The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск пакетного фильтра iptables 1.8.11

10.11.2024 11:38

После года разработки опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.11, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов.

В новой версии:

  • Добавлена новая утилита arptables-translate, предназначенная для перевода правил arptables в формат конфигурации для использования с nftables.
  • В утилиту ebtables-nft добавлена поддержка команд "--change-counters", "--replace" и "--list-rules". Добавлена возможность указания счётчиков для правил, используя синтаксис "-c N,M". Добавлена возможность обнуления отдельных правил.
  • В утилите iptables-translate добавлена поддержка целей TPROXY и расширения xt_socket для проверки (match) сокетов. С iptables унифицировано определение имён протоколов.
  • В утилите iptables включён неявный поиск расширений для протоколов dccp и ipcomp для достижения единого с iptables-save поведения.
  • В утилите iptables-save исключены вызовы getprotobynumber() для повышения производительности при обработке больших наборов правил.
  • В скрипт configure добавлена возможность отключения сборки с libnfnetlink.


  1. Главная ссылка к новости (https://www.mail-archive.com/n...)
  2. OpenNews: Выпуск пакетного фильтра iptables 1.8.10
  3. OpenNews: Релиз iptables 1.8.0
  4. OpenNews: Разработчики Netfilter официально объявили инструментарий iptables устаревшим
  5. OpenNews: Для ядра Linux предложен новый пакетный фильтр bpfilter
  6. OpenNews: Выпуск пакетного фильтра nftables 1.1.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62213-iptables
Ключевые слова: iptables
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:59, 10/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables.

    И тут байткод, и eBPF проталкивают. Похоже, что-то изменилось в "stable is nonsense" королевстве, как до серьёзной работы дошло.

     
     
  • 2.19, Аноним (-), 01:04, 11/11/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > И тут байткод, и eBPF проталкивают. Похоже, что-то изменилось в
    > "stable is nonsense" королевстве, как до серьёзной работы дошло.

    Внезапно, nft не подвязан на eBPF сам по себе. А так BPF изначально - вообще беркелейщики с своими BSD придумали. Что самое издевательское - это не помогло им сделать нормальный фаервол.

     
     
  • 3.25, Аноним (25), 14:47, 12/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И какие у Вас претензии к PF?
     
     
  • 4.30, Аноним (30), 16:09, 12/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > И какие у Вас претензии к PF?

    Он по сравнению с тем что умеет все это линуховое добро... как бы вам сказать то? :)


     
  • 2.26, Аноним (25), 14:51, 12/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Правила iptables всегда транслировались и обрабатывались модулем XT в виде байт-кода. Вы из спячки вышли и при чём здесь eBPF? Все смешалось в воспалённом сознании - люди, кони.
     

  • 1.4, Аноним (4), 13:16, 10/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    В утилиту ebtables-nft добавлена поддержка команд "--change-counters", "--replace" и "--list-rules". Добавлена возможность указания счётчиков для правил, используя синтаксис "-c N,M".


    на десятом году "адекватной замены с тем же синтаксисом командной строки" мы научились даже в list-rules.

    Еще лет десять - научится реальные наборы правил транслировать. Иногда.

     
     
  • 2.18, Аноним (18), 01:00, 11/11/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Еще лет десять - научится реальные наборы правил транслировать. Иногда.

    А оно надо? Правила NFT писать не больно сложно и оно на мой вкус - даже читаемее получается. Особенно для _больших_ рулесетов.

     
     
  • 3.23, анонимус (??), 00:41, 12/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле "даже"?

    По сравнению с iptables, правила nft - это просто небесный нектар.

    Iptables абсолютно не читаемое говнище. Даже ipfw, of и прочие в сто раз лучше

     
     
  • 4.24, Аноним (24), 10:26, 12/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    iptables просто нужно читать не в iptables -L, а в iptables-save, тогда становится достаточно читаемо. Но логики в этом нет и никогда не было, что вывод самой команды неадекватный, а читаемо только в команде для сохранения правил, с nft list ruleset сильно проще, согласен
     
     
  • 5.27, Аноним (25), 14:54, 12/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    iptables -S -> вывод аналогичен iptables-save.
     
  • 4.31, Аноним (31), 16:14, 12/11/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В смысле "даже"?
    > По сравнению с iptables, правила nft - это просто небесный нектар.

    Смотря где. Если с командлайна и oneliner - ну вот не, с nft это будет несподручно. И команды у него несколько странные вообще. Если ты не знаешь что хочешь - даже список активных рулесов хрен посмотришь так сразу.

    Но если рулесей несколько - нфтаблес резко вырывается вперед и там все куда логичнее и эстетичнее чем тот замес в iptablese. Ну там какойнить stateful фаер, NAT, а то и модный у некоторых редирект в nf queue. Что-то сравнимое в iptables - выглядит как тот еще брейнфак.

    > Iptables абсолютно не читаемое говнище. Даже ipfw, of и прочие в сто раз лучше

    Он окей для oneliner'ов но для чего-то сложнее этого... эээ...

     
  • 3.28, Аноним (25), 14:55, 12/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В Android не перенесен модуль NFT. Так что по прежнему где-то да надо.
     

  • 1.7, Аноним (7), 18:17, 10/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хорошее дело делают, заботятся о братьях наших меньших, которые когда-то давно один раз зазубрили пару заклинаний для iptables, а теперь уже слишком стары, чтобы учиться новым. Вот это я понимаю, линукс с человеческим лицом.
     
     
  • 2.8, Ахз (?), 19:03, 10/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Как тебе сказать, вот когда у тебя не пару строчек, в пару-тройку сотен тысяч..
     
     
  • 3.10, Аноним (7), 20:48, 10/11/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Начнём с того, что ты никогда в своей жизни не видел «пару-тройку сотен тысяч» строк конфигурации фаерволла. Уже на десятках тысяч загрузка правил через iptables превращается в несоклько минут ожидания, в течение которых фаерволл находится в полусконфигурированном состоянии. В отличие от nftables, которые применяют новый конфиг атомарно и целиком. А продолжим тем, что на десятках тысяч правил фаерволла начинает заметно расти латенси (что ещё пол-беды) и джиттер (что куда серьёзнее), поэтому в проде для таких случаев используют железные решения, а не детсадовские решения из пластилина и желудей. На сотнях тысяч задержки и джиттер видны невооружённым глазом. Так что не говори мне лучше никак.
     
     
  • 4.14, Аноним (1), 22:25, 10/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Некоторые сервера память перед запуском ОС тестируют по полчаса, потом ещё раиды проверяют. А тут аж целых несколько минут.
     
     
  • 5.20, Аноним (-), 01:18, 11/11/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Некоторые сервера память перед запуском ОС тестируют по полчаса,
    > потом ещё раиды проверяют. А тут аж целых несколько минут.

    1) Это чаще всего настраивается.
    2) ПОЛУсконфигурированый файрвол означает что сервис уже может быть доступен - но не только тем кому задумано правилами фаера. Или не всем легитимным пользователям. Что так фигня, что сяк.

     
     
  • 6.29, Аноним (25), 14:58, 12/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А параметр -P Вы, судя по комментариям, так и не смогли освоить.
     
  • 4.15, Аноним (15), 23:07, 10/11/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > начинает заметно расти латенси

    А можно в цифрах?
    Криво расставлены приоритеты в правилах.

     
     
  • 5.21, нах. (?), 11:59, 11/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    какие еще приоритеты у такого дятла, ему в голову не приходит ничего кроме плоской простыни правил перебираемых по одному.

    Что для того и _chains_ чтобы их все не перебирать, и правил может быть хоть полмиллиона, никак не влияющих на latency потому что конкретный пакет проверяют из этого полумиллиона пять штук - он в вопросе серверфолта не дочитал.

    Он вам и nftшные так же напишет, я уверен.

     
     
  • 6.33, Аноним (33), 17:01, 13/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Chains — это ты правильно сказал. Цепочки предполагают собой наличие первого и последнего. Подумай на досуге, сколько времени займёт фильтрование пакета, который обрабатывается правилами в конце цепи, почему важно грамотное упорядочивание правил и как тут помогают счётчики. Ну и заодно посмотри, что делает COMMIT, почему их в выхлопе iptables-save несколько, и подумай так же что происходит МЕЖДУ двумя коммитами. Как разберёшься — пиши, я тебе ещё интересных задачек подкину мозги размять.
     
  • 4.16, ананим.orig (?), 00:42, 11/11/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Начнём с того, что ты никогда в своей жизни не видел …

    какой "убедительный" троль

    iptables меняет (атомарно) сишный указатель со старой таблицы на новую, целиком и сразу.
    исходники в ядре по этому вопросу легко читаемы даже начинающими.
    в отличии от сабжа.
    поэтому -
    > находится в полусконфигурированном состоянии

    если кто и может, так именно именно bpf. и сказать по какой фазе луны он это будет динамически делать не может никто.
    включая админа целевой системы.
    вернее даже так - особенно админа целевой системы.

    отсюда только один вопрос - таким тролям доплачивают для продвижения таких полезных инноваций?
    или ещё точнее - много ли таким тролям доплачивают для продвижения таких полезных инноваций?
    или они ииз разряда полезных иди… энтузиастов?

     
     
  • 5.22, нах. (?), 12:00, 11/11/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и да, слово COMMIT в выхлопе iptables-save дятлу ничего не говорит. Вероятнее всего потому что он никогда его и не видел.

    > отсюда только один вопрос - таким тролям доплачивают для продвижения таких полезных инноваций?

    еще не хватало. они сами рады заплатить.

     
  • 2.9, Ахз (?), 19:05, 10/11/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В догонку, вот обратная совместимость винды преподносится как достоинство, а с линуксом - так технологии дидов )
     
     
  • 3.11, Аноним (7), 20:52, 10/11/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не надо путать тёплое с мягким, и обратную совместимость с паллиативной заботой.
     

  • 1.12, Ширламырла (?), 21:36, 10/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    6 пунктов и 1.5 года работы

    Ну я не знаю. Не знаю

     
     
  • 2.17, ананим.orig (?), 00:58, 11/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    во первых не 1,5, а 1. (так прям в заголоке сказано)
    во вторых, сабж - всего-лишь юзер-спейсная часть того, что наворотили за этот 1 в ядре.
    > Ну я не знаю. Не знаю

    именно

    но это пол-беды.
    теперь никто не знает что именно будет выполняться в этой ядрёной виртуальной машине на целевой системе в конкретный момент времени - так, догадки в определенном порядке следования каких то своих правил ещё будут, но и только

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру