Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск пакетного фильтра nftables 1.0.1"	+/–
Сообщение от opennews (?), 20-Ноя-21, 12:32
Опубликован выпуск пакетного фильтра nftables 1.0.1, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Необходимые для работы выпуска nftables 1.0.1 изменения включены в состав ядра Linux 5.16-rc1... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56192
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от А где же каменты (?), 20-Ноя-21, 12:32	–2 +/–
Какие преимущества перед openbsd pf?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #8, #17, #18

2. Сообщение от Stanislav (??), 20-Ноя-21, 12:35	+18 +/–
Есть на значительно бОльшем числе реальных серверов, выставленных голой жопой в инет для зарабатывания денег.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

7. Сообщение от Аноним (7), 20-Ноя-21, 13:22	+/–
Все ещё её научили его отрабатывать нормальными кодами ошибки на не определённые ситуации.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

8. Сообщение от Аноним (8), 20-Ноя-21, 13:32	+/–
Из коробки в ванилле.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

9. Сообщение от Аноним (9), 20-Ноя-21, 13:41	+1 +/–
Patches are WELCOME. // b.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

11. Сообщение от Ilya Indigo (ok), 20-Ноя-21, 15:11	+/–
> Сокращено потребление памяти при загрузке больших set- и map-списков. > Ускорена перезагрузка set- и map-списков. Ждём выпуска 5.16 что бы проверить.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

12. Сообщение от Аноним (12), 20-Ноя-21, 16:12	+/–
Ну кстати сеты у него внатуре очень тормозные при любых внешних манипуляциях с ними, в отличие от старого доброго ipset
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #13

13. Сообщение от Ilya Indigo (ok), 20-Ноя-21, 16:50	+2 +/–
> Ну кстати сеты у него внатуре очень тормозные при любых внешних манипуляциях > с ними, в отличие от старого доброго ipset У меня sshguard уже с 50к айпишиками и на sshg-fw-nft-sets инициализация растягивается до часа, но если через sshg-fw-iptables (я так понимаю он ipset использует), то это занимает несколько минут. По этому продолжаю использовать в sshguard и firewalld (если там использовать одно а там другое будет очень плохо) iptables.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #15, #21, #22, #29, #31

14. Сообщение от Аноним (14), 20-Ноя-21, 17:28	–5 +/–
Фильтры какие-то - черт ногу сломит, другое дело Защитник Виндовс. Просто работает и все!!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #23

15. Сообщение от onanim (?), 20-Ноя-21, 18:17	+2 +/–
> 50к айпишиками зачем отдельные IP? я почти все страны заблокировал подсетями, iptables+ipset полёт нормальный. bash-4.2# iptables-save|grep blacklist|wc -l 198 bash-4.2# ipset save|wc -l 16942
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #16

16. Сообщение от onanim (?), 20-Ноя-21, 18:18	+/–
> 198 это страны; подсети для каждой страны записаны в ipset.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

17. Сообщение от Аноним (17), 20-Ноя-21, 19:14	+/–
А какой юзкейс у вас для нетбзд? Просто интересно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

18. Сообщение от Аноним (17), 20-Ноя-21, 19:14	+/–
А какой юзкейс у вас для опенбзд? Просто интересно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

19. Сообщение от john_erohin (?), 20-Ноя-21, 19:55	+1 +/–
> Защитник Виндовс. Просто работает и все!! ложь. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1170 и что-то еще было, я сейчас не помню.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

20. Сообщение от Аноним (14), 20-Ноя-21, 22:46	+/–
Филькина грамота это все ваши писульки. Защитник Виндовс - тру остальное тлен!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

21. Сообщение от Онаним (?), 20-Ноя-21, 23:15	+1 +/–
VPN для доступа к боевым SSH уже отменили?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

22. Сообщение от Онаним (?), 20-Ноя-21, 23:16	–1 +/–
Не то, чтобы я сильно против, но это ж надо ж так извращаться. Сертификаты на доступе в виртуальную подсеть, дальше RSA/EC ключи для SSH. Зачем вообще SSH голой жопой в паблик-то вывешивать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #25

23. Сообщение от Аноним (8), 21-Ноя-21, 00:02	+1 +/–
Только никто не знает, как оно там работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #24

24. Сообщение от анонимуслинус (?), 21-Ноя-21, 00:21	+2 +/–
даже ребята и мелкософта не знают. куда уж нам)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

25. Сообщение от onanim (?), 21-Ноя-21, 08:57	+3 +/–
> Зачем вообще SSH голой жопой в паблик-то вывешивать? а что не так? это же не Proftpd или Exim)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #26

26. Сообщение от Онаним (?), 21-Ноя-21, 09:09	+1 +/–
Ну вот у чела 50к адресов в фильтре, чтобы в этот самый SSH не долбили. Если всё так просто, как вы говорите - зачем они ему?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #28

27. Сообщение от InuYasha (??), 21-Ноя-21, 10:57	+4 +/–
как ни старайся, тебе до Фрактала и КвертиРега ещё жиреть и жиреть...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

28. Сообщение от onanim (?), 21-Ноя-21, 10:57	+/–
> Ну вот у чела 50к адресов в фильтре, чтобы в этот самый > SSH не долбили. > Если всё так просто, как вы говорите - зачем они ему? вот и я чуть выше недоумеваю - зачем блокировать 50к долбящих SSH, если можно просто заблокировать большинство стран, откуда даже теоретически не возможны посетители, а против долбления со всяких Amazon и Digitalocean прописать одно простое правило iptables - не чаще одной долбёжки в 30 секунд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

29. Сообщение от Аноним (29), 21-Ноя-21, 12:26	+1 +/–
Надо полагать, что вышеобозначенные продукты написаны жопой, потому что даже мой самопал на sh загружает 80к айпишников при хреновой реализации (one by one) ну минуты две от силы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

30. Сообщение от Аноним (-), 22-Ноя-21, 09:36	+1 +/–
Они создание документации специально игнорят?
Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от лютый жабби__ (?), 22-Ноя-21, 11:44	+/–
>У меня sshguard уже с 50к айпишиками бред, перевешай с 22 на 3хххх-4хххх и никто не найдёт
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #32

32. Сообщение от Аноним (32), 22-Ноя-21, 13:40	+/–
еще и древний рецент, никто не отменял
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема