| 1.1, Аноним (1), 12:59, 10/11/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables.
И тут байткод, и eBPF проталкивают. Похоже, что-то изменилось в "stable is nonsense" королевстве, как до серьёзной работы дошло.
| | |
| |
| 2.19, Аноним (-), 01:04, 11/11/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
> И тут байткод, и eBPF проталкивают. Похоже, что-то изменилось в
> "stable is nonsense" королевстве, как до серьёзной работы дошло.
Внезапно, nft не подвязан на eBPF сам по себе. А так BPF изначально - вообще беркелейщики с своими BSD придумали. Что самое издевательское - это не помогло им сделать нормальный фаервол.
| | |
| |
| |
| 4.30, Аноним (30), 16:09, 12/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> И какие у Вас претензии к PF?
Он по сравнению с тем что умеет все это линуховое добро... как бы вам сказать то? :)
| | |
| |
| 5.35, нах. (?), 23:01, 16/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
Ну скажи уже честно - темой не владеешь, ни одного примера рабочей (не высосанной из пальца) конфигурации привести не можешь.
Чего там умеет линуксное - тоже толком не знаешь, потому что "видел" через чужое плечо.
Кстати, напомни, в каком году л@п4@тые сп-ли из pf os fingerprint match? И в каком оно появилось в самом pf (том, разумеется, настоящем).
У меня масса претензий к pf, но я-то в отличие от тебя им умею пользоваться.
| | |
| |
| 6.37, Аноним (37), 13:53, 18/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Ну скажи уже честно - темой не владеешь, ни одного примера рабочей
> (не высосанной из пальца) конфигурации привести не можешь.
Таки вон то умеет жарить, парить и крестиком вышивать, довольно мощная и крутая штука. И на мой вкус синтаксис довольно читаемый.
А у вон тех есть полтора уродца, разные и с вечными проблемами, то одно не умеет, то другое, то многоядерности нет, то клинит на большом рулесете, не понос - так золотуха! Iptables без ipset'а - примерно туда же, btw.
> Чего там умеет линуксное - тоже толком не знаешь, потому что "видел"
> через чужое плечо.
Кроме плеч я и поразвлекаться с этим малость умею. Может и не на уровне суперпро, но большая часть местных и так не умело.
> Кстати, напомни, в каком году л@п4@тые сп-ли из pf os fingerprint match?
> И в каком оно появилось в самом pf (том, разумеется, настоящем).
Без понятия - я вообще не интересовался подобными извращениями.
> У меня масса претензий к pf, но я-то в отличие от тебя
> им умею пользоваться.
А я вот nftables освоил малость.. ну или может уже и не совсем и малость.
| | |
| |
| 7.38, нах. (?), 14:48, 18/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> Ну скажи уже честно - темой не владеешь, ни одного примера рабочей
>> (не высосанной из пальца) конфигурации привести не можешь.
> Таки вон то умеет жарить, парить и крестиком вышивать, довольно мощная и
ты об этом в интернетах прочитал. Примеров нет. Что и требовалось доказать.
> Кроме плеч я и поразвлекаться с этим малость умею. Может и не
ты кроме п-дедь - вообще ничего, похоже, не умеешь.
> Без понятия - я вообще не интересовался подобными извращениями.
Как обычно на любой вопрос требующий минимальных знаний темы.
> А я вот nftables освоил малость.. ну или может уже и не
слово выучил? Еще поди - кунфу и джиуджитсу освоил? Или второе пока с трудом выговариваешь?
| | |
|
|
|
|
|
| 2.26, Аноним (25), 14:51, 12/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
 Правила iptables всегда транслировались и обрабатывались модулем XT в виде байт-кода. Вы из спячки вышли и при чём здесь eBPF? Все смешалось в воспалённом сознании - люди, кони.
| | |
|
| 1.4, Аноним (4), 13:16, 10/11/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
В утилиту ebtables-nft добавлена поддержка команд "--change-counters", "--replace" и "--list-rules". Добавлена возможность указания счётчиков для правил, используя синтаксис "-c N,M".
на десятом году "адекватной замены с тем же синтаксисом командной строки" мы научились даже в list-rules.
Еще лет десять - научится реальные наборы правил транслировать. Иногда.
| | |
| |
| 2.18, Аноним (18), 01:00, 11/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Еще лет десять - научится реальные наборы правил транслировать. Иногда.
А оно надо? Правила NFT писать не больно сложно и оно на мой вкус - даже читаемее получается. Особенно для _больших_ рулесетов.
| | |
| |
| 3.23, анонимус (??), 00:41, 12/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
В смысле "даже"?
По сравнению с iptables, правила nft - это просто небесный нектар.
Iptables абсолютно не читаемое говнище. Даже ipfw, of и прочие в сто раз лучше
| | |
| |
| 4.24, Аноним (24), 10:26, 12/11/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
iptables просто нужно читать не в iptables -L, а в iptables-save, тогда становится достаточно читаемо. Но логики в этом нет и никогда не было, что вывод самой команды неадекватный, а читаемо только в команде для сохранения правил, с nft list ruleset сильно проще, согласен
| | |
| 4.31, Аноним (31), 16:14, 12/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> В смысле "даже"?
> По сравнению с iptables, правила nft - это просто небесный нектар.
Смотря где. Если с командлайна и oneliner - ну вот не, с nft это будет несподручно. И команды у него несколько странные вообще. Если ты не знаешь что хочешь - даже список активных рулесов хрен посмотришь так сразу.
Но если рулесей несколько - нфтаблес резко вырывается вперед и там все куда логичнее и эстетичнее чем тот замес в iptablese. Ну там какойнить stateful фаер, NAT, а то и модный у некоторых редирект в nf queue. Что-то сравнимое в iptables - выглядит как тот еще брейнфак.
> Iptables абсолютно не читаемое говнище. Даже ipfw, of и прочие в сто раз лучше
Он окей для oneliner'ов но для чего-то сложнее этого... эээ...
| | |
|
| 3.28, Аноним (25), 14:55, 12/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
В Android не перенесен модуль NFT. Так что по прежнему где-то да надо.
| | |
|
|
| 1.7, Аноним (7), 18:17, 10/11/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Хорошее дело делают, заботятся о братьях наших меньших, которые когда-то давно один раз зазубрили пару заклинаний для iptables, а теперь уже слишком стары, чтобы учиться новым. Вот это я понимаю, линукс с человеческим лицом.
| | |
| |
| 2.8, Ахз (?), 19:03, 10/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
Как тебе сказать, вот когда у тебя не пару строчек, в пару-тройку сотен тысяч..
| | |
| |
| 3.10, Аноним (7), 20:48, 10/11/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Начнём с того, что ты никогда в своей жизни не видел «пару-тройку сотен тысяч» строк конфигурации фаерволла. Уже на десятках тысяч загрузка правил через iptables превращается в несоклько минут ожидания, в течение которых фаерволл находится в полусконфигурированном состоянии. В отличие от nftables, которые применяют новый конфиг атомарно и целиком. А продолжим тем, что на десятках тысяч правил фаерволла начинает заметно расти латенси (что ещё пол-беды) и джиттер (что куда серьёзнее), поэтому в проде для таких случаев используют железные решения, а не детсадовские решения из пластилина и желудей. На сотнях тысяч задержки и джиттер видны невооружённым глазом. Так что не говори мне лучше никак.
| | |
| |
| 4.14, Аноним (1), 22:25, 10/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
Некоторые сервера память перед запуском ОС тестируют по полчаса, потом ещё раиды проверяют. А тут аж целых несколько минут.
| | |
| |
| 5.20, Аноним (-), 01:18, 11/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Некоторые сервера память перед запуском ОС тестируют по полчаса,
> потом ещё раиды проверяют. А тут аж целых несколько минут.
1) Это чаще всего настраивается.
2) ПОЛУсконфигурированый файрвол означает что сервис уже может быть доступен - но не только тем кому задумано правилами фаера. Или не всем легитимным пользователям. Что так фигня, что сяк.
| | |
| |
| 6.29, Аноним (25), 14:58, 12/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
А параметр -P Вы, судя по комментариям, так и не смогли освоить.
| | |
|
|
| 4.15, Аноним (15), 23:07, 10/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> начинает заметно расти латенси
А можно в цифрах?
Криво расставлены приоритеты в правилах.
| | |
| |
| 5.21, нах. (?), 11:59, 11/11/2024 [^] [^^] [^^^] [ответить]
| +/– | |
какие еще приоритеты у такого дятла, ему в голову не приходит ничего кроме плоской простыни правил перебираемых по одному.
Что для того и _chains_ чтобы их все не перебирать, и правил может быть хоть полмиллиона, никак не влияющих на latency потому что конкретный пакет проверяют из этого полумиллиона пять штук - он в вопросе серверфолта не дочитал.
Он вам и nftшные так же напишет, я уверен.
| | |
| |
| 6.33, Аноним (33), 17:01, 13/11/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Chains — это ты правильно сказал. Цепочки предполагают собой наличие первого и последнего. Подумай на досуге, сколько времени займёт фильтрование пакета, который обрабатывается правилами в конце цепи, почему важно грамотное упорядочивание правил и как тут помогают счётчики. Ну и заодно посмотри, что делает COMMIT, почему их в выхлопе iptables-save несколько, и подумай так же что происходит МЕЖДУ двумя коммитами. Как разберёшься — пиши, я тебе ещё интересных задачек подкину мозги размять.
| | |
|
|
| 4.16, ананим.orig (?), 00:42, 11/11/2024 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Начнём с того, что ты никогда в своей жизни не видел …
какой "убедительный" троль
iptables меняет (атомарно) сишный указатель со старой таблицы на новую, целиком и сразу.
исходники в ядре по этому вопросу легко читаемы даже начинающими.
в отличии от сабжа.
поэтому -
> находится в полусконфигурированном состоянии
если кто и может, так именно именно bpf. и сказать по какой фазе луны он это будет динамически делать не может никто.
включая админа целевой системы.
вернее даже так - особенно админа целевой системы.
отсюда только один вопрос - таким тролям доплачивают для продвижения таких полезных инноваций?
или ещё точнее - много ли таким тролям доплачивают для продвижения таких полезных инноваций?
или они ииз разряда полезных иди… энтузиастов?
| | |
| |
| 5.22, нах. (?), 12:00, 11/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
и да, слово COMMIT в выхлопе iptables-save дятлу ничего не говорит. Вероятнее всего потому что он никогда его и не видел.
> отсюда только один вопрос - таким тролям доплачивают для продвижения таких полезных инноваций?
еще не хватало. они сами рады заплатить.
| | |
|
|
|
| 2.9, Ахз (?), 19:05, 10/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
В догонку, вот обратная совместимость винды преподносится как достоинство, а с линуксом - так технологии дидов )
| | |
| |
| 3.11, Аноним (7), 20:52, 10/11/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не надо путать тёплое с мягким, и обратную совместимость с паллиативной заботой.
| | |
|
|
| |
| 2.17, ананим.orig (?), 00:58, 11/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
во первых не 1,5, а 1. (так прям в заголоке сказано)
во вторых, сабж - всего-лишь юзер-спейсная часть того, что наворотили за этот 1 в ядре.
> Ну я не знаю. Не знаю
именно
но это пол-беды.
теперь никто не знает что именно будет выполняться в этой ядрёной виртуальной машине на целевой системе в конкретный момент времени - так, догадки в определенном порядке следования каких то своих правил ещё будут, но и только
| | |
|
|
