Опубликован выпуск пакетного фильтра nftables 1.0.8, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59444
Нормально, JSON для автогенераций, счётчики для биллинга в "облаках"
Ничему их история успеха флэша не научила, всё тянут свои виртуальные машины с житами.
Надо на webassebly — он универсален.
Что лучше использовать для изучения сетей: nftables или pf?
лучше пару лет потерпеть и сразу учить пакетный фильтр будущего, вместо этих кусков г.
Что это ещё за пакетный фильтр будущего?
достаточно одной команды deny
> Что лучше использовать для изучения сетей: nftables или pf?Cisco
Он попросил для изучения, а не мучения
я бы сказал vendor"имения"
А если на это нет денег?
Ушла
Ну, а фильтрацию по string, как в iptables --match string не завезли до сих пор? Уже не один год простейшее(модуль string) завести не могут. Нет, я конечно понимаю, что можно перевести строку в байты, и по байтам фильтровать пакеты, но делать это вручную жутко не удобно. То ли дело фичи модуля string, с ними дело идёт куда веселей.
Если вас не устраивает nftables, зачем на него переезжать?
Оставайтесь с iptables
из rhel 9 iptables выпилен
Кто вам такое сказал? iptables-legacy на месте, мы допустим на nftables не переехали ещё.
Айпишник - это не строка. Это 32 бита в случае с IPv4. Фильтруются по префиксу.Пакет - это тоже не строка. Это не UTF-8 строка, это не ASCII-строка, это не еще-черт-знает-в-какой-кодировке строка. Это набор байт, причем потенциально зашифрованных в случае с TLS. Что ты там собрался фильтровать по строке - остается загадкой блдь.
Собирается впарить в пользовательские браузеры корпоратиный безопастный сертефикат.
В DNS-запросах например можно строку поискать.
Можно, и даже изредка нужно. Но чаще всё равно приходится пользоваться отдельным AF типа Knot resolver, потому что строку поискать мало, надо ещё с результатом что-то сделать, и чаще нетривиальное.
> Айпишник - это не строка. Это 32 бита в случае с IPv4. Фильтруются по префиксу.А кто говорил, что IP — это строка? Я, выше, подобного нигде не писал. Сами за меня придумали тезис, сами его опровергли? Как это похоже на школьника🤣
> Пакет - это тоже не строка. Это не UTF-8 строка, это не ASCII-строка, это не еще-черт-знает-в-какой-кодировке строка.
О великий гуру! Спасибо за твоё наставление(на самом деле — нет, не спасибо). Все в курсе, что пакет — это набор байт, представляете? Как и про то, что некоторые наборы байт можно сопоставить с другими наборами байт, и если они матчатся, правило может дропнуть пакеты, где обнаружило такое совпадение. Прикольно, правда? Бьюсь об заклад, что вам подобное в голову даже не приходило, мало работаете с сетевыми сервисами, верно?
Теперь по существу:
С помощью модуля string можно резать на серваке с веб-сервером запросы к определённому домену
```
iptables -I INPUT -p tcp --dport 80 -m string --string "Host: example.com" --algo kmp -j DROP
```фильтрация идёт по пакетам, составляющим строку с hostname заголовка Host:. Очень удобное решение, когда у вас на серваке пара десятков сайтов, и на один из них валит HTTP FLOOD, а сайт не стоит того, чтобы его уводить на защиту L7 от DDoS, при этом остальные сайты должны продолжать нормально работать. Да, трюк с такой блокировкой можно обойти, и я даже могу подсказать как, чтобы серверу опять поплохело, но большинство атакующих такие ламеры, что про такие нюансы просто не знают, а потому в 99.99% этот трюк просто работает. И да, заблокировать доступ к виртуальному хосту в конфиге сервера на время, пока сайт заблокирован, ради очень редких случаев обхода подобной блокировки можно, но до этого админу сервачка с недо-сайтами ещё додуматься надо. А порезать трафик правилом, что указано выше, легко, как два пальца об асфальт.
Режем трафик к конкретной странице
```
iptables -I INPUT -p tcp --dport 80 -m string --string "Host: example.com" --algo kmp -m
string --string "GET /admin" --algo kmp -j DROP
```тоже просто, верно?
Да, последний кейсы будет работать только с HTTP, на HTTPS не сработает. А предыдущий, блокирующий весь домен, отлично работает и с HTTPS со SNI.
А почему работает? Потому что модуль string отлично знает, строка преобразовывается в байты, и умеет сопоставлять байты из трафика с фрагментом строки, переданным ему в качестве образца.
Можно ли сделать то же самое, тупо передав в параметрах фильтрующего правила уже перекодированную в байты подстроку? Естественно. И nftables это умеет, представляете? Но, это не удобно, так как нужно специальным скриптом, или вручную, перекодировать строку в байты. И если правил таких у вас несколько, при просмотре правил, и удалении уже не актуальных, вам нужно каждый раз вспоминать, как выглядит набор байт(к примеру в шестнадцатеричной кодировке), сопоставимых с вашей строкой. Одна беда, nftables умеет фильровать пакеты по содержимому байт только если известно, на смещении от начала пакета находятся байты, что нужно сравнивать с вашим образцом. iptables же такие низкоуровневые подробности не требует, он и в этом пока ложит nftables на лопатки.
Про DNS выше комрады уже писали. Тоже кейс вполне себе часто встречающийся, когда нужно сделать что-то с трафиком, упоминающим какую-то строку. Но, для udp-запросов режем пакеты по набору байт, так как в случае с udp запросами к dns домен выглядит не так, как в строке(точки заменяются на нули, к примеру), такое сопоставление требует -m string --hex-string.
Но, nftables не умеет делать даже это нормально, у его встроенного режима сопоставления байт по набору их содержимого в шестнадцатеричном виде есть ограничения на длину одного набора байт, сопоставляемых с трафиком, и другие не приятные нюансы. Но, судя по тому, что вы о таких нюансах даже не знаете, вам просто никогда не приходилось использовать подобные запросы. Вероятно вы диванный теоретик, а не реально работающий админ, верно?
Даже Red Hat офигел от вида этих правил и написал к ним фронтенд - firewalld. Потому что знали, что иначе саппорт утонет в вопросас от тех, кому не посчастливилось родиться гиком и кто не в состоянии вникнуть в эту мешанину фигурных скобок...
>Даже Red Hat офигел от вида этих правил и написал к ним фронтенд - firewalld. Потому что знали, что всё меньше остаётся желающих тратить жизнь на мешанину фигурных скобок...
> посчастливилось родиться гикомНе дац боженька такого счастья. Уд лучше алкоголиком.
(писал выпимши)
В firewalld я стараюсь берег не терять из виду, там тоже можно утонуть. Хорошо, что 99% задач на поверхности. А если от скуки заглянуть поглубже в кроличью нору, получаешь по ЧСВ нокаутирующий удар.
Так-то все совсем наоборот, firewalld нарисован чтобы можно было на плоских портянках iptables соорудить что-то удобоваримое.
однако json лучше чем yaml, а то ещё пропустишь пробел пока редактируешь в nano
А как я много лет пользовался firewalld ДО появления nftables тогда? Вообще firewalld лишь недавно портировали для работы с nftables (и то в связи с депрекацией iptables).
Всё просто: до появления nftables firewalld был фронтом для itables. Т.е. для тех, кто умел только firewalld пользоваться, переход состоялся вобще незаметно. Круто же
> Даже Red Hat офигел от вида этих правил и написал к ним фронтенд - firewalld.наоборот. Эти невменяемые простыни с фигурными скобочками, непригодные для управления из командной строки и чтения человеком - как раз и придуманы чтобы упростить написание firewalld и гомощельных интерфейсов какввенде.
Или ты думал, что формат вывода в нескучном json - это для людей делали?
Так хорошо же. Наконец-то делают удобно. А когда неудобно, всегда можно собственный генератор правил написать. Кодить-то хоть умеешь?
Кому удобно? Мне было вполне удобно с iptables. Не без косяков (которые не могли исправить годами - эти вот умеющие кодить) но пользоваться было можно.А какввенде у меня уже есть - в венде. И кодить не надо.
Мне удобно. Ну и ещё пару ребят знаю, им тоже нравится как оно в продах топ500 работает. Если тебе не подходит, ну что ж сделаешь? Не пользуйся, накодь своё.
> Мне удобно. Ну и ещё пару ребят знаю, им тоже нравится как
> оно в продах топ500 работает.ок. Вот такой линoops. Паре ребят сделали щастье (потому что за ними платиновый спонсор, зато сэкономивший на сетевом железе за их счет), остальным устроили п-ц. А потом такие "пачиму вы нас не любите".
> Если тебе не подходит, ну что ж сделаешь? Не пользуйся, накодь своё.
ты уже много накодил-то?
Не пользуюсь, линoops пошел нахрен со всех моих сетевых фильтров. Доживает свой век в паре совсем древних систем, естественно, с iptables и древним-древним ведром без вредных улучшизмов додолбавших их таки в хлам. Либо ng-fw, либо уж хрен с ним, древний цискин аплайанс. По сравнению с iptables чудовищно уродливо (но спасает трассировщик которого у вас нет и не будет) по сравнению с этим фигурноскобчатым невменозом - просто само совершенство.
> Паре ребят сделали щастье (потому что за ними платиновый спонсорКто девушку ужинает, тот её и танцует. Ты вроде взрослый мужик, уже стыдно думать в твоём возрасте что тебе мир что-то должен.
> А потом такие "пачиму вы нас не любите".
Это тебе кажется. Вряд ли кто-то так спрашивает на самом деле. Отчасти потому, что в гнавшихся три дня, чтобы сказать как им безразличен линукс в интернете никогда не было недостатка, отчасти потому, что без разницы кто там кого любит или не любит. Любить или не любить можно человека. А линукс — просто инструмент для зарабатывания денег. Если ты не можешь на нём зарабатывать, чьи это проблемы?
> ты уже много накодил-то?
Сегодня прям дохера, часа три код писал не отрываясь. А ты?
> линoops пошел нахрен со всех моих сетевых фильтров
КИСА ТЫ ОБИДЕЛАС?
Я пишу без фигурных скобочек (за исключением минималистичной части - объявляения таблиц/чейнов/хуков, которые я забил 1 раз в плейбук и больше о них не вспоминал) и у меня все работает. И от iptables отличается лишь синтаксисом (в iptables короткие аргументы с тире, а в nftables слова, но соотвествие по сути 1:1, переучиваться не надо).
За это небольшое неудобство я получаю дичайшую киллер фитчу - бесшовное обновление МЭ находу и ipsets встроеные в фаервол! Только за это можно смело сказать: nftables - NUJNO, хорошо сделали.