iptables 1.4.5

> iptables -A INPUT -p tcp,udp --dport 53 -j ACCEPT

А ты в курсе, что эти "порты" сходны только названием? :-)

>> у него по-крайней мере синтаксис интуитивнее при тех же возможностях.
>Сразу понятно, что слакварщики ничего не понимают в iptables

Скажем так: любой гражданин, орущий, что «линуху нужен (i)pf(w), потому что у iptables сложный синтаксис», есть нуб и ламер по определению.

Ибо уподобляется он «программисту», который жалуется, что ассемблер для него слишком сложен, поэтому ему нужен комп, в котором процессор сразу понимает перл (на уровне машинных инструкций). Разумеется, такой «программист» абсолютно не в курсе существования высокоуровневых языков — ему про них просто не рассказали.

Рекомендую ознакомиться со списком достоинств и недостатков iptables: http://nfws.inl.fr/en/?p=92 . В частности, iptables до сих пор делает полный дамп старых правил и их перезагрузку при добавлении каждого нового правила.

>http://nfws.inl.fr/en/?p=92

Обычная болтовня на тему «почему в ассемблере нет инкапсуляции и наследования».
И пишет это человек, который пытался создать что-то лучше iptables, но не осилил.

>http://nfws.inl.fr/en/?p=92

Мне доставило большое удовольствие перевести этот замечательный список :)

>Full dump during ruleset update. Userspace is very primitive. Extentions build a blob which is passed to the core. There is no optimisation
«Авторы iptables идиоты, убейте себя об стену!!»

>Very little abstraction: UDP and TCP ports for example don’t share port matching code
«Я так и не понял, в чем разница между TCP и UDP. Там же есть порты, значит, это один и тот же протокол!»

>Inconsistencies among matches: negation, range, prefixes support defer.
«Совместная работа нескольких человек над один проектом — грех.
Давайте срочно выкинем все, что написали другие, и оставим только то, что написал я.»

>Iptables parsing code is not in the core and it introduces inconsistencies in command line
«Скажи нет юзерспейсу! Даешь grep, встроенный в ядро!»

>One target per rule: It requires rule duplication and duplicated changes
«Я не осилил создание цепочек :(»

>Static target module parametrization: option of the target expands to constant. You can not use flexible settings of the variable. It leads to build specific modules such as IPMARK, IPCLASSIFY and could lead to a TCPPORTCONNMARK module
«Не реализовано перекрытие методов при наследовании класса. Очень существенная недоработка в ассемблере.»

Пишет человек, являющийся одним из мэйнтенеров Netfilter. А вы идиот.

>Пишет человек, являющийся одним из мэйнтенеров Netfilter.

Что, однако, нимало не умаляет его «заслуг» по части nftables. Фейл у него получился эпик.
Обгадить всех, сказать «смотрите, как надо», с помпой представить альфа-версию... и забить.

>А вы идиот.

Аргументация фанатиков так забавна :)

>Пишет человек, являющийся одним из мэйнтенеров Netfilter.

На самом деле я вовсе не считаю его дурачком.
Но когда ему понадобилось высосать из пальца недостатки айпистолов, девочку-блондиночку он корчил из себя на пять баллов. См. перевод его аргументов выше.

По поводу вклада Patrick McHardy в ядро: http://git.kernel.org/?p=linux%2Fkernel%2Fgit%2Ftorvalds%2Flinux-2.6.git&...

>Very little abstraction: UDP and TCP ports for example don’t share port matching code >> Я так и не понял, в чем разница между TCP и UDP

Написано: матчинг портов в TCP и UDP реализован по-отдельности. При чем тут сами протоколы?

>> One target per rule: It requires rule duplication and duplicated changes > Я не осилил создание цепочек Здесь речь идет о том, что можно сделать лишь один target на правило. Цепочки тут ни при чем.

Остальные комментарии тоже мимо. Да, вы только что расписались в собственном идиотизме.

>По поводу вклада Patrick McHardy в ядро: http://git.kernel.org/?p=linux%2Fkernel%2Fgit%2Ftorvalds%2Flinux-2.6.git&...

Остается лишь надеяться, что там больше не было таких эпик фейлов...

>Написано: матчинг портов в TCP и UDP реализован по-отдельности. При чем тут сами протоколы?

Считать, что между TCP и UDP портами есть что-то общее — значит, не понимать разницы между TCP и UDP.

>Здесь речь идет о том, что можно сделать лишь один target на правило. Цепочки тут ни при чем.

:D
Когда нормальному человеку нужно больше одного таргета на правило, он создает цепочку, перечисляет в ней все нужные действия, а затем добавляет ее в правило в качестве таргета.
Только что вы расписались в своем незнании iptables/netfilter.

>в собственном идиотизме.

Зато сколько НЕНАВИСТИ :D

Ну а я не представляю себе что может быть удобней iptables? и плююсь каждый раз когда правлю файрвол на cisco asa.

Совет 1 всем ниасилившем - читайте маны, они рулез. Совет 2 - спроектируйте для себя логику файрвола м сделайте его на iptables. Если есть логика, то объяснить (к примеру сослуживцам) хватает 5 минут. И (счастье вам женщины) изменения, вносимые ими не будут ломать того совершенства, которое сделаете вы.

Скажи честно - у тебя есть справка из дурки? Если ты не понимаешь разницу между TCP и UDP, то о чем ты тут троллишь?

Вкурсе. И понимаю, что для netfilter'а это побъётся на 2 правила, зато админу, при создании правила, меньше букаф писать нужно. ИМХО удобно.

ждем ебилдов

Это раз

cp /usr/portage/net-firewall/iptables/iptables-1.4.4.ebuild /usr/local/portage/net-firewall/iptables/iptables-1.4.5.ebuild;

ebuild /usr/local/portage/net-firewall/iptables/iptables-1.4.5.ebuild digest;

emerge =iptables-1.4.5;

Это два http://bugs.gentoo.org/show_bug.cgi?id=285519

И проблем нет!

>Ну а я не представляю себе что может быть удобней iptables?

PF

>и плююсь каждый раз когда правлю файрвол на cisco asa.

ССЗБ