MM
в iptables пакет проходит по всем правилам до первого совпадения.
Правда, established related в начале несколько облегчают историю
Правда, established related в начале несколько облегчают историю
если ты про нагрузку, то пакетов будет мало.
Size: a a a
2020 January 11
p
если ты про нагрузку, то пакетов будет мало.
я и про это, и про то что менеджить такой огромный набор правил очень больно
p
можно посмотреть в сторону ipset
IE
Мне кажется, ты решаешь какую-то довольно частую задачу очень креативным методом
очень и очень
вообще, у меня уже попкорн закончился
вообще, у меня уже попкорн закончился
MM
да вроде сейчас правил не много: сразу сливаем пакет в отдельную цепочку. и там уже всё обрабатываем.
MM
глянул https://linux.die.net/man/8/ipset
он какой-то менее наглядный.
Всё сильно уростилось бы, если я б мог точно знать, с какого локального хоста/порта отправляет свои запросы qemu и насколько он фиксированный. В настройках вроде есть что-то, но пока не уверен, что оно именно то, что нужно. поэтому пока по юзеру выделяю этот трафик.
он какой-то менее наглядный.
Всё сильно уростилось бы, если я б мог точно знать, с какого локального хоста/порта отправляет свои запросы qemu и насколько он фиксированный. В настройках вроде есть что-то, но пока не уверен, что оно именно то, что нужно. поэтому пока по юзеру выделяю этот трафик.
p
да вроде сейчас правил не много: сразу сливаем пакет в отдельную цепочку. и там уже всё обрабатываем.
а почему не network namespace?
MM
а почему не network namespace?
потому что я не знал , что это до сегодняшнего дня. А сейчас не понимаю, зачем оно, там ведь наверняка придётся писать все эти же правила, только другими синтаксисом.
MM
-m owner c pid-ами тоже умеет работать.
AS
потому что я не знал , что это до сегодняшнего дня. А сейчас не понимаю, зачем оно, там ведь наверняка придётся писать все эти же правила, только другими синтаксисом.
Это был вопрос почему не докер только немного завуалированный
MM
и у меня есть pid-ы всех виртуалок даже. только не вижу смысла постоянно писать их в firewall, если можно по юзеру отсекать. и ничего не менять потом.
p
потому что я не знал , что это до сегодняшнего дня. А сейчас не понимаю, зачем оно, там ведь наверняка придётся писать все эти же правила, только другими синтаксисом.
не пришлось бы. и ты же знаешь с какого интерфейса трафик. а интерфейс у тебя ассоциирован с конкретным процессом quemu
MM
не пришлось бы. и ты же знаешь с какого интерфейса трафик. а интерфейс у тебя ассоциирован с конкретным процессом quemu
на каждую виртуалку создаётся отдельный интерфейс?
p
потому что я не знал , что это до сегодняшнего дня. А сейчас не понимаю, зачем оно, там ведь наверняка придётся писать все эти же правила, только другими синтаксисом.
посмотри ещё на skbinfo + fwmark
ND
потому что я не знал , что это до сегодняшнего дня. А сейчас не понимаю, зачем оно, там ведь наверняка придётся писать все эти же правила, только другими синтаксисом.
Не, там придётся просто изобрести маршрутизацию. Ограничивать DST порты 80/443/53 имеет очень ограниченный смысл.
MM
Это был вопрос почему не докер только немного завуалированный
разница между производительностью докера и kvm минимальная. А в плане безопасности разница огромная.
ND
Это для чего делается? Чтобы порты не сканили?
p
на каждую виртуалку создаётся отдельный интерфейс?
да
MM
Это для чего делается? Чтобы порты не сканили?
чтобы не слали пакеты туда, куда не нужно. например на какой-нить дырявый роутер или в irc ботнету команды и т.д. Хочется закрыть этот вопрос по-максимому, чтобы он никогда не всплывал
MM
да
тогда придётся менять правила firewall-а после запуска каждой виртуалки. Это много лишней работы.