1.1, Аноним (1), 12:59, 10/11/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables.
И тут байткод, и eBPF проталкивают. Похоже, что-то изменилось в "stable is nonsense" королевстве, как до серьёзной работы дошло.
| |
|
2.19, Аноним (-), 01:04, 11/11/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
> И тут байткод, и eBPF проталкивают. Похоже, что-то изменилось в
> "stable is nonsense" королевстве, как до серьёзной работы дошло.
Внезапно, nft не подвязан на eBPF сам по себе. А так BPF изначально - вообще беркелейщики с своими BSD придумали. Что самое издевательское - это не помогло им сделать нормальный фаервол.
| |
|
|
4.30, Аноним (30), 16:09, 12/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
> И какие у Вас претензии к PF?
Он по сравнению с тем что умеет все это линуховое добро... как бы вам сказать то? :)
| |
|
|
2.26, Аноним (25), 14:51, 12/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
Правила iptables всегда транслировались и обрабатывались модулем XT в виде байт-кода. Вы из спячки вышли и при чём здесь eBPF? Все смешалось в воспалённом сознании - люди, кони.
| |
|
1.4, Аноним (4), 13:16, 10/11/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
В утилиту ebtables-nft добавлена поддержка команд "--change-counters", "--replace" и "--list-rules". Добавлена возможность указания счётчиков для правил, используя синтаксис "-c N,M".
на десятом году "адекватной замены с тем же синтаксисом командной строки" мы научились даже в list-rules.
Еще лет десять - научится реальные наборы правил транслировать. Иногда.
| |
|
2.18, Аноним (18), 01:00, 11/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Еще лет десять - научится реальные наборы правил транслировать. Иногда.
А оно надо? Правила NFT писать не больно сложно и оно на мой вкус - даже читаемее получается. Особенно для _больших_ рулесетов.
| |
|
3.23, анонимус (??), 00:41, 12/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
В смысле "даже"?
По сравнению с iptables, правила nft - это просто небесный нектар.
Iptables абсолютно не читаемое говнище. Даже ipfw, of и прочие в сто раз лучше
| |
|
4.24, Аноним (24), 10:26, 12/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
iptables просто нужно читать не в iptables -L, а в iptables-save, тогда становится достаточно читаемо. Но логики в этом нет и никогда не было, что вывод самой команды неадекватный, а читаемо только в команде для сохранения правил, с nft list ruleset сильно проще, согласен
| |
4.31, Аноним (31), 16:14, 12/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> В смысле "даже"?
> По сравнению с iptables, правила nft - это просто небесный нектар.
Смотря где. Если с командлайна и oneliner - ну вот не, с nft это будет несподручно. И команды у него несколько странные вообще. Если ты не знаешь что хочешь - даже список активных рулесов хрен посмотришь так сразу.
Но если рулесей несколько - нфтаблес резко вырывается вперед и там все куда логичнее и эстетичнее чем тот замес в iptablese. Ну там какойнить stateful фаер, NAT, а то и модный у некоторых редирект в nf queue. Что-то сравнимое в iptables - выглядит как тот еще брейнфак.
> Iptables абсолютно не читаемое говнище. Даже ipfw, of и прочие в сто раз лучше
Он окей для oneliner'ов но для чего-то сложнее этого... эээ...
| |
|
3.28, Аноним (25), 14:55, 12/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
В Android не перенесен модуль NFT. Так что по прежнему где-то да надо.
| |
|
|
1.7, Аноним (7), 18:17, 10/11/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Хорошее дело делают, заботятся о братьях наших меньших, которые когда-то давно один раз зазубрили пару заклинаний для iptables, а теперь уже слишком стары, чтобы учиться новым. Вот это я понимаю, линукс с человеческим лицом.
| |
|
2.8, Ахз (?), 19:03, 10/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
Как тебе сказать, вот когда у тебя не пару строчек, в пару-тройку сотен тысяч..
| |
|
3.10, Аноним (7), 20:48, 10/11/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Начнём с того, что ты никогда в своей жизни не видел «пару-тройку сотен тысяч» строк конфигурации фаерволла. Уже на десятках тысяч загрузка правил через iptables превращается в несоклько минут ожидания, в течение которых фаерволл находится в полусконфигурированном состоянии. В отличие от nftables, которые применяют новый конфиг атомарно и целиком. А продолжим тем, что на десятках тысяч правил фаерволла начинает заметно расти латенси (что ещё пол-беды) и джиттер (что куда серьёзнее), поэтому в проде для таких случаев используют железные решения, а не детсадовские решения из пластилина и желудей. На сотнях тысяч задержки и джиттер видны невооружённым глазом. Так что не говори мне лучше никак.
| |
|
4.14, Аноним (1), 22:25, 10/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
Некоторые сервера память перед запуском ОС тестируют по полчаса, потом ещё раиды проверяют. А тут аж целых несколько минут.
| |
|
5.20, Аноним (-), 01:18, 11/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Некоторые сервера память перед запуском ОС тестируют по полчаса,
> потом ещё раиды проверяют. А тут аж целых несколько минут.
1) Это чаще всего настраивается.
2) ПОЛУсконфигурированый файрвол означает что сервис уже может быть доступен - но не только тем кому задумано правилами фаера. Или не всем легитимным пользователям. Что так фигня, что сяк.
| |
|
6.29, Аноним (25), 14:58, 12/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
А параметр -P Вы, судя по комментариям, так и не смогли освоить.
| |
|
|
4.15, Аноним (15), 23:07, 10/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> начинает заметно расти латенси
А можно в цифрах?
Криво расставлены приоритеты в правилах.
| |
|
5.21, нах. (?), 11:59, 11/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
какие еще приоритеты у такого дятла, ему в голову не приходит ничего кроме плоской простыни правил перебираемых по одному.
Что для того и _chains_ чтобы их все не перебирать, и правил может быть хоть полмиллиона, никак не влияющих на latency потому что конкретный пакет проверяют из этого полумиллиона пять штук - он в вопросе серверфолта не дочитал.
Он вам и nftшные так же напишет, я уверен.
| |
|
6.33, Аноним (33), 17:01, 13/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
Chains — это ты правильно сказал. Цепочки предполагают собой наличие первого и последнего. Подумай на досуге, сколько времени займёт фильтрование пакета, который обрабатывается правилами в конце цепи, почему важно грамотное упорядочивание правил и как тут помогают счётчики. Ну и заодно посмотри, что делает COMMIT, почему их в выхлопе iptables-save несколько, и подумай так же что происходит МЕЖДУ двумя коммитами. Как разберёшься — пиши, я тебе ещё интересных задачек подкину мозги размять.
| |
|
|
4.16, ананим.orig (?), 00:42, 11/11/2024 [^] [^^] [^^^] [ответить]
| +4 +/– |
> Начнём с того, что ты никогда в своей жизни не видел …
какой "убедительный" троль
iptables меняет (атомарно) сишный указатель со старой таблицы на новую, целиком и сразу.
исходники в ядре по этому вопросу легко читаемы даже начинающими.
в отличии от сабжа.
поэтому -
> находится в полусконфигурированном состоянии
если кто и может, так именно именно bpf. и сказать по какой фазе луны он это будет динамически делать не может никто.
включая админа целевой системы.
вернее даже так - особенно админа целевой системы.
отсюда только один вопрос - таким тролям доплачивают для продвижения таких полезных инноваций?
или ещё точнее - много ли таким тролям доплачивают для продвижения таких полезных инноваций?
или они ииз разряда полезных иди… энтузиастов?
| |
|
5.22, нах. (?), 12:00, 11/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
и да, слово COMMIT в выхлопе iptables-save дятлу ничего не говорит. Вероятнее всего потому что он никогда его и не видел.
> отсюда только один вопрос - таким тролям доплачивают для продвижения таких полезных инноваций?
еще не хватало. они сами рады заплатить.
| |
|
|
|
2.9, Ахз (?), 19:05, 10/11/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
В догонку, вот обратная совместимость винды преподносится как достоинство, а с линуксом - так технологии дидов )
| |
|
3.11, Аноним (7), 20:52, 10/11/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не надо путать тёплое с мягким, и обратную совместимость с паллиативной заботой.
| |
|
|
|
2.17, ананим.orig (?), 00:58, 11/11/2024 [^] [^^] [^^^] [ответить]
| +/– |
во первых не 1,5, а 1. (так прям в заголоке сказано)
во вторых, сабж - всего-лишь юзер-спейсная часть того, что наворотили за этот 1 в ядре.
> Ну я не знаю. Не знаю
именно
но это пол-беды.
теперь никто не знает что именно будет выполняться в этой ядрёной виртуальной машине на целевой системе в конкретный момент времени - так, догадки в определенном порядке следования каких то своих правил ещё будут, но и только
| |
|
|