Опубликован выпуск пакетного фильтра nftables 1.0.3, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Необходимые для работы выпуска nftables 1.0.3 изменения включены в состав ядра Linux 5.18...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57285
И сюда NFT добралось
Соглы, не нужно.
> auto-merge во время работыПолезняшка, особенно если списки часто меняются. Впервые за долгое время что-то практичное, а не безумный синтаксический сахар в духе "а давайте добавим в файрволл Tcl".
Тикль крут сам по себе.
У вас там.
Говняшка. Если что-то добавляется, то расчитываешь, что оно там и будет. Потом грепнешь и удивишься, куда оно пропало. Такие оптимизации должны быть скрыты.
Так там греп бесполезен - это ж неосиляторы юникса изобрели.
Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки, а не загадочные скобочки пятнадцати разновидностей.Вон, в json выводи и интуитивно-приятно парси его. После этого удивляться что что-то куда-то пропало уже будет и несмешно даже.
А лучше просто учи синтаксис firewalld. Все равно докеры шмокеры там поперек тебя лазят и после них руками уже ничего нормально не исправить.
Все, нет в лиnoopsе нормального пакетного фильтра, для людей, хотели как ввенде - нате вам.
А этот бред из текста новости - все равно ни понять, ни отлаживать не получится.
udp length 47-63 @th,160,128
0x0e373135363130333131303735353203 goto nat_dns_dnstc- ну просто ж прекрасное. Уже и похрен куда его уоптимизирует - его только выкрасить и выбросить можно.
Я сейчас использую обратно совместимый вариант. Всё работает без погрешностей. При миграции только имена команд подправил и все взлетело.
> Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строкиУдачи вам почитать грепом wtmp, блин.
Да и вообще, умилительное зрелище, когда приходит подоконник и начинает учить, как оно на юниксе должно быть, а сам максимум фрю под вмварью видел.
> Удачи вам почитать грепом wtmp, блин.т.е. команду strings ты так и ниасилил ?
>> Грепом они пользоваться никогда и не умели, поэтому первое что сломали - это эффективную работу юникс-средств ориентированных на строки
> Удачи вам почитать грепом wtmp, блин.last обеспечивает вполне читаемый грепом вывод, без всякого node.js парсера. Неожиданное открытие?
> Да и вообще, умилительное зрелище, когда приходит подоконник и начинает учить, как
> оно на юниксе должно быть, а сам максимум фрю под вмварью
> видел.ну вот и не приходи сюда. Со своими привычками "как в венде". Впрочем, поздно уже, конечно. Разработчики стали такие же точно.
Причем и винду тоже не умеют.
wtmp пусть читает last.возможно, когда делали wtmp бинарным, имели в виду "это будет база данных навроде BerkleyDB".
В коммерческих юниксах и логи аудита бинарные.(Тем более забавно видеть всякие ausearch и aureport в линуксах, где логи аудита всегда были текстовые)
>В коммерческих юниксах и логи аудита бинарные.Казалось бы, при чём здесь Поттеринг, бинарные логи в systemd...
Всё это было появилось в юниксах ещё в 1993.Поттеринг на самом деле мало чего нового (так, чтобы аналогофнет) предложил в 2010 - просто более или менее довёл линукс до паритета возможностей с коммерческими юниксами.
Тем смешнее была клоунада "защитников старого доброго Unix way", которые этих юниксов в глаза не видели и фич не узнали.
Был дух лабораторного юникс, простого и ортогонального, и были коммерческие юниксы, сложного и избыточного. Коммерческие юниксы никогда не соответствовали духу лабораторного юникса.
> wtmp пусть читает last.
> возможно, когда делали wtmp бинарным, имели в виду "это будет база данных
> навроде BerkleyDB".оно так и есть, только не keyvalue а специфический стор, причем - sparse file, поскольку хранит не "лог" а состояние "на сейчас".
Не самое удачное изобретение, если честно (его регулярно пытаются переизобрести, но каждый раз получается еще хуже чем было). Но таки да - инструментарий для работы с ним по прежнему укладывается в юникс-парадигму, его писали - давно.
Так и не было никогда.
За вменяемым синтаксисом - в bsd, но там возможностей недоклали, а в последнее время и просто "клали" - костыли. А, ну ещё в какую циску, да. Там конечно "море легаси", но в ем свои плюсы.
Все нормально было в iptables с синтаксисом. И человекочитаемый, и удобоотлаживаемый, чего не хватало - ну, фейсбуку понятно чего - бабла.В bsd ничего вменяемого нет - либо простыня ipfw с юзерхелпером (б-же мой, какое у нас тысячелетье-то на дворе) для nat, как только их больше одного - хрен ты уже разберешь кто там на ком стоял. Либо совершенно невменяемый криво-косо и с опозданием на пять лет портированный из openbsd. С юзерхелперами для протоколов сложнее голого udp.
И про циску тоже не надо мне тут:
nat (inside,outside) source static vcenter interface service vcenter-1 vcenter-1
nat (inside,outside) source static vcenter interface service vcenter-web vcenter-web
nat (inside,outside) source static vcenter interface service vcenter-control-web vcenter-control-web
nat (inside,outside) source static vcenter interface service vcenter-console-web vcenter-console-web
nat (inside,outside) source static vcenter interface service https https no-proxy-arpШИ-ТО тут написано и почему ОНО так, к лесу в известной позе, а к тебе почему-то передом?! Нет, это работающие правила, static Dnat для доступа ИЗВНЕ. Нет, интерфейс outside там где и должен был бы быть.
Это у меня еще нет синтаксиса через object-groups, тоже задом-наперед, а без пол-банки я тебе его не напишу с первой попытки правильно.
На фоне этого страшилища iptables-то просто откровение дарованное нам с рыжым. Его можно было просто читать (да, не тратя времени на пережевывание и зубреж простыни манов, если тебе не надо было что-то совсем уж экзотического).
Не-не-не, Девид Блейн! Вот смотри: простое правило ipfw add allow proto from to несёт 0 - "ноль" дополнительных уровней абстракции и читается любым человеком даже без знания предметной области. Да, в реальном мире у нас тут же появляются setup keep-state/check-state, но! Это абстракции уровня "предметной области", а не "инструмента". Сравните с ай-пи-табляйс - тут же, на входе - две чисто инструментальных концепции - "таблицы" и "цепочки", которые Никак не кореллируют с предметной областью. Патамучта-патаму. Это даже если не говорить про в доску упоротый синтаксис с мешаниной --\-, больших-маленьких букв (которые опять же, никому без мануала ни о чем не говорят) --и-длинных-слов. Простые вещи должны делаться просто, не?
Да, эта простота провоцирует разростание простыней (плюс куча goto, ой, skip), плюс сколько-нибудь сложные вещи становятся нумнэээ... Такоэ. Ну так сколько ж ему годиков?
Вот в ПФ (опенбсдшного изводу особенно) done right - простые вещи делаются просто, сложные - немного сложнее. правда каких-либо причин делать хоть какие-то вещи на опенбсде я не нахожу (Простые с тем или иным геморроем делаются и другими инструментами, а сложные опенбсдя в общем-то не тянет. Теоретически какбыда, а на практике - нихрена) - но сам инструмент с т.з. пользователя хороший.
Тут ей-ей, файрволлд - шаг в правильном направлении. Большинство простых юзкейсов он покрывает, позволяя при этом решать сложные задачи низкоуровневыми инструментами. Но чисто его по возможностям даже и айпифв сравнивать смишно - чисто линуксовая поизнедоделка, без (nf|ip)tables потребности не покрывает, а они - см. Выше.
> любым человеком даже без знания предметной области.а на реальный конфиг смотрят такие ТРИ человека со знанием предметной области - и не могут быстро найти где же ошибка в этой адовой простыне и почему сеть сломалась и на какой "skipto" они не попали.
Понятно что ты можешь скопировать эту чушь в iptables (не, не можешь, потому что nat все же отделен от фильтра) и сделать похожую нечитабельную простыню на пять экранов, но первое что сделают при ее разборе, если беглый взгляд не помог найти проблему - аккуратно нарежут на ломтики отдельных цепочек, чтобы каждую было можно охватить взглядом и отлаживать отдельно.
> так сколько ж ему годиков?
ну так в этом и проблема - за эвонсколько годиков (три всего) в линуксе ушли от плоской простыни навсегда, а эти так и остались с ней в обнимку. Теперь там еще и fibers в той же плоской простыне.
Циска на то и ентерпрайс что ей понадобилось всего лишь 20 лет чтобы это понять (в asa v8 сделали таки acl'и работающими с уже оттранслированными адресами как в линухе, до того был "bsd way")
> Тут ей-ей, файрволлд - шаг в правильном направлении.
увы, но ровно под него и прогнулись (это ж редгад, попробуй покривляйся золотому спонсору) - весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей дряни, решающей за тебя как настраивать фильтры. В коде они с удовольствием будут парсить json.
Причем "какввенде" опять почему-то не вышло, место чоль проклято, вышла неудобная неуправляемая фигня. Зато она в rhel поэтому это ваше будущее.
>а на реальный конфиг смотрят такие ТРИ человека со знанием предметной области"Порог вхождения", однако. Три человека со знанием ЗАКЛИНАНИЯ -Жи ассепт! Тут ничем не лучше.
>Понятно что ты можешь скопировать эту чушь в iptablesТак не можешь). Если бы "мог" вопросов бы не было - простые вещи просто, сложные - чуть сложнее. А тут тебе сразу на входе куча синтаксического мусора + концепций инструмента. В этом-то и претензия
>ну так в этом и проблема - за эвонсколько годиковУгу. Проблема. Ну так и не надо в как-там по молодёжному? 2к22? Айпифэвэ насиловать). Есть пф.
>весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей дряни, решающей за тебя как настраивать фильтрыНу, не знаю как ты - а я распедалить что там в 33 слоя насрано на ноде кубера в сколько-нибудь разумное время вот в принципе не смогу. Всё, лоу-левел не для меня, дайте мне тогда простой инструмент высокого уровня который будет решать _мои_ а не куберодокероштотатам задачи, в идеале - не ломая этот штотатам нафиг. Плевать уже что там под капотом, все равно я туда не полезу. И тут проблема не в том, что firewalld это такой ipfw - а в том, что он "плохой ipfw").
> "Порог вхождения", однако.пороги там давно были пройдены. Просто оно нечеловекочитаемо.
> Так не можешь).
могу с точностью до синтаксиса - оно ж ничего толком не умеет. Правда скипы придется реализовывать через отдельные цепочки, поэтому все равно читаемей получится чем оригинал плоской простыней.
> Есть пф.
ничем не лучше, увы. Сложные вещи на нем делаются черезмерно запутанно и простые тоже можно ухитриться сделать так что потом хрен разберешься как работало.
>> весь смысл новой модной поделки как раз в том что стало удобнее авторам firewalld и прочей
>> дряни, решающей за тебя как настраивать фильтры
> Ну, не знаю как ты - а я распедалить что там в 33 слоя насрано на ноде кубера в сколько-нибудьмущина, ну вам же сказали - это не для вас. для вас firewalldЕ! А это - для роботов, т-поватых но старательных.
> разумное время вот в принципе не смогу.
ну сможешь, допустим (там-то ничего особо сложного нет, только кривое) - а толку? Все равно же лезть руками туда совершенно бессмысленно, не будешь же ты свою систему управления кодить. Расслабьтесь, фиреволом в модном современном линoops'е уже управляете не вы.
> Потом грепнешь и удивишься, куда оно пропало.На этой стадии ваш наставник должен дать вам по рукам.
Ну, или если вы не джун - то начальник на дверь указать.Если человек настолько глуп, чтобы не осилить прочитать ман и найти там nft get element - нечего ему делать в профессии. Небось он grep и вместо ldd использует, нуачо, иногда же срабатывало!
> Если человек настолько глуп, чтобы не осилить прочитать ман и найти тами зазубрить еще стопиццот бессмысленных заклинаний (безусловно, высокого умища признак)
> nft get element - нечего ему делать в профессии. Небось он
девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован")
Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные инструменты, и экосистему вокруг универсальных инструментов построенную (unix называлась, не, не слышали), а софта, написанного макакерами и требующего читать и зубрить ман для совершенно тривиального действия, отдельно на каждую невменяемую поделку - просто стараются не допускать к использованию.
> и зазубрить еще стопиццот бессмысленных заклинаний (безусловно, высокого умища признак)Необязательно зубрить, достаточно уметь читать.
> Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные инструменты
Потому что клиповое мышление не позволяет запомнить более пяти "заклинаний", а самостоятельно читать маны - это девляпство и рокет сайнс.
Безусловно, каждая ерундовая операция требует почитания.>> Да, если это не нравится - добро пожаловать в сисадмины. Где используют именно универсальные
>> инструменты
> Потому что клиповое мышление не позволяетнет дурачок, это у тебя клиповое мышление, мы родились когда не было клипов - а у нас - юникс-система (была), где не нужно (было) тратить время на чтение ненужного - достаточно было прочитать книжку (а не man), один раз. Именно потому что тривиальные вещи делались тривиально, и удобно автоматизировались - БЕЗ необходимости тратить время на еще один нескучный инструментарий еще одного макакиного выcepa. Который через неделю объявят немодным и изобретут новый не доделав старого.
Именно этим она была - удобна. Тем что инструменты образовывали _систему_.
А теперь даже винда более логична и последовательна со своим "все есть объект, только иногда он почему-то строка".
Угу, одна книжка на все юниксы. А как с реальными системами работать начинаешь, так сразу вылазят у юникствари свою игрушки, скотины другие, у чпукса своя атмосферка, а в соплярисе вообще все не как у людей. И уходит та книжка работать подставкой под кофейную кружку.
> Угу, одна книжка на все юниксы. А как с реальными системами работать
> начинаешь, так сразу вылазят у юникствари свою игрушкиgrep, awk и sed у юниксвари были точно такие же (ну ок, были у них специфичные глюки но _админу_ а не кодеру надо было суметь вляпаться)
Если вы этого не понимаете - что именно такие инструменты образовывали юникс-систему, то да, книжка вам подставкой под кружку, и объявляете год линукса на десктопе со своего макбука.
> Именно этим она была - удобна. Тем что инструменты образовывали _систему_.да не было никакой системы, система явно склеена из разномастных кусков. линуксовый man ps, например, весело читать, половина опций указывается с дефисом, половина — без. а всё потому, что совместимость с этими «системными» юниксами.
другое дело, что, несмотря на всё это, система получилась достаточно удобной — никто не спорит.
> да не было никакой системы, система явно склеена из разномастных кусков. линуксовыйаж двух - bsd и sysv - и да, про это тоже написано в книжке 85го года. Но некогда читать, надо девляпать.
> man ps, например, весело читать, половина опций указывается с дефисом, половина
потому что тогда еще пытались в совместимость а не "зубри ман".
Поэтому сделали чтоб работали оба синтаксиса, и даже если ты намешал что-то не попадающее ни в тот, ни в другой - все равно что-то похожее показать.
(получилось так себе потому что у оригинала этот минус как раз есть, с тех самых годов, хотя и optional - что логично для программы у которой нет файловых аргументов и нужды их отличать)
Классика ригидного сознания помноженная на магическое мышление.
> девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован")Данная вам подсказка работает точно так же, как ipset test. Собственно, эта фича повторяет то, что ipset умел хз сколько лет. В чем причина такой ажитации к ней со стороны ниасиляторов nftables тайна великая есть.
>> девляпса (кстати ничуть не поможет если элемента просто нет - "соптимизирован")
> Данная вам подсказка работает точно так же, как ipset testget element в мозгах девляпсов переводится как test? Ну ооок...
Чем дальше от ваших поделок, тем более ок.
Все же чтобы с апломбом вещать благоглупости, стоило бы с обсуждаемым предметом ознакомиться. Так бы даже до вас дошло, что в семантике nftables get element логичен.
Ъ. Даже 2Ъ.
grep - он ОДИН и для ВСЕГО что есть строка. А выяснять, что кому в какой логике и чьей семантике "логично" каждый раз при выполнении однотипных вроде как действий - любил я противоестественным способом такое щастье.
Эх, вот если бы ещё реальность была такая же точно — однотипная, один раз что-то подумал и больше вообще никогда думать не надо. Но вот на тебе — телеги больше не модно, автомобили подавай им. Вёслами деды гребли — надо было какому-то девляпсу парус придумать и опять переучивайся. Не успел парус осилить — паровая машина. А за ней вообще страх что началось, дизели какие-то, атомоходы. Любил я противоестественным способом такое щастье.
Ну да, ну да. И колесо чот давненько круглое. Добавлю-ка я углов, в этой семантике вроде логично. Или ось к ободу прикреплю... Хм... Дилемма!
Разрабы и пользователи ipset смотрят на вас с некоторым удивлением.
Сейчас прибежит "пох" и скажет, что на его вин^Wюниксе никакого ipset нет, а потому - это девляпсовская смузи-хрень и (в его колхозе) не нужнО.
> Сейчас прибежит "пох" и скажет, что на его вин^Wюниксе никакого ipset нет,
> а потому - это девляпсовская смузи-хрень и (в его колхозе) не
> нужнО.ну да, костыль же. Причем украденый у фряхи где, в силу родовой травмы, по другому вообще нельзя.
Не знаю что в твоем колхозе такое делают что тебе нужны эти сеты вместо плоской таблицы. В которой хотя бы понятно что зачем и откуда взялось, и да, работает grep.
> вместо плоской таблицыУборщику из ДЦ невдомёк, что окружения бывают динамическими?
> хотя бы понятно что зачем и откуда взялось
Применить правило X к набору Y — что ж тут непонятного-то?
>> вместо плоской таблицы
> Уборщику из ДЦ невдомёк, что окружения бывают динамическими?судя по твоим истошным взвизгам - тебя и в уборщики не берут?
Собственно, квалификация такова, что да, тебе явно не судьба, зубрение инструкций все же не заменяет отсутствющих мозгов.У меня вполне себе динамически добавляются и удаляются правила - как в ipfw, так и в iptables.
>> хотя бы понятно что зачем и откуда взялось
> Применить правило X к набору Y — что ж тут непонятного-то?То что ты никогда не работал в этой области - уже вполне понятно. Теоретик.
Васянский локалхост где похрену что ты там нафигачил - никого, разумеется, не интересует.
Тут ты прав, не берут. Но я и не просился никогда. У меня-то проблемы разобраться с новым инструментарием нет, от того и очередь из кастомеров стоит. Нанял бы пару толковых ребят себе в помощь, да где взять — все в датацентрах полы моют.
> Тут ты прав, не берут. Но я и не просился никогда. У
> меня-то проблемы разобраться с новым инструментарием нет, от того и очередь
> из кастомеров стоит.угу, все сплошь в очереди - "запили нам что-нить на новейшем еще недоделанном инструментарии - мы сами не знаем, нахрена он нужен, но нам очень надо, для отчета инвестору!"
А как спросишь тебя по предметной области - выясняется что ничего ты не делал и ничего не умеешь.
Проблемы зазубрить еще один нескучный синтаксис у тебя нет? Безусловно, это то за чем выстраиваются в очереди. Сплошь гуглы, пейсбуки и яндексы. И мешки денег несут!
> У меня вполне себе динамически добавляются и удаляются правила - как в ipfw, так и в iptables.Придёшь, когда правил хотя бы 10к будет, пообщаемся.
А зачем мне общаться с подобными м-ками?Безусловно каждому васяну с локалхостом, вроде тебя, нужны 100k правил, низкоуровнего пакетного фильтра, на минуточку. Которые потом ни контролировать, ни найти почему у пользователя "виснет" соединение", уже, естественно, нереально - так что и действительно уже пох, что оно там на"оптимизирует".
> а затем если добавить новые элементыА если захочешь убавить?
Отработает и выдаст другой набор элементов, с учетом удаленного.
> выполняется в ядре в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters)Ага, только это не виртуальная машина eBPF, которая тоже есть в Linux. Почему? Никто не знает.
Была запилена раньше, чем в ядре появилось BPF.
> Была запилена раньше, чем в ядре появилось BPF.при попытке запилить в ведре что-то хотя бы отдаленно похожее на уже имеющееся - обычно проистекает ведро вони и визгов о запрете дублирования кода, с требованием немедля все переписать для еще более полного его реюза.
Интересно, почему тут этого не произошло (нет, неинтересно - это кого надо нога).
P.S. bpf в ядре "появилось" во времена 1.3, по-моему. Только это не тот bpf.
Тоже склоняюсь к мнению, что авторы идеи с BPF - "уважаемые" люди в (около)кернелтусовке.
Так просвети глупцов
Исключение двух именованых списков не работает:
iifname $int_ifs ip daddr != { @stormwall, @akamai } meta l4proto tcp redirect to :9051
Вложенные списки в принципе обещаны?
Кто подскажет, что существенно изменилось при переходе с 0.9.9 на 1.0? Правила, загруженные в 0.9.9, работают как задумывалось. Они же, будучи загруженными в 1.0.x, не пропускают инет с локалку.
> Кто подскажет, что существенно изменилось при переходе с 0.9.9 на 1.0?ты чего, совсем слепой - девятку от единички отличить не можешь?
> Правила, загруженные в 0.9.9, работают как задумывалось. Они же, будучи загруженными в
> 1.0.x, не пропускают инет с локалку.Сейчас местные не-уборщицы из ДЦ объяснят тебе как отлаживать правила фильтации.
Я уже открыл попкорн.
В ansible нет модуля поэтому пока ждём.
> В ansible нет модуля поэтому пока ждём.Воистину девляпс!
Как запретить выход в сеть приложениям?Какой там аналог -m cgroup --path user.slice/firefox -j ACCEPT ??
meta cgroup == 4096 dropили что-то такое
cgroup'ы в meta модуле есть
Оно еще не deprecated?
Его же не Поттеринг запилил.
> Его же не Поттеринг запилил.Так мой системный менеджер и не deprecated!
Твой аудиосервер депрекейтед.
А для не_марсиан ничего нету?Ну и да: летят года,меняются версии, а документация всё также пребывает в состоянии десятка неактуальных wiki-страниц.
> А для не_марсиан ничего нету?_уже_ нету.
> Ну и да: летят года,меняются версии, а документация всё также пребывает в
> состоянии десятка неактуальных wiki-страниц.разработчикам и читать-то ее некогда, а ты хочешь чтоб ее писали.
Впрочем, тоже ничего особо нового - еще на автора lartc разработчик наезжал что он все не так понял и это надо срочно переписать (и вообще каззел). Что не так - разумеется, снисходить до объяснений не собирался.
А ведь человек сделал совершенно титаническую работу, по обрывкам, экспериментами и изучением кода _среверсив_, по сути, как оно должно было работать и как этим теперь пользоваться.
Стыдно на опеннете про документацию жаловаться. Тут же каждый матёрый сишник, пишущий без багов тотально оптимальный код. Прочитай исходники.