Моля някой да разясни какво е новото в NAT на ROS 7.13

[itnik]

Здравейте,

Ъпгрейднах на ROS 7.13 и в таба на Firewall/NAT видях две нови вериги. Input и Output. Зачетох се да проверя за какво става въпрос в сайта на Микротик, но тяхното обяснение ми е мъгляво. Та реших да питам тук. Ако може да се обясни с по един пример както за Input, така и за Output. Къде намират приложение тези две вериги? Благодаря, и се извинявам ако темата е нищена и преди, но не открих нищо.

[JohnTRIVOLTA]

преди 19 минути, itnik написа:

Здравейте,

Ъпгрейднах на ROS 7.13 и в таба на Firewall/NAT видях две нови вериги. Input и Output. Зачетох се да проверя за какво става въпрос в сайта на Микротик, но тяхното обяснение ми е мъгляво. Та реших да питам тук. Ако може да се обясни с по един пример както за Input, така и за Output. Къде намират приложение тези две вериги? Благодаря, и се извинявам ако темата е нищена и преди, но не открих нищо.

Тези вериги винаги са били налични! Защо сте си помислили, че с тази версия са се появили?

[itnik]

преди 9 минути, JohnTRIVOLTA написа:

Тези вериги винаги са били налични! Защо сте си помислили, че с тази версия са се появили?

Явно не съм обръщал внимание. Без значение дали са били налични преди, какво е тяхното приложение.  Ако може да се обясни с по един пример както за Input, така и за Output. Къде намират приложение тези две вериги. Благодаря.

 

[hgd]

https://itservice-bg.net/summary-mikrotik-firewall/

Например това като начало.

[byte]

И още нещо, понеже все пак си е линукс.

[itnik]

Благодаря на отзовалите се. Ще се запозная с материалите. При въпроси отново ще питам. До нови срещи.

[JohnTRIVOLTA]

Преди 4 часа, itnik написа:

Явно не съм обръщал внимание. Без значение дали са били налични преди, какво е тяхното приложение.  Ако може да се обясни с по един пример както за Input, така и за Output. Къде намират приложение тези две вериги. Благодаря.

 

Да, в 7ма версия се появяват тези две нови вериги, които предполагам ще са в помощ на софтуер, който е запуснат на самия рутер. Може да видиш на диаграмата, къде точно се намират в L3 пакетния поток

[Самуил Арсов]

Преди 4 часа, itnik написа:

Здравейте,

Ъпгрейднах на ROS 7.13 и в таба на Firewall/NAT видях две нови вериги. Input и Output. Зачетох се да проверя за какво става въпрос в сайта на Микротик, но тяхното обяснение ми е мъгляво. Та реших да питам тук. Ако може да се обясни с по един пример както за Input, така и за Output. Къде намират приложение тези две вериги? Благодаря, и се извинявам ако темата е нищена и преди, но не открих нищо.

Така е, има две нови вериги които се появиха в седма версия защото новия кернел има нова маршрутна карта която е описана в официалния help на MikroTik.

Там официалното обяснение е:

Цитат

Since RouterOS v7 the firewall NAT has two new INPUT and OUTPUT chains which are traversed for packets delivered to and sent from applications running on the local machine:

• input - used to process packets entering the router through one of the interfaces with the destination IP address which is one of the router's addresses. Packets passing through the router are not processed against the rules of the input chain.
• output - used to process packets that originated from the router and leave it through one of the interfaces. Packets passing through the router are not processed against the rules of the output chain.

Поне за NAT/input това което разбирам аз е, че пакети идващия от самия рутер към destination адреса не биха важили за NAT правилата ако има такова правило преди основното. Тоест NAT правилата не трябва да важат за трафика между интерфейсите на рутера макар и да не разбирам защо това се прави.

[vv1]

Чудно ми е колко ли години ще им отнеме да минат на nftables ?

[JohnTRIVOLTA]

Преди 3 часа, vv1 написа:

Чудно ми е колко ли години ще им отнеме да минат на nftables ?

Каква е разликата със сега съществуващия поток на пакети?

[vv1]

В случея на nftables може да бъде само имплементацията на производителя.

[JohnTRIVOLTA]

преди 31 минути, vv1 написа:

В случея на nftables може да бъде само имплементацията на производителя.

Така е, но какво остава да се имплементира , което е в повече при NFT , като до преди две години нямаше ROSv7 , а пък ROSv6 бе с ядро 3.3, а не 3.13+?

[vv1]

На 31.12.2023 г. at 15:31, JohnTRIVOLTA написа:

Така е, но какво остава да се имплементира , което е в повече при NFT , като до преди две години нямаше ROSv7 , а пък ROSv6 бе с ядро 3.3, а не 3.13+?

Честита нова година на всички.


Миграцията към nftables е неизбежна. Въпроса е кога ще стане.
iptables е бавен и не работи в user space, синтаксиса е труден за повечето хора.

 

[Самуил Арсов]

1. iptables работи като интерфейс към netfilter който е код в ядрото на Linux. Той се изпълнява в потребителското пространство (user space) като приложение, а самите правила се прилагат в ядрото на операционната система (kernel space), където се намира netfilter, следователно самата защитна стена е част от ядрото. iptables е просто инструмент за управление.

2. nftables не е нито продължение, нито нова версия на iptables. По модерен е със сигурност, обединява ipv4, ipv6, ipset, ebtables и други концепции в един интерфейс, което незнам каква супер-дупер иновация е. Силата му е, че няма вериги и броячи ако не ги създадеш, което го прави много лек, но мигрираш ли конфигурация от iptables със същите вериги и броячи перформънса е същия като iptables.

3. Не ми е много ясно разработчиците от MikroTik какъв интерфейс биха написали за nftables. Ще е нещо от рода BGP версия 7 - кликате на плюса в winbox и трябва да създадете име на верига защото няма такава, няма да виждате никаква стаистика на пакети и т. н. Знам, че някой ще каже - ама OpenWRT ? Готов шаблон с 10-15 правила е лесен за рабиране но малко по на дълбоко да нагазиш например в mangle става тегаво.

[vv1]

1. nftables е по-нова система, която заменя iptables, ip6tables, arptables и ebtables. Тя също използва компоненти както в потребителското пространство, така и в ядрото на системата, но въвежда по-интегриран подход с единна рамка за протоколите IPv4 и IPv6.

Подобно на iptables, инструментът за команден ред nft се използва за комуникация с ядрото, но nftables използва нова подсистема на Netfilter с по-прост и последователен синтаксис. Решенията за филтриране на пакетите все още се вземат в ядрото на системата.

nftables предоставя по-ефективен и гъвкав начин за управление на таблици и вериги и позволява създаването на по-сложни и съкратени набори от правила. Системата е проектирана да бъде по-ефективна както по отношение на обработката на правилата, така и на използването на паметта.

2. nft e заместника който те ще сложат в някакъв момент, както питах по нагоре въпроса е кога ?

3. Нека MikroTik да разработи BGP версия 5, за да допринесе значително към интернет стандартите и създаването на нови RFC (Request for Comments) протоколи.

[Самуил Арсов]

Тези търговски реклами с приповдигнато настроение и нездрав блясък в очите в стил мобилен оператор 5G и IPv6 ги слушам доста години вече. Мисля като по възрастен да си остана закостенял и старомоден, още повече, че ползвам ufw и fail2ban а там nftables не е заместил iptables, предполагам разработчиците са тесногръди като мен