Вышел релиз iptables 1.4.9

image

Теги: Linu

Вышла  новая версия iptables — набора инструментов для управления IPv4- и IPv6-сегментами системы фильтрации и преобразования пакетов netfilter (сам netfilter является частью ядра Linux).

Вышла новая версия iptables — набора инструментов для управления IPv4- и IPv6-сегментами системы фильтрации и преобразования пакетов netfilter (сам netfilter является частью ядра Linux).

В iptables 1.4.9 реализована полная совместимость с вышедшим недавно ядром Linux 2.6.35, а также внесен ряд других улучшений:

* Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила. Например, следующая последовательность команд обеспечит включение на одну секунду выбранного индикатора при поступлении входящего пакета на TCP-порт 22 (SSH):

iptables -I INPUT -p tcp --dport 22 -j LED --led-trigger-id ssh --led-delay 1000

echo netfilter-ssh > /sys/class/leds/имя_индикатора/trigger

* Добавлена поддержка действия TEE, позволяющего выполнять зеркалирование определенного трафика на заданный хост. Например,

iptables -t mangle -A PREROUTING -i eth0 -j TEE --gateway 192.168.0.2

обеспечит копирование всего входящего через eth0 трафика и отправку его копии на хост 192.168.0.2 (хост-получатель должен находиться в одном сегменте сети с нашим хостом).

Ранее это действие было доступно только в комплекте xtables-addons (данный проект является современным аналогом patch-o-matic).

* Обновлены инструменты для обеспечения взаимодействия netfilter и ipset.

ipset — набор модулей для ядра Linux и одноименная управляющая утилита, в совокупности обеспечивающие возможность хранить в памяти огромные списки IP-адресов, подсетей и портов, а также очень быстро проверять заданные адреса и порты на предмет нахождения в этих списках. Одно из ключевых новшеств ожидаемого в ближайшем будущем релиза ipset 5 — поддержка семейства адресов IPv6.

Изменения, внесенные на уровне iptables в критерий set (этот критерий позволяет проверять адреса и порты обрабатываемых пакетов на наличие в заданных списках) и в действие SET (позволяет добавлять адреса и порты обрабатываемых пакетов в заданные списки, либо удалять из них), отражают грядущие нововведения — теперь эти инструменты можно вызывать не только из iptables, но и из ip6tables.

* Добавлена возможность логического отрицания в критерии quota, что упрощает обработку пакетов, выходящих за рамки квоты.

* Улучшена поддержка протокола SCTP: добавлено распознавание типа секции (chunk) FORWARD_TSN и флага SACK-IMMEDIATELY в DATA-секции.

* Исправлен ряд мелких ошибок в коде и документации.


или введите имя

CAPTCHA
15202
10-08-2010 08:23:03
* Добавлена поддержка нового действия LED, позволяющего использовать доступные системе световые индикаторы для сигнализации о прохождении пакетов через заданные правила. Например, следующая последовательность команд обеспечит включение на одну секунду выбранного индикатора при поступлении входящего пакета на TCP-порт 22 (SSH): iptables -I INPUT -p tcp --dport 22 -j LED --led-trigger-id ssh --led-delay 1000 echo netfilter-ssh > /sys/class/leds/имя_индикатора/trigger жесть, ето даже не смешно уже, но и красноглазых ниразу не жаль
0 |
а вот вам
10-08-2010 08:40:00
почему же жесть? очень даже круто. привязать например событие типа "вход по SSH" к системе пожарного оповещения и голосовое сообщение чтобы проигрывалось на все здание: Алярма! Вход по SSH, админам срочно получить боевой вазелин и приготовиться! лулзы гарантированы.
0 |
Лoсь
10-08-2010 09:28:48
про вход по SSH улыбнуло! хотя действительно функция может оказаться очень полезной
0 |
56222
10-08-2010 09:31:15
Это хорошо, что не жаль, вещь действительно не смешная, мощная и полезная.
0 |
SC
10-08-2010 19:16:13
Это для производителей роуторов и т.д. А что вам показалось зазорным в этом?
0 |
0xc0der
11-08-2010 13:48:29
... критик ... .. тем больше фич, тем круче софт ...
0 |
[]
10-08-2010 09:20:20
Netfilter, вот это действительно то, чего так не хватает винде.
0 |
Гость
10-08-2010 12:01:37
полдня не хватит перечислять, чего не хватает винде)))
0 |
null
10-08-2010 12:29:51
Да тут времени побольше нужно.
0 |
Win
10-08-2010 12:43:16
У винды все есть ... рук вам не хватает ...
0 |
75528
10-08-2010 13:01:11
Все что нужно Вам? Другим много чего не хватает (или для этого нужны дополнительное ПО за не смешные деньги).
0 |
[]
10-08-2010 13:48:32
Netsh ну никак не заменит netfilter/iptables. И я не линуксойд, а законченый виндузятник.
0 |
аноним
10-08-2010 16:01:41
Ты имел в виду - КОНЧЕНЫЙ виндузятник?
0 |
10-08-2010 16:05:51
а я прочитал как закоННый виндузятник
0 |
[]
10-08-2010 16:32:27
Ты так говоришь, будто это что-то плохое.
0 |
10-08-2010 21:07:46
я как раз не могу построить правило потому-что в recent на --seconds нельзя сделать логического отрицания
0 |
RU_LIDS
11-08-2010 12:25:03
Это что за извращенное правило такое? Ресентом пользуюсь, но чего-то с таким не сталкивался.
0 |
13-08-2010 18:09:25
короче че хочу, есть правило, все новые соединения принимаются через --hashlimit-upto все что превышает через hashlimit-burst переходит в пользовательскую цепочку, в которой надо сделать замер, примеру, если идет превышение в течении 15 секунд ip уходит в set в DEFAULT файл(в пользовательской цепочки временно используется с другим названием файл) так вот я хотел сделать, что бы все что превышает 15 секунд удалялось автоматом, ибо если превышение не будет доходит до 15 секунд, то Ip не удалится из временного файла и при следующем превышением сразу попадает в бан не проходя процедуру в 15 секунд. надеюсь выразился понятно если нарушитель проходит всю процедуру в 15 секунд, идет правило при котором пользовательская цепочка очищается, а DEFAULT заполняется, я новичок, но по другому не знаю как реализовать
0 |