forum.opennet.ru - "В Ubuntu 20.10 планируют перейти с iptables на nftables" (159)

"В Ubuntu 20.10 планируют перейти с iptables на nftables"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В Ubuntu 20.10 планируют перейти с iptables на nftables"	+/–
Сообщение от opennews (?), 27-Авг-20, 17:29
Следом за Fedora и Debian разработчики Ubuntu рассматривают возможность перехода на использование по умолчанию пакетного фильтра nftables... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53608
Ответить \| Правка \| Cообщить модератору

Оглавление

в archlinux я уже перещёл не жалею nft всё для людей, Xasd6 (?), 17:29 , 27-Авг-20, (1) +1

Кроме хорошей задокументированности Записки на манжетах в виде каких-то годам, tolstushka.ru (ok), 17:44 , 27-Авг-20, (4) +7

https wiki nftables org wiki-nftables index php Special AllPages, Аноним (10), 17:59 , 27-Авг-20, (10) –5

вам и говорят, что вики-мусорка не является документацией , пох. (?), 19:02 , 27-Авг-20, (28) +13

После внедрения в популярные дистры должно появиться много статей по настройке К, Аноним (113), 17:57 , 28-Авг-20, (113)

nft-cli очень бажный , Аноним (10), 17:49 , 27-Авг-20, (6)
ребята подскажите LXD это ведь дальнейшее развитие LXC или как в ubuntu lxc врод, Аноним (95), 12:55 , 28-Авг-20, (95)

Для контейнеров-приложений - докер, для контейнеров с полноценной ОС - proxmox , Аноним (100), 13:56 , 28-Авг-20, (100) –2

Не путайте тёплое с мягким Proxmox с этой ссаниной не запустится на нормальном я, Анон123 (?), 18:47 , 28-Авг-20, (117) –5

Вы перепутали OpenVZ и Proxmox и испражнения с технологиями, ставшими основой ко, mikhailnov (ok), 17:09 , 29-Авг-20, (134) +1

Не, это параллельная ветка В ней стараются сделать что-то докеро-подобное, тольк, Анон123 (?), 18:44 , 28-Авг-20, (116)

Если к lxc добавить супервизор и реестр, получится докер Если не добавлять супе, Аноним (100), 22:35 , 29-Авг-20, (141)

В дебиане можно поставить lxd из снапа в 10ке по крайней мере LXD - это такой L, Роман (??), 21:32 , 29-Авг-20, (138)

В том смысле, LXD нужен в основном для любителей повозить мышу на сервере , Аноним (100), 22:28 , 29-Авг-20, (140)

нет, мышки были для аналогии, Роман (??), 09:26 , 30-Авг-20, (149)

Debian давно перешел Сперва непривычно, потом ничего, освоился , Аноним (2), 17:34 , 27-Авг-20, (2) +9

И это хорошо Прогресс не обошел дебиан , Аноним (-), 18:18 , 27-Авг-20, (17) +5
в 10 Хорошо, что я этого не заметил Правила влом переписывать, но все работает, Аноним (49), 23:17 , 27-Авг-20, (49) +1

А есть сравнения почему nftables лучше Ну там синтаксис лучше Возможностей бол, Наташа (??), 17:40 , 27-Авг-20, (3)

nftables vs iptables в гугле Синтаксии на любителя Возможностей больше , Аноним (7), 17:52 , 27-Авг-20, (7) +2

но пока даже старые возможности из iptables не все реализованы , Аноним (62), 06:14 , 28-Авг-20, (62) +2

Можно сделать правила компактнее , Аноним (8), 17:57 , 27-Авг-20, (8) +3
Да , Аноним (-), 18:12 , 27-Авг-20, (13) +11
Разработчик рассказывает https youtu be 9Zr8XqdET1c t 187https youtu be 9Zr8, Takishima (ok), 21:36 , 27-Авг-20, (40) +8

В общем ничего существенного Обычно всем достаточно ipv4, а прочими утилитами и, Аноним (49), 23:19 , 27-Авг-20, (50) –5

Отучаемся говорить за всех На базе моста и ebtables можно собрать такой умный св, Аноним (100), 12:12 , 28-Авг-20, (91) +5

Ну так почему не решить все эти проблемы и оставить старый привычный синтаксис , Павел (??), 16:03 , 28-Авг-20, (106)

для любителей старого синтаксиса есть прослойкасовместимости а зачем было вообще, Xasd6 (?), 17:24 , 28-Авг-20, (110)
Старый синтаксис ущербен до невозможности Пора двигаться дальше , Takishima (ok), 23:41 , 28-Авг-20, (122)

nft лучше из-за 1 Производительности исполнять байткод быстрее чем применять п, Your Mama (?), 23:19 , 27-Авг-20, (51) +5

Простите, если спрошу что-то не то, но как Fail2ban работает с nftables на скол, А10 (?), 07:51 , 28-Авг-20, (70)

nftables support was added in release 0 9 4 чему тут быть несовместимым, если он, Аноним (81), 10:15 , 28-Авг-20, (81) +3

1 Я надеюсь, вы понимаете, что время исполнения этого байткода на фоне времени , Анон123 (?), 19:02 , 28-Авг-20, (118) –4

Добавлю сравнения и ощущения от перехода от себя Документация nftables на момент, Аноним (145), 00:39 , 30-Авг-20, (145)
etc, Аноним (159), 16:35 , 30-Авг-20, (159)

Костыль на костыле и костылём подпирает Когда уже IBM запилит нормальный FW в, Hellscream (?), 17:47 , 27-Авг-20, (5) –12

Ждём, когда Леннарт напишет systemd-firewalld WAIT OH SHI , Вася (??), 18:13 , 27-Авг-20, (14) +7

Зачем, если можно просто с дить у OpenBSDишников , Hellscream (?), 18:16 , 27-Авг-20, (15) –3

Опередил pf самое то , Daemon (??), 20:26 , 27-Авг-20, (35) +1
Может хватить уже c вать Может стоит перейти на OpenBSD, поддержать проект, хот, zurapa (ok), 09:57 , 28-Авг-20, (77) +1

OpenBSD 8212 это лучшее, что сегодня есть в мире UNIX-Like, но у неё тоже име, Hellscream (?), 11:28 , 28-Авг-20, (85)

Именно эти проблемы и делают ее лучшей в мире UNIX-Like Чем хуже - тем лучше, Аноним (100), 12:05 , 28-Авг-20, (88)

Ну сорян, чё OpenBSD разрабатывается сообществом энтузиастов, а не транскорпора, Hellscream (?), 12:14 , 28-Авг-20, (92)

Не надо этого стесняться , Аноним (100), 13:57 , 28-Авг-20, (101)

Стесняться нужно не опятам, а дармовым бетатестерам IBMовской галере А опята чт, Hellscream (?), 17:05 , 28-Авг-20, (108)

Ну, хотя бы для того, чтобы поддержать и развивать проект Сейчас, может, чуть б, zurapa (ok), 09:39 , 29-Авг-20, (124) +1

Я могу поддержать OpenBSD донатами, разве что Нет того уровня квалификации, кот, Hellscream (?), 10:12 , 29-Авг-20, (129)

Судя по недавно вылезавшим дыреням, высоких требований к уровню квалификации там, Аноним (100), 22:38 , 29-Авг-20, (142)

Ну ты наверное лучше сможешь Иди покажи мужикам, как правильные посоны код пишу, Hellscream (?), 22:54 , 29-Авг-20, (143)

Открою секрет у смузи и гироскутеров целевая аудитория - дети, лет девяти P S , Туретта Хуюндберг (?), 11:50 , 30-Авг-20, (154)

Можно, но не нужно Все-таки, возможности pf весьма скромны в сравнении с nft , Аноним (100), 12:09 , 28-Авг-20, (89)

Хирургический скальпель и швейцарский нож , Hellscream (?), 12:19 , 28-Авг-20, (93)

pf здесь скорее обломок ножовочного полотна Работать можно, особенно если изоле, Аноним (100), 13:59 , 28-Авг-20, (102)

То ли дело умный дилдак из полиэстосиликона, с планкой Пикатинни, лазерным дал, Аноним (-), 17:47 , 28-Авг-20, (112)

Ты работал на ём Не рекомендуешь Просто как раз встал вопрос попробовать дилда, zurapa (ok), 09:42 , 29-Авг-20, (126)

Это вы со знанием дела говорите Не упрёк Интересно развёрнутый ответ Кстати , zurapa (ok), 09:41 , 29-Авг-20, (125)

Звините, в какую из , Anonymou (?), 21:14 , 27-Авг-20, (39)
Уже есть firewalld , Аноним (48), 22:57 , 27-Авг-20, (48)

Ага И между прочим поприятней в эксплуатации, чем iptables, если не старпёр при, zurapa (ok), 10:15 , 28-Авг-20, (80) –4

Глупости какие-то firewalld не умеет в SNAT, только маскарад Это первое что пр, Аноним (145), 02:39 , 30-Авг-20, (146) +1

а Docker умеет nftables что-то помню были проблемы и приходилось iptables польз, бублички (?), 17:58 , 27-Авг-20, (9)

Через рукоблудство только , Аноним (10), 18:09 , 27-Авг-20, (12)
Docker умер уже больше года как Кто этим будет заниматься , Аноним (100), 12:03 , 28-Авг-20, (87)

умер твой мозг, включая спинной приготовься, сейчас тебя отключат от системы по, бублички (?), 12:11 , 28-Авг-20, (90) –1

В зависимости от того что аноним выше имел в виду под Docker Если формат контей, Аноним (145), 03:30 , 30-Авг-20, (147) +1

спасибо за информацию, бублички (?), 07:39 , 30-Авг-20, (148)

Как умер , zurapa (ok), 09:46 , 29-Авг-20, (127)

По поводу StrongSwan да и OpenVPN - не поддерживают, но это особо не мешает, т, klogg4 (ok), 14:21 , 30-Авг-20, (158) +1

Всё для мышковозов с подвёрнутыми штанишками Это печально Хотя погодите-ка Э, Аноним (11), 17:59 , 27-Авг-20, (11) –20

Пока ты там крacноглaзил в консоли, я заработал на загородный дом с шикарным вид, Аноним (-), 18:16 , 27-Авг-20, (16) +15

Торгуешь своей пятой точкой что ли Ну зато денег много, хорошее дело Некоторым, Аноним (18), 18:29 , 27-Авг-20, (18) –4

ты-то своей на домик не наторговал, кому нужна твоя тощая и морщинистая Вот и з, пох. (?), 19:01 , 27-Авг-20, (26) –3

Так я не завидую, говорю же, надо использовать пока есть спрос А насчёт денег , Аноним (18), 19:12 , 27-Авг-20, (31)

А при чем здесь пятая точка Чувак написал что возит мышкой, а ты как-то на попк, Фрейд (?), 04:02 , 28-Авг-20, (59) +3

Ну мало ли, чего он там написал, чувак этот Депардье тоже вон с пафосом писал, пох. (?), 17:26 , 29-Авг-20, (135)

Отмазки импотента Сидеть в полной заднице и ничего не делать, оправдывая это сво, Туретта Хуюндберг (?), 12:15 , 30-Авг-20, (155)

Я, конечно, могу понять подобную позицию, но ты либо цитировать не умеешь, либо , Аноним (18), 18:11 , 30-Авг-20, (160)

Ну так это ж классика Если у линуксоида чего-то нет, то это объявляется ненужны, Аноним (34), 19:45 , 27-Авг-20, (34) +4

Зачем ты себе плюсы накрутил Ты вообще нормальный Хотя, чего я спрашиваю, будт, Аноним (18), 18:45 , 27-Авг-20, (21) +1
hadjob Мог быстрее, ротиком, Аноним (36), 20:33 , 27-Авг-20, (36) +2

Вам виднее, не отвлекайтесь от процесса, пожалуйста , Фрейд (?), 04:03 , 28-Авг-20, (60) +1

Это исповедь виндового девопсёра или же маня-фантазии мамкиного кодира , Аноним (66), 06:45 , 28-Авг-20, (66)
Без личного острова твои мечтания недостаточно влажные , Аноним (94), 12:34 , 28-Авг-20, (94)
Прости Как твоё благосостояние повышает твою экспертную оценку, или тебя как сп, zurapa (ok), 09:53 , 29-Авг-20, (128) +1

Либо запили форк ядра, либо топай на OpenBSD чО ты ноешь Linux это корпоративн, Hellscream (?), 18:37 , 27-Авг-20, (19) –6

Тел ми моар Зачем ты мешаешь юзерленд который вообще гну с нагромождением всяк, Аноним (18), 18:44 , 27-Авг-20, (20)

Да взять вот, например, тe же systemd, pulseaudio, gnome3 Как сообщество не бур, Hellscream (?), 18:52 , 27-Авг-20, (22) –3

Да всё нормально, apulse работает лучше пульсаудио например, нет искажений звук, Аноним (18), 19:02 , 27-Авг-20, (27) +1

Сообщество полностью отстранено от разработки и продолжает подпираться костылями, Hellscream (?), 19:15 , 27-Авг-20, (32) –2

Бесплатный софт и никакой свободы , Аноним (42), 21:57 , 27-Авг-20, (42) +1
На самом деле сообщество не настолько организовано, а те кучки, что кое-как орга, Аноним (65), 06:43 , 28-Авг-20, (65)

Free Sostware as it is , Hellscream (?), 09:08 , 28-Авг-20, (76)

Что вы подразумеваете под хорошо спроектированной системой , zurapa (ok), 10:13 , 29-Авг-20, (130)

Это OpenBSD, только с быстрой файловой системой, хорошей поддержкой оборудования, Hellscream (?), 10:21 , 29-Авг-20, (131)

А какая разница какие стандарты у корпораций если ты в них не работаешь , Аноним (62), 06:20 , 28-Авг-20, (63)

то у тебя снова не хватит желания и квалификации Жри с лопаты что дают, и благод, пох. (?), 18:56 , 27-Авг-20, (24) –1

Ну я раньше патчил иксы, но потом меня перестал напрягать засраный лог, они же п, Аноним (18), 19:05 , 27-Авг-20, (29)

да, и они ПОСЛЕДНИЕ - остальные уже перешли так что, внезапно, не там вы ищете, пох. (?), 19:00 , 27-Авг-20, (25) –4

Которые через несколько лет обрастут новыми костылями либо вообще будут выброшен, Hellscream (?), 19:09 , 27-Авг-20, (30)

Конечно Прогресс не остановить Ведь индусы, преподающие на курсах очередной fi, пох. (?), 00:12 , 28-Авг-20, (52) –1

В линуксе будет тот файрвол, который нужен людям способным его написать, только , Аноним (62), 06:33 , 28-Авг-20, (64) +1

у вас опечатка в слове пропихнуть в ведро Да и не люди это, фейсбук с rhbm , пох. (?), 07:20 , 28-Авг-20, (67)

Естественно Netfiler Core Team - те еще пропихиватели своих поделок, да , Аноним (100), 14:01 , 28-Авг-20, (103)
уверен, это твоё любимое занятие, помимо размазывания бесконечных соплей под каж, бублички (?), 00:25 , 29-Авг-20, (123) –1

без конца переписывать, вы хотели сказать А то ж уже два было Причем каждый нов, пох. (?), 17:44 , 29-Авг-20, (136)

Не в курсе, что firewall-cmd управляет firewalld Никто вас не заставляет ставит, Аноним (48), 01:45 , 28-Авг-20, (58) +2

Не все зациклены на деньгах , Аноним (71), 07:51 , 28-Авг-20, (71) +3

Покажите штук 5 этих невсех , ryoken (ok), 08:39 , 28-Авг-20, (72)

да, я бы тоже отжал у них немного мелочи , пох. (?), 17:45 , 29-Авг-20, (137)

помянем, Аноним (-), 18:55 , 27-Авг-20, (23)
В слове nftables забыли букву systemd , Аноним (37), 20:39 , 27-Авг-20, (37) –5

все нормально, systemd-firewalld уже поддерживает nft Собственно, он - одна из , пох. (?), 00:12 , 28-Авг-20, (53) –6

Неправда Firewalld поддерживает iptables давно , Аноним (48), 01:41 , 28-Авг-20, (57) +1

поддерживал Но по очевидным причинам iptables плохо приспособлены к управлению , пох. (?), 07:30 , 28-Авг-20, (68) –3

Таблеточки прими , Аноним (48), 11:29 , 28-Авг-20, (86) +1
Вероятно не всем очевидно что пилится это для роботов в общем-то в основном - де, Роман (??), 21:56 , 29-Авг-20, (139)

Ну да, о том и речь Не для людей Теоретически, выхлопом могло бы стать появлени, пох. (?), 22:59 , 29-Авг-20, (144)

Я не специалист по файрволам, но кажется чтобы сделать как в винде надо как-то ч, Роман (??), 09:29 , 30-Авг-20, (150)

так в винде тоже файрвол донесен до юзерлевел - надо же как-то выснуть тебе под , пох. (?), 10:22 , 30-Авг-20, (153)

То что он интегрирован с пользовательской частью это понятно, но может работать , Роман (??), 12:25 , 30-Авг-20, (156)

Неплох, но я в этом году не собираюсь переходить с Ubuntu 18 10, Иваня (?), 21:03 , 27-Авг-20, (38) –2

Держи в курсе Мы волновались , Аноним (42), 21:55 , 27-Авг-20, (41) +3
Я даже со slitaz 5 0 не собираюсь переходить - , Anm (?), 22:04 , 27-Авг-20, (45)

Осталось написать вменяемый GUI, Аноним (43), 21:57 , 27-Авг-20, (43) –2

По типу ufw для одноклеточных , Аноним (10), 22:02 , 27-Авг-20, (44) +1

ufw вообще-то предназначен для написанных одноклеточными для таких же postinst, пох. (?), 00:16 , 28-Авг-20, (54) –2

вообще, если вылезти из локалхоста и представить что серверами управляют не адми, Роман (??), 09:33 , 30-Авг-20, (151)

угу, угу, нинужен-нинужен FritzFrog передает тебе пламенный привет Илюшенька мес, пох. (?), 13:02 , 30-Авг-20, (157)

Пускай передаёт Понятно что у меня нет внутренней информации от хостеров или к, Роман (??), 18:24 , 30-Авг-20, (161)

Информация для хомячков Linux опеннета https wiki nftables org wiki-nftables i, Никитушкин Андрей (?), 22:16 , 27-Авг-20, (46) –3
Насколько это совместимо с shorewall и ufw , Аноним (47), 22:44 , 27-Авг-20, (47) –1
sshguard с iptables работает значительно быстрее добавление 20к IP-ков в бан пр, Ilya Indigo (ok), 00:56 , 28-Авг-20, (55) –7

ты что не напишешь, всё какой-то деревенский выход из-за печки - в красных шар, бублички (?), 01:39 , 28-Авг-20, (56) –3

Мне на мнение одного из многих анонимных аналитиков, вроде тебя и твоего друга , Ilya Indigo (ok), 08:48 , 28-Авг-20, (74) –6

ipset и множество других действительно пригодных инструментов для тебя тоже нет,, бублички (?), 10:13 , 28-Авг-20, (79)

Человек индиго, Алмаз Индиго (?), 13:00 , 28-Авг-20, (97)

да, из плоского мира, никак не научится мыслить объёмно или хотяб даже находить , бублички (?), 18:34 , 28-Авг-20, (115)

Говнокодер, Аноним (10), 05:16 , 28-Авг-20, (61) –2
это нимодно и нималадежна Работать в смысле И да, открой для себя убогий ipset , пох. (?), 07:43 , 28-Авг-20, (69) –7

А можно спросить, зачем мне открывать ipset для sshguard Я прогуглил ipset на ар, Ilya Indigo (ok), 09:00 , 28-Авг-20, (75) –5

Вы неправы относительно ipset Попробуйте на нагруженном линке обработать правил, nekto (?), 10:06 , 28-Авг-20, (78) +3

Благодарю за описание того, что такое ipset, и для чего он нужен Никогда ранее п, Ilya Indigo (ok), 10:19 , 28-Авг-20, (82) –5

ты элементарно не умеешь работать с информацией, не то что с правилами для блоки, бублички (?), 10:22 , 28-Авг-20, (84) –3

Зачем ему производительность для ssh , Павел Отредиез (?), 15:54 , 28-Авг-20, (105)
пробовал, проблем не увидел Правда, и смысла в этом тоже не очень много Вы себ, пох. (?), 17:30 , 28-Авг-20, (111) –4

Вот Ubuntu становится лучше хоть и сижу на manjaro, а Xubuntu с гавным в го но к, hubridmishkin (?), 08:42 , 28-Авг-20, (73)
ребята подскажите LXD это ведь дальнейшее развитие LXC или как в ubuntu lxc врод, Аноним (95), 12:56 , 28-Авг-20, (96)

в какой-то мере да, зависит от твоих потребностей подробности в google lxc and, бублички (?), 13:52 , 28-Авг-20, (99)
LXD это демон для LXC Его развивает Ubuntu Будущее технологии туманно, есть н, Аноним (104), 14:21 , 28-Авг-20, (104)
писал выше, дублируюВ дебиане можно поставить lxd из снапа в 10ке по крайней ме, Роман (??), 09:38 , 30-Авг-20, (152)

Зашёл в комментариях почитать отзывы сравнения советы, но кроме оскорблений ниче, Секрет (?), 16:53 , 28-Авг-20, (107) +3

Приступайте, уважаемый Как протреблятствовать - это вы все такие готовые, а как , Анон123 (?), 19:06 , 28-Авг-20, (119)
с разморозочкой вас - уже не то что начали, а собственно - сабж впихнули именно , пох. (?), 19:31 , 28-Авг-20, (120) –1

Вот прям почти то Но только простые вещи, DMZ сложное не построить спасибо , Секрет (?), 12:43 , 29-Авг-20, (133)

Как в этом модном молодёжном nftables ввести нужное каждому русскому человеку пр, Аноним (132), 11:23 , 29-Авг-20, (132) +1

Никак не поддерживается Я об этом писал выше nftables - это осознанная диверс, Никитушкин Андрей (?), 09:15 , 01-Сен-20, (163)
В вашем правиле для iptables конструкиця вида --to 65535 - совершенно ни к че, Никитушкин Андрей (?), 13:04 , 01-Сен-20, (164)

Синтаксис nft ужасный Неужели нельзя придумать нормальный человеческий синтакси, Сабир (?), 09:10 , 31-Авг-20, (162)

Выбери что-то одно , Аноним (165), 21:55 , 13-Мрт-21, (165)

Сообщения [Сортировка по времени | RSS]

1. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от Xasd6 (?), 27-Авг-20, 17:29

в archlinux я уже перещёл.
не жалею. nft всё для людей

Ответить | Правка | Наверх | Cообщить модератору

4. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +7 +/–

Сообщение от tolstushka.ru (ok), 27-Авг-20, 17:44

> nft всё для людей
Кроме хорошей задокументированности.
"Записки на манжетах" в виде каких-то годами не обновлявшихся разрозненных wiki-страниц - не в счёт.

Ответить | Правка | Наверх | Cообщить модератору

10. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –5 +/–

Сообщение от Аноним (10), 27-Авг-20, 17:59

https://wiki.nftables.org/wiki-nftables/index.php/Special:Al...

Ответить | Правка | Наверх | Cообщить модератору

28. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +13 +/–

Сообщение от пох. (?), 27-Авг-20, 19:02

вам и говорят, что вики-мусорка не является документацией.

Ответить | Правка | Наверх | Cообщить модератору

113. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (113), 28-Авг-20, 17:57

> Кроме хорошей задокументированности.
После внедрения в популярные дистры должно появиться много статей по настройке.
Кто знает, может через пару лет и появится подробное обучающее руководство по nft.
Сейчас формат подробных howto считается LT;DR, всем подавай готовые правила на serverfault. Хорошо хоть не ролики на ютюбе... :)

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

6. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (10), 27-Авг-20, 17:49

nft-cli очень бажный.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

95. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (95), 28-Авг-20, 12:55

ребята подскажите LXD это ведь дальнейшее развитие LXC или как?
в ubuntu lxc вроде свежее, а в debian unstable не очень и в nixos не очень,
что мейнстрим?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

100. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –2 +/–

Сообщение от Аноним (100), 28-Авг-20, 13:56

Для контейнеров-приложений - докер, для контейнеров с полноценной ОС - proxmox (openvz).

Ответить | Правка | Наверх | Cообщить модератору

117. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –5 +/–

Сообщение от Анон123 (?), 28-Авг-20, 18:47

Не путайте тёплое с мягким.
Proxmox с этой ссаниной не запустится на нормальном ядре, нужно будет испохабить ведро испражнениями от parallels. Да и не всякое ядро возможно так испохабить - стоковое от ubuntu-20.04 - никак нет, стоковое от CentOS-8 - тоже нет.

Ответить | Правка | Наверх | Cообщить модератору

134. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от mikhailnov (ok), 29-Авг-20, 17:09

Вы перепутали OpenVZ и Proxmox и испражнения с технологиями, ставшими основой контейнерной виртуализации в Linux

Ответить | Правка | Наверх | Cообщить модератору

116. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Анон123 (?), 28-Авг-20, 18:44

Не, это параллельная ветка.
В ней стараются сделать что-то докеро-подобное, только для lxc. Идея в том, что у докера есть registry и демон-супервизор, а у lxc такого нету. Вот они хотят это всё прикрутить к lxc. Прикостылить.

Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

141. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (100), 29-Авг-20, 22:35

Если к lxc добавить супервизор и реестр, получится докер. Если не добавлять супервизор, но добавить ресстр - podman. И они, кстати, работают со стандартизированным форматом контейнеров - OCI.
Вряд ли каноникл сможет предложить что-то более интересно, чем несовместимую ни с чем собственную инфраструктуру, которая делает все то же самое, но полностью контролируется одной корпорацией. Как они пытались это сделать с Upstart и Mir, как сейчас пытаются со Snap.

Ответить | Правка | Наверх | Cообщить модератору

138. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Роман (??), 29-Авг-20, 21:32

В дебиане можно поставить lxd из снапа (в 10ке по крайней мере)
LXD - это такой LXC только для людей а не для страданий. Примерно как графическое окружение рабочего стола против работы только в консоли - вроди и в консоли почти все можно, но страдать придётся знатно.

Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

140. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (100), 29-Авг-20, 22:28

В том смысле, LXD нужен в основном для любителей повозить мышу на сервере?

Ответить | Правка | Наверх | Cообщить модератору

149. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Роман (??), 30-Авг-20, 09:26

нет, мышки были для аналогии

Ответить | Правка | Наверх | Cообщить модератору

2. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +9 +/–

Сообщение от Аноним (2), 27-Авг-20, 17:34

Debian давно перешел. Сперва непривычно, потом ничего, освоился.

Ответить | Правка | Наверх | Cообщить модератору

17. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +5 +/–

Сообщение от Аноним (-), 27-Авг-20, 18:18

И это хорошо. Прогресс не обошел дебиан.

Ответить | Правка | Наверх | Cообщить модератору

49. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от Аноним (49), 27-Авг-20, 23:17

в 10? Хорошо, что я этого не заметил. Правила влом переписывать, но все работает.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Наташа (??), 27-Авг-20, 17:40

А есть сравнения почему nftables лучше? Ну там синтаксис лучше? Возможностей больше?

Ответить | Правка | Наверх | Cообщить модератору

7. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +2 +/–

Сообщение от Аноним (7), 27-Авг-20, 17:52

"nftables vs iptables" в гугле.
Синтаксии на любителя. Возможностей больше.

Ответить | Правка | Наверх | Cообщить модератору

62. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +2 +/–

Сообщение от Аноним (62), 28-Авг-20, 06:14

> Возможностей больше
но пока даже старые возможности из iptables не все реализованы.

Ответить | Правка | Наверх | Cообщить модератору

8. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +3 +/–

Сообщение от Аноним (8), 27-Авг-20, 17:57

Можно сделать правила компактнее.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

13. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +11 +/–

Сообщение от Аноним (-), 27-Авг-20, 18:12

Да.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

40. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +8 +/–

Сообщение от Takishima (ok), 27-Авг-20, 21:36

Разработчик рассказывает:
https://youtu.be/9Zr8XqdET1c?t=187
https://youtu.be/9Zr8XqdET1c?t=513
Вкратце:
один и тот же код в iptables дублируется 4(!) раза для ipv4/6, bridge и arp, потому что в своё время копипастили
нет стандартной библиотеки для работы с правилами (поэтому все запускают команду iptables, чтобы поменять что-то)
несколько разных команд для управления ipv4/6, bridge, arp с различающимся синтаксисом
кривая архитектура — загружается тупо блоб в ядро, а iptables -A/-D реально сводится к «скачать все правила, добавить/удалить 1 строку в userspace, загрузить все правила»
ядро не знает что изменилось в правилах
изменения не атомарные
если два iptables меняют одновременно правила, один из них сфейлится и изменения могут потеряться
и т.п.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

50. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –5 +/–

Сообщение от Аноним (49), 27-Авг-20, 23:19

В общем ничего существенного. Обычно всем достаточно ipv4, а прочими утилитами и пользоваться не умеют.

Ответить | Правка | Наверх | Cообщить модератору

91. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +5 +/–

Сообщение от Аноним (100), 28-Авг-20, 12:12

Отучаемся говорить за всех.
На базе моста и ebtables можно собрать такой умный свич, что готовым умным свичам и не снилось.

Ответить | Правка | Наверх | Cообщить модератору

106. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Павел (??), 28-Авг-20, 16:03

Ну так почему не решить все эти проблемы и оставить старый привычный синтаксис.

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

110. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Xasd6 (?), 28-Авг-20, 17:24

для любителей старого синтаксиса есть прослойкасовместимости.
а зачем было вообще "изобретать" новый синтаксис?
выглядет поприятнее вот собственно и всё. при условии что сравнение производится человеком знающим оба варианта.

Ответить | Правка | Наверх | Cообщить модератору

122. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Takishima (ok), 28-Авг-20, 23:41

Старый синтаксис ущербен до невозможности. Пора двигаться дальше.

Ответить | Правка | К родителю #106 | Наверх | Cообщить модератору

51. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +5 +/–

Сообщение от Your Mama (?), 27-Авг-20, 23:19

nft лучше из-за:
1. Производительности. исполнять байткод быстрее чем применять правила.
2. Унификации. Все протоколы через один интерфейс. Не нужны больше ip6tables.
3. Архитектуры. Грузится байткод, вся логика компиляции правил в байткод отделена в userspace утилитки. Unix-way во все поля.
4. Расширяемости. Можешь любую логику скомпилить и в nf_tables загрузить.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

70. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от А10 (?), 28-Авг-20, 07:51

Простите, если спрошу что-то не то, но как Fail2ban работает с nftables (на сколько они совместимы)?

Ответить | Правка | Наверх | Cообщить модератору

81. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +3 +/–

Сообщение от Аноним (81), 28-Авг-20, 10:15

nftables support was added in release 0.9.4.
> actionban = <nftables> add element <table_family> <table> <addr_set> \{ <ip> \}
чему тут быть несовместимым, если они по факту генерируют команду и дергают утилиту

Ответить | Правка | Наверх | Cообщить модератору

118. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –4 +/–

Сообщение от Анон123 (?), 28-Авг-20, 19:02

1. Я надеюсь, вы понимаете, что время исполнения этого байткода на фоне времени работы файрволла - это настолько несущественный пшик, что им можно пренебречь? За сколько у вас отрабатывает iptables-restore? Менее пары секунд.
2. Уверен, что костыли, применяемые для iptables, благополучно будут применены для nft.
3. Надеюсь, вы в курсе, что вся логика iptables тоже работает в userspace.
4. Ждём nginx на nftables а также сервера приложений на байткоде nft.

Думаю, тут будет та же история, что и с lua в ядре NetBSD. на расширенную функциональность все завернут болт и будут пользовать nft, как ipt и материть поехавший синтаксис nft.

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

145. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (145), 30-Авг-20, 00:39

Добавлю сравнения и ощущения от перехода от себя.
Документация nftables на момент перехода была нормальной, но толковых статей с рецептами не было вообще.
Я предпочитаю RHEL/CentOS, там уже давно всё переведено на nftables. Удивляет, что убунта, еще не...
И вот. В CentOS есть firewalld. Весьма и весьма спорный продукт, на самом деле, но он делает много работы за тебя для простых задач, поэтому он нужен.
Лично для меня, nftables оказался сильно-сильно лучше, потому что там можно навесить несколько параллельных действий на один и тот же пакет, а не как в iptables.
Когда построите сложный файрвол на nftables, возвращаться обратно на iptables не захочется никогда. nftables даёт возможность конфигурировать цепочки более тонко, имеет много синтаксического сахара типа maps.
Я там конфигурировал ipv4 и только, но так-то оно все xtables поддерживает, что упрощает и унифицирует. В общем, рекомендую всем.
И еще, когда пакет попадает в одну цепочку iptables, пакет оттуда не выкурить без исправления правил этой цепочки. Из-за наличия преднастроенных словарных цепочек в iptables легко можно создать конфликты. Например, когда источников правил несколько, то все должны быть подровнены под единую структуру цепочек с пониманием, что там куда переходит. Ведь когда приложение создаёт стороннее динамическое правило и не знает о кастомных цепочках iptables, результат будет непонятно какой. nftables - это в решение проблемы, потому что его цепочки не такие топорные.
Фронтенды типа firewalld создают правила в своих цепочках и если стороннее приложение создало другие правила, не подозревая наличие цепочек firewalld, то имеющиеся цепочки не сломаются. И дело даже не в firewalld, любой преднастроенный вариант от меинтенера вашего любимого дистра может сгенерировать набор правил, которые будут просто работать по-умолчанию. Получается, что в случае с nftables у вас не меняется набор правил созданных другим фронтендом, если вы только явно не полезли его менять руками. Это сильно повышает управляемость, несколько сложнее прострелить себе колено что ли... не знаю как это объяснить, если вы не видели nftables. Он сильно отличается от iptables причем в лучшую сторону. Попробуйте и поймёте.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

159. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (159), 30-Авг-20, 16:35

> унифицированы интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов
etc

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

5. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –12 +/–

Сообщение от Hellscream (?), 27-Авг-20, 17:47

Костыль на костыле и костылём подпирает... Когда уже IBM запилит нормальный FW в свою ось?

Ответить | Правка | Наверх | Cообщить модератору

14. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +7 +/–

Сообщение от Вася (??), 27-Авг-20, 18:13

Ждём, когда Леннарт напишет systemd-firewalld?
WAIT! OH SHI~

Ответить | Правка | Наверх | Cообщить модератору

15. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –3 +/–

Сообщение от Hellscream (?), 27-Авг-20, 18:16

> Ждём, когда Леннарт напишет systemd-firewalld?
> WAIT! OH SHI~
Зачем, если можно просто с*дить у OpenBSDишников?

Ответить | Правка | Наверх | Cообщить модератору

35. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от Daemon (??), 27-Авг-20, 20:26

Опередил. pf самое то :)

Ответить | Правка | Наверх | Cообщить модератору

77. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от zurapa (ok), 28-Авг-20, 09:57

Может хватить уже c*вать? Может стоит перейти на OpenBSD, поддержать проект, хотя бы на уровне пользователя этой системы. Я про серверный вариант использования, а не про Desktop.
А то прикармливаете этих... в клетчатых рубашках с бородами винтажными и со смузи...

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

85. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Hellscream (?), 28-Авг-20, 11:28

> Может хватить уже c*вать? Может стоит перейти на OpenBSD, поддержать проект, хотя
> бы на уровне пользователя этой системы. Я про серверный вариант использования,
> а не про Desktop.
> А то прикармливаете этих... в клетчатых рубашках с бородами винтажными и со
> смузи...
OpenBSD — это лучшее, что сегодня есть в мире UNIX-Like, но у неё тоже имеется ряд очень серьёзных проблем, а именно: устаревшая файловая система и никакущая поддержка оборудования. Я бы и рад работать только с опёнком, но увы.
p.s. А что плохого в смузи? Вкусно и полезно же.

Ответить | Правка | Наверх | Cообщить модератору

88. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (100), 28-Авг-20, 12:05

> OpenBSD — это лучшее, что сегодня есть в мире UNIX-Like, но у неё тоже имеется ряд очень серьёзных проблем, а именно: устаревшая файловая система и никакущая поддержка оборудования. Я бы и рад работать только с опёнком, но увы.
Именно эти "проблемы" и делают ее лучшей в мире UNIX-Like. "Чем хуже - тем лучше"

Ответить | Правка | Наверх | Cообщить модератору

92. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Hellscream (?), 28-Авг-20, 12:14

>> OpenBSD — это лучшее, что сегодня есть в мире UNIX-Like, но у неё тоже имеется ряд очень серьёзных проблем, а именно: устаревшая файловая система и никакущая поддержка оборудования. Я бы и рад работать только с опёнком, но увы.
> Именно эти "проблемы" и делают ее лучшей в мире UNIX-Like. "Чем хуже
> - тем лучше"
Ну сорян, чё. OpenBSD разрабатывается сообществом энтузиастов, а не транскорпорациями, как Linux.

Ответить | Правка | Наверх | Cообщить модератору

101. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (100), 28-Авг-20, 13:57

> Ну сорян, чё.
Не надо этого стесняться.

Ответить | Правка | Наверх | Cообщить модератору

108. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Hellscream (?), 28-Авг-20, 17:05

>> Ну сорян, чё.
> Не надо этого стесняться.
Стесняться нужно не опятам, а дармовым бетатестерам IBMовской галере. А опята что? Пилят себе мужики проект чисто по фану в свободное время.

Ответить | Правка | Наверх | Cообщить модератору

124. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от zurapa (ok), 29-Авг-20, 09:39

Ну, хотя бы для того, чтобы поддержать и развивать проект. Сейчас, может, чуть больно на ней. Если вкладываться и писать под OpenBSD, то потихоньку положение исправится.
P.S.: я не пробовал смузи, не знаю, что это, и куда заливается, но слышал, что дровосеки в клетчатых рубашках носящие городе имя девопс, любят его. Сам я люблю клетчатые рубашки, и свитера у меня все растянутые, и борода немаленькая. Пью, правда, чай. И зовут меня "Тыжпрограммист" обычно. Может я из завести? Может я хочу очень много денег и городить огород, что я сечас на железе горожу, только в докере, чтобы какой-то другой тыжпрограммист разбирался там с дисками, ковырялся с драйверами, за сухой кусок хлеба, а я глядя ему через плечо и проливая смузи на его растянутый свитер с оленями, нудил, что я из-за него всю команду подвожу, потому что он рукожоп элементарного сделать не может. А! И ещё ноков хочу драконить, что у них сеть не правильно работает, не так, как это в кубере...

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

129. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Hellscream (?), 29-Авг-20, 10:12

Я могу поддержать OpenBSD донатами, разве что. Нет того уровня квалификации, который там требуется.
p.s. Смузи — это просто фрукты/ягоды/орехи/овощи/зелень/мёд/etc. Полезная и вкусная штука же.

Ответить | Правка | Наверх | Cообщить модератору

142. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (100), 29-Авг-20, 22:38

Судя по недавно вылезавшим дыреням, высоких требований к уровню квалификации там нет.

Ответить | Правка | Наверх | Cообщить модератору

143. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Hellscream (?), 29-Авг-20, 22:54

> Судя по недавно вылезавшим дыреням, высоких требований к уровню квалификации там нет.
Ну ты наверное лучше сможешь. Иди покажи мужикам, как правильные посоны код пишут.

Ответить | Правка | Наверх | Cообщить модератору

154. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Туретта Хуюндберг (?), 30-Авг-20, 11:50

> я не пробовал смузи, не знаю, что это, и куда заливается, но слышал, что дровосеки в клетчатых рубашках носящие городе имя девопс, любят его.
Открою секрет: у смузи и гироскутеров целевая аудитория - дети, лет девяти.
P.S. В вашей деревне, наверное, мужик зубы вставил и все подумали, что он метросексуал.
А как слово "смузи" услышали, так дружно всей деревней ржали. Наши коровы смузи не дают.

Ответить | Правка | К родителю #124 | Наверх | Cообщить модератору

89. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (100), 28-Авг-20, 12:09

> Зачем, если можно просто с*дить у OpenBSDишников?
Можно, но не нужно. Все-таки, возможности pf весьма скромны в сравнении с nft.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

93. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Hellscream (?), 28-Авг-20, 12:19

>> Зачем, если можно просто с*дить у OpenBSDишников?
> Можно, но не нужно. Все-таки, возможности pf весьма скромны в сравнении с
> nft.
Хирургический скальпель и швейцарский нож.

Ответить | Правка | Наверх | Cообщить модератору

102. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (100), 28-Авг-20, 13:59

pf здесь скорее обломок ножовочного полотна. Работать можно, особенно если изолентой обмотать.

Ответить | Правка | Наверх | Cообщить модератору

112. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (-), 28-Авг-20, 17:47

> pf здесь скорее обломок ножовочного полотна. Работать можно, особенно если изолентой обмотать.
То ли дело "умный" дилдак из полиэстосиликона, с планкой Пикатинни, лазерным дальномером и 8к тачскрином. Казалось бы, тотальное превосходство в технологиях, все дела - а на деле годен только для ...

Ответить | Правка | Наверх | Cообщить модератору

126. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от zurapa (ok), 29-Авг-20, 09:42

>> pf здесь скорее обломок ножовочного полотна. Работать можно, особенно если изолентой обмотать.
> То ли дело "умный" дилдак из полиэстосиликона, с планкой Пикатинни, лазерным дальномером
> и 8к тачскрином. Казалось бы, тотальное превосходство в технологиях, все дела
> - а на деле годен только для ...
Ты работал на ём? Не рекомендуешь? Просто как раз встал вопрос попробовать дилдак вместо PF, а я в сомнениях.

Ответить | Правка | Наверх | Cообщить модератору

125. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от zurapa (ok), 29-Авг-20, 09:41

>> Зачем, если можно просто с*дить у OpenBSDишников?
> Можно, но не нужно. Все-таки, возможности pf весьма скромны в сравнении с
> nft.
Это вы со знанием дела говорите?.. Не упрёк. Интересно развёрнутый ответ.
Кстати nft, если не ошибаюсь от NetBSD'шников пошёл в массы.

Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

39. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Anonymou (?), 27-Авг-20, 21:14

Звините, в какую из?)

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

48. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (48), 27-Авг-20, 22:57

Уже есть firewalld.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

80. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –4 +/–

Сообщение от zurapa (ok), 28-Авг-20, 10:15

Ага. И между прочим поприятней в эксплуатации, чем iptables, если не старпёр привыкший извращаться в iptables. Может, конечно он и менее гибок, но куда более логичный и дружелюбный. Та же хрень с откатом к старым настройкам, если новые применённые оторвали сеть, весьма удобна. И, если не ошибаюсь, появилась сначала в firewalld, а потом уже в iptables это добавили. Или нет?
С этим многообразием приблуд для netfilter, по моему, стало очевидным, что нужно делать отдельный удалённый клиент, способный конфигурирвать на удалённой системе netfilter, и завязать уже с этим зоопарком: iptables, firewalld и прочими. Как я понимаю, nftable как раз и есть такая реализация. Молодцы. Но могли бы и раньше сообразить. Сколько лет уже прошло?
Хотя линукс ведь тем и "прекрасен", что можно использовать различные маргинальные технологии для реализации всё тех же вещей и гордиться тем, что ты не такой, как все.
P.S.: удивительно. Кр@сноглазие считается ненормативной лексикой. Что-то с OpenNet происходит последнее время.

Ответить | Правка | Наверх | Cообщить модератору

146. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от Аноним (145), 30-Авг-20, 02:39

>  И между прочим поприятней в эксплуатации, чем iptables, если не старпёр привыкший извращаться в iptables.
Глупости какие-то. firewalld не умеет в SNAT, только маскарад. Это первое что приходит на ум из того что он не умеет. Все что делается мимо стандартного функционала в нем делается через rich rules, которые внезапно имеют синтаксис iptables. Если firewalld имеет nftables в качестве бекенда, значит эти iptables-образные правила будут сконвертированы в nftables.
> Может, конечно он и менее гибок, но куда более логичный и дружелюбный.
Между "менее гибок" и "напрочь отсутствует SNAT" простирается бескрайняя бездна. Если же вы считаете написание rich rules для SNAT в формате правил iptables для последующей конвертации в nftables "логичным и дружелюбным", то вы больны и не лечитесь... и я даже не знаю кто же вам доктор вообще.
> С этим многообразием приблуд для netfilter, по моему, стало очевидным, что нужно делать отдельный удалённый клиент, способный конфигурирвать на удалённой системе netfilter, и завязать уже с этим зоопарком: iptables, firewalld и прочими. Как я понимаю, nftable как раз и есть такая реализация.
Давайте договоримся так, мухи отдельно, а котлеты отдельно. Есть подсистема netfilter и модули nf_tables. Для работы с этими модулями нужны библиотеки в юзерсепейсе libmnl (реализация Netlink для доступа к модулям ядра) и libnftnl (сериализация/десериализация объектов правил для последующей передачи через Netlink). И вот совместно это всё создаёт бекенд nftables. Фронтендом с которым работает пользователь может быть другая программа, например утилита nft или демон firewalld. Фронтенд даёт правила в каком-то человекочитаемом формате, а бекенд работает с десериализированными объектами/структурами. Фронтенды взаимодействуют с двумя юзерспейсными библиотеками собирают правила в объекты и отдают в ядро и наоборот.
Обратите внимание вот на что:
1. Сменился не КЛИЕНТ, а именно изменился бекенд на стороне ядра. Причин на это куча, главные из которых дублирование кода, бедный функционал и сложность добавление нового функционала в старые {x}tables без разлома API/ABI.
2. Смена бекенда закономерно требует переписывания фронтендов... и вот firewalld не переписали. Он как мимикрировал под iptables так и продолжает.
3. nftables унифицирует бекенд и дает API для юзерспейса избавляя от необходимости соблюдать требования по совместимости, ведь точкой входа являются теперь не модули {x}tables и утилиты для работы, цепляющиеся к ним. Теперь есть просто 2 обязательные библиотеки в юзерспейсе.
И если п.1 и п.2 это вам для просто для образования, то п.3 должен у религиозного адепта монолитности ядра Linux вызвать некоторую тревогу, потому что модуль выполз в юзерспейс и стандартизирует не себя а библиотеку в юзерспейсе (libnftnl). Казалось бы в чем тут отличие да? А в том что там идёт обмен сообщениями с юзерспейсом через Netlink, где парсится JSON.
Мне нравится идея унифицированного решения для фаервола, но это скорее вопрос фронтенда. Добиться этой унификации крайне трудно и firewalld даже близко не кандидат. В нем скудный функционал, когда демон firewalld, как минимум, станет равен функционалу "Брандмауэра Windows" у него появится призрачный шанс. Реальная возможность появится только когда эта штука превратится в какой-нибудь RRAS. Унификация возможна только когда функционально фронтенд отвечает всем запросам пользователей.
> Хотя линукс ведь тем и "прекрасен", что можно использовать различные маргинальные технологии для реализации всё тех же вещей и гордиться тем, что ты не такой, как все.
Уже нет. Эти времена прошли. Linux пришел в корпоративный сектор, а вместе с ним люди "вроде меня"... как меня тут только не обзывали. Те кто считает, что лучше одно работающее надежное решение, чем 10 полуфабрикатов ради разнообразия (diversity).
> P.S.: удивительно. К*********** считается ненормативной лексикой. Что-то с OpenNet происходит последнее время.
Чтобы избавиться от аргументов ad hominem, держать дискуссию в конструктивном ключе и создать пространство для цивилизованного обмена мнениями. Приход в корпоративный сектор. Noblesse oblige, так сказать. И вообще вы заметили тренд на переименования слов в Linux-проектах? Нет? Почитайте новости. Не думаете что можно просто так прийти на OpenNet и разбрасываться словом на букву К? Это же "хейтспич", так нельзя!!! =)

Ответить | Правка | Наверх | Cообщить модератору

9. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от бублички (?), 27-Авг-20, 17:58

> была отклонена из-за несовместимости с инструментарием LXD
а Docker умеет nftables? что-то помню были проблемы и приходилось iptables пользоваться. так-же интересно как с этим делом например у Strongswan. да и у OpenVPN

Ответить | Правка | Наверх | Cообщить модератору

12. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (10), 27-Авг-20, 18:09

Через рукоблудство только.

Ответить | Правка | Наверх | Cообщить модератору

87. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (100), 28-Авг-20, 12:03

> а Docker умеет nftables?
Docker умер уже больше года как. Кто этим будет заниматься?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

90. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –1 +/–

Сообщение от бублички (?), 28-Авг-20, 12:11

>> а Docker умеет nftables?
> Docker умер уже больше года как. Кто этим будет заниматься?
умер твой мозг, включая спинной. приготовься, сейчас тебя отключат от системы поддержания функции сердца. пока

Ответить | Правка | Наверх | Cообщить модератору

147. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от Аноним (145), 30-Авг-20, 03:30

В зависимости от того что аноним выше имел в виду под Docker. Если формат контейнеров и синтаксис утилит или концепцию в целом, то ты прав. Если он говорит про Docker Swarm и демон докера, то есть про всякие управляющие части, то оно действительно умирает.
nftables, cgroupsv2, eBPF где это всё? Docker был так озабочен поддержкой Windows, что теперь у него проблемы современным Linux. Тем временем Windows тихо и незаметно выкатывает WSL2, где будут работать другие container engines, а не только докер. Фееричность подставы столь былинна, что стоит задуматься не заключал ли часом Docker партнёрских контрактов с MS. =)
Конечно оно пока шевелится, но доля OpenShift/OKD заставляет задуматься о перспективах "чистого" докера, в сравнении с подманом.

Ответить | Правка | Наверх | Cообщить модератору

148. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от бублички (?), 30-Авг-20, 07:39

спасибо за информацию

Ответить | Правка | Наверх | Cообщить модератору

127. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от zurapa (ok), 29-Авг-20, 09:46

>> а Docker умеет nftables?
> Docker умер уже больше года как. Кто этим будет заниматься?
Как умер?!

Ответить | Правка | К родителю #87 | Наверх | Cообщить модератору

158. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от klogg4 (ok), 30-Авг-20, 14:21

По поводу StrongSwan (да и OpenVPN) - не поддерживают, но это особо не мешает, т.к. правила всё равно лучше писать самостоятельно, чтобы разрешать доступ не ко всему подряд, а только к отдельным ресурсам. Я пока не знаю nft, поэтому поднимал правила для strongSwan через iptables-фронтенд. Это было на CentOS 8. Всё отлично работало.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

11. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –20 +/–

Сообщение от Аноним (11), 27-Авг-20, 17:59

Всё для мышковозов с подвёрнутыми штанишками. Это печально. Хотя погодите-ка.. Это же Ubuntu.  Печально это про дебиян. Хотя и он давно уже не тот, так что печалиться нечему.

Ответить | Правка | Наверх | Cообщить модератору

16. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +15 +/–

Сообщение от Аноним (-), 27-Авг-20, 18:16

Пока ты там крacноглaзил в консоли, я заработал на загородный дом с шикарным видом на горы и чистую речку. А все благодаря умению возить мышкой в нужном направлении. Продолжай и дальше нyдить и крacноглaзить, к 60 годам может закроешь ипотеку на свою однушку...

Ответить | Правка | Наверх | Cообщить модератору

18. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –4 +/–

Сообщение от Аноним (18), 27-Авг-20, 18:29

Торгуешь своей пятой точкой что ли? Ну зато денег много, хорошее дело. Некоторым людям комфортней жить без денег добытых таким путём, в этом тоже нет ничего предосудительного.

Ответить | Правка | Наверх | Cообщить модератору

26. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –3 +/–

Сообщение от пох. (?), 27-Авг-20, 19:01

> Торгуешь своей пятой точкой что ли?
ты-то своей на домик не наторговал, кому нужна твоя тощая и морщинистая?
Вот и завидуешь...
Ага, комфортнее ему жить без денег, хахаха.

Ответить | Правка | Наверх | Cообщить модератору

31. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (18), 27-Авг-20, 19:12

Так я не завидую, говорю же, надо использовать пока есть спрос. А насчёт денег… Если выбор между убиваться (с бессмысленной целью) и рисковать (в том числе свой и чужими жизнями) или жить без всего этого, то тут всё не так однозначно. Есть деньги -- хорошо, нет -- будут, идти по головам и гадить на ближнего ради них, это тоже не для каждого.

Ответить | Правка | Наверх | Cообщить модератору

59. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +3 +/–

Сообщение от Фрейд (?), 28-Авг-20, 04:02

А при чем здесь пятая точка? Чувак написал что возит мышкой, а ты как-то на попки съехал... О чем это говорит? ;)

Ответить | Правка | Наверх | Cообщить модератору

135. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от пох. (?), 29-Авг-20, 17:26

> А при чем здесь пятая точка? Чувак написал что возит мышкой
Ну мало ли, чего он там написал, чувак этот... Депардье тоже вон с пафосом писал, что "работал с 14 лет". А каким местом работал - это потом выяснилось как-то между делом.
Зато у него виноградники во Франции, квартира в Грозном и паспорт в том же отделении выдан, что Боширову с Петровым.
А ты доширак жрешь...

Ответить | Правка | Наверх | Cообщить модератору

155. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Туретта Хуюндберг (?), 30-Авг-20, 12:15

> А насчёт денег… Если выбор между убиваться (с бессмысленной целью)
> ...это тоже не для каждого.
Отмазки импотента.
Сидеть в полной заднице и ничего не делать, оправдывая это своей высокодуховностью.
А я не такая. Я жду трамвая.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

160. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (18), 30-Авг-20, 18:11

Я, конечно, могу понять подобную позицию, но ты либо цитировать не умеешь, либо у тебя проблемы с восприятием.

Ответить | Правка | Наверх | Cообщить модератору

34. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +4 +/–

Сообщение от Аноним (34), 27-Авг-20, 19:45

Ну так это ж классика. Если у линуксоида чего-то нет, то это объявляется ненужным, а все, у кого оно есть - тупыми хомячками.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

21. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от Аноним (18), 27-Авг-20, 18:45

Зачем ты себе плюсы накрутил? Ты вообще нормальный? Хотя, чего я спрашиваю, будто это не очевидно.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

36. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +2 +/–

Сообщение от Аноним (36), 27-Авг-20, 20:33

hadjob? :)
Мог быстрее, ротиком

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

60. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от Фрейд (?), 28-Авг-20, 04:03

Вам виднее, не отвлекайтесь от процесса, пожалуйста. ;)

Ответить | Правка | Наверх | Cообщить модератору

66. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (66), 28-Авг-20, 06:45

> Пока ты там крacноглaзил в консоли, я заработал на загородный дом с
> шикарным видом на горы и чистую речку. А все благодаря умению
> возить мышкой в нужном направлении. Продолжай и дальше нyдить и крacноглaзить,
> к 60 годам может закроешь ипотеку на свою однушку...
Это исповедь виндового девопсёра или же маня-фантазии мамкиного кодира?!

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

94. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (94), 28-Авг-20, 12:34

Без личного острова твои мечтания недостаточно влажные.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

128. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от zurapa (ok), 29-Авг-20, 09:53

> Пока ты там крacноглaзил в консоли, я заработал на загородный дом с
> шикарным видом на горы и чистую речку. А все благодаря умению
> возить мышкой в нужном направлении. Продолжай и дальше нyдить и крacноглaзить,
> к 60 годам может закроешь ипотеку на свою однушку...
Прости. Как твоё благосостояние повышает твою экспертную оценку, или тебя как специалиста. Много людей получают большие деньги будучи весьма недалёкими людьми. Ты сейчас приблизительно так сказал - Ну, и что что ты хорошо понимаешь операционные системы, можешь на низкий уровень спуститься и поправить там, что тебе надо, зато у меня денег дохера. Тут один приблизительно с такими же словами человека насмерть на машине убил. Ты не родственник Ефремова? Если родственник, то у меня к тебе вообще никаких вопросов не осталось.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

19. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –6 +/–

Сообщение от Hellscream (?), 27-Авг-20, 18:37

Либо запили форк ядра, либо топай на OpenBSD. чО ты ноешь? Linux это корпоративная собственность IBM, как они скажут, так и будет. Если они захотят, то хоть защитник виндавс сделают дефолтом и ты буешь это кушать.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

20. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (18), 27-Авг-20, 18:44

Тел ми моар.Зачем ты мешаешь юзерленд (который вообще гну) с нагромождением всяких поделок на моно, жс и питоне, с самим ядром? Отчасти ты прав конечно, вон голубая шапка захардкодила дбас и навязала вейланд, но я уверен мне просто не хватило желания и/или квалификации отвязать. Если будут навязывать откровенно зловредные компоненты, очевидно, что сразу полетит на помойку, но что-то этого пока не случилось и даже предпосылок особых нет. Речь то идёт об отдельных костыльных дистрибутивах, со всякими флатпаками и прочей шляпой, за счёт которых они пытаются занять хоть какую-нибудь нишу и усидеть в ней, но правда в том, что им пора отправляться на свалку истории.

Ответить | Правка | Наверх | Cообщить модератору

22. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –3 +/–

Сообщение от Hellscream (?), 27-Авг-20, 18:52

Да взять вот, например, тe же systemd, pulseaudio, gnome3. Как сообщество не бурлило говнами, какие только драмы не разворачивались, форкались топовые дистрибутивы и тд. И что всё это дало? Теперь эта лажа является корпоративным стандартом, а IMB чётко указала "свободному и независимому" сообществу на его место.

Ответить | Правка | Наверх | Cообщить модератору

27. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от Аноним (18), 27-Авг-20, 19:02

Да всё нормально, apulse работает лучше пульсаудио (например, нет искажений звука и задержек), ladspa прекрасно с alsa работает -- у меня прямо сейчас включено несколько плагинов не обновлявшихся с 2003 (лучше ничего не придумали, вроде в пульсаудио что-то было), logind и udev идут отдельными пакетами от systemd (от второго ещё можно отказаться, а с consolekit всякие шапки постоянно создают проблемы и он не обновляется, но в принципе можно и отказаться от DE). Корпоративным стандартом является то, что максимально легко контролировать и чем можно удобно управлять централизованно. Это, кстати, одна из причин успеха венды. Сообщество продолжает жить по своим правилам, нет проблем.

Ответить | Правка | Наверх | Cообщить модератору

32. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –2 +/–

Сообщение от Hellscream (?), 27-Авг-20, 19:15

Сообщество полностью отстранено от разработки и продолжает подпираться костылями, вместо того, чтобы пользоваться грамотно спроектированной системой и участвовать в её развитии.
Так будет более честно.

Ответить | Правка | Наверх | Cообщить модератору

42. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от Аноним (42), 27-Авг-20, 21:57

Бесплатный софт и никакой свободы.

Ответить | Правка | Наверх | Cообщить модератору

65. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (65), 28-Авг-20, 06:43

> Сообщество полностью отстранено от разработки и продолжает подпираться костылями, вместо
> того, чтобы пользоваться грамотно спроектированной системой и участвовать в её развитии.
> Так будет более честно.
На самом деле сообщество не настолько организовано, а те кучки, что кое-как организованы и чего-то хотят сделать в плане форков и их поддержания, не справляются в силу недостатка опыта в предмете или же тупо не хватает ресурсов.
Такие проекты, которые годами пилятся под началом корпораций и метастазами проростающие по системе, тяжеловато форкать и поддерживать ограниченной группкой людей, ведь они не стоят на месте и всё новые компоненты начинают быть завязаны на них, продолжая проростать метастазами.
Для противостояния и действительно настоящей конкуренции форка нужно чтобы другая жирная по ресурсам компания была заинтересована в этом и могла "оплачивать банкет".
Или же гипотетическая крупная команда из сообщества, которую не только словами это же сообщество поддерживало бы, однако, как подобного добиться мне неведомо, ведь основной части сообщества пофиг, они кушают что им подали на лопате, ни за какие принципиальные форки они поддерживать не готовы на данном этапе, их всё устраивает, максимум погазуют в лужу и разойдутся, это не только форков касается, это похоже, просто такая традиция поведения в наше время!

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

76. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Hellscream (?), 28-Авг-20, 09:08

Free Sostware as it is.

Ответить | Правка | Наверх | Cообщить модератору

130. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от zurapa (ok), 29-Авг-20, 10:13

> Сообщество полностью отстранено от разработки и продолжает подпираться костылями, вместо
> того, чтобы пользоваться грамотно спроектированной системой и участвовать в её развитии.
> Так будет более честно.
Что вы подразумеваете под хорошо спроектированной системой?

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

131. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Hellscream (?), 29-Авг-20, 10:21

> Что вы подразумеваете под хорошо спроектированной системой?
Это OpenBSD, только с быстрой файловой системой, хорошей поддержкой оборудования, современным и легковесным графическим стеком (not x11 or wayland). Вот что-то типа того.

Ответить | Правка | Наверх | Cообщить модератору

63. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (62), 28-Авг-20, 06:20

> Теперь эта лажа является корпоративным стандартом
А какая разница какие стандарты у корпораций если ты в них не работаешь?

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

24. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –1 +/–

Сообщение от пох. (?), 27-Авг-20, 18:56

> Если будут навязывать откровенно зловредные компоненты
то у тебя снова не хватит желания и квалификации.
Жри с лопаты что дают, и благодарить повелителей не забывай!

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

29. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (18), 27-Авг-20, 19:05

Ну я раньше патчил иксы, но потом меня перестал напрягать засраный лог, они же просто жалуются на недоступность компонентов и это никак не сказывается на работе. А вейланд или иксы в принципе вообще всё равно, лишь бы всё работало. В крайнем случае можно вообще выкинуть целиком и заменить на что-нибудь другое. Как например systemd заменяется на s6.

Ответить | Правка | Наверх | Cообщить модератору

25. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –4 +/–

Сообщение от пох. (?), 27-Авг-20, 19:00

> Всё для мышковозов с подвёрнутыми штанишками. Это печально. Хотя погодите-ка.. Это же Ubuntu.
да, и они ПОСЛЕДНИЕ - остальные уже перешли. (так что, внезапно, не там вы ищете мышковозов)
Все, забудьте - управляемого админом пакетного фильтра в линуксе нет. Есть невменяемые инструменты типа ufw и firewall-cmd, учите очередные нескучные синтаксисы.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

30. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Hellscream (?), 27-Авг-20, 19:09

>учите очередные нескучные синтаксисы
Которые через несколько лет обрастут новыми костылями либо вообще будут выброшены на помойку и заменены новыми супер мега ёба передовыми тулзами. Лол

Ответить | Правка | Наверх | Cообщить модератору

52. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –1 +/–

Сообщение от пох. (?), 28-Авг-20, 00:12

>>учите очередные нескучные синтаксисы
> Которые через несколько лет обрастут новыми костылями либо вообще будут выброшены на
> помойку и заменены новыми супер мега ёба передовыми тулзами. Лол
Конечно! Прогресс не остановить!
Ведь индусы, преподающие на курсах очередной firewall-shitcmd, иначе бы остались без работы, когда вы уже один раз выучите. А так - у них каждый год есть что вам рассказать!
Файрвола, правда, зато нет, ну так пакетный фильт в XXI веке сплошного 443/tcp тоже не особо-то и полезен, а никакого другого в линуксе не будет никогда.
Иначе, опять же, могут пострадать бизнесы уважаемых спонсоров, типа там циски или елыпал...простите, палыальты.

Ответить | Правка | Наверх | Cообщить модератору

64. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от Аноним (62), 28-Авг-20, 06:33

> а никакого другого в линуксе не будет никогда
В линуксе будет тот файрвол, который нужен людям способным его написать, только и всего.

Ответить | Правка | Наверх | Cообщить модератору

67. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от пох. (?), 28-Авг-20, 07:20

у вас опечатка в слове "пропихнуть" (в ведро).
Да и не люди это, фейсбук с rhbm.

Ответить | Правка | Наверх | Cообщить модератору

103. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (100), 28-Авг-20, 14:01

Естественно. Netfiler Core Team - те еще пропихиватели своих поделок, да.

Ответить | Правка | Наверх | Cообщить модератору

123. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –1 +/–

Сообщение от бублички (?), 29-Авг-20, 00:25

> "пропихнуть" (в ведро).
уверен, это твоё любимое занятие, помимо размазывания бесконечных соплей под каждой новостью на OpenNET. в самовар пропихни для разнообразия, в ведро то скучно - от скуки с ума сходишь

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

136. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от пох. (?), 29-Авг-20, 17:44

> В линуксе будет тот файрвол, который нужен людям способным его написать, только и всего.
без конца переписывать, вы хотели сказать?
А то ж уже два было. Причем каждый новый ломал что-то уже работавшее, и работавшее - хорошо, со словами "ну это было ненужно...нужно, но мне сейчас некогда, как только допилим, сразу добавим" и так далее.
Ну и люди, способные что-то такого объема написать, нынче обычно способны на это потому, что кто-то оказался способен им заплатить, а не потому что им некуда девать свободное время.
А то, что устраивает гугля с мордокнигой - может оказаться не очень удобным всем остальным.

Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

58. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +2 +/–

Сообщение от Аноним (48), 28-Авг-20, 01:45

>Все, забудьте - управляемого админом пакетного фильтра в линуксе нет. Есть невменяемые инструменты типа ufw и firewall-cmd, учите очередные нескучные синтаксисы.
Не в курсе, что firewall-cmd управляет firewalld? Никто вас не заставляет ставить firewalld. Nftables прекрасно настраивается сам по себе.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

71. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +3 +/–

Сообщение от Аноним (71), 28-Авг-20, 07:51

Не все зациклены на деньгах.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

72. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от ryoken (ok), 28-Авг-20, 08:39

Покажите штук 5 этих невсех...

Ответить | Правка | Наверх | Cообщить модератору

137. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от пох. (?), 29-Авг-20, 17:45

> Покажите штук 5 этих невсех...
да, я бы тоже отжал у них немного мелочи.

Ответить | Правка | Наверх | Cообщить модератору

23. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (-), 27-Авг-20, 18:55

помянем

Ответить | Правка | Наверх | Cообщить модератору

37. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –5 +/–

Сообщение от Аноним (37), 27-Авг-20, 20:39

В слове nftables забыли букву "systemd"

Ответить | Правка | Наверх | Cообщить модератору

53. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –6 +/–

Сообщение от пох. (?), 28-Авг-20, 00:12

> В слове nftables забыли букву "systemd"
все нормально, systemd-firewalld уже поддерживает nft. Собственно, он - одна из причин впихивания этого хлама.

Ответить | Правка | Наверх | Cообщить модератору

57. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от Аноним (48), 28-Авг-20, 01:41

>Собственно, он - одна из причин впихивания этого хлама
Неправда. Firewalld поддерживает iptables давно.

Ответить | Правка | Наверх | Cообщить модератору

68. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –3 +/–

Сообщение от пох. (?), 28-Авг-20, 07:30

>>Собственно, он - одна из причин впихивания этого хлама
> Неправда. Firewalld поддерживает iptables давно.
поддерживал. Но по очевидным причинам iptables плохо приспособлены к управлению нескучным демоном (да еще и с авторами, ниасилившими sed).
Поэтому и получите это порождение сна разума. С абсолютно нечитаемой, неотлаживаемой, непригодной для cli (а вам зачем, есть же firewall-cmd) конфигурацией. А роботу - роботу на этим мелочи, понятно, похрен.
Зато доделать несколько мелочей за Ржавым - не нашлось никого за двадцать лет. Сам он обещался кактолькотаксразу, но, видимо, ему на самом деле было не надо, работодатель за что-то другое платил, или он просто не понимал необходимости, не будучи админом - во всяком случае, ушел в туман так ничего из обещанного и не сделав.

Ответить | Правка | Наверх | Cообщить модератору

86. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от Аноним (48), 28-Авг-20, 11:29

Таблеточки прими.

Ответить | Правка | Наверх | Cообщить модератору

139. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Роман (??), 29-Авг-20, 21:56

Вероятно не всем очевидно что пилится это для роботов в общем-то в основном - дергать через АПИ, атомарность, убрать загрузку рулсета целиком - каким-нибудь условно Амазонам, Фейсбукам и прочим Редхатам, контейнерам и виртуалкам надо часто-часто менять правила изоляции, а затыки на выгрузку, парсинг и загрузку нового сета целиком им мешают.
Ну и заодно, подозреваю что через netlink это всё делать удобнее [для программистов, не админов локалхоста, конечно].

Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

144. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от пох. (?), 29-Авг-20, 22:59

> Вероятно не всем очевидно что пилится это для роботов
Ну да, о том и речь. Не для людей.
Теоретически, выхлопом могло бы стать появление настоящего файрвола, не пакетного фильтра из 90х, а практически, полагаю, будет очередное "как в винде" (как обычно - без наиболее ценных фич той винды, зато еще более неуправляемое), в "прочих редхатах", и - настоящие файрволы на этой базе - у мордокниги и амазонов, но с нами они не поделятся.
Эту дэвушка не мы ужинали, не нам и танцевать :-(

Ответить | Правка | Наверх | Cообщить модератору

150. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Роман (??), 30-Авг-20, 09:29

Я не специалист по файрволам, но кажется чтобы сделать как в винде надо как-то чуть глубже интегрироваться с остальными подсистемами. Для людей у которых управление ООМ выносится на юзер левел и считается нормальным, такая интеграция кажется невозможной.

Ответить | Правка | Наверх | Cообщить модератору

153. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от пох. (?), 30-Авг-20, 10:22

> Для людей у которых управление ООМ выносится на юзер левел и считается нормальным
так в винде тоже файрвол донесен до юзерлевел - надо же как-то выснуть тебе под руку диалог с дурацким вопросом (ты шлепаешь по enter предназначенный совсем другому окошку, и теперь уже без звонка админу ничего изменить не можешь - иногда - даже узнать, кому и что ты, собственно "разрешил"). Как ни странно, эту часть оттуда уже скопипастили, высовывать под руку диалоги гом уже умеет ;-)
Но еще тот файрвол умеет, например, ограничивать конкретную программу (или сервис, что интереснее, ибо сервис<>программе) - полагаю, это вот да, никогда скопировано не будет. А остальное в мире, где 90% соединений приходит на порт 443 - совершенно бесполезно.

Ответить | Правка | Наверх | Cообщить модератору

156. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Роман (??), 30-Авг-20, 12:25

>> Для людей у которых управление ООМ выносится на юзер левел и считается нормальным
> так в винде тоже файрвол донесен до юзерлевел - надо же как-то
> выснуть тебе под руку диалог с дурацким вопросом (ты шлепаешь по
> enter предназначенный совсем другому окошку, и теперь уже без звонка админу
> ничего изменить не можешь - иногда - даже узнать, кому и
> что ты, собственно "разрешил"). Как ни странно, эту часть оттуда уже
> скопипастили, высовывать под руку диалоги гом уже умеет ;-)
То что он интегрирован с пользовательской частью это понятно, но может работать и без нее, в отличии от Linux с ООМ, где без всяких earlyoom треш и угар, ну если своп включен.
> Но еще тот файрвол умеет, например, ограничивать конкретную программу (или сервис, что
> интереснее, ибо сервис<>программе) - полагаю, это вот да, никогда скопировано не
> будет. А остальное в мире, где 90% соединений приходит на порт
> 443 - совершенно бесполезно.
Я ровно об этом и писал, нет взаимосвязи подсистем.
Наверняка можно накостылить через всякие неймспейсы и даже вангую что кто то так делает за много денег.

Ответить | Правка | Наверх | Cообщить модератору

38. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –2 +/–

Сообщение от Иваня (?), 27-Авг-20, 21:03

Неплох, но я в этом году не собираюсь переходить с Ubuntu 18.10

Ответить | Правка | Наверх | Cообщить модератору

41. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +3 +/–

Сообщение от Аноним (42), 27-Авг-20, 21:55

Держи в курсе. Мы волновались.

Ответить | Правка | Наверх | Cообщить модератору

45. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Anm (?), 27-Авг-20, 22:04

Я даже со slitaz 5.0 не собираюсь переходить :-)

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

43. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –2 +/–

Сообщение от Аноним (43), 27-Авг-20, 21:57

Осталось написать вменяемый GUI

Ответить | Правка | Наверх | Cообщить модератору

44. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от Аноним (10), 27-Авг-20, 22:02

По типу ufw для одноклеточных?

Ответить | Правка | Наверх | Cообщить модератору

54. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –2 +/–

Сообщение от пох. (?), 28-Авг-20, 00:16

> По типу ufw для одноклеточных?
ufw вообще-то предназначен для (написанных одноклеточными для таких же) postinstall скриптов, а не чтоб ты грязными лапами в него лазил (ты же можешь сломать скрипты!)
А для людей предназначен cockpit. Ну и да, он поддерживает firewalld, а, стало бы, в новых версиях и nft. Но знать об этом хомячкам ничего не надо, да и нехомячкам бесполезно, ибо сломается.

Ответить | Правка | Наверх | Cообщить модератору

151. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Роман (??), 30-Авг-20, 09:33

вообще, если вылезти из локалхоста и представить что серверами управляют не админы вообще (на самом деле не хотят управлять, ну просто пока вот приходится немного), то ufw отлично ложится в использование cloud-init'ом (тот же пост инсталл конечно, только для системы).
runcmd:
  - ufw allow OpenSSH
  - ufw enable
  - reboot
такую нехитрую комбинацию осиливает +- любой разработчик и она в общем то safe enough для 99% случаев получается, в отличии от. Миллионы виртуалок по миру кивают мне вслед.
И админ, заметим, не нужен при этом.

Ответить | Правка | Наверх | Cообщить модератору

157. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от пох. (?), 30-Авг-20, 13:02

угу, угу, нинужен-нинужен.
FritzFrog передает тебе пламенный привет.
Илюшенька местный со своими 20k только до него лично докопавшихся червячков - кивает тебе вслед всеми 20k головами (или это у них жопа? Попробуй отличи.)
_закрытый_ по умолчанию порт ssh (как, разумеется, и все остальные порты на вход) был в свое время даже в SuSE, не говоря уж о rh. Уже в 2000м году. Никакие чудо-новоделы в ведре для этого как раз были совершенно не нужны. Сложнее было обеспечить открытие только того и тем, кого надо, "неадмину" без элементарных знаний. Но админы не нужны, поэтому победили де6иллиан и его клоны, с отключенным начисто по умолчанию фильтром (до 2010 вообще без штатных механизмов) - ЭТО ди6илам ведь гораздо удобнее.
Даже до высот "какввенде" (где половина файрвола открыта для "localnet" - очень удобно для какого aws с /12) не дошли - это ведь надо уметь на ходу определять что сегодня есть localnet - причем, подозреваю, в ядре это делается, а не userland каждый раз на ходу меняет правила.
P.S. кстати, раз уж ты тут один из единиц, знающих про cloud-init, может можешь объяснить - как ему отключить удаление ssh server keys при каждой перезагрузке? (Можешь не объяснять, зачем он это делает, я догадываюсь что в тех пустых головах было.)

Ответить | Правка | Наверх | Cообщить модератору

161. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Роман (??), 30-Авг-20, 18:24

> угу, угу, нинужен-нинужен.
> FritzFrog передает тебе пламенный привет.
Пускай передаёт. Понятно что у меня нет внутренней информации от хостеров (или как щас модно, облачных провайдеров?), но с практической точки зрения все нормальные игроки на этом рынке либо в явном виде не дают использовать пароли (привет AWS) либо делают это настройкой не по умолчанию для новых VM instances, да и там уже рандом идёт, кто какой пароль поставит.
В отличии от публично доступных МонгоДБ и прочих Эластиков которые торчат на 0.0.0.0. В общем я скорее считаю это благом с этом точки зрения (с других может и фигня получаться, ну да там наверное уже и админы найдутся, а не DevOPS Backend Developer for Environment Setup, как принято на Апворке, том же)
> Илюшенька местный со своими 20k только до него лично докопавшихся червячков -
> кивает тебе вслед всеми 20k головами (или это у них жопа?
> Попробуй отличи.)
Ну докопались, и ладно, есть пить не просят, жрут себе там может мегабайт на памяти сокетов, черт с ними, паразитный шум же по сути, как жить недалеко от метро.
>[оверквотинг удален]
> этого как раз были совершенно не нужны. Сложнее было обеспечить открытие
> только того и тем, кого надо, "неадмину" без элементарных знаний. Но
> админы не нужны, поэтому победили де6иллиан и его клоны, с отключенным
> начисто по умолчанию фильтром (до 2010 вообще без штатных механизмов) -
> ЭТО ди6илам ведь гораздо удобнее.
> Даже до высот "какввенде" (где половина файрвола открыта для "localnet" - очень
> удобно для какого aws с /12) не дошли - это ведь
> надо уметь на ходу определять что сегодня есть localnet - причем,
> подозреваю, в ядре это делается, а не userland каждый раз на
> ходу меняет правила.
Вангую что их задолбали с точки зрения суппорта, как Linux пошёл побольше в массы после 2000го. Не знаю за все наборы, я в основном как-то minimal сетапами обхожусь и на автомате считал это нормой для минимал.
По разным мелочам вроде этой, и не очень мелочам, в общем-то видно что в Linux'e, в массе своей, не хватает политической воли на сделать из коробки чуть дальше чем молотилку пакетов. Не уверен что в глоабльном смысле это прям плохо, потому что как ты писал выше, tcp/443 это всё что нужно, а на десктоп всем пока без разницы (или не видят денег там по сравнении с серверными применениями).
> P.S. кстати, раз уж ты тут один из единиц, знающих про cloud-init,
> может можешь объяснить - как ему отключить удаление ssh server keys
> при каждой перезагрузке? (Можешь не объяснять, зачем он это делает, я
> догадываюсь что в тех пустых головах было.)
Не могу сказать ничего определенного, только в гугель отправить, сам не сталкивался или не замечал. Я не прям эксперт по клауд-инит, мне надо то было юзера создать да минимальный набор пакетов ставить, ну и чутка файрвола, чтоб условные пользователи/девелоперы ничего не вытащили наружу без спросу или случайно (ибо не везде экономически оправдано тащить puppet или даже ансибл)

Ответить | Правка | Наверх | Cообщить модератору

46. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –3 +/–

Сообщение от Никитушкин Андрей (?), 27-Авг-20, 22:16

Информация для хомячков Linux опеннета:
https://wiki.nftables.org/wiki-nftables/index.php/Supported_...
https://wiki.nftables.org/wiki-nftables/index.php/Supported_...
Это диверсия в области фильтрации пакетов для дистрибутивов Linux, если кто не понял или не в курсе...

Ответить | Правка | Наверх | Cообщить модератору

47. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –1 +/–

Сообщение от Аноним (47), 27-Авг-20, 22:44

Насколько это совместимо с shorewall и ufw?

Ответить | Правка | Наверх | Cообщить модератору

55. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –7 +/–

Сообщение от Ilya Indigo (ok), 28-Авг-20, 00:56

sshguard с iptables работает значительно быстрее (добавление 20к IP-ков в бан при старте).

Ответить | Правка | Наверх | Cообщить модератору

56. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –3 +/–

Сообщение от бублички (?), 28-Авг-20, 01:39

ты что не напишешь, всё какой-то деревенский "выход из-за печки" - в красных шароварах и с гармонью. весь OpenNet с тебя прётся. открой для себя ipset

Ответить | Правка | Наверх | Cообщить модератору

74. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –6 +/–

Сообщение от Ilya Indigo (ok), 28-Авг-20, 08:48

Мне на мнение одного из многих анонимных аналитиков, вроде тебя и твоего друга (судя по комментам и мунусам), даже не начхать, Вас просто нет в плоскости моего мировосприятия.

Ответить | Правка | Наверх | Cообщить модератору

79. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от бублички (?), 28-Авг-20, 10:13

> Мне на мнение одного из многих анонимных аналитиков, вроде тебя и твоего
> друга (судя по комментам и мунусам), даже не начхать, Вас просто
> нет в плоскости моего мировосприятия.
ipset и множество других действительно пригодных инструментов для тебя тоже нет, ты в плоскости застрял со свим скудным восприятием мира. я давно понял что ты безграмотный и озлобленный тип. в очередной раз в этом убедился

Ответить | Правка | Наверх | Cообщить модератору

97. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Алмаз Индиго (?), 28-Авг-20, 13:00

Человек индиго

Ответить | Правка | Наверх | Cообщить модератору

115. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от бублички (?), 28-Авг-20, 18:34

да, из плоского мира, никак не научится мыслить объёмно или хотяб даже находить необходимые инструменты или информацию о них. так и вижу его в землянке с керосинкой

Ответить | Правка | Наверх | Cообщить модератору

61. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –2 +/–

Сообщение от Аноним (10), 28-Авг-20, 05:16

Говнокодер

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

69. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –7 +/–

Сообщение от пох. (?), 28-Авг-20, 07:43

> sshguard с iptables работает значительно быстрее (добавление 20к IP-ков в бан при
> старте).
это нимодно и нималадежна. Работать в смысле.
И да, открой для себя убогий ipset (не забудь тщательно вызубрить еще один бессмысленный уродливый синтаксис, с раздельными правилами для отдельных адресов и блоков - смотри не перепутай что куда!). Очередное порождение сна разума неосиляторов юникс.
(впрочем, этот бред скопипащен у *bsd, где ему нет альтернативы из-за отсутствия как раз линуксных tables - но когда это останавливало макаку?)
Ты его, вероятно, полюбишь, после первой же попытки разобраться в том, почему пакеты не проходят сквозь nftшную невменяйку. В нем-то хотя бы есть 'test'.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

75. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –5 +/–

Сообщение от Ilya Indigo (ok), 28-Авг-20, 09:00

А можно спросить, зачем мне открывать ipset для sshguard?
Я прогуглил ipset на арчвики, это фреймвёрк для iptables для более удобного ручного добавления IP-ников в бан, в том числе и сразу всем сетом.
1 ipset-у всё равно нужен iptables,
2 Вручную бочить IP-ки мне не нужно, это автоматизированно делает sshguard.
3 Я для себя как основной фаервол, например для создания NAT, уже открыл firewall-cmd, который управляет firwalld и не конфликтует с его правилами.
4 Я попробовал перевести sshguard на ipset, и, видимо, он несовместим с firewalld.
При запуске sshguard все правила открытия портов firwalld, видимо, затираются. С iptables такого не происходит.

Ответить | Правка | Наверх | Cообщить модератору

78. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +3 +/–

Сообщение от nekto (?), 28-Авг-20, 10:06

Вы неправы относительно ipset. Попробуйте на нагруженном линке обработать правила в которых много ип (20к) и посмотрите на загрузку процессора. Ipset нужен не для того, чтобы правила iptables упростить. Он как раз позволяет обрабатывать большое количество пакетов с минимальной нагрузкой на ядро. Разумеется, если у вас бегают пакетики с одного компа, вы ничего и не почувствуете. На трафике в 100К пакетов в секунду без ipset никак не обойтись.
Что же касается nftables, то к нему придется привыкать.

Ответить | Правка | Наверх | Cообщить модератору

82. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –5 +/–

Сообщение от Ilya Indigo (ok), 28-Авг-20, 10:19

Благодарю за описание того, что такое ipset, и для чего он нужен.
Никогда ранее про него не слышал, а с арчевики сразу не понятно для чего он нужен.

Ответить | Правка | Наверх | Cообщить модератору

84. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –3 +/–

Сообщение от бублички (?), 28-Авг-20, 10:22

ты элементарно не умеешь работать с информацией, не то что с правилами для блокирования 20 тысяч IP. тоже нашёл источник, ещё бы на гей.ру поискал

Ответить | Правка | Наверх | Cообщить модератору

105. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Павел Отредиез (?), 28-Авг-20, 15:54

Зачем ему производительность для ssh?

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

111. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –4 +/–

Сообщение от пох. (?), 28-Авг-20, 17:30

> Вы неправы относительно ipset. Попробуйте на нагруженном линке обработать правила в которых
> много ип (20к) и посмотрите на загрузку процессора.
пробовал, проблем не увидел. Правда, и смысла в этом тоже не очень много. Вы себе весь интернет собрались зобанить, или как?
Впрочем, куда мне до высот обработки "100k пакетов в секунду" линуксным недоразумением.
> Что же касается nftables, то к нему придется привыкать.
не придется - все равно лазить в него руками будет не принято у всех, кроме героев со "100k пакетов", непонятно зачем.
Все за вас сделают корявые firewalld с ufw.
Ни в одном дистрибутиве нынешних линуксов даже штатной автоматики сохранения правил при перезагрузке (уже) нет  - то есть лазить руками в конфигуряемое псевдоинтеллектуальными тулзами их разработчики не предполагают.
А, ну да, ну да - rich rules. Ну посмотрю я на тех кто эту глупость притащит с локалхоста в более-менее нормальную ситуацию, когда админ не единичный гений-самоучка без мотора.

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

73. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от hubridmishkin (?), 28-Авг-20, 08:42

Вот Ubuntu становится лучше хоть и сижу на manjaro, а Xubuntu с гавным в го*но катится в г***о.

Ответить | Правка | Наверх | Cообщить модератору

96. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (95), 28-Авг-20, 12:56

ребята подскажите LXD это ведь дальнейшее развитие LXC или как?
в ubuntu lxc вроде свежее, а в debian unstable не очень и в nixos не очень,
что мейнстрим?

Ответить | Правка | Наверх | Cообщить модератору

99. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от бублички (?), 28-Авг-20, 13:52

> ребята подскажите LXD это ведь дальнейшее развитие LXC или как?
> в ubuntu lxc вроде свежее, а в debian unstable не очень и
> в nixos не очень,
> что мейнстрим?
в какой-то мере да, зависит от твоих потребностей. подробности в google "lxc and lxd". есл продолжить о мнениях, то на мой взгляд Nixos сам по себе не очень. про какой Ubuntu и какой Debian ты говоришь? у меня в Debian 10 прекрасно работает lxc 4.0.2 из unstable ветки, в то время как в Ubuntu (лишь в Groovy) доступна 4.0.4, а для остальных (Focal, Eoan, Bionic) - та же 4.0.2, а-то и 3.0.х

Ответить | Правка | Наверх | Cообщить модератору

104. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (104), 28-Авг-20, 14:21

LXD это демон для LXC. Его развивает
Ubuntu. Будущее технологии туманно, есть не решаемая проблема в архитектуре, поэтому это будет иметь ограниченное применение. Для не привилегированных контейнеров на любимом сервачке можно использовать смело. Для поддерживающей инфраструктуры то что надо, работает, обновляется, лишнего не берет, на хосте мусор не оставляет. Ставь proxmox живи счастливо.

Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

152. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Роман (??), 30-Авг-20, 09:38

писал выше, дублирую
В дебиане можно поставить lxd из снапа (в 10ке по крайней мере)
LXD - это такой LXC только для людей а не для страданий. Примерно как графическое окружение рабочего стола против работы только в консоли - вроди и в консоли почти все можно, но страдать придётся знатно.
Гуй приплетён для аналогии, конечно. LXC выглядит как работающий концепт, LXD выглядит как работающее решение.

Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

107. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +3 +/–

Сообщение от Секрет (?), 28-Авг-20, 16:53

Зашёл в комментариях почитать отзывы/сравнения/советы, но кроме оскорблений ничего не увидел. Детский сад ... каждый раз себя ругаю, что до комментариев спускаюсь ...
Ни кто не начал ещё UI на веб или cli писать для сабжа?

Ответить | Правка | Наверх | Cообщить модератору

119. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Анон123 (?), 28-Авг-20, 19:06

Приступайте, уважаемый.
Как протреблятствовать - это вы все такие готовые, а как что-то запилить самостоятельно - сразу пузыри пускаете.

Ответить | Правка | Наверх | Cообщить модератору

120. "В Ubuntu 20.10 планируют перейти с iptables на nftables" –1 +/–

Сообщение от пох. (?), 28-Авг-20, 19:31

> Ни кто не начал ещё UI на веб или cli писать для
> сабжа?
с разморозочкой вас - уже не то что начали, а собственно - сабж впихнули именно для того, чтобы удобно писать к нему *уи на веб.
Разумеется, cockpit умеет в firewalld.

Ответить | Правка | К родителю #107 | Наверх | Cообщить модератору

133. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Секрет (?), 29-Авг-20, 12:43

Вот прям почти то! Но только простые вещи, DMZ сложное не построить ... спасибо за наводку!

Ответить | Правка | Наверх | Cообщить модератору

132. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +1 +/–

Сообщение от Аноним (132), 29-Авг-20, 11:23

Как в этом модном молодёжном nftables ввести нужное каждому русскому человеку правило?
iptables -A INPUT -p tcp -m tcp --sport 80 -m string --string "Location: http://lawfilter.ertelecom.ru" --algo bm --to 65535 -j DROP

Ответить | Правка | Наверх | Cообщить модератору

163. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Никитушкин Андрей (?), 01-Сен-20, 09:15

Никак (не поддерживается)! Я об этом писал выше.
nftables - это осознанная диверсия в области фильтрации пакетов, для хомячков с Опеннета и ЛОРа.

Ответить | Правка | Наверх | Cообщить модератору

164. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Никитушкин Андрей (?), 01-Сен-20, 13:04

В вашем правиле для iptables конструкиця вида: "--to 65535" - совершенно ни к чему. Копипастить надо то, что нужно, а не то, что вам дают хавать (брать в рот - разг. америк.). Вообще это назвается скрипкиддингом.

Ответить | Правка | К родителю #132 | Наверх | Cообщить модератору

162. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Сабир (?), 31-Авг-20, 09:10

Синтаксис nft ужасный. Неужели нельзя придумать нормальный человеческий синтаксис, как например в фаерволе PF от OpenBSD.

Ответить | Правка | Наверх | Cообщить модератору

165. "В Ubuntu 20.10 планируют перейти с iptables на nftables" +/–

Сообщение от Аноним (165), 13-Мрт-21, 21:55

Выбери что-то одно.
>нормальный человеческий синтаксис
>как например в фаерволе PF от OpenBSD.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+1 +/–
Сообщение от Xasd6 (?), 27-Авг-20, 17:29
в archlinux я уже перещёл. не жалею. nft всё для людей
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+7 +/–
	Сообщение от tolstushka.ru (ok), 27-Авг-20, 17:44
	> nft всё для людей Кроме хорошей задокументированности. "Записки на манжетах" в виде каких-то годами не обновлявшихся разрозненных wiki-страниц - не в счёт.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	–5 +/–
	Сообщение от Аноним (10), 27-Авг-20, 17:59
	https://wiki.nftables.org/wiki-nftables/index.php/Special:Al...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+13 +/–
	Сообщение от пох. (?), 27-Авг-20, 19:02
	вам и говорят, что вики-мусорка не является документацией.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	113. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+/–
	Сообщение от Аноним (113), 28-Авг-20, 17:57
	> Кроме хорошей задокументированности. После внедрения в популярные дистры должно появиться много статей по настройке. Кто знает, может через пару лет и появится подробное обучающее руководство по nft. Сейчас формат подробных howto считается LT;DR, всем подавай готовые правила на serverfault. Хорошо хоть не ролики на ютюбе... :)
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	6. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+/–
	Сообщение от Аноним (10), 27-Авг-20, 17:49
	nft-cli очень бажный.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	95. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+/–
	Сообщение от Аноним (95), 28-Авг-20, 12:55
	ребята подскажите LXD это ведь дальнейшее развитие LXC или как? в ubuntu lxc вроде свежее, а в debian unstable не очень и в nixos не очень, что мейнстрим?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	100. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	–2 +/–
	Сообщение от Аноним (100), 28-Авг-20, 13:56
	Для контейнеров-приложений - докер, для контейнеров с полноценной ОС - proxmox (openvz).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	117. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	–5 +/–
	Сообщение от Анон123 (?), 28-Авг-20, 18:47
	Не путайте тёплое с мягким. Proxmox с этой ссаниной не запустится на нормальном ядре, нужно будет испохабить ведро испражнениями от parallels. Да и не всякое ядро возможно так испохабить - стоковое от ubuntu-20.04 - никак нет, стоковое от CentOS-8 - тоже нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	134. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+1 +/–
	Сообщение от mikhailnov (ok), 29-Авг-20, 17:09
	Вы перепутали OpenVZ и Proxmox и испражнения с технологиями, ставшими основой контейнерной виртуализации в Linux
	Ответить \| Правка \| Наверх \| Cообщить модератору


	116. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+/–
	Сообщение от Анон123 (?), 28-Авг-20, 18:44
	Не, это параллельная ветка. В ней стараются сделать что-то докеро-подобное, только для lxc. Идея в том, что у докера есть registry и демон-супервизор, а у lxc такого нету. Вот они хотят это всё прикрутить к lxc. Прикостылить.
	Ответить \| Правка \| К родителю #95 \| Наверх \| Cообщить модератору


	141. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+/–
	Сообщение от Аноним (100), 29-Авг-20, 22:35
	Если к lxc добавить супервизор и реестр, получится докер. Если не добавлять супервизор, но добавить ресстр - podman. И они, кстати, работают со стандартизированным форматом контейнеров - OCI. Вряд ли каноникл сможет предложить что-то более интересно, чем несовместимую ни с чем собственную инфраструктуру, которая делает все то же самое, но полностью контролируется одной корпорацией. Как они пытались это сделать с Upstart и Mir, как сейчас пытаются со Snap.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	138. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+/–
	Сообщение от Роман (??), 29-Авг-20, 21:32
	В дебиане можно поставить lxd из снапа (в 10ке по крайней мере) LXD - это такой LXC только для людей а не для страданий. Примерно как графическое окружение рабочего стола против работы только в консоли - вроди и в консоли почти все можно, но страдать придётся знатно.
	Ответить \| Правка \| К родителю #95 \| Наверх \| Cообщить модератору


	140. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+/–
	Сообщение от Аноним (100), 29-Авг-20, 22:28
	В том смысле, LXD нужен в основном для любителей повозить мышу на сервере?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	149. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+/–
	Сообщение от Роман (??), 30-Авг-20, 09:26
	нет, мышки были для аналогии
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+9 +/–
Сообщение от Аноним (2), 27-Авг-20, 17:34
Debian давно перешел. Сперва непривычно, потом ничего, освоился.
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+5 +/–
	Сообщение от Аноним (-), 27-Авг-20, 18:18
	И это хорошо. Прогресс не обошел дебиан.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+1 +/–
	Сообщение от Аноним (49), 27-Авг-20, 23:17
	в 10? Хорошо, что я этого не заметил. Правила влом переписывать, но все работает.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

3. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+/–
Сообщение от Наташа (??), 27-Авг-20, 17:40
А есть сравнения почему nftables лучше? Ну там синтаксис лучше? Возможностей больше?
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+2 +/–
	Сообщение от Аноним (7), 27-Авг-20, 17:52
	"nftables vs iptables" в гугле. Синтаксии на любителя. Возможностей больше.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	62. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+2 +/–
	Сообщение от Аноним (62), 28-Авг-20, 06:14
	> Возможностей больше но пока даже старые возможности из iptables не все реализованы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+3 +/–
	Сообщение от Аноним (8), 27-Авг-20, 17:57
	Можно сделать правила компактнее.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	13. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+11 +/–
	Сообщение от Аноним (-), 27-Авг-20, 18:12
	Да.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	40. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+8 +/–
	Сообщение от Takishima (ok), 27-Авг-20, 21:36
	Разработчик рассказывает: https://youtu.be/9Zr8XqdET1c?t=187 https://youtu.be/9Zr8XqdET1c?t=513 Вкратце: один и тот же код в iptables дублируется 4(!) раза для ipv4/6, bridge и arp, потому что в своё время копипастили нет стандартной библиотеки для работы с правилами (поэтому все запускают команду iptables, чтобы поменять что-то) несколько разных команд для управления ipv4/6, bridge, arp с различающимся синтаксисом кривая архитектура — загружается тупо блоб в ядро, а iptables -A/-D реально сводится к «скачать все правила, добавить/удалить 1 строку в userspace, загрузить все правила» ядро не знает что изменилось в правилах изменения не атомарные если два iptables меняют одновременно правила, один из них сфейлится и изменения могут потеряться и т.п.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	50. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	–5 +/–
	Сообщение от Аноним (49), 27-Авг-20, 23:19
	В общем ничего существенного. Обычно всем достаточно ipv4, а прочими утилитами и пользоваться не умеют.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	91. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+5 +/–
	Сообщение от Аноним (100), 28-Авг-20, 12:12
	Отучаемся говорить за всех. На базе моста и ebtables можно собрать такой умный свич, что готовым умным свичам и не снилось.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	106. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+/–
	Сообщение от Павел (??), 28-Авг-20, 16:03
	Ну так почему не решить все эти проблемы и оставить старый привычный синтаксис.
	Ответить \| Правка \| К родителю #40 \| Наверх \| Cообщить модератору


	110. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+/–
	Сообщение от Xasd6 (?), 28-Авг-20, 17:24
	для любителей старого синтаксиса есть прослойкасовместимости. а зачем было вообще "изобретать" новый синтаксис? выглядет поприятнее вот собственно и всё. при условии что сравнение производится человеком знающим оба варианта.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	122. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+/–
	Сообщение от Takishima (ok), 28-Авг-20, 23:41
	Старый синтаксис ущербен до невозможности. Пора двигаться дальше.
	Ответить \| Правка \| К родителю #106 \| Наверх \| Cообщить модератору


	51. "В Ubuntu 20.10 планируют перейти с iptables на nftables"	+5 +/–
	Сообщение от Your Mama (?), 27-Авг-20, 23:19
	nft лучше из-за: 1. Производительности. исполнять байткод быстрее чем применять правила. 2. Унификации. Все протоколы через один интерфейс. Не нужны больше ip6tables. 3. Архитектуры. Грузится байткод, вся логика компиляции правил в байткод отделена в userspace утилитки. Unix-way во все поля. 4. Расширяемости. Можешь любую логику скомпилить и в nf_tables загрузить.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору