The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Выпуск пакетного фильтра nftables 0.9.9"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск пакетного фильтра nftables 0.9.9"  +/
Сообщение от opennews (ok), 26-Май-21, 10:38 
Опубликован выпуск пакетного фильтра nftables 0.9.9, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Одновременно опубликован выпуск сопутствующей библиотеки libnftnl 1.2.0, предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables. Необходимые для работы выпуска nftables 0.9.9 изменения включены в состав ядра Linux 5.13-rc1...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55214

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от llolik (ok), 26-Май-21, 10:38   +4 +/
Пункт 2 - это, фактически, индивидуальные фильтры для приложений? Как говорится, двадцать лет ждали.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #4, #5

2. Сообщение от crypt (ok), 26-Май-21, 10:42   +5 +/
если по UID, то уже давно было. совсем бесполезно, вот ты и не знал. привязка к конкретной группе процессов имела бы смысл.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #8, #13, #28

3. Сообщение от acroobat (ok), 26-Май-21, 10:44   –2 +/
Не нужно, есть iptables-Block
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

4. Сообщение от Аноним (4), 26-Май-21, 10:44   –3 +/
Уже 5.13 используете? Камикадзе? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6, #12

5. Сообщение от Аноним (8), 26-Май-21, 10:45   +1 +/
Нет, это пункт 4 (впрочем, в systemd уже несколько лет как реализовано на основе eBPF).

Пункт 2 скорее для всяких firewalld и fail2ban, которым нужно фаерволом рулить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #11, #71

6. Сообщение от Аноним (6), 26-Май-21, 10:45   +2 +/
Некоторые и -next юзают и ничего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #16

7. Сообщение от Аноним (4), 26-Май-21, 10:46   +/
Точно сказали, лишние телодвижения всё это.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #9

8. Сообщение от Аноним (8), 26-Май-21, 10:46   +1 +/
> привязка к конкретной группе процессов имела бы смысл.

Еще со времен iptables было.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #19

9. Сообщение от Аноним (8), 26-Май-21, 10:47   +2 +/
Да, достаточно сетевой шнур вытащить, и оконное стекло выдавить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

11. Сообщение от llolik (ok), 26-Май-21, 10:50   +1 +/
Понял. Спасибо за разъяснения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

12. Сообщение от llolik (ok), 26-Май-21, 10:51   +/
> Уже 5.13 используете? Камикадзе? :)

Ну в LTS-то оно доползёт ближайшие пару лет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #15

13. Сообщение от llolik (ok), 26-Май-21, 10:56   +2 +/
> совсем бесполезно, вот ты и не знал

Да знать-то знал, но это всё-таки немного не то и, согласен с утверждением, что в общем случае это бесполезно чуть менее чем совсем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #36, #37, #86

14. Сообщение от Аноним (14), 26-Май-21, 10:59   +1 +/
> Linux 5.13

Там еще новый Sandbox (Landlock) обещают... С нетерпением ждём!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31

15. Сообщение от Аноним (8), 26-Май-21, 11:36   +4 +/
Не факт, что перед этим его стабилизируют или хотя бы протестируют.
Одна из причин, почему мы с убунты съехали - под вывеской LTS по факту роллинг ключевых компонентов. Если бы нам был нужен роллинг, мы бы сразу взяли арч.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #25

16. Сообщение от Аноним (36), 26-Май-21, 11:58   +5 +/
Лучшая смерть воина - в бою, пожарного - в огне, альпиниста - в горах,...
... линуксоида - в kernel panic.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #17, #26

17. Сообщение от Annoynymous (ok), 26-Май-21, 12:34   +2 +/
Хороший альпинист — старый альпинист.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #21

18. Сообщение от Annoynymous (ok), 26-Май-21, 12:35   +2 +/
> полное прохождение всех цепочек обработки правил применяется только для первого пакета, а все остальные пакеты в потоке пробрасывать напрямую.

Потенциальная дырень.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42

19. Сообщение от crypt (ok), 26-Май-21, 12:49   +/
да? где?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #22

21. Сообщение от Аноним (21), 26-Май-21, 12:58   +2 +/
Хороший пожарник — старый пожарник.
Хороший воин — старый воин.
...
Хороший X — старый X.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #23, #29

22. Сообщение от Аноним (8), 26-Май-21, 13:09   +1 +/
man iptables-extensions
/cgroup
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

23. Сообщение от Ононон (?), 26-Май-21, 13:26   +6 +/
Хороший Хрыч - Старый Хрыч.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

25. Сообщение от Самый Лучший Гусь (?), 26-Май-21, 13:39   +/
Вам LTS или ехать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #27

26. Сообщение от нах.. (?), 26-Май-21, 13:54   –2 +/
При этом воин в посмертии отправляется в Вальгаллу (правда, ненадолго), пожарный в ад, альпинист танцевать на гребне с горными чертями, а линуксоид в то самое место где "здесь же, но системным администратором".

/поправляет молот тора на шее.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #30

27. Сообщение от нах.. (?), 26-Май-21, 13:56   +1 +/
им - ехать, а не катиться (под откос)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

28. Сообщение от Аноним (28), 26-Май-21, 14:16   +2 +/
Нет, это совсем бесполезно. Вот правила для конкретного файла на диске это очень полезно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #35, #65

29. Сообщение от Аноним (36), 26-Май-21, 14:46   +/
Хороший нуб или юзер умирает в постели в собственном г.
... или умудряется подорваться на Debian stable.
... подорваться на Ubuntu простительно даже джедаю при условии хотя бы элементарных скиллов регенерации конечностей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

30. Сообщение от Аноним (36), 26-Май-21, 14:48   +2 +/
> /поправляет молот тора на шее.

че с Тором сделал?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #43

31. Сообщение от Аноним (31), 26-Май-21, 14:57   +/
это который на расте чтоли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

33. Сообщение от КО (?), 26-Май-21, 15:10   +/
Дайте угадаю, дальше будет как в WoWarships? 0.10.0?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55

34. Сообщение от Umataemail (?), 26-Май-21, 15:20   –1 +/
Жопненький синтаксис
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48, #49

35. Сообщение от Аноним (8), 26-Май-21, 15:24   +/
Да, нефиг файлу ~/.xsession-errors в интернет лазить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #38

36. Сообщение от Аноним (36), 26-Май-21, 15:27   –1 +/
> что в общем случае это бесполезно чуть менее чем совсем.

"старый, но не бесполезный!" (С) Терминатор Генезис

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

37. Сообщение от Валик (?), 26-Май-21, 15:31   –3 +/
а если ты знал
> Как говорится, двадцать лет ждали.

то чего ж ты тогда ждал?
уж молчал бы лучше, ждун., а то чем дальше - тем все глубже получается...
> в общем случае это бесполезно чуть менее чем совсем.

а дай-ка я угадаю чего ты ждал и что для тебя "полезно". ты ждал чего-то, а-ля виндовенький аутпост-фаерволл, так ведь?
боюсь что в этом случае для тебя тоже плохие (или хорошие- это смотря как посмотреть, но в любом случае весьма неожиданные) новости - подобный функционал легко скриптовался в самом начале бородатых нулевых с помощью AppArmor, нескольких консольных команд и такой-то матери в лице unix-way.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #40

38. Сообщение от Аноним (28), 26-Май-21, 15:39   +1 +/
Именно, в венде давно файлы в интернет по белому списку выпускают (ещё и логируют все соединения файла и их можно в реальном времени наблюдать).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #39

39. Сообщение от Аноним (28), 26-Май-21, 15:40   +/
Хотя конечно в венде запущенный файл не удалить. Но и в линуксе можно залочить удаление пока запущен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

40. Сообщение от llolik (ok), 26-Май-21, 15:49   +2 +/
> а-ля виндовенький аутпост-фаерволлю так ведь

Не только.

> подобный функционал легко скриптовался в самом начале бородатых нулевых с помощью AppArmor, нескольких консольных команд и такой-то матери в лице unix-way.

А давай я тебе скажу, юный саркастичный друг, что многим нужны не только правила в стиле "Пущать"/"Не пущать" (deny network, deny capabilty *), а гораздо более гибкие.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #63

42. Сообщение от Сергей (??), 26-Май-21, 16:22   +2 +/
Очень нужная фича в ситуации, когда поток входит в интерфейс и выходит через него же.

Ситуация:
- компьютер выполняет роль роутера (Router-on-Stick);
- в компьютере только одна сетевая карта с одним портом или с несколькими портами, управляемыми одним чипом коммутации;

Типичный пример - бордеры (серверы провайдеров, через которые трафик клиентов ходит в интернет).

Обычно пакет проходит через несколько стадий:
1) Копирование пакета из сетевухи в систему.
Чтобы пакет попал в пакетный фильтр системы, этот пакет должен быть вначале скопирован с из чипа сетевухи в оперативную память компьютера.
2) Анализ пакета пакетным фильтром.
Первый входящий пакет проходит через сотни-тысячи правил, а иногда и через сотни тысяч правил.
На прохождение пакета через пакетный фильтр из большого набора правил необходимо существенное время.
3) Манипуляции над пакетом (изменение содержимого заголовков пакета).
В пакетном фильтре система определяет, что пакет необходимо отправить через тот же интерфейс, по которому пакет пришел в систему.
Система производит манипуляции над заголовком пакета (меняет адреса получателя, если там NAT - то ещё адрес отправителя и порты отправителя/получателя, и ещё кое-какие манипуляции по мелочи).
4) Копирование пакета из системы в сетевуху.
Чтобы пакет попал на выход сетевухи, этот пакет необходимо скопировать из оперативки компьютера в сетевуху.

Системе ни разу не интересно гонять пакеты вхолостую из сетевухи в систему и обратно, если уже по первому пакету понятно, что эти пакеты и дальше будут гоняться по тому же пути, да ещё и тратить на это драгоценные миллисекунды (на высоконагруженной системе важны даже микросекунды).

Чтобы устранить задержки на безтолковый анализ, система просто пнёт сетевуху командой "пропускай дальнейшие входящие пакеты вот этого потока в том же направлении, в котором ушёл первый исходящий пакет", а для сетевухи это будет значить примерно "входящий пакет принять, ни разу не отправлять пакет в хост-систему, с заголовком пакета провернуть некоторые манипуляции прямо в чипе сетевухи и выплюнуть пакет как исходящий в обратную сторону".

Для бытового компа фича не актуальна, а для высоконагруженных систем - очень даже нужна, важна, желаема и обожаема потому, что на том же железе можно будет гонять трафика в несколько раз больше (а может даже и в несколько десятков раз больше).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #44, #45, #52

43. Сообщение от нах.. (?), 26-Май-21, 16:29   +/
>> /поправляет молот тора на шее.
> че с Тором сделал?

принес ему в жертву пару лап4@-х, а ты думал? Такие штуки без кровавой жертвы не выдают.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #54

44. Сообщение от Сергей (??), 26-Май-21, 16:29   +/
Под "позволит гонять больше трафика" - это о ситуации, когда производительность такого роутера ограничена производительностью пакетного фильтра (например - несколько сотен тысяч правил и несколько миллионов записей в таблицах - что вполне реально у типичного провайдера).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #47

45. Сообщение от нах.. (?), 26-Май-21, 16:33   –1 +/
> Ситуация:
> - компьютер выполняет роль роутера (Router-on-Stick);
> - в компьютере только одна сетевая карта с одним портом или с

не хотелось бы вас огорчать, но г-но на палочке уже не очень модно у _провайдеров_ и владельцев высоконагруженных систем.

В васян-подвалах еще встречается, конечно.

А операторское железо так не работает, оно вообще не процессором пакеты разбирает.

Ну, впрочем, есть еще пейсбук,чтоб денег никому не платить и не такое может. Но я все же полагаю, что не делает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #53

47. Сообщение от нах.. (?), 26-Май-21, 16:36   –3 +/
> Под "позволит гонять больше трафика" - это о ситуации, когда производительность такого
> роутера ограничена производительностью пакетного фильтра (например - несколько сотен
> тысяч правил и несколько миллионов записей в таблицах - что вполне
> реально у типичного провайдера).

у типичного провайдера типично пакетный фильтр на бордере - из пяти строк - deny 192.168/16 и так далее. От ошибок в маршрутизации у партнеров, в основном. Он - провайдер, ему не полагается ковыряться в чужом траффике.
А миллионы записей - это у васянов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

48. Сообщение от нах.. (?), 26-Май-21, 16:38   –1 +/
> Жопненький синтаксис

это ж не для людей, это для роботов и рабов пейсбука придумано. Тебе дальше firewalld не понадобится, да и не дадут - доскер сломаешь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

49. Сообщение от Аноним (49), 26-Май-21, 16:50   +1 +/
Сишечкоподобный же, со скобочками {}
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #57

52. Сообщение от Annoynymous (ok), 26-Май-21, 17:54   +/
> Очень нужная фича в ситуации

Я не спорю, что фича нужная. Фича нужная и важная.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

53. Сообщение от Аноним (53), 26-Май-21, 18:34   +/
>А операторское железо так не работает, оно вообще не процессором пакеты разбирает.

Вон недавно статься была на хабре, как гонять 100 гигабит трафика и делать нат на древних зеонах

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #61

54. Сообщение от Аноним (28), 26-Май-21, 18:47   +/
Почему не пару бзунов с ведной? Специально до полюса плавал? Скорее всего, ты ошибся, и взял тех же бзунов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #60, #62

55. Сообщение от Аноним (55), 26-Май-21, 19:02   +/
Как во всем гейгейминге, а не в одном его продукте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

56. Сообщение от псевдонимус (?), 26-Май-21, 19:07   +/
Синтаксис странноватый.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #68

57. Сообщение от Аноним (8), 26-Май-21, 20:08   +/
А кто сказал, что у сишечки хороший синтаксис?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #58

58. Сообщение от анон (?), 26-Май-21, 20:35   +/
я
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #73

60. Сообщение от нах.. (?), 26-Май-21, 22:16   +/
> Почему не пару бзунов с ведной?

The Gods DON'T CARE about your sacrifice!
патамушта.

Да не, зачем так далеко - в ближайшем опенспейсе полно этого барахла.

Ну ок, не в ближайшем а в следующем, в ближайшем рабы Диасофт, там, понятно, винда, бесполезные юниты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

61. Сообщение от нах.. (?), 26-Май-21, 22:19   –1 +/
Ну и чего, мало на хабре подвальных, что-ли.

Ростелек всех не может переварить, как ни старается.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

62. Сообщение от Аноним (-), 26-Май-21, 23:37   +/
> Почему не пару бзунов с ведной? Специально до полюса плавал? Скорее всего,
> ты ошибся, и взял тех же бзунов.

Потому что "бзуны с ведной" только в опеннетном фольклоре остались, а вот лап4@-х c ней же (или макосью) - хоть этим самым местом жуй?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #64, #66

63. Сообщение от Sw00p aka Jerom (?), 26-Май-21, 23:40   +/
>не только правила в стиле "Пущать"/"Не пущать"

но и постирать, приготовить, убрать, спать уложить :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

64. Сообщение от Аноним (8), 27-Май-21, 00:05   –1 +/
> Потому что "бзуны с ведной" только в опеннетном фольклоре остались

Да, BSD уже того. На дворе 2021 год, кстати.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #69

65. Сообщение от Аноним (65), 27-Май-21, 00:15   +/
> правила для конкретного файла

А как же inodes/хардлинки и симлинки?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #67

66. Сообщение от Аноним (28), 27-Май-21, 00:25   +/
Именно. Какой смысл приносить в жертву то, чего как этого самого за баней? Это неуважение прямо какое-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #81

67. Сообщение от Аноним (28), 27-Май-21, 00:27   +/
> А как же inodes/хардлинки и симлинки?

Пока они ссылаются на тот же файл всё в порядке (в теории). Но можно и отдельно, а заодно и хэш файла записать, чтобы не подменили.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #77

68. Сообщение от Аноним (68), 27-Май-21, 01:51   –1 +/
дегенераты вроде тебя ничего кроме синтаксиса не видят
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

69. Сообщение от Аноним (-), 27-Май-21, 03:49   +/
>> Потому что "бзуны с ведной" только в опеннетном фольклоре остались
> Да, BSD уже того. На дворе 2021 год, кстати.

Да, 2021 год на дворе, т.е. опеннетные лап4@-ые ее уже 21 год хоронят.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #74

70. Сообщение от Аноним (71), 27-Май-21, 08:35   +/
А где вопли про комбайн? Синтаксис то аналогичен сравнению ifconfigа с ip. Все равно в OpenWRT еще несколько лет ждать ядра 5.13. А аппаратное ускорение перекладывания пакетов в драйверах уже имеется.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #75

71. Сообщение от Аноним (71), 27-Май-21, 08:42   –1 +/
Ненужнод не применяется в реальности в OpenWRT, а именно OpenWRT является наиболее распространенным дистрибутивом в среде маршрутизаторов. В том числе фхорки, включая всяких сяоми с самыми популярными роутерами по причине крайней доступности всякие 3g, 3gv2, R3 Pro и пачки новых.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #76

72. Сообщение от OpenEcho (?), 27-Май-21, 14:21   +/
А нативного nfttables-apply по анологии с iptables-apply так и не осилили ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #80

73. Сообщение от Аноним (8), 27-Май-21, 15:04   +/
Недостаточно авторитетный источник.
Можно ссылку на что-нибудь из Q1 или Q2 Scopus или WoS?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

74. Сообщение от Аноним (8), 27-Май-21, 15:05   +/
Еще 15 лет назад захоронили и бетоном залили от греха подальше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #79

75. Сообщение от Аноним (8), 27-Май-21, 15:08   +/
> А где вопли про комбайн?

Зачем, если можно докопаться к синтаксису?
Вот с systemD не катит, потому что очень сложно доказать, что синтаксис ini-файлов сложен. Поэтому пришлось подводить гуманитарно-философский базис.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

76. Сообщение от Аноним (8), 27-Май-21, 15:10   +/
Среди маршрутизаторов SOHO-сегмента, заметим, где всякие продвинутые фичи не так уж и важны. Они могут до сих пор прекрасно на ядре 2.6.x с iptables 1.4 работать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

77. Сообщение от Аноним (77), 27-Май-21, 15:39   +/
> Пока они ссылаются на тот же файл всё в порядке (в теории).

На самом деле симлинки/хардлинки - это только первая и очевидная проблема, понятная любому линукс-нубу. Потом всплывает проблема, что процесс (исполняемый код) вообще-то с файлом на диске не сильно связан (например, динамические библиотеки вообще отношения к ядру не имеют - ld.so живёт в userspace и ядру о себе не рассказывает).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #78

78. Сообщение от Аноним (28), 27-Май-21, 17:54   +1 +/
Вроде и не линукс-нуб, а всё ещё не вижу в чём тут проблема даже после указания на первую и очевидную проблему. Может быть потому что она только линукс-нубу и видна? Кого там обманывать, ядро? По остальному, если бинарник, с которого процесс запущен, уже имеет все права, то он может делать что угодно дальше. Интересует только "хозяин" и не зависимости, и противодействовать паразитированию на процессе с правами надо отдельно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

79. Сообщение от Аноним (-), 27-Май-21, 20:19   +1 +/
> Еще 15 лет назад захоронили и бетоном залили от греха подальше.

Только ритуальные пляски опеннетчиков не особо сказались на реальности (машинок с той же фрёй - не одна сотня миллионов). Увы.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #83

80. Сообщение от Аноним (8), 27-Май-21, 22:33   +/
iptables-apply - это shell-скрипт, и к iptables не приколочен. Там буквально несколько строчек поменять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #82

81. Сообщение от Викинг (??), 28-Май-21, 13:13   +/
Завидую воину, у которого СТОЛЬКО врагов!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

82. Сообщение от OpenEcho (?), 28-Май-21, 13:51   +/
> iptables-apply - это shell-скрипт, и к iptables не приколочен. Там буквально несколько
> строчек поменять.

Угу и сделать это на тысячах машин как два пальца... и так с каждым новым апдайтом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

83. Сообщение от Аноним (28), 28-Май-21, 16:36   –1 +/
А сколько сотен миллионов, 2? Я слышал только про плойки, и что-то вроде медиа-дрм приставок для тв. Ну, ещё сетевое железо где вся ценная логика в асиках. При этом, все пользователи в один голос уверяют, что это было большой ошибкой не смотря на все преимущества закрытого кода (а они есть?). Увы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

86. Сообщение от Аноним (86), 01-Июн-21, 13:11   +/
Фильтрация по пользователям необходима для DAC это необходимо и очень удобно. Например разрешить пользователю tor ходить в инет, а остальным нет.

Есть таблица security и возможность привязки к MAC...

Мне лично необходима фича добавления и удаления правил при добавлении/удалении интерфейса и она уже есть давно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру