Re: [Sysadmins] рутер на nftables

2016-12-01 Пенетрантность В.А. Илларионов 

02.12.2016 14:16, Alexei Takaseev пишет:



Ну, с ТТЛ, вроде, получилось, а кламп TCPMSS нужен только на
РРР-соединениях. У меня лишь одни подопечные до
сих пор на АДСЛ остались, остальным не актуально.

А вот фейл2бан на нфтаблицах работает отлично - только жаль, что:
а) он у нас старый и акции с нфтаблицами пришлось добавлять руками;
б) прибит зависимостями наглухо к иптаблицам, и снести их можно
только с --nodeps;

Чем это мешает? Учитывая то, что nft и iptables между собой не конфликтуют, и
вполне себе живут и работают на одной системе.


Но при наличии альтернатив зависимость-то ни к чему. Почему б её не отогнуть?


в) нфтаблицы тоже старые и не умеют burst.

В Сизиф и P8 буквально вчера отправил 0.6, там этот функционал есть.


Ну, не успел обновиться - не знал. А фейл2бан когда обновляться будет? Я патчик слепил, с таймаутом в сетах - 
как в ипсете.


--
Мимо крокодил.
WBR, rednex CIO.
Viber = +7(964)103-65-67
JID = 
Skype = $local_part@

Опциии rsync -aHAX --delete мозг автоматом переводит как "удалить к чёртовой 
матери!"

___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] рутер на nftables

2016-12-01 Пенетрантность Alexei Takaseev 


- Исходное сообщение -
> От: "В.А. Илларионов" 
> Кому: "ALT Linux sysadmins' discussion" 
> Отправлено: Пятница, 2 Декабрь 2016 г 13:23:19
> Тема: Re: [Sysadmins] рутер на nftables
> 
> 02.12.2016 12:52, Alexei Takaseev пишет:
> 
> >
> >> Пытаясь перепилить шлюз с иптаблиц на сабж, упёрся в пару
> >> неясностей
> >> в
> >> таблице mangle:
> >>
> >> 1. Цепочка forward
> >> TCPMSS tcp  --  0.0.0.0/00.0.0.0/0tcp
> >> flags:0x06/0x02 TCPMSS clamp to PMTU
> >>
> >> 2. Цепочка postrouting
> >> TTLall  --  0.0.0.0/00.0.0.0/0TTL
> >> match
> >> TTL == 1 TTL set to 64
> >>
> >> Может, кому-то уже удалось перевести это в правила nftables?
> > Целиком и полностью переехать на nft сейчас не реально. Что-то
> > можно вынести в nft,
> > что-то пока оставить на iptables
> 
> Ну, с ТТЛ, вроде, получилось, а кламп TCPMSS нужен только на
> РРР-соединениях. У меня лишь одни подопечные до
> сих пор на АДСЛ остались, остальным не актуально.
> 
> А вот фейл2бан на нфтаблицах работает отлично - только жаль, что:
> а) он у нас старый и акции с нфтаблицами пришлось добавлять руками;
> б) прибит зависимостями наглухо к иптаблицам, и снести их можно
> только с --nodeps;

Чем это мешает? Учитывая то, что nft и iptables между собой не конфликтуют, и
вполне себе живут и работают на одной системе.

> в) нфтаблицы тоже старые и не умеют burst.

В Сизиф и P8 буквально вчера отправил 0.6, там этот функционал есть.
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] рутер на nftables

2016-12-01 Пенетрантность В.А. Илларионов 

02.12.2016 12:52, Alexei Takaseev пишет:




Пытаясь перепилить шлюз с иптаблиц на сабж, упёрся в пару неясностей
в
таблице mangle:

1. Цепочка forward
TCPMSS tcp  --  0.0.0.0/00.0.0.0/0tcp
flags:0x06/0x02 TCPMSS clamp to PMTU

2. Цепочка postrouting
TTLall  --  0.0.0.0/00.0.0.0/0TTL
match
TTL == 1 TTL set to 64

Может, кому-то уже удалось перевести это в правила nftables?

Целиком и полностью переехать на nft сейчас не реально. Что-то можно вынести в 
nft,
что-то пока оставить на iptables


Ну, с ТТЛ, вроде, получилось, а кламп TCPMSS нужен только на РРР-соединениях. У меня лишь одни подопечные до 
сих пор на АДСЛ остались, остальным не актуально.


А вот фейл2бан на нфтаблицах работает отлично - только жаль, что:
а) он у нас старый и акции с нфтаблицами пришлось добавлять руками;
б) прибит зависимостями наглухо к иптаблицам, и снести их можно только с 
--nodeps;
в) нфтаблицы тоже старые и не умеют burst.

--
Мимо крокодил.
WBR, rednex CIO.
Viber = +7(964)103-65-67
JID = 
Skype = $local_part@

Опциии rsync -aHAX --delete мозг автоматом переводит как "удалить к чёртовой 
матери!"

___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] рутер на nftables

2016-12-01 Пенетрантность Alexei Takaseev 


- Исходное сообщение -
> От: "Вадим Илларионов" 
> Кому: sysadmins@lists.altlinux.org
> Отправлено: Среда, 30 Ноябрь 2016 г 23:22:30
> Тема: [Sysadmins]  рутер на nftables
> 
> Пытаясь перепилить шлюз с иптаблиц на сабж, упёрся в пару неясностей
> в
> таблице mangle:
> 
> 1. Цепочка forward
> TCPMSS tcp  --  0.0.0.0/00.0.0.0/0tcp
> flags:0x06/0x02 TCPMSS clamp to PMTU
> 
> 2. Цепочка postrouting
> TTLall  --  0.0.0.0/00.0.0.0/0TTL
> match
> TTL == 1 TTL set to 64
> 
> Может, кому-то уже удалось перевести это в правила nftables?

Целиком и полностью переехать на nft сейчас не реально. Что-то можно вынести в 
nft,
что-то пока оставить на iptables
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] рутер на nftables

2016-12-01 Пенетрантность Alexei Takaseev 


- Исходное сообщение -
> От: "Вадим Илларионов" 
> Кому: "ALT Linux sysadmins' discussion" 
> Отправлено: Четверг, 1 Декабрь 2016 г 21:37:09
> Тема: Re: [Sysadmins] рутер на nftables
> 
> Выяснилась неприятная деталь: при переводе контейнера с etcnet на
> systemd-networkd проксмокс, вместо того, чтобы заменять в сетевых
> конфигах контейнера только секции [Match] и [Network], переписывает
> их
> полностью. Стало быть, привязка к интерфейсам контейнера статических
> маршрутов и ДНС-опций невозможна без огорода из костылей и грабель.
> Открывать багу?

Использование на серверах systemd-networkd это как-то... ну чень 
оригинально.
Учитывая как лихо авторы там размахивают шашками поклав на совместимость. Год 
сидел
на рабочей и домашней машине на этом самом systemd-networkd, вернулся обратно 
взад на
etcnet, ибо засношало, что при любом изменении параметров сети часто надо 
перегружать
систему. Вечные драки с openresolv и отсыхающие на этой почве DNS. Невовремя 
пропадающие
вручную через ip назначенные адреса и маршруты и многое другое.

systemd-networkd серьезно можно рассматривать только когда разработчики 
наиграются с
накручиванием на нем свистоперделок и успокоятся.
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] рутер на nftables

2016-12-01 Пенетрантность Вадим Илларионов 
По всему выходит, я тут сам с собой переписываюсь.
Что ж, хоть пообщаться с умным человеком... :)

-- 
Мимо крокодил.
WBR, rednex CIO.
JID = 
Skype = $local_part@
Viber = +7(964)103-65-67

Опции rsync -aHAX --delete мозг автоматом переводит как "удалить к чёртовой 
матери!"

___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] рутер на nftables

2016-12-01 Пенетрантность Вадим Илларионов 
Выяснилась неприятная деталь: при переводе контейнера с etcnet на
systemd-networkd проксмокс, вместо того, чтобы заменять в сетевых
конфигах контейнера только секции [Match] и [Network], переписывает их
полностью. Стало быть, привязка к интерфейсам контейнера статических
маршрутов и ДНС-опций невозможна без огорода из костылей и грабель.
Открывать багу?

-- 
Мимо крокодил.
WBR, rednex CIO.
JID = 
Skype = $local_part@
Viber = +7(964)103-65-67

Опции rsync -aHAX --delete мозг автоматом переводит как "удалить к чёртовой 
матери!"

___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins