44. Сообщение от пох. (?), 17-Янв-21, 01:02	+1 +/–
> Ищу пид процесса а процесс уже отправил в базу запрос delete from без where. Ну, ок, ищи дальше. Он, правда, уже и завершился. И так у вас все. А в винде надо кликнуть ровно ОДИН раз - потому что она умеет разрешать доступ на уровне программ, а не процессов. Ну, или не хочешь кликать - "напиши скрипт", это тоже минут десять если синтаксис powershell подглядывать в гугле. Как же тупейшие лап4е фанатики достали... Признать что объект их др-рва имеет хоть малейший недостаток - абсолютно не в силах. Зато гордятся умением дро-ть с подвыподвертами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #51, #53, #56

46. Сообщение от murmur (?), 17-Янв-21, 01:37	–3 +/–
Ну и зачем тебе файрвол не на сервере? Или у тебя запущены какие-то службы на внешнем интерфейсе, к которым ты не хочешь, чтобы коннектились? Может в консерватории что-то подправить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #61

47. Сообщение от Пох (?), 17-Янв-21, 01:48	–3 +/–
Или как в Comodo, а то достало, одно выучишь, как его дропнули и заменили другим. Нет, ну правда, настраивать фаервол в консоли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

48. Сообщение от Old man (?), 17-Янв-21, 02:38	+/–
> Помню был такой "agnitum outpost firewall" на окнах.Вот такой же на linux надо.Удобный понятный наглядный прост в использовании умных знаний не требовал.   Есть fwbuilder.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #59

50. Сообщение от Sw00p aka Jerom (?), 17-Янв-21, 02:50	–1 +/–
>Лично я планирую на промышленные файрволы для периметра промышленный? эт какой-такой промышленный а?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #54

51. Сообщение от Аноним (38), 17-Янв-21, 03:41	+5 +/–
Если ты запускаешь процесс, цель которого дропнуть базу, а ты должен успеть запретить ему соединение через фаервол, то видимо я попал на специальную олимпиаду для умственно особенных. В моей реальности я либо изначально запускаю сомнительный бинарь в ограниченном, на сколько требует моя паранойя, окружении, где не то что в интернет без моего разрешения не выйти, а даже сокет не создать. Либо я ТЕСТИРУЮ поведение программы при отсутствии сети или её пропажи во время работы, тогда описанный выше алгоритм.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #67

52. Сообщение от Аноним (52), 17-Янв-21, 04:03	+/–
на ipset https://www.dbsysnet.com/wp-content/uploads/2016/03/ipset3.png
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #55, #77, #138

53. Сообщение от СеменСеменыч777 (?), 17-Янв-21, 05:03	+/–
> она умеет разрешать доступ на уровне программ, а не процессов. надоел. man iptables-extensions | grep -i uid как запустить "программу" (или "процесс" или пачку процессов) от спец.юзера, надеюсь объяснять не надо. > а процесс уже отправил в базу запрос delete from без where и опять мы видим стремление порешать вопросы прикладного уровня на уровенне сетевом. да что с тобой не так ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #66

54. Сообщение от СеменСеменыч777 (?), 17-Янв-21, 05:20	+/–
> промышленный? эт какой-такой промышленный а? это у которого в рекламе написано "industrial" и "enterprise level".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #86, #87

55. Сообщение от СеменСеменыч777 (?), 17-Янв-21, 05:25	+/–
> на ipset https://www.dbsysnet.com/wp-content/uploads/2016/03/ipset3.png 1) непонятно, что такое "responce" и "request" в контексте фаерволла. 2) почему-то нет графиков для ipfw и pf.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #65

56. Сообщение от Tifereth (ok), 17-Янв-21, 05:50	+1 +/–
Ай, молодец какой - нашёл единственного ответившего, прочёл в его словах то, чего там отродясь не было и гордо экстраполировал на всех пользователей Линукс. Бурные продолжительные аплодисменты. Нормальный админ *вначале* всё планирует и соответственно настраивает конфигурацию. А уж кто натыкивать горазд, а кто в консоли предпочитает - это уже спор о вкусе фломастеров. То есть бессмысленный по определению.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #88

57. Сообщение от КО (?), 17-Янв-21, 05:51	+2 +/–
"он сам разберется лучше тебя" Обернуть те же функции в гуй? Не, не линукс-вэй...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #99

58. Сообщение от Tifereth (ok), 17-Янв-21, 05:54	+1 +/–
Перенос в ipset, по накопленной статистике, сказывается на производительности уже после пары сотен однотипных правил (ясен пень, что зависит от скорости конкретного железа или его эмуляции). Помимо того, что элементарно проще разбираться в десятке правил с ipset, чем в жуткой простыне, что была бы вместо него.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #64

59. Сообщение от Антонимм (?), 17-Янв-21, 06:26	+/–
Да есть есть еще gufw.ИМХО не дотягивают они даже близко до agnitum по удобству и понятливости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

60. Сообщение от Антонимм (?), 17-Янв-21, 06:30	–1 +/–
Для админа да проще.А для пользователя нет.Что и тормозит использование linux.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #69

61. Сообщение от leap42 (ok), 17-Янв-21, 08:03	+/–
> Ну и зачем тебе файрвол не на сервере? Или у тебя запущены какие-то службы на внешнем интерфейсе, к которым ты не хочешь, чтобы коннектились? Может в консерватории что-то подправить? я ip-телефонией занимаюсь, у меня, как можно заметить по правилам, часто запущен SIP клиент, и мне можно позвонить напрямую, без серверов вообще (по работе надо для тестов), потому upnp/nat-pmp, потому нужен firewall
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #70, #73

62. Сообщение от barmaglot (??), 17-Янв-21, 08:35	–1 +/–
Берёте дефолтный раымный конфиг для декстопа: # nft --handle --numeric list table inet filter table inet filter { # handle 7     chain input { # handle 1         type filter hook input priority 0; policy drop;         ct state 0x1 counter packets 1940 bytes 86636 drop comment "early drop of invalid packets" # handle 5         ct state { 0x2, 0x4 } counter packets 2236693022 bytes 230372893649 accept comment "accept all connections related to connections made by us" # handle 6         iif "lo" accept comment "accept loopback" # handle 7         iif != "lo" ip daddr 127.0.0.0/8 counter packets 0 bytes 0 drop comment "drop connections to loopback not coming from loopback" # handle 8         iif != "lo" ip6 daddr ::1 counter packets 0 bytes 0 drop comment "drop connections to loopback not coming from loopback" # handle 9         tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x0 counter packets 0 bytes 0 drop # handle 10         tcp flags & (0x1 | 0x2) == 0x1 | 0x2 counter packets 0 bytes 0 drop # handle 11         tcp flags & (0x2 | 0x4) == 0x2 | 0x4 counter packets 0 bytes 0 drop # handle 12         tcp flags & (0x1 | 0x2) == 0x1 | 0x2 counter packets 0 bytes 0 drop # handle 13         tcp flags & (0x1 | 0x4) == 0x1 | 0x4 counter packets 0 bytes 0 drop # handle 14         tcp flags & (0x1 | 0x10) == 0x1 counter packets 0 bytes 0 drop # handle 15         tcp flags & (0x10 | 0x20) == 0x20 counter packets 0 bytes 0 drop # handle 16         tcp flags & (0x1 | 0x10) == 0x1 counter packets 0 bytes 0 drop # handle 17         tcp flags & (0x8 | 0x10) == 0x8 counter packets 0 bytes 0 drop # handle 18         tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20 counter packets 0 bytes 0 drop # handle 19         tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x0 counter packets 0 bytes 0 drop # handle 20         tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x1 | 0x8 | 0x20 counter packets 0 bytes 0 drop # handle 21         tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x1 | 0x2 | 0x8 | 0x20 counter packets 0 bytes 0 drop # handle 22         tcp flags & (0x1 | 0x2 | 0x4 | 0x8 | 0x10 | 0x20) == 0x1 | 0x2 | 0x4 | 0x10 | 0x20 counter packets 0 bytes 0 drop # handle 23         ct state 0x2,0x4 counter packets 0 bytes 0 accept # handle 24     }     chain forward { # handle 2         type filter hook forward priority 0; policy drop;     }     chain output { # handle 3         type filter hook output priority 0; policy accept;     } } Потом с помощью lsof -p <pid> у вашего приложения смотрите, куда оно ломится. И всё что не нравится в chain output добавляете. всё. И ничего дебажить не нужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #68, #74, #78, #103

63. Сообщение от Аноним (-), 17-Янв-21, 08:46	–2 +/–
А чего вы так ополчились на мышь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

64. Сообщение от пох. (?), 17-Янв-21, 10:11	–1 +/–
> Перенос в ipset, по накопленной статистике, сказывается на производительности уже после > пары сотен однотипных правил (ясен пень, что зависит от скорости конкретного по "накопленной статистике" не на чем сказываться. Вообще никак эти пары сотен не видны. > Помимо того, что элементарно проще разбираться в десятке правил с ipset, чем > в жуткой простыне, что была бы вместо него. чем простыня ipset отличается в лучшую сторону от точно такой же в виде chain? Тем, что теперь вместо одного места, надо смотреть в два?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #153

65. Сообщение от пох. (?), 17-Янв-21, 10:21	–1 +/–
>> на ipset https://www.dbsysnet.com/wp-content/uploads/2016/03/ipset3.png > 1) непонятно, что такое "responce" и "request" в контексте фаерволла. понятно только что до 15000 эффект неразличим приборами (ты правда можешь достоверно хоть в каком сценарии померять 5ms? ) и с моими представлениями это вполне совпадает. Вероятно актуально для косплеящих клаудфлерь на коленке (помнится, qrator очень гордились что у них все именно из г-на и палок) а не для админов. > 2) почему-то нет графиков для ipfw и pf. потому что г-но оне. Совершенно нечитаемое, п-цки неудобно управляемое, не полнофункциональное, да еще и тормоз. ipset скосплеен именно с их set/table - именно потому что у них во-первых, не 5ms, во вторых, поскольку оба - плоские убожища 92го года изобретения - даже десяток однотипных правил приходится заводить в виде таблицы, чтобы еще хоть что-то было можно потом понять в этой простыне. Сравнивать их может только особый талант, который только из дерьма и работать обучен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

66. Сообщение от пох. (?), 17-Янв-21, 10:25	+1 +/–
>> она умеет разрешать доступ на уровне программ, а не процессов. > надоел. взаимно. Почему вы такие т-пые и упертые, и не можете признать ни одного недостатка своего фетиша, даже когда уже носом ткнули? > man iptables-extensions | grep -i uid > как запустить "программу" (или "процесс" или пачку процессов) от спец.юзера, надеюсь объяснять лучше расскажи как ты трахаешься на лыжах и в гамаке. Почему в венде-поганой мне не надо для этого "от спец юзера" (охереть удобно при отладке, когда программа еще и пересобирается на каждый запуск) - а у тебя оно вот так и ты этим еще и гордишься? > и опять мы видим стремление порешать вопросы прикладного уровня на уровенне сетевом. нет в ip никаких "уровней", тебя нае...ли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

67. Сообщение от пох. (?), 17-Янв-21, 10:40	+1 +/–
> Если ты запускаешь процесс, цель которого дропнуть базу, цель, вероятно, в чем-то другом, а это специфическая особенность кода, и мы сейчас отлаживаем вообще не ее. Это был вырожденный пример, понятный даже тупоголовым пингвинам, а не конкретное описание ситуации. > а ты должен успеть а мне не надо успевать. Этой программе запрещено заранее и впредь до дальнейших указаний, остальным можно. (Собственно, и не всем остальным, а только явно перечисленным и конкретно куда, у нормальных ос с этим все нормально, главное - за мурзилой не забудь прибрать, ее установщик еще и в файрвол нагадил, а то ж телеметрия застревала.) У вас без нечеловеческих усилий так не получится, вы только "uid" осилили? Ну так имейте честность уже наконец признать, что ваш фетиш умеет не все, и приходится для элементарных вещей дрть в присядку. > В моей реальности я либо изначально запускаю сомнительный бинарь в ограниченном, на > сколько требует моя паранойя, окружении, где не то что в интернет в твоей реальности ты, похоже, хеловрота ни одного не отладил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #102

68. Сообщение от пох. (?), 17-Янв-21, 10:43	+1 +/–
> Берёте дефолтный раымный конфиг для декстопа: это разумный? Вот этот вот фееричный бред?! > Потом с помощью lsof -p <pid> у вашего приложения смотрите, куда оно > ломится. И всё что не нравится в chain output добавляете. всё. c помощью lsof... все понятно. "Специалисты" на марше. > И ничего дебажить не нужно. Угу, угу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #100

69. Сообщение от пох. (?), 17-Янв-21, 10:46	–1 +/–
> Для админа да проще.А для пользователя нет.Что и тормозит использование linux. А у пользователя есть уже целых ДВЕ операционные системы, не считая ведроида, где сделали ему как проще. Тому аутпосту - 20 лет! И было бы хорошо затормозить скатывание линукса в "еще более удобно еще более т-ым пользователям", чтобы они его обходили десятой дорогой, и вместе с ними подобные "разработчики" свалили нахрен. Тогда, может быть, снова придут те, кому надо не для т-го пользователя и совсем т-го разработчика, а для админа "проще". Хотя, конечно, уже не придут никогда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

70. Сообщение от пох. (?), 17-Янв-21, 11:14	–1 +/–
> я ip-телефонией занимаюсь, у меня, как можно заметить по правилам, часто запущен > SIP клиент, и мне можно позвонить напрямую, без серверов вообще (по > работе надо для тестов), потому upnp/nat-pmp, потому нужен firewall и именно по этой причине единственный на васян-десктопе, в общем-то, опасный протокол - у тебя торчит во весь мир, включая китайские ботофермы. А conntrack_sip - не, не наш метод. Ну да, ну да, модные современные именно так все настраивают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #96

71. Сообщение от Онаним (?), 17-Янв-21, 11:45	+/–
ASA дерьмо, так-то. Всё тот же linux с нескучным синтаксисом конфига, в котором даже два IP на один интерфейс не повесить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

72. Сообщение от Онаним (?), 17-Янв-21, 11:48	+/–
В XR QNX на <6.0. Linux только в 6.0 появился. И не на бекплейне, а на RSP и процессорах плат. У XE Linux на подложке, под ним в виртуалке крутится IOS. Но насчёт ASA - нет, увы. Там именно что сетевой стек используется от линуксов, и файрволит тоже какой-то драйвер в них. Из железного - только акселерация VPN, всё остальное софт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #84

73. Сообщение от mumu (ok), 17-Янв-21, 11:48	–2 +/–
Этот порт открыт для всего интернета. Файрвол у тебя закрывает все КРОМЕ этого порта. Ещё раз поясни свою стратегию защиты: что и от чего защищается?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #83, #98

74. Сообщение от Онаним (?), 17-Янв-21, 11:50	+/–
Вот это вот дефолтное удолбище - одна из причин, по которой nf так до сих пор и не взлетел массово, хотя он крут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #85

75. Сообщение от Онаним (?), 17-Янв-21, 11:51	+/–
А вот кстати неплохо бы, да. Потому что rh'вый firewalld - конченное удолбище, а в рамки системды оно себе вполне ляжет. Например каждый набор правил софта - своим "юнитом".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #115

76. Сообщение от Онаним (?), 17-Янв-21, 11:52	+/–
Я бы поглядел. Вполне возможно, что удастся сгруппировать в пару сотен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

77. Сообщение от Онаним (?), 17-Янв-21, 11:53	+/–
Если встаёт вопрос об ipset - лучше сразу таки на nft, потому что одно дело мейнтейнить один конфиг файрвола, другое дело - два оторванных друг от друга.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #82

78. Сообщение от Аноним (78), 17-Янв-21, 12:19	+/–
Если с этим pid другое приложение запустилось?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

79. Сообщение от Аноним (78), 17-Янв-21, 12:23	–1 +/–
Ну и на фига его тогда везде насовали и заменили работающему iptables.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #97, #109

81. Сообщение от Аноним (81), 17-Янв-21, 12:55	+2 +/–
Хотелось бы что-нибудь типа tinywall, чтобы исходящий траф разрешать только определённым приложениям (ну входящий настраивать это бонусом), но это придётся bpf бинари от юзера загружать в ядро постоянно. А там тебе и жит, и всё остальное -- такой-то вектор для атак. И ещё бы добавить в ksysguard просмотр исходящих/входящих соединений процесса. Эх, мечты, вот файрвол у венды годный (особенно для десктопа), тут не поспоришь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

82. Сообщение от пох. (?), 17-Янв-21, 13:08	–2 +/–
> Если встаёт вопрос об ipset - лучше сразу таки на nft, потому > что одно дело мейнтейнить один конфиг файрвола, другое дело - два > оторванных друг от друга. наоборот. "майнтейнить" простыню в десять тыщ строк, перемешанную с конфигом файрвола - это для особых любителей на лыжах в гамаке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #159

83. Сообщение от пох. (?), 17-Янв-21, 13:14	+/–
> Этот порт открыт для всего интернета. он там и ждет весь интернет. > Файрвол у тебя закрывает все КРОМЕ этого порта. Ещё раз поясни свою потому что это "десктоп", там логично так сделать, а исключения описать правилами. Другое дело, что надо очень верить в надежность своего sip-софтфона, чтоб вот именно так это настроить. Ну или не держать на том "десктопе" лишнего. (Не в смысле нечего прикрывать, а в смысле - поломают, откачу снапшот vm) > стратегию защиты: что и от чего защищается? да в общем, как-бы, умеющему - понятно, а неумеющему не поможет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

84. Сообщение от пох. (?), 17-Янв-21, 13:22	–1 +/–
> Но насчёт ASA - нет, увы. Там именно что сетевой стек используется от линуксов не используется. Я, в отличие от некоторых, запускал. Единственное, что там от того стека - интеловские драйвера сетевух, и то не факт что не патченные чтоб поменьше лезли куда не надо. А дальше байтики идут мимо штатных поделок. Да, софт, только не лап4тый. Твой линoops умеет при отказе подхватить траффик (_включая_ ipsec, и, разумеется, сохраняя состояния файрвола для открытых соединений) соседним ящиком прозрачно для окружающих? А эта вот конструкция - умеет. Причем еще со времен pix где линyпсятиной и не пахло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #110

85. Сообщение от пох. (?), 17-Янв-21, 13:30	+/–
> Вот это вот дефолтное удолбище - одна из причин, вовсе нет. Хотя за такое, конечно, отдельно надо кастрировать. Дефолтный susefirewall скажем, тоже был нужен только чтоб было что сразу выбросить (ладно бы "как в венде", но еще и неимоверно засорял dmesg совершенно ненужной информацией). А чего-то вменяемого, хотя бы аккуратно заранее разобранного по разным веткам, в дефолтах не было ни у кого. Величайшего прогресса в этой области достигла redhat, которая хотя бы умела без ручного вмешательства сохранять твои правки при шатдауне и восстанавливать при загрузке. Это ничуть не помешало делать на iptables весьма нетривиальные и при том удобоуправляемые конструкции. на nft так не получится. там только нанимать фейсбучного макака, чтоб он наговнякал каких-нибудь чудо-скриптов, которые, кстати, есть тоже за тебя будут. Оно просто не предназначено для ручного управления, by design. "Подсветочка в mcedit" - это только в совсем тривиальных случаях спасет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #89, #139

86. Сообщение от Аноним (86), 17-Янв-21, 13:43	+1 +/–
И чтоб обязательно встроенный бекдор от лучших индусов Бангалора.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

87. Сообщение от Sw00p aka Jerom (?), 17-Янв-21, 14:27	–1 +/–
Туда бы ещё добавить словечко NGFW :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #120

88. Сообщение от InuYasha (??), 17-Янв-21, 14:40	+/–
Каким "нормальным" бы админ ни был, если он приходит работать в "зоопарк", где всё уже "спланировано" лет 10 назад, ни о каком планировании кроме "а вот хорошо бы через пару лет обновить цынтос до 7го на роторе и почтовике" речи нет. )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #106, #147

89. Сообщение от InuYasha (??), 17-Янв-21, 14:46	–1 +/–
Справедливости ради, "Подсветочка в mcedit" регулярно ломается и на баш-скриптах ) Фаерволлам нужен интерактивный IDE с дебаггером. ЗЫ: а вообще для каждого конфига в прынуксе нужен свой IDE (размером с MS Casual Studio чтоб было больнее), раз так ненавидят идею реестра а-ля Вандовс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

90. Сообщение от InuYasha (??), 17-Янв-21, 14:59	–1 +/–
Коллеги (особенно пох :) ), подскажите, у линухе уже можно реализовать мою мечту когда можно в одном месте назначить PORT_SSH=999, IFACE_WAN=enp2s45f968wtf; и потом во всех остальных местах вот эти дефайны использовать? А не так чтобы grep -r /etc каждый раз чтобы найти, где ж ещё этот сраный enp2s45f968wtf используется.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #122

91. Сообщение от crypt (ok), 17-Янв-21, 15:14	+1 +/–
> куды теперь бечь? да)) это точно)) на линуксе переписали конфиг в стиле json и будут переписывать каждую среду. а на *bsd он залип на уровне basic'a (ipfw) и реплик старых версий fw от openbsd и solaris.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #156

92. Сообщение от crypt (ok), 17-Янв-21, 15:17	+2 +/–
> вот это разве непонятно? да не, "counter accept comment" - счетчик принял коммент! че тут непонятного-то. отлично все. type filter hook input priority foo bar bar foo bar foo foo bar bar foo foo foo 0; - да зашибись!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

94. Сообщение от crypt (ok), 17-Янв-21, 15:19	–1 +/–
> Ибо синтаксис г-но и эта простыня совершенно нечитаема ... Доломали и это. ППКС:( индусские менеджеры из RH мля просто угробить линукс решили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

95. Сообщение от Аноним (95), 17-Янв-21, 15:23	+/–
FTP на уровне ядра и не было никогда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

96. Сообщение от leap42 (ok), 17-Янв-21, 15:29	+/–
>> я ip-телефонией занимаюсь, у меня, как можно заметить по правилам, часто запущен >> SIP клиент, и мне можно позвонить напрямую, без серверов вообще (по >> работе надо для тестов), потому upnp/nat-pmp, потому нужен firewall > и именно по этой причине единственный на васян-десктопе, в общем-то, опасный протокол > - у тебя торчит во весь мир, включая китайские ботофермы. А > conntrack_sip - не, не наш метод. > Ну да, ну да, модные современные именно так все настраивают. опасный протокол это что? у вас во дворе придумали, да? ещё раз: там торчит клиент, на который я сам себе звоню ради тестов, иногда коллеги или друзья. никаких PBX/SBC, интересных ботам, там нет и в помине. conntrack_sip - нерабочее г*в*о, телефонисты выключают это первым делом (оно толком не может в SIP и неправильно подменяет ip, от чего звонки часто перестают проходить, настроек нет)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70 Ответы: #108

97. Сообщение от псевдонимус (?), 17-Янв-21, 15:32	+/–
Тестировать-то надо. И желательно бесплатно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #119

98. Сообщение от leap42 (ok), 17-Янв-21, 15:34	+/–
> Этот порт открыт для всего интернета. > Файрвол у тебя закрывает все КРОМЕ этого порта. Ещё раз поясни свою > стратегию защиты: что и от чего защищается? ещё раз: роутер с upnp, он без вопросов прокидывает любые порты любому софту (и это именно то, чего я хочу), любому устройству из локалки (у меня их семь) на тачке должна торчать в инет только телефония (нужна для работы), вот и вся стратегия
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

99. Сообщение от псевдонимус (?), 17-Янв-21, 15:37	+1 +/–
>обернуть те же функции в гуй Оно либо примитивное донельзя выйдет, либо толком неуправляемое без справочника перед глазами. Даёшь 10000 кнопок! И все равно может не хватить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

100. Сообщение от Sw00p aka Jerom (?), 17-Янв-21, 15:39	–1 +/–
>>c помощью lsof... все понятно. tcpdump уже не в моде :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #107

101. Сообщение от псевдонимус (?), 17-Янв-21, 15:41	–1 +/–
Ну страшненькая ведь простынка :-(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

102. Сообщение от псевдонимус (?), 17-Янв-21, 16:44	–2 +/–
>этой программе запрещено впредь и до дальнейших указаний Как в Винде такая фича реализована?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #105

103. Сообщение от псевдонимус (?), 17-Янв-21, 16:47	–1 +/–
>разумный конфигурацию. Разумный-то он разумный.... Вот читать такое и врагу не пожелаешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #118

104. Сообщение от Аноним (-), 17-Янв-21, 17:17	–2 +/–
> В смысле, бежим хватать ту краденую циску за пятнарик, Быдлопровайдинг это побочный эффект. Жаловаться на то что таких не обращают внимание и не фиксят "нужды" - просто глупо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #114

105. Сообщение от пох. (?), 17-Янв-21, 18:04	–1 +/–
>>этой программе запрещено впредь и до дальнейших указаний > Как в Винде такая фича реализована? полное имя - часть контекста процесса, и может быть проверено. Для сервисов, где "полное имя" rundll - там как-то сложно, и настраивается оно несколько иначе тоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #111, #112, #113

106. Сообщение от пох. (?), 17-Янв-21, 18:07	–2 +/–
> Каким "нормальным" бы админ ни был, если он приходит работать в "зоопарк", > где всё уже "спланировано" лет 10 назад, ни о каком планировании > кроме "а вот хорошо бы через пару лет обновить цынтос до > 7го на роторе и почтовике" речи нет. ) зависит от должности и от масштаба (бардака в) компании. Бывало что и приглашали зоопарк разогнать по вольерам, и переделать чтоб работало надежно. Хотя, если роутер на центос, можно смело идти дальше сразу же, не тратя время.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

107. Сообщение от пох. (?), 17-Янв-21, 18:11	–1 +/–
>>>c помощью lsof... все понятно. > tcpdump уже не в моде :) Уж хотя бы strace, если мы танцуем от процесса (линукс, чай, опять же). А то окажется там банальный protobuf - и что ви таки хотели увидеть тем lsof'ом?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

108. Сообщение от пох. (?), 17-Янв-21, 18:20	–1 +/–
> опасный протокол это что? у вас во дворе придумали, да? ещё раз: Телефонисты придумали. И, самое главное - клиентов понаписали. Лучше б уж - во дворе, у тамошних пацанов меньше мозги набекрень. > conntrack_sip - нерабочее г*в*о, телефонисты выключают это первым делом (оно толком не > может в SIP и неправильно подменяет ip, от чего звонки часто conntrack вообще ничего не подменяет. Он обеспечивает попадание в related rtp пакетов. > перестают проходить, настроек нет) Это для nat, а не conntrack. Проблема не в том что неправильно подменяет, а в том что не угадаешь как с точки зрения порождений телефонистов "правильно" и не подменят ли те еще разок, для надежности. Настройка есть, называется iptables. Но ты, похоже, не умеешь, раз даже nat от conntrack не отличаешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

109. Сообщение от пох. (?), 17-Янв-21, 18:24	–2 +/–
> Ну и на фига его тогда везде насовали и заменили работающему iptables. во-первых, по прежнему полу-работающему. Только он уже deprecated, поэтоу ураааа, можно ничего не чинить! во-вторых, не нафига, а на денежки платинового спонсора. Он как раз и не собирался руками эти простыни редактировать. С тобой софтом не поделится, да и нахер тебе фейсбук дома?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

110. Сообщение от Онаним (?), 17-Янв-21, 18:25	+/–
Состояние файрвола через мониторинг conntrackd я передавал, да, нужно костылять, но по факту работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

111. Сообщение от псевдонимус (?), 17-Янв-21, 18:27	–1 +/–
>>>этой программе запрещено впредь и до дальнейших указаний >> Как в Винде такая фича реализована? > полное имя - часть контекста процесса, и может быть проверено. > Для сервисов, где "полное имя" rundll - там как-то сложно, и настраивается > оно несколько иначе тоже. Мне не совсем ясно, что мешает это реализовать в Лине? Т.е. ядро всегда знает, какой программе соответствует процесс? Даже если одной программой порождено несколько процессов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #123

112. Сообщение от псевдонимус (?), 17-Янв-21, 18:36	–1 +/–
>>>этой программе запрещено впредь и до дальнейших указаний >> Как в Винде такая фича реализована? > полное имя - часть контекста процесса, и может быть проверено. > Для сервисов, где "полное имя" rundll - там как-то сложно, и настраивается > оно несколько иначе тоже. И это.. получается с помощью системда это должно быть несложно реализовать? )) Но почему-то не реализовано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

113. Сообщение от псевдонимус (?), 17-Янв-21, 18:41	–1 +/–
>>>этой программе запрещено впредь и до дальнейших указаний >> Как в Винде такая фича реализована? > полное имя - часть контекста процесса, и может быть проверено. > Для сервисов, где "полное имя" rundll - там как-то сложно, и настраивается > оно несколько иначе тоже. И самое интересное: как это должен уметь обработать пакетный фильтр? Либо он только часть фаервол, либо никак. Поясни, если ошибаюсь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #116

114. Сообщение от пох. (?), 17-Янв-21, 18:42	–2 +/–
>> В смысле, бежим хватать ту краденую циску за пятнарик, > Быдлопровайдинг это побочный эффект. мальчик, ты совсем дурак? Я ее себе под стол поставлю, вместо линуксного ненужно. Которое во-первых сил уже нет поддерживать, во-вторых, у этой штуки 4 гигабитных ethernet и 400 (ну ок, в реале около 200) мегабит ipsec сквозь них. Подобное под столом будет стоить дороже, а не дешевле, и сетевухи, и процессор понадобятся приличные. У этой внутри, кстати, какой-то чуть ли не селерон3. (такой у десятой, а у этой не помню уже что, чуть помощнее - ей хватает) У провайдера совсем другие железки и он не покупает краденое. Это кастрюля для энтерпрайзов - устаревшая, с технологиями 200х, но вашему линуксонедофиреволу и это недоступно. Краденые pa7000 к сожалению бесполезны без подписок, а их не украдешь. ("технология" 201x в виде индусских рабов, да уж) > Жаловаться на то что таких не обращают внимание и не фиксят "нужды" - просто глупо. То ли дело пейсбук и другие платиновые спонсоры! Шва6одка. Жрите с лопаты что они соизволят вам отсыпать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #149

115. Сообщение от пох. (?), 17-Янв-21, 18:44	–1 +/–
> себе вполне ляжет. Например каждый набор правил софта - своим "юнитом". да, представляю какая красота - снова три набора заклинаний-завываний чтобы как-то построить порядок запуска, и снова шибкоумный менеджер всего решит за тебя что можно тут что-то и поулучшать, поэтому правило с allow all однажды запустит раньше чем с deny. Мечта...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #117

116. Сообщение от пох. (?), 17-Янв-21, 18:49	–1 +/–
> И самое интересное: как это должен уметь обработать пакетный фильтр? Либо он только часть фаервол только часть. Но в принципе, кто тебе в линуксе мешал? В контекст процесса мы (чисто технически) лазить умеем - uid-то по твоему где берет? А что у нас нельзя угадать, чем порожден процесс, или придется в ядре отдельную систему трекинга городить, со своими багами и локапами - нуууу извиниииите, есть у технологий 70го года некоторые и ограничения, к сожалению. Ты когда их в 90е выбирал, мог бы и понимать, чем пожертвовал. Правильная реализация, естественно, делается за счет проброса (уже отобранных немногочисленных, заметим, пакетов) в userland (позволяя в том числе и то самое окошко под руку сунуть с кнопкой ok), и это у нас ТОЖЕ было двадцать лет назад. Но никто так и ниасилил ничего качественного и рабочего - место тут проклятое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #132

117. Сообщение от Онаним (?), 17-Янв-21, 18:52	–1 +/–
Да не, чего-чего, а с порядком запуска у системды всё хорошо. Как раз таки печально не указать пререквизиты правильно - что очень часто встречается, тогда да, запустит как попало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115 Ответы: #124

118. Сообщение от пох. (?), 17-Янв-21, 18:53	+/–
>>разумный конфигурацию. > Разумный-то он разумный.... Вот читать такое и врагу не пожелаешь. Читать-то пожалуйста, заметить что в 16й строчке вместо 0x10 написано 1 - вот это попробуй. Чуждый разум это понапроектировал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

119. Сообщение от пох. (?), 17-Янв-21, 18:55	–1 +/–
> Тестировать-то надо. И желательно бесплатно. Я полагаю, платиновому спонсору в общем-то наплевать. Сам потестирует. Вот угнаться за бесконечными stable api nonsense ему тоже не под силу, поэтому - пропихнуто в мэйнлайн, так проще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #130

120. Сообщение от пох. (?), 17-Янв-21, 19:01	–1 +/–
> Туда бы ещё добавить словечко NGFW :) ngfw не украсть - там весь ng в том что где-то в Бангалоре команда из сорока прикованных индусов день и ночь анализирует дампы и лепит новые правила. Без подписки ценой примерно в стоимость самой коробки (которая тоже не 15 тыщ, причем и не $$ даже) бесполезно, он даже не запустится у тебя. Внутри, кстати, вполне себе теперь может оказаться линyпс с nft. Почему же нет, для этой цели он вполне пригоден, и не надо ничего самим разрабатывать, кроме той руки, в которой кнут для индусни. bpf загрузит не в память, а в asic, разьве что.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #131

122. Сообщение от пох. (?), 17-Янв-21, 19:09	–2 +/–
> Коллеги (особенно пох :) ), подскажите, у линухе уже можно реализовать мою > мечту когда можно в одном месте назначить PORT_SSH=999, IFACE_WAN=enp2s45f968wtf; и потом > во всех остальных местах вот эти дефайны использовать? Не советую, оно его тебе завтра еще разок переименует - и все сломается. Можно. Хошь m4 используй, не хошь - cpp. Собственно, другим способом с новым-модным nft работать и не получится. Только генерить его уродливые конфиги чем-то, что имеет человекочитаемый. В прошлые-то годы, если мне такого хотелось, я мог просто переименовать eth0 в wan. Но сейчас этим занимается systemd-govnod, и не спрашивает, во что бы я там хотел его переименовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #133, #173

123. Сообщение от пох. (?), 17-Янв-21, 19:15	–1 +/–
> Т.е. ядро всегда знает, какой программе соответствует процесс? вообще-то да, при discard надо же ж снова откуда-то прочитать его код суметь. Но там, скорее всего, очень сложно будет отделить мух от котлет, оно не под это заточено. Пиши отдельную трекалку, которая создаст немодифицируемый из userspace (это важно) объект ядра, и будет таскать его за процессом до следующего exec.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

124. Сообщение от пох. (?), 17-Янв-21, 19:21	+/–
> Да не, чего-чего, а с порядком запуска у системды всё хорошо. Просто прекрасно. Сколько там у нее заклинаний для этой цели - пять, или больше уже? А поскольку "Result is RESULT" и нормально отслеживать завершение запуска она не научится никогда - хоть двадцать пять напиши, не поможет. Как там у тебя с systemd-networkd-wait-online.service , все хорошо, да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #129

129. Сообщение от Онаним (?), 17-Янв-21, 20:47	+/–
А что с ним должно быть не так? У меня монтирование ряда FS на старт сети завязано, после стартует всё остальное. Никаких затруднений не испытываю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #141

130. Сообщение от псевдонимус (?), 17-Янв-21, 20:50	+/–
Ну и выбросят этот "инносенс". Уже приступили, не смотри на медленное запрягание.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119

131. Сообщение от Sw00p aka Jerom (?), 17-Янв-21, 21:23	+/–
>Внутри, кстати, вполне себе теперь может оказаться линyпс с nft. так и есть > Почему же нет, для этой цели он вполне пригоден такое же гамно если честно, при 1M pps валится. устал багрепортить, индусия.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #154

132. Сообщение от псевдонимус (?), 17-Янв-21, 21:48	+/–
>[оверквотинг удален] > что у нас нельзя угадать, чем порожден процесс, или придется в > ядре отдельную систему трекинга городить, со своими багами и локапами - > нуууу извиниииите, есть у технологий 70го года некоторые и ограничения, к > сожалению. Ты когда их в 90е выбирал, мог бы и понимать, > чем пожертвовал. > Правильная реализация, естественно, делается за счет проброса (уже отобранных немногочисленных, > заметим, пакетов) в userland (позволяя в том числе и то самое > окошко под руку сунуть с кнопкой ok), и это у нас > ТОЖЕ было двадцать лет назад. Но никто так и ниасилил ничего > качественного и рабочего - место тут проклятое. В 90-е ч гонял на велике, купался в речьке  и стрелял из рогатки :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #145

133. Сообщение от InuYasha (??), 17-Янв-21, 21:53	–1 +/–
М-да, не радужно. системду я ещё не изучал на этот предмет. но вообще переимновать сам девайс было бы лучше всего....наверное. Но тот же порт или влан всё равно было бы неплохо где-нибудь обозначить. Вот только конфиг ССШ не умеет же переменные окружения (не умел, пкм).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122 Ответы: #135, #146

134. Сообщение от Роман (??), 17-Янв-21, 22:15	+/–
как вы думаете, по какой цене могли бы продавать авторы такого продукта, чтобы его еще как-то массово покупали пользователи Linux? Какие дистрибутивы должны поддерживаться?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

135. Сообщение от Sw00p aka Jerom (?), 17-Янв-21, 22:47	–1 +/–
http://manpages.ubuntu.com/manpages/bionic/man5/systemd.link... может поможет, там примеры есть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133 Ответы: #142

136. Сообщение от mikhailnov (ok), 17-Янв-21, 22:52	+/–
Яндекс купил Агнитум, потом закрыл его.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

138. Сообщение от онанимус (?), 17-Янв-21, 23:42	+/–
у меня именно правила ipset... предварительно укороченные с помощью aggregate - блокирую больших братьев по AS. короче, понял - пока не закончится поддержка Centos 7, оставляю iptables.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

139. Сообщение от flkghdfgklh (?), 17-Янв-21, 23:51	+/–
> Величайшего прогресса в этой области достигла redhat, которая хотя бы умела без ручного вмешательства сохранять твои правки при шатдауне и восстанавливать при загрузке. Мнэ. А почему у меня это всегда в Debian/Ubuntu было? Пакет iptables-persistent
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #140, #143

140. Сообщение от пох. (?), 18-Янв-21, 00:33	+/–
И вот какого х-я его нет по умолчанию в любой установленной системе, и надо пойти найти то, незнамочто, для тривиальнейшей операции? (ufw в убунте тоже, разумеется, нет пока не поставишь вручную - откуда-то предварительно надо еще о его существовании узнать) А я тебе скажу, какого: ты просто родиться опоздал. Выпекли это чудо лет всего десять назад, и, разумеется, все страдавшие де6иллианом, к тому времени давным-давно выработали "полезную" привычку пихать хуки в interfaces. Ну вот такое всегда у де6иллианоидов - память как у рыбки, "всегда было". У редхата - да, "всегда было". Примерно с версии 6, когда в ядре завелись iptables. У suse еще раньше. И у обоих, что характерно - изначально с политикой DROP. Результат на лицо - 90% зомби-ботов - де6иллианчики и бубунточки. Потому что чтоб на кого еще попасть ssh'ем с паролем test/test - надо б было не забыть его вручную открыть. А у вас - все настежь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139 Ответы: #167, #176

141. Сообщение от пох. (?), 18-Янв-21, 00:41	+/–
> А что с ним должно быть не так? А что с ним может быть "так"? Не работает оно. Как всегда у вас. > У меня монтирование ряда FS на старт сети завязано Это _netdev в fstab, небось, у тебя. Очередной костыль. Впрочем, он тоже иногда глючит. Но большинство монтируемого просто виснет до победного результата, поэтому как раз и обеспечивает требуемую задержку для всего остального.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129 Ответы: #152, #169

142. Сообщение от пох. (?), 18-Янв-21, 00:52	+/–
Отличная диверсия, кстати, спасибо, хер кто потом найдет, почему на этом хосте вместо enp2s45f968wtf оказался wtfenp2s45f968 (Или почему все сломалось нахрен, когда ты заменил сгоревшую карту на такую же.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #135 Ответы: #148

143. Сообщение от пох. (?), 18-Янв-21, 01:03	+/–
Упс, а что, оно за те десять лет модули-то грузить так и не научилось? Видимо, этим недоделком вообще никто кроме тебя и не пользуется никогда. Или просто нужен еще один чудо-пакет с еще одним тривиальным скриптом из двух строчек?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139

144. Сообщение от Аноним (24), 18-Янв-21, 01:10	+/–
Глаза Лени не могут быть добрыми ро определению
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

145. Сообщение от пох. (?), 18-Янв-21, 01:38	+/–
> В 90-е ч гонял на велике, купался в речьке  и стрелял из рогатки :-) иппать ты лох! Ну в смысле - ну в 90е-то легко было промахнуться в выборе (та винда которая по 95 включительно, все же, была сильно так себе, nt4 позволить себе могли не только лишь все), но после-то?! Эх, если бы мое знакомство с юниксом состоялось в начале 200х, хер бы я эту глупость совершил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132

146. Сообщение от пох. (?), 18-Янв-21, 01:43	+/–
> Но тот же порт дарю идею - /etc/services Это будет диверсия похлеще .link - никто вообще нихрена понять не сможет!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133 Ответы: #157

147. Сообщение от Tifereth (ok), 18-Янв-21, 02:16	+/–
И это не всегда так. Конторы иногда переезжают, расширяют офис и т.д. и т.п. Вот в таких случаях и представляется иногда возможность уменьшить долю хаоса. Помимо соблюдения основной директивы "не чини то, что работает". Раз тут упомянут CentOS (который с конца этого года прикажет долго работать), один чёрт придётся менять эту операционку - опять же повод внести чуть больше порядка (в понимании конкретного админа, конечно). Всякое бывает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

148. Сообщение от Sw00p aka Jerom (?), 18-Янв-21, 03:26	+/–
> Или почему все сломалось нахрен, когда ты заменил сгоревшую карту на такую же. Далеко ходить не надо :) Device eth0 does not seem to be present, delaying initialization # rm /etc/udev/rules.d/70-persistent-net.rules
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142 Ответы: #155, #160

149. Сообщение от Sw00p aka Jerom (?), 18-Янв-21, 03:38	+/–
> Краденые pa7000 чур меня чур, даже даром не нужно как и всякие ЧП (собратья пальто) со своими ЭнДжи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114 Ответы: #164, #166

151. Сообщение от Аноним (151), 18-Янв-21, 09:03	+3 +/–
Интересно: есть ли хоть кто-то, (кроме марсиан-разарбов) кто в nftables продвинулся дальше написания примитивных правил?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #161, #168, #184

152. Сообщение от Онаним (?), 18-Янв-21, 09:27	+/–
> Но большинство монтируемого просто виснет до победного результата, поэтому как раз и > обеспечивает требуемую задержку для всего остального. Ну у меня это в принципе и есть желаемое поведение: если что-то смонтировать не удалось - не стартовать в принципе, иначе возможны эксцессы. Хотя кое-где для некритичных маунтов выкручены вниз таймауты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141

153. Сообщение от Tifereth (ok), 18-Янв-21, 11:15	–1 +/–
> по "накопленной статистике" не на чем сказываться. Вообще никак эти пары сотен не видны. У вас это любимое занятие, я погляжу - делать выводы о том, чего в глаза не видели? > чем простыня ipset отличается в лучшую сторону от точно такой же в виде chain? > Тем, что теперь вместо одного места, надо смотреть в два? Тем, что в случае ipset это уже не простыня.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #162

154. Сообщение от RHEL fan (?), 18-Янв-21, 11:32	+/–
Не, nft нету. Там ядро 2.6, тогда такого еще не придумали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131 Ответы: #158

155. Сообщение от InuYasha (??), 18-Янв-21, 11:41	+/–
Поглядел ман, спасибо. Теоретичеси, половину вопроса решает, возможно [Link] Name=МойУютный А пока ждём когда в линукс завезут глобалы или реестр.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #148

156. Сообщение от Azudim (??), 18-Янв-21, 11:41	+2 +/–
>> bsd он залип на уровне basic'a (ipfw) Про pf слышали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

157. Сообщение от InuYasha (??), 18-Янв-21, 11:41	+/–
О, это будет круто )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #146

158. Сообщение от Sw00p aka Jerom (?), 18-Янв-21, 12:26	+/–
>вполне себе теперь может оказаться линyпс с nft. Это не утверждение, а предположение. Через пару лет вероятней и окажется с nft.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154 Ответы: #165

159. Сообщение от Random (??), 18-Янв-21, 13:11	+/–
В конфиге файрвола только (например): define ext1_if = enp1s0.10 define ext2_if = enp1s0.11 define ext_ifs = { $ext1_if, $ext2_if } add table ip filter add chain ip filter fin { type filter hook input priority filter; policy drop ; } # Собственно, вот это: add set ip filter bad_src_ranges { type ipv4_addr; size 65536; flags interval; } add rule ip filter fin iif $ext_ifs ip saddr @bad_src_ranges drop И, по желанию, отдельно или тут же: nft add element ip filter bad_src_ranges { x1.x2.x3.0/23, y1.y2.y3.y4-y1.y2.y5.y6, z1.z2.z3.z4 }
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #163

160. Сообщение от пох. (?), 18-Янв-21, 13:12	+/–
> Далеко ходить не надо :) Не, это у тебя какая-то немодная-устаревшая херня, так было в конце нулевых, где тебя забыли разморозить. Мне даже целый один раз на самом деле пригодилось - попалась специфическая машина, каждый раз инитившая одни и те же сетевухи в разном порядке (ну не чинить же, действительно, само непредсказуемое поведение ведра, что вы, в самом деле). Нынче этот самый eth0 увидеть - большая редкостная удача, и та доступна _исключительно_ благодаря майнтейнерам убунты, поднявшим шум, когда фичу с отключением переименования во что попало по тихому выпилили из системды. Достаточно громко орали, что ее после нытья про немодность и нотабаг все же запилили взад. Неизвестно, надолго ли. (Разумеется, в любом случае для этого нужен параметр в командной строке ядра, и другие ужимки и прыжки (в убунте за тебя их уже проделал майнтейнер) А простым смертным - eno2p42353265wtf - а переименовали его из eth0 или из eth5 - какая, в общем-то, разница?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #148 Ответы: #171

161. Сообщение от пох. (?), 18-Янв-21, 13:13	+1 +/–
Я уверен, что в фейсбуке их полно таких. Только вот зачем, учитывая что времени и геморроя на отладку (если отлаживать, конечно, а не наваять херню и через день убежать ваять другую херню) банально жалко?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151

162. Сообщение от пох. (?), 18-Янв-21, 13:18	+/–
>> по "накопленной статистике" не на чем сказываться. Вообще никак эти пары сотен не видны. > У вас это любимое занятие, я погляжу - делать выводы о том, > чего в глаза не видели? да, да, конечно же не видел. Кончай бредить. Увидеть вшивые сотни правил невозможно НИКАК, разьве что на i386/20. Скорее ты увидишь разницу между отсутствием и наличием загруженного модуля iptables вообще. Увидеть можно тысячу - ну увидел, аж целых пара миллисекунд, ужос-ужос, дальше пошел. >> чем простыня ipset отличается в лучшую сторону от точно такой же в виде chain? >> Тем, что теперь вместо одного места, надо смотреть в два? > Тем, что в случае ipset это уже не простыня. о да, да, конечно же не простыня,это другое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #153 Ответы: #177

163. Сообщение от пох. (?), 18-Янв-21, 13:23	+/–
п-ц то какой. Я сломал глаза, пытаясь эту фигню прочесть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #159

164. Сообщение от пох. (?), 18-Янв-21, 13:27	+/–
>> Краденые pa7000 > чур меня чур, даже даром не нужно как и всякие ЧП (собратья ну да, ну да - лучше ковырять дома вот тот п-ц с tcp flags 0x10... А я бы вот был вполне счастлив написать что-нибудь вроде deny application googleanal без лишних телодвижений.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149 Ответы: #170

165. Сообщение от пох. (?), 18-Янв-21, 13:31	+/–
>>вполне себе теперь может оказаться линyпс с nft. > Это не утверждение, а предположение. Через пару лет вероятней и окажется с > nft. неисключено, что именно эти ребята и спонсируют. Сам понимаешь, от обычных iptables  им проку никакого, только лишние тормоза были бы, и пока все приходится делать самим. Они будут неимоверно счастливы ограничиться bpf-загрузчиком.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #158

166. Сообщение от пох. (?), 18-Янв-21, 14:14	+/–
>> Краденые pa7000 и кстати, да, gre nat/conntrack для многих источников-приемников у них тоже работал, это я с особой ненавистью проверял, потому что именно тогда и вляпался. Впрочем, это неинтересно, он у асы тоже работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

167. Сообщение от PnD (??), 18-Янв-21, 15:36	+/–
> У редхата - да, "всегда было". Примерно с версии 6, когда в ядре завелись iptables. С RHEL-5 AFAIR. И не забыть "service iptables save" в конце (если ещё от консоли не отвалился). Прямо как в цисках. Правда, в 5-м нужно было ещё "руками" (в sysconfig/iptables кажись) хэлперы втыкать. Чтобы всякие там sip работали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140 Ответы: #178, #179

168. Сообщение от Random (??), 18-Янв-21, 15:45	+/–
Чуть менее примитивное: работа домашнего роутера через двух провайдеров одновременно, с афроамериканскими списками, в т.ч. динамическими.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151

169. Сообщение от PnD (??), 18-Янв-21, 16:17	+/–
> Это _netdev в fstab, небось, у тебя. А fstab себя сам монтирует? Ой, да это же… man systemd-fstab-generator * Раньше магия по-другому называлась, но сам себя fstab никогда не монтировал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141 Ответы: #174

170. Сообщение от Sw00p aka Jerom (?), 18-Янв-21, 16:23	+/–
> А я бы вот был вполне счастлив написать что-нибудь вроде deny application > googleanal > без лишних телодвижений. я только за, но "больно" очень, ибо лучше чтобы не было вовсе, чем есть и через Ж. В случае с "л и н у п с о м" (МАТ ФИЛЬТР БЛОКИРУЕТ ЭТО СЛОВО :)) можно спокойно все отладить и выявить проблему (именно выявить, не решить), а в случае с "Ы" (Ынтерпрайзным) - придется п*здеть с саппортом индусским, который будет тебя футболить на уровень выше и пройдет минимум месяц пока поймут в чем проблема и остается еще и подождать когда зарелизят, а зарелизят и поди куча других багов сплывет. Короче, больше головной боли с этими ЭнДжи. Лучше уж простой тупой L3 ФВ. А покупать ЭнДжи и юзать в роли L3 - поговорка про курей :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #164

171. Сообщение от Sw00p aka Jerom (?), 18-Янв-21, 16:48	+/–
>Не, это у тебя какая-то немодная-устаревшая херня, так было в конце нулевых почему же udev и щас живет, пример выше при смене мака происходит, ибо удев правило прописано с матчингом по маку. > А простым смертным - eno2p42353265wtf - а переименовали его из eth0 или > из eth5 - какая, в общем-то, разница? л и н у п с ведь не для простых смертных, а для самоубийц :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160 Ответы: #181

172. Сообщение от Аноним (172), 18-Янв-21, 18:02	–1 +/–
> А теперь запрети конкретному приложению доступ в сеть на лету Для твоей задачи подходят cgroups, или заморачивайся с connection mark (если ты реально Ъ-джедай).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

173. Сообщение от СеменСеменыч777 (?), 18-Янв-21, 21:25	+/–
> Только генерить его уродливые конфиги чем-то, что имеет человекочитаемый. 1) а я о чем писал ? 2) типа у циски конфиги не уродливые. > Но сейчас этим занимается systemd-govnod у кого как. у меня не занимается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122 Ответы: #175

174. Сообщение от пох. (?), 19-Янв-21, 11:07	+/–
>> Это _netdev в fstab, небось, у тебя. > А fstab себя сам монтирует? Ой, да это же… > man systemd-fstab-generator ну так и почитай там что такое _netdev. Что, опять не написано, вместо мана билиберда какая-нибудь? Ну даже и не знаю, сгенери и посмотри. Оно не работает. Точнее, оно работает только потому что виснет в процессе монтирования при недоступной сети. Когда не виснет - все ломается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169

175. Сообщение от пох. (?), 19-Янв-21, 11:15	+/–
> 2) типа у циски конфиги не уродливые. они %банутые, но хотя бы -  читаемые, если не использовать совсем кривые практики. И отлаживаемые наживую, что ценно - можно вместо "пристального вглядывания" в простыни правил  просто позвать packet tracer и посмотреть, на каком конкретно фильтре оно этим пакетом подавилось (причем это не сбоку-кривая-приблуда, а виртуальный пакет реально прогоняется по всей цепочке, даже с поднятием ipsec туннелей если потребуются, это еще ж для людей делали, а не для рабов сцукенберга) Что позволяет, при большом желании, их вообще не писать руками а генерить чем-то (потому что не придется читать понагенеренное - достаточно посмотреть, где ошибка, и читать уже в компактном и понятном исходнике). За эти-то деньги - просто даром, считай, четыре таких сетевухи столько же или дороже. И никаких внезапно превращений eno2wtf в wtfeno2 и вообще угадай как его сегодня зовут, ethernet0 был и остается ethernet0.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #173 Ответы: #182

176. Сообщение от flkghdfgklh (?), 19-Янв-21, 12:07	–1 +/–
Малыш, мне 40 лет. Я использую Debian с 2001 года. Ты в то время еще не родился. Продолжай дальше писать глупости про «еще не родился, ко-ко-ко»
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140 Ответы: #180

177. Сообщение от Tifereth (ok), 19-Янв-21, 17:42	+/–
> да, да, конечно же не видел. Единственное мало-мальски осмысленное среди вороха букв. Понятно, что вы тужились иронизировать, но ответили точно и по существу. Остальное - белый шум (ну не признаетесь же вы, в самом деле, что могли чего-то не видеть и о чём-то не знать).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #162

178. Сообщение от пох. (?), 19-Янв-21, 18:03	+/–
>> У редхата - да, "всегда было". Примерно с версии 6, когда в ядре завелись iptables. > С RHEL-5 AFAIR. И не забыть "service iptables save" в конце (если > ещё от консоли не отвалился). Прямо как в цисках. если отвалился - после ребута привалится обратно, в том и смысл был. > Правда, в 5-м нужно было ещё "руками" (в sysconfig/iptables кажись) хэлперы втыкать. > Чтобы всякие там sip работали. я даже не поленился открыть то что тут чувак "с сорокалетним опытом дро4ки дерьмианов" толкает, чтобы убедиться - ТАДАМ, ты не поверишь - они там модули грузить до сих пор не научились. Так что sip (мне больше tftp, правда) по прежнему только у rh.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #167

179. Сообщение от пох. (?), 19-Янв-21, 18:06	+/–
>> У редхата - да, "всегда было". Примерно с версии 6, когда в ядре завелись iptables. > С RHEL-5 AFAIR. упс, не заметил. Чувак, твой "rhel5" - это 2010й. "версия 6" - это на десять лет раньше. Да, там уже до этого мегасложного откровения додумались.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #167

180. Сообщение от пох. (?), 19-Янв-21, 18:09	+/–
> Малыш, мне 40 лет. ну и зачем ты тут разговариваешь со своим "малышом"? > Я использую Debian с 2001 года. Ты в А я его выбросил окончательно в 1998м. Решив что настолько горбатую поделку даже могила не исправит. Не ошибся, что характерно. Но ты продолжай про "always have been". А то ж взять да и посмотреть историю этого недоделка, это ж "пользующим с 2001 года" непосильная магия.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #176

181. Сообщение от пох. (?), 19-Янв-21, 18:20	+1 +/–
>>Не, это у тебя какая-то немодная-устаревшая херня, так было в конце нулевых > почему же udev и щас живет, пример выше при смене мака происходит, сейчас удев - интегрированный кусок shittyd. Ничего при смене мака не происходит (чаще всего) потому что он там третьим приоритетом, а первым то ли номер слота, то ли я хз вообще что это. Еще пока можно кое-как отключить, но это ненадолго да и для здоровья вредно (та помойка, где eth0 каждый раз новый - у меня все еще жива, уж лучше пусть будет ens123456 чем такое). А фиксированный порядок скана слотов умер вместе с 2.4.32, наверное. > л и н у п с ведь не для простых смертных, а > для самоубийц :) для прикованных рабов, просто. Остальные давно сбежали :-(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171

182. Сообщение от СеменСеменыч777 (?), 21-Янв-21, 01:24	+/–
подведем итоги. линукс виноват в том что: 1) не выдал забесплатно стандартный генератор правил с визардом (есть 2 нестандартных, 1 из них без визарда, чисто текстовый конфиг). 2) не выдал забесплатно трассировщик пакетов. 3) имеет наглость развиваться куда попало и перетряхивать сетевую подсистему. по пп.1-2: а вам не кажется, что вы немного ЗАЖРАЛИСЬ ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #175 Ответы: #183

183. Сообщение от пох. (?), 21-Янв-21, 10:57	+/–
> не выдал забесплатно стандартный генератор правил с визардом мне он нахер не нужен. Мне нужен человекочитаемый конфиг. У вас он был, теперь его нет. > не выдал забесплатно трассировщик пакетов как будто у вас за деньги есть способ посмотреть, в каком месте и по какой причине пакет вот с такими src/dst/proto/port ушел не туда или отброшен? Ну же, куда занести 20 тыщ? А то таки продавцам краденых цисок достанутся, я нашел что искал. Да, ваша поделка этому разучилась. В 98м, как ни смешно - частично умела. > имеет наглость развиваться куда попало вовсе не куда попало, а куда рулит пейсбук. А поскольку я не пейсбук - мне от этого развития никакой пользы нет, одни проблемы. Удивительно, да? > по пп.1-2: а вам не кажется, что вы немного ЗАЖРАЛИСЬ ? не желаю жрать пейсбучье г-цо с лопаты, зато6ешплатное?! Ага. Могу себе позволить за деньги удобное. И работодателя могу выбрать не настолько феноменально бедного и жадного (мне в зарплату эти деньги все равно не могут заплатить, там совсем другие налоги будут)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #182

184. Сообщение от OpenEcho (?), 21-Янв-21, 15:46	+/–
Пока куцый врапер в iptables не уберут, народ на эту модную реплику пытающуюся стать pf-ом навряд пойдет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151

185. Сообщение от Cololo (?), 25-Янв-21, 02:11	+/–
Посмотрите Open Snitch.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема