- 01
- 02
- 03
- 04
- 05
- 06
- 07
- 08
- 09
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
table inet filter {
set open_ports {
type inet_proto . inet_service
counter
elements = { tcp . 123 counter packets 0 bytes 0,
udp . 123 counter packets 0 bytes 0,
tcp . 456 counter packets 0 bytes 0,
tcp . 567 counter packets 0 bytes 0 }
}
chain input {
type filter hook input priority filter; policy drop;
iifname "eth*" ct state established,related accept
iifname "eth*" ct state invalid drop
iifname "eth*" ct state new meta l4proto . th dport @open_ports accept
}
}
Follow us!
1. Наконец-то запилили персистентность правил искаропки, а не всякие ублюдочные «iptables-persistent». Ставишь «nftables», сохраняешь правила в /etc/nftables.conf и течёшь: после рестарта ничего не слетает.
2. Убрали миллиард iptables ip6tables arptables govnotables mochatables ipset… Поехавшим линуксоидам, может, такое и нравилось, а нормальные люди от возможности открыть порты одним правилом на обоих версиях ip будут только рады.
3. Сделали изкоробочное атомарное применение правил из файла: если после 99 применённых правил одно сфейлится — фаерволл вернётся в исходное состояние, а не останется висеть в покоцанном виде (как это было со скриптами из кучки вызовов «iptables»).
4. «nft -a list ruleset» выведет список всех правил, который можно без каких-либо изменений отправить в «nft -f» — и получить точную копию правил. Никаких «iptables-restore», никаких «баш-скриптов». Ну, максимум нужно «flush ruleset» добавить в начало, чтобы старые правила удалились.
5. Добавили сериализацию правил в «JSON». Удобно, если нужно просматривать правила скриптом.
6. Добавили новых крутых фич, вроде множеств пар «протокол - порт».
7. Наконец-то сделали программный API, даже два:
«libnftables» — упрощённая обёртка; ей можно скармливать обычные строковые команды (которые принимает «nft», типа «add rule ...»). При этом общение идёт не с утилитой «nft» через создание процесса (как это было во времена «iptables»), а напрямую с ядром при помощи второго API:
«libnftnl» — низкоуровневая обёртка. Предоставляет все методы и примитивы для непосредственного общения с ядерным модулем, без предварительной сборки строк с правилами — что-то в духе виндового «Windows Firewall API».
это как pfctl pf.conf у OpenBSD с 2001-го года?
Очень хорошо
>Убрали миллиард iptables ip6tables arptables govnotables mochatables ipset…
Теперь одна команда с тридцатью девятью параметрами?
>как это было со скриптами из кучки вызовов «iptables»
не знаю как там у вам, но у нам в дебиане там COMMIT в конце
Но я разуметеся согласен, что лечить это шельным скриптом это кал и говно
>Добавили сериализацию правил в «JSON».
фк
>Наконец-то сделали программный API, даже два:
ну тоесть опять таки как псевдоустройство pf в OpenBSD, которому можно было слать икотлы двадцать один год назад
>епосредственного общения с ядерным модулем,
там NETLINK поди под капотом,
-------
В целом я рад, конечно
А представляете, я такой старый, что реально юзал ipchains (ipfwadm только видел )
Нет, теперь одна команда с чёткими и консистентными параметрами для всех видов ***tables.
> но у нам в дебиане там COMMIT в конце
А он старые правила вернёт, если всё наебнётся?
> NETLINK
Не вникал, скорее всего да. Достаточно непосредственно на мой вкус.
хз, думаю да, иначе зачем он нужен?
Он обёртка вокруг iptables-restore.c кмк
Предлагаю ввести мораторий на правку комментариев на «Хузе».
Так вот в блоге при отправке поста, содержащего ссылки, все ссылки превращались в & lt;a href=& quot;pethu.com& quot;& gt; и подобную парашу. Чтобы увидеть их как ссылки, автор должен был нажать кнопку редактирования и сохранить пост ещё раз. Но если он пытался снова редактировать, опять пидорасило. Короче, пост нужно было сохранять чётное количество раз.
Движок был самописным, технологии авторы не раскрывали. Но используя факт отсутствия августа и сентября в датах на сайте (08 и 09 отсутствуют в восьмеричной системе счисления), можно ограничить множество возможных языков программирования.
Но на ПХП можно написать только программу на ПХП
>08
>09
Delphi
Какие ты знаешь ЯП, в которых строка в рантайме может автоматически и неявно преобразоваться в число, причём если число целое и начинается с нуля, то оно будет посчитано в восьмеричной системе?
Ну понятно, что абсолютно любое веб приложение двадцать лет назад в СНГ могло быть написано только на Perl. Без вариантов просто.
Возможно, движок даже переписывали с Перла на ПХП.
Хотя конечно ``guestbook.cgi`` это guestbook.cgi
https://ramiro.org/perl-skripte/cgi/guestbook/
ps: бля обожаю такие комментарии
Чтобы собрать билд нужно поставить сорок четыре несложных пакета в правильные папки, и подождать восемь часов
Если ошибешься (неверная версия перла например) то через шесть часов получишь бессмысленную ошибкк
В джанго например есть класс для форм. Там ты просто описиваешь модель на питоне (с указанием типов) и бесплатно получаешь форму с валидацией, которая в эту модель ложица
Более того -- ее же ты можешь сразу и в базу сохранить.
Разумеется, каждый шаг ты можешь сделать и вручную, но в общем случае мапить поле в число не нужно
DRY!
https://pbs.twimg.com/media/FjnyDHWWQAA2UXU?format=jpg&name=large
https://files.catbox.moe/r3txbw.png
да зачем же такой крокодил нужен?
> Delphi for PHP (RadPhp XE, RadPhp XE2, HTML5 Builder) — интегрированная среда разработки веб-приложений на языке программирования PHP, разработанная компанией CodeGear, до июля 2008 года являвшейся подразделением Borland.
> Основная идея создания этой IDE — визуальное программирование в стиле Delphi, но на PHP и JavaScript.
> Содержит библиотеку VCL for PHP, содержащую более чем 70 визуальных компонентов.
> Среда поддерживает базы данных MySQL, Oracle, Microsoft SQL Server, PostgreSQL, InterBase, DB2, Informix, Sybase ASA, Sybase ASE.
И при чем тут Delphi? Что значит "визуальное программирование в стиле Delphi"? Формошлепство вроде как и до этого было
Слово Delphi здесь — коммерческая уловка.
Вспоминается дримвьюер. Или фронтпейдж.
Или Word с его "сохранить как HTML"
Откуда ему знать? Он что, женщина?
Михаил Боппосов вылепил целый язык программирования, и всю экосистему
А ты типа не знаешь?
Компьютер: Ты типа можешь?
— Нет
— guest, ты знаешь что на самом деле хотят женщины?
— Нет
— Женщина, ты знаешь что на самом деле хотят женщины?
— Нет
— Михаил Боппосов, ты знаешь что на самом деле хотят женщины?
— https://static.mk.ru/upload/entities/2017/12/14/articles/detailPicture/9e/3d/e5/c7/5c6c691b9643141c1d1d383bf6be8e44.jpg
БЛЯДЬИ!!! ТАЙП ЭРЕЙЖУР!!
Скобочки в создании цепочки не очень приятные, конечно, но их и не так чтобы часто приходилось делать.
Но правда он овердохуя вербозный. Создаешь правило, берешь у него адрес-фильтр, там чото пишешь итд
это тебе на жаба!
Это что-то про блокчейн?
> counter packets
Контрэлементы, контрпакеты, дичь какая-то.
> Наконец-то сделали программный API
Прыщепроблемы из 10. Джрайвер/сервис есть, а взаимодействие с ним как-нибудь потом сделаем.
https://www.youtube.com/watch?v=D2p5oHOFYzg
Там yewtu.be сдох и нарекомендовали мне крипоту
https://y.com.sb/watch?v=Ip9VGZeqMfo
Ко то каже, ко то лаже, Србија је мала
https://pbs.twimg.com/media/FkveX01WYAEO2zz?format=jpg&name=large
ок
Пускай или трусы наденут, или крестик снимут.
Из коробки компы получали адрес, состоящий из адреса сети и мака. Если поверх одного кабельного хозяйства не нужно было делать несколько сетей (сегментировать) то можно было вообще ничего не делать. Воткнул, и работает.
Но всякий треш типа хождение из Питера в Питер через Москву я сам видел. Кажется, придумать нормальную маршрутизацию в рамках страны это NP
З.Ы. За каким хуем стримить популярное кинцо из другой страны, если оно уже есть в локалке твоего города или даже дома? За каким хуем гонять разговоры людей из одного города через сервак в ебенях?
* Внутри локалки провайдера всё бесплатно (только абонентку плати)
* По России чуть дороже
* Зарубеж еще дороже
Ну и в итоге люди в домовых грубо говоря чатах пиздели и файлами обменливалиcь
Если надо что-то написать или скачать со следующего уровня иерархии -- платишь чуть больше, что мотивирует поддерживать принцип локальности и экономить общие ресурсы.
Кроме того, современные пользователи не привязаны к физической топологии.
Питух просто шлет курочке дикпик, а курочка может в этот момент быть на Бали, а может в соседней комнате.
Решить проблему можно регистрацией адресов и привязкой их к эндпоинту (как в SIP, да) но кто это будет делать?
Это временно.
Он электричество жрёт.
Будут вылизывать по распечаткам переписанным от руки листингам и мануалам от проищзводителей процессора.
Привязаны. К примеру, те же игровые сообщества после какой-то критической массы распадаются на меньшие по языкам и регионам т.к. людям удобнее общаться на своём языке.
Тут кмк логично мониторить траффик в реалтайме, и создавать какие-то местные узлы автоматически
Как раньше делали провайдеры? 90% траффика идет к соседу? Давай с ним пирица.
90% траффика идет в юзнет? Давай свой сервер подымим.
Заметил, что у тебя все на порнхабе сидят на районе?
Поднял зеркало порнхаба. Тебе же меньше платить аплинкам
В каком-то смысле это сделано в ручном режиме для популярных серверов сейчас. Почти любой провайдер дотянулся до точки обмена трафиком и там пирица с ВК, потому что питухи постоянно сидят в ВК
К сожалению, с повсеместным хттпс это сложнее стало.
в моем детстве у провайдеров стоял сквид, иногда даже прозрачный
Но помогало это скорее провайдеру, чем питуху, потому что узкое место было в районе дайлапа
Браузеры в ту пору не умели ниче кешировать, и я подымал сквид локально)
>линк до соседа
У пинды есть такая тема: BranchCache
Знаеш ли?
Только я собрался его спросить, имеет ли смысл включать гигабайтные странички, а оно съеблось уже
— Что случилось?
— Понимаете, сегодня позвонили и спросили прачечную, а я растерялась... Я этот звонок шесть лет ждала!!!
Я вкатился в IT достаточно поздно. Сейчас мне 32 года, и я недавно устроился тимлидом в австрийскую веб-студию. Это небольшая компания, где все разработчики — джуны
https://razrabs.ru/post/207d415e-53aa-4811-a60d-c2b3271e4af0
в плохом
firewalld должен лежать в мусорном ведре, где уже лежит ufw
Надо переучиваться на nft, займусь скоро. Следующий сервак уже на нем попроьую
чтобы например кроме меня туда никто не ходил
AWS представляет, и я ими пользуюсь, а обычный провайдер дает мне виртуалку, и всё.
Просто это сторонее средство
У меня для AWS как раз был скрипт (вернее, пачка модулей и скрипт) который разворачивал стейджинг по имени воркспейса
То есть ты переключался в воркспейс petuz, говорит apply, и получал
* домен petuz.aws.хуемое
* базу данных в petuz
* MX запись со всей петушней типа SPF и DKIM для mail.petuh.zz
итд
можно было напирдолить по стейджингу под каждый фича бранч
Ну вот у меня есть виртуалка в Европе, из России туда брошен VPN для родственников.
Зачем мне нужно, чтобы в тот VPN тыркались уёбки и пытались подобрать какой-то ключ? Зачем вообще нужно чтобы они про тот VPN знали?
Зачем нужно, что бы по ssh он отвечат кому-то кроме меня?
Если я подымаю там сайт чтобы кому-то что-то показать, то зачем мне нужно, чтобы туда случайно пришел гугл?
Зачем человек под поезд ложится?
Зачем борозда в поле остается?
Зачем боров под трактор бросается?
это в смысле?
Напоминает мне додиезного олуха, который поднял httpd, у него сразу прокси чеки в access.log и он сразу бегом об этом писать в систему макроблогов StackOverflow
Но там я не трогал файр на самой машине конечно, потому что в AWS есть файр на уровне софтварного описания сети (VPC).
На AWS конечно использовал Docker на ECS.
На саму VPSку ты можешь вообще не ходить по ssh никогда.
С докером я пирдолился дома, на слаке. Там надо было поставить Go, собрать им Docker (причем я случайно начал собирать gcc-go, и всё упало), затем настроить ему какой порт слушать и пр
Но на нормальных дистрах обычно apt install docker и всё
Если бы не нравилось, то я бы и не пирдолился