36371 2019-03-25 07:59:51 +0300 Обновить iptables до версии > 1.6.0 2019-05-29 17:19:42 +0300 1 1 4 Development Sisyphus iptables unstable all Linux CLOSED FIXED P3 major --- 34231 36718 1 rider placeholder aen asy bircoph glebfm iv ldv placeholder rider sem shaba vseleznv vt qa-sisyphus oldest_to_newest 179842 0 rider 2019-03-25 07:59:51 +0300 нужно обновить iptables до современной версии. при сборке xtables-addons-3.3 вылезло: checking for xtables >= 1.6.0... no configure: error: Package requirements (xtables >= 1.6.0) were not met: Requested 'xtables >= 1.6.0' but version of xtables is 1.4.21 179860 1 ldv 2019-03-25 10:47:26 +0300 Современная версия использует другой механизм в ядре - nft. 179862 2 rider 2019-03-25 10:54:31 +0300 Да, я понимаю. У нас он не собран ? 179865 3 rider 2019-03-25 11:05:54 +0300 сделал тестовое задание #225610 Посмотрим как работает. 179886 4 ldv 2019-03-25 14:09:25 +0300 Там с миграцией на nft не всё просто: https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_iptables_to_nftables 179888 5 rider 2019-03-25 14:16:48 +0300 да, я прочитал этот документ уже. Понятно что это кусок работы, но её надо всё-равно делать, пока не прижало. У нас может поломаться efw в etcnet ещё. 180014 6 asy 2019-03-26 14:57:42 +0300 (In reply to comment #1) > Современная версия использует другой механизм в ядре - nft. Где-то видел обсуждение, что при сборке пока ещё можно выбрать. 180017 7 asy 2019-03-26 15:01:42 +0300 *** Bug 31651 has been marked as a duplicate of this bug. *** 181027 8 rider 2019-04-19 20:48:46 +0300 http://git.altlinux.org/tasks/225610/ Можно попробовать. 181028 9 rider 2019-04-19 20:56:03 +0300 В legacy mode я разницы с текущим не особо заметил. Дима, что скажешь ? 181030 10 ldv 2019-04-19 21:14:58 +0300 (In reply to comment #9) > В legacy mode я разницы с текущим не особо заметил. iptables-legacy, насколько я помню - это практически то же самое, что у нас есть сейчас, и если все его модули на месте, должно работать так же. Я не понял, в какой мере предполагается сосуществование этих двух режимов. Они вроде бы предлагают дистрибутивам устанавливать одновременно и -legacy, и -nft, но как этим пользоваться? 181039 11 rider 2019-04-20 09:27:48 +0300 по умолчанию iptables смотрит на iptables-legacy, но при этом появляется стек iptables-nft. Если у тебя не задействован iptables, то отлично работает iptables-ntf. Если же ты начал использовать iptables-legacy, то iptables-nft начинают выводить warning по этому поводу. Ну и iptables-save не меняется, но появляется iptables-nft-save, выполняющий аналогичную функцию. # rpm -ql iptables |grep nft /sbin/arptables-nft /sbin/arptables-nft-restore /sbin/arptables-nft-save /sbin/ebtables-nft /sbin/ebtables-nft-restore /sbin/ebtables-nft-save /sbin/ip6tables-nft /sbin/ip6tables-nft-restore /sbin/ip6tables-nft-save /sbin/iptables-nft /sbin/iptables-nft-restore /sbin/iptables-nft-save /sbin/xtables-nft-multi /usr/share/man/man8/xtables-nft.8.xz Ничего не ломаем и даём возможность плавно перейти. 181405 12 ldv 2019-04-30 21:44:35 +0300 Мы сегодня обсудили этот вопрос и пришли к выводу, что - поддержка nft по умолчанию не нужна; - поддержку nft можно либо не собирать совсем, либо упаковать в отдельный подпакет. 181406 13 rider 2019-04-30 21:46:12 +0300 Упакуйте её, пожалуйста, в отдельный подпакет. Кому нужна - поставит, а нас это ни к чему не обязывает. 181409 14 aen 2019-05-01 03:31:56 +0300 (В ответ на комментарий №13) > Упакуйте её, пожалуйста, в отдельный подпакет. +1 181571 15 aen 2019-05-10 02:29:27 +0300 (В ответ на комментарий №14) > (В ответ на комментарий №13) > > Упакуйте её, пожалуйста, в отдельный подпакет. > > +1 Судя по relnotes RHEL8, в нем -- The nftables framework replaces iptables in the role of the default network packet filtering facility. Таким образом, поддержка nft, пусть пока опциональная, становится для нас важной, учитывая появление клонов. 181953 16 ldv 2019-05-28 23:21:49 +0300 Можно тестировать: [#229848] [test-only] EPERM (try 3) iptables.git=1.8.3-alt1 181962 17 rider 2019-05-29 14:10:21 +0300 Я посмотрел и регрессий у себя не заметил. Мне кажется, что надо в сизифе обкатать пару недель. 181963 18 rider 2019-05-29 14:14:36 +0300 Т.е. - в сизифе ничего не должно взорваться, можно пропускать в репозиторий и смореть. 181964 19 ldv 2019-05-29 14:19:16 +0300 (In reply to comment #17) > Я посмотрел и регрессий у себя не заметил. Не регрессия, но в теории кого-то может зацепить: $ compare_packages -- \ iptables-1.4.21-alt4.x86_64.rpm -- \ iptables-1.8.3-alt1.x86_64.rpm |grep '^-.*lib64' --rw-r--r-- root root , /lib64/iptables/libipt_MIRROR.so --rw-r--r-- root root , /lib64/iptables/libipt_SAME.so --rw-r--r-- root root , /lib64/iptables/libipt_unclean.so iptables-nft - это, по аналогии с федорой, отдельный подпакет и при обновлении никого зацепить не должен. 181965 20 rider 2019-05-29 14:20:38 +0300 В сизифе такие изменения - нормальная практика, так что пускай цепляет. 181966 21 rider 2019-05-29 14:23:31 +0300 по MIRROR, кстати, я не уверен что в ядре есть такой интерфейс. всегда пользовался для подобных целей -j TEE 181967 22 ldv 2019-05-29 14:24:22 +0300 (In reply to comment #19) > (In reply to comment #17) > > Я посмотрел и регрессий у себя не заметил. > > Не регрессия, но в теории кого-то может зацепить: Видимо, сейчас уже никого не зацепит, потому что из ядер поддержка была удалена гораздо раньше. > $ compare_packages -- \ > iptables-1.4.21-alt4.x86_64.rpm -- \ > iptables-1.8.3-alt1.x86_64.rpm |grep '^-.*lib64' > --rw-r--r-- root root , /lib64/iptables/libipt_MIRROR.so commit 73f453bb816d038792a849743d5055ad31b8ad76 Author: Florian Westphal <fw@strlen.de> Date: Thu Feb 19 01:17:18 2015 +0100 extensions: remove MIRROR removed from the kernel back in 2003. > --rw-r--r-- root root , /lib64/iptables/libipt_SAME.so commit 28972c60d7595e5a4986165ea6ae62a85f20d2e6 Author: Florian Westphal <fw@strlen.de> Date: Thu Feb 19 01:20:15 2015 +0100 extensions: remove SAME target removed from the kernel December 2007. > --rw-r--r-- root root , /lib64/iptables/libipt_unclean.so commit d81dc8e5f7e33646b3e56e274c46c3599275cbc1 Author: Florian Westphal <fw@strlen.de> Date: Thu Feb 19 01:27:36 2015 +0100 extensions: remove 'unclean' match removed from kernel in 2003. 181972 23 ldv 2019-05-29 16:00:24 +0300 [#229848] EPERM (try 4) iptables.git=1.8.3-alt1 ... #240 build 242-alt8 from /gears/s/systemd.git fetched at 2019-May-28 16:26:12 ... #400 build 2.0.15-alt2 from /gears/k/keepalived.git fetched at 2019-May-28 16:12:59 ... girar-check-perms: access to systemd DENIED for ldv: does not belong to approved builders list: shaba systemd: Operation not permitted girar-check-perms: access to keepalived DENIED for ldv: does not belong to approved builders list: rider shaba keepalived: Operation not permitted 181981 24 rider 2019-05-29 16:58:05 +0300 keepalived approved. 181982 25 repository-robot 2019-05-29 17:17:21 +0300 iptables-1.8.3-alt1 -> sisyphus: Mon May 27 2019 Dmitry V. Levin <ldv@altlinux> 1.8.3-alt1 - 1.4.21 -> 1.8.3 (closes: #36371). - Packaged -nft subpackage with nftables compatibility for iptables, arptables and ebtables. 181983 26 aen 2019-05-29 17:19:42 +0300 Спасибо!