Выпуск пакетного фильтра iptables 1.8.8

14.05.2022 10:31

Опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.8, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов.

В новой версии:

В утилиту iptables-translate, преобразующую правила iptables в наборы правил nftables, добавлена поддержка выражений connlimit и tcpmss, для блоков sctp и multiport реализована возможность использования опций "--chunk-types" и "--ports".
Упрощён перевод в правила nftables блоков conntrack и опции "--tcp-flags".
В libxtables запрещена работа при вызове из исполняемых файлов с флагом setuid.
В утилите iptables-nft разрешено удаление встроенных цепочек.
В iptables-nft добавлен парсер правил из утилиты arptables-nft.
В утилите arptables-nft добавлена поддержка команд '-C' и '-S', реализована индексация правил для команд '-I' и '-R', добавлена поддержка синтаксиса счётчиков '-c N,M'.
В таблицах *NAT прекращена поддержка указания разом нескольких диапазонов адресов IPv4.
Реализована возможность включения отладочного вывода в iptables-restore, iptables-nft и ebtables-nft через повторное указание опции '-v'.
Повышена производительность утилит iptables-save и iptables-restore.

исправить +15 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/57188-iptables

Ключевые слова: iptables, netfilter

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (24)

1.9, Аноним (9), 12:39, 14/05/2022 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Это тот случай когда из могилы постучали?

2.10, Аноним (10), 13:34, 14/05/2022 [^] [^^] [^^^] [ответить]	+6 +/–
Это тот редкий случай когда обеспечили обратную совместимость

3.11, пох. (?), 13:45, 14/05/2022 [^] [^^] [^^^] [ответить]	–5 +/–
не обеспечили. так,вид поделали. грант сам себя не попилит...

4.24, andy (??), 21:43, 14/05/2022 [^] [^^] [^^^] [ответить]	+/–
> не обеспечили. так,вид поделали. грант сам себя не попилит... Пох, ответь на вопрос пожалуйста, в ветке про проксмокс.

4.27, Аноним (-), 23:53, 14/05/2022 [^] [^^] [^^^] [ответить]	+/–
Как ни странно пох даже прав - стопроцентной совместимости там внезапно нет. Но все же.

1.12, Аноним (12), 13:55, 14/05/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
я что-то пропустил? Запускаю скрипты с правилами iptables из rc.local А выходит что самого iptables уже нет?

2.13, нонейм (?), 14:18, 14/05/2022 [^] [^^] [^^^] [ответить]

+/–

да, некая совместимость осталась на уровне команд, поэтому и работает

Linux kernels have had packet filtering since the 1.1 series. The
  first generation, based on ipfw from BSD, was ported by Alan Cox in
  late 1994. This was enhanced by Jos Vos and others for Linux 2.0; the
  userspace tool 'ipfwadm' controlled the kernel filtering rules. In
  mid-1998, for Linux 2.2, I reworked the kernel quite heavily, with the
  help of Michael Neuling, and introduced the userspace tool 'ipchains'.
  Finally, the fourth-generation tool, 'iptables', and another kernel
  rewrite occurred in mid-1999 for Linux 2.4.

моё развитие закончилось тоже на iptables (застал ipchains тоже)

люди, скажите, что учить, чтоб опять через 2-3 года не пришлось переучиваться?

или может синтаксис iptables как золотой стандарт останется?

Спасибо!

3.14, mikhailnov (ok), 14:21, 14/05/2022 [^] [^^] [^^^] [ответить]	+/–
> люди, скажите, что учить, чтоб опять через 2-3 года не пришлось переучиваться? Думаю, что eBPF

4.28, Аноним (28), 01:43, 15/05/2022 [^] [^^] [^^^] [ответить]	+/–
Нет такого.

3.15, Онаним (?), 15:42, 14/05/2022 [^] [^^] [^^^] [ответить]	+/–
nft А из ёBPF достаточно запомнить echo 1 > /proc/sys/kernel/unprivileged_bpf_disabled

4.17, Аноним (17), 15:58, 14/05/2022 [^] [^^] [^^^] [ответить]	+/–
zsh: no such file or directory: /proc/sys/kernel/unprivileged_bpf_disabled

3.16, Анонус (?), 15:48, 14/05/2022 [^] [^^] [^^^] [ответить]	–1 +/–
>что учить firewalld

4.34, Аноним (34), 14:48, 18/05/2022 [^] [^^] [^^^] [ответить]	+/–
Зачем домохозяйке "firewalld"?

3.21, нонейм (?), 19:49, 14/05/2022 [^] [^^] [^^^] [ответить]

+1 +/–

https://github.com/rmind/npf

до пенсии хватит

там и DPDK поддержка есть

3.22, hefenud (ok), 20:25, 14/05/2022 [^] [^^] [^^^] [ответить]	+/–
2-3 года? Чувак! iptables был с нами с 2.4.0 и пока еще не покинул нас, то есть добрые 20 лет(22 года почти) Какие еще 2-3? Сейчас ему на смену пришел nftables, который тоже пробудет теперь с нами лет 20 Про какие 2-3 ты говоришь?

4.33, www2 (??), 09:34, 17/05/2022 [^] [^^] [^^^] [ответить]

+/–

>Сейчас ему на смену пришел nftables, который тоже пробудет теперь с нами лет 20

Откуда такая уверенность про 20 лет?

В FreeBSD как был ipfw изначально, так и остался. Новые функции появились, но это не обнуляет прошлый опыт. А тут опять новый велосипед.

3.25, Аноним (25), 22:26, 14/05/2022 [^] [^^] [^^^] [ответить]	+1 +/–
never cease to learn

3.29, Fedd (ok), 12:10, 15/05/2022 [^] [^^] [^^^] [ответить]	+1 +/–
bpfilter

4.30, нонейм (?), 18:40, 15/05/2022 [^] [^^] [^^^] [ответить]	+/–
не знал о таком, спасибо Сравнение с iptables и nft: https://www.phoronix.net/image.php?id=2021&image=linux_bpfilter_performance_sh

1.20, InuYasha (??), 19:35, 14/05/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Что ж, за обратную совместимость всегда уважение. Даже не смотря на то что я сам iptables не трогал уже годы.

1.23, Аноним (23), 20:40, 14/05/2022 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> сосредоточено на компонентах для сохранения обратной совместимости

Подход здоровых человеков!

P.S. Подскажите, какие есть GUI-морды для быстрой настройки фаервола в Линукс? И чтоб из трея можно было быстро какие-то группы правил включать/выключать.

2.26, Аноним (25), 22:33, 14/05/2022 [^] [^^] [^^^] [ответить]

–1 +/–

вам виндовс нужен
какие ёпта группы правил?
GUI-морда - это xterm
вот вам сниппет моего конфига /etc/nftables.conf мож пригодится
#!/usr/sbin/nft -f

flush ruleset

table ip filter {
chain input {
type filter hook input priority 0; policy drop;

# accept any localhost traffic
iif lo accept

iif wg0 accept

# accept ICMP traffic
ip protocol icmp accept

# accept traffic originated from us
ct state established,related accept

        # accept SSH, HTTP
        iif eth0 tcp dport ssh accept
        iif eth0 tcp dport http accept
        iif eth0 tcp dport https accept

        # iperf3
        iif eth0 tcp dport 5201 accept
        iif eth0 udp dport 5201 accept

        # accept DNS
        iif eth0 tcp dport 53 accept
        iif eth0 udp dport 53 accept

        # accept mail
        iif eth0 tcp dport { 25, 587, 993 } accept
    }
    chain output {
        type filter hook output priority 0;
    }

chain prerouting {
type nat hook prerouting priority -100;

        # mail DNAT
        iif eth0 tcp dport { 25, 587, 993 } dnat to 10.100.0.249
    }
    chain postrouting {
         type nat hook postrouting priority 100;

         # VPN NAT
         oifname "eth0" masquerade random,persistent
    }
}

2.31, нонейм (?), 18:50, 15/05/2022 [^] [^^] [^^^] [ответить]	+/–
https://github.com/evilsocket/opensnitch

2.32, К.О. (?), 05:29, 16/05/2022 [^] [^^] [^^^] [ответить]	+/–
dnf install firewall-config

игнорирование участников | лог модерирования

Добавить комментарий

Текст: