forum.opennet.ru - "Выпуск пакетного фильтра nftables 1.1.0" (46)

"Выпуск пакетного фильтра nftables 1.1.0"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск пакетного фильтра nftables 1.1.0"	+/–
Сообщение от opennews (?), 17-Июл-24, 12:34
Опубликован выпуск пакетного фильтра nftables 1.0.8, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Значительное изменение номера версии не связано с какими-то кардинальными изменениями, а лишь является следствием последовательного продолжения нумерации в десятичном исчислении (прошлый выпуск был 1.0.9). Одновременно опубликован выпуск сопутствующей библиотеки libnftnl 1.2.7, предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61564
Ответить \| Правка \| Cообщить модератору

Оглавление

Чем nf_tables лучше netfilter Тем, что дырок больше, это да А ещё , аНОНИМ (?), 12:34 , 17-Июл-24, (1) –7

тем что ipchains после тебя поправить мог почти любой васян хотя квалификация э, нах. (?), 12:47 , 17-Июл-24, (2) +2

Фига вспомнил Да, ipchains был прост для понимания, но stateless, что несколько, Аноним (4), 13:04 , 17-Июл-24, (4) +6

я называю так современный вариант потому что речь по прежнему о chains а не о ч, нах. (?), 13:22 , 17-Июл-24, (5) +2

Уважаемый Нах, когда я изучу nft до такой или примерно такой же степени как ip, Аноним (9), 13:52 , 17-Июл-24, (9)

Глупость он говорит 1 nft не делит ipv4 ipv6 Одна блокировка порта одно пра, Аноним (17), 15:13 , 17-Июл-24, (17) +3

и что в этом - хорошего но доказательство оставим читателю главное верить ну , нах. (?), 15:18 , 17-Июл-24, (19) +2

В два раза меньше правил чтобы заблочить порт Ну да, чего в этом хорошего Ко, Аноним (-), 00:05 , 18-Июл-24, (50)
eBPF, где буква e неиллюзорно намекает выполнение пакета, кстати, с учётом, крокодил мимо.. (-), 12:43 , 18-Июл-24, (54)

Да-да Что уже ipt_netflow есть для nft , _oleg_ (ok), 13:51 , 18-Июл-24, (56)
There is no way to make netflow target as a separate installable module for nft , _oleg_ (ok), 13:52 , 18-Июл-24, (57) +1

Проблема в том что простота иногда - хуже воровства Особенно если хочется файрв, Аноним (-), 14:31 , 17-Июл-24, (13) +1

Вот тут как раз и предлагают более простое решение , на деле являющееся пустым, Аноним (29), 18:44 , 17-Июл-24, (29)

С дуру можно и хрен сломать Не твоё - не лезь, выбирай себе другой инструмент А, Аноним (22), 15:33 , 17-Июл-24, (22) –2
Но в главном-то они правы Ц В смысле для простых кейсов вида закрыть все - о, User (??), 16:25 , 17-Июл-24, (25)

давай предположим что кейс простой, но для него нет никакой ложечки тебе, допус, нах. (?), 17:38 , 17-Июл-24, (27)

Ну, если тебе не жить не быть зачем-то нужно полунеподдерживаемое легаси 2014 ил, User (??), 19:03 , 17-Июл-24, (31)

о, рука мастера , эксперта известногосайта Навтыкать своими корявками прямо в , нах. (?), 20:02 , 17-Июл-24, (37) +1

Ну, какая постановка , такое и решение , да Ты хоть бы уточнил, что интерфейс, User (??), 20:13 , 17-Июл-24, (41) +1

я ведь привел тебе пример правильного но недописанного , предложив подумать - т, нах. (?), 20:35 , 17-Июл-24, (44) –1

Пардону прошу, но но если мы про подумать - то при практически любой постановк, User (??), 20:54 , 17-Июл-24, (46) –1
Чет запутался Так ты за или против firewalld , scriptkiddis (?), 13:42 , 18-Июл-24, (55)

на фоне крючочков и кружочков nft - я целиком и полностью за firewalld - потому , нах. (?), 22:27 , 18-Июл-24, (58)

да х вно эти скобочки, я уже это вижу действительно теперь у нас еще один но, crypt (ok), 19:09 , 17-Июл-24, (32) +1
у оригинального bpf есть pf, а не вот это всё , крокодил мимо.. (-), 12:36 , 18-Июл-24, (53) +1

С этими канпуктерами вечно так 8212 приходится думать, напрягаться И тут уже, Аноним (6), 13:23 , 17-Июл-24, (6) –1
Как жить, как жить Так же твердо веря в счастливое будущее человечества, как т, Аноним (9), 13:43 , 17-Июл-24, (7)

Скрыто модератором, XtkjRfk (?), 12:59 , 17-Июл-24, (3) +6
А как он может быть лучше, если nftables использует netflter и разработчики у ни, myster (ok), 16:03 , 17-Июл-24, (24) +1

Ну я хз кто чего там использует Вон выше пишуть что якобы nf_tables лучше отраж, аНОНИМ (?), 19:43 , 17-Июл-24, (35)

да это тот эксперт из шкафа под лестницей пишет, не парься Откуда у шибкоумных , нах. (?), 20:11 , 17-Июл-24, (40)

Nf_tables - это часть модуля netfilter Ваш вопрос сродни тому, чем плавник лучш, Аноним (62), 16:26 , 22-Июл-24, (62)

Не могли, что ли, сделать не через задницу, например, так, Аноним (10), 13:59 , 17-Июл-24, (10)

В мапах и схожих структурах ключ от значения обычно отделяется двоеточием JavaS, Аноним (11), 14:15 , 17-Июл-24, (11) +1

Зачем РНР то обвинять в чемто , noc101 (ok), 14:20 , 17-Июл-24, (12)

да не, никто никого не обвиняет Похапе это довольно-таки смешной шаблонизатор, , Аноним (11), 14:32 , 17-Июл-24, (14)

Кажется, у вас проблемы с чувством юмора, вызванные чтением документации по PHP, Аноним (36), 19:52 , 17-Июл-24, (36) +1

Нормальный он, человек, с прекрасным чувством юмора Проблема в Вас , Аноним (62), 16:28 , 22-Июл-24, (63)

В большинстве из этих ЯП Форматов используется строгий синтаксис и строковые клю, Аноним (10), 14:45 , 17-Июл-24, (15) –1

нет, надо выбирать наиболее привычные символы За исключением похапе, - и , Аноним (11), 14:51 , 17-Июл-24, (16) +1

В Ruby тоже , например Впрочем, там есть и , но это для ключей-символов , Аноним (51), 11:29 , 18-Июл-24, (51)
Предлагаю выбрать синтаксис паскаля с begin end и , 1 (??), 10:11 , 19-Июл-24, (60)

а там не строковое, там ip6 daddr и парсер знает, что парсить, Аноним (26), 16:37 , 17-Июл-24, (26)

так ты сразу поймешь что написано - без уважения Неет, давай-ка потрахайся, пои, нах. (?), 15:21 , 17-Июл-24, (21)

Раздражает этот маразм В этом случае нумеровать надо было так 1 8 - 1 9 - 1 , Анониссимус (?), 12:20 , 18-Июл-24, (52) +2

Да чо уж там - 110, 111 и т д Инвесторы любят большие числа Зачем эти точки Х, нах. (?), 22:32 , 18-Июл-24, (59) +1

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от аНОНИМ (?), 17-Июл-24, 12:34 –7 +/–

Чем nf_tables лучше netfilter? Тем, что дырок больше, это да. А ещё?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3, #24, #62

2. Сообщение от нах. (?), 17-Июл-24, 12:47 +2 +/–

тем что ipchains после тебя поправить мог почти любой васян (хотя квалификация этих васянов упала до такого плинтуса что теперь и это для них проблема, но для того и работают) а в качественной nft-вермишели разобраться не сможет никто. Да и вряд ли кто захочет.
вжёпп секьюрити или как там енто называется.
Ну и у разработчиков тоже не лаптем щи хлебают - вон сколько в новости "возобновлено сломанное неделю назад" и "добавлено то что и так было но не работало"
А Russel давно уже небось пиццей торгует, потому что даже если бы собрался доделать разом все то что пообещал в 2000м году - ну на месяц пиццы пожрать бы ему зарплаты хватило, а дальше как жыть?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4, #6, #7

3. Сообщение от XtkjRfk (?), 17-Июл-24, 12:59 Скрыто ботом-модератором +6 +/–

Когда уже до людей дойдёт что у GNU/Linux есть только ОДИН межсетевой экран и это netfiltr а всё остальное это системы управления им
Школьникам пора в школу ...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

4. Сообщение от Аноним (4), 17-Июл-24, 13:04 +6 +/–

Фига вспомнил. Да, ipchains был прост для понимания, но stateless, что несколько ограничивает применимость. Хотя для огромного числа юзкейсов было более чем достаточно.
А вот iptables вообще нифига не проще. Васяны всегда гуглили и копипастили, не особо понимая смысл, со stackoverflow (сейчас в этой роли все чаще chatgpt, что ещё веселее). Nftables, как по мне, легче понимать. Настолько же легче, насколько структурированный код понятнее дедовского кода на Фортране-77 в виде портянки с goto.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #5

5. Сообщение от нах. (?), 17-Июл-24, 13:22 +2 +/–

я называю так современный вариант (потому что речь по прежнему о chains а не о чем-то еще, нет никаких там "таблиц")
нет,те, оригинальные, ipchains умели в state, правда не очень красиво.
> А вот iptables вообще нифига не проще.
проще. Их самое грандиозное усовершенствование - которое ентер-прайсы сумели скопировать, между нами, на пятнадцать лет позже и то криво - полностью раздельные in/out/forward и еще более отдельные nat и raw.
Представь что тебе для каждого пакета надо отдельно разрешать его прием на интерфейсе вообще, отдельно форвард, отдельно описывать правила для nat, и отдельно out - не забыв что оно после nat имеет другие адреса. А теперь еще раз то же самое в обратную сторону и смотри опять адреса не перепутай.
Так себе было, прямо скажем, потом такое обслуживать. Все были в общем рады когда появился новый вариант.
А вот закорючки и скобочки nft вместо чейнов - абсолютно невменозны. Поскольку теперь это по сути корявый ассемблер для bpf машины - пусть его firewalld читает и генерит.
Его изобретатели именно так и делают, они сами никогда и не собирались вручную писать эти закорючки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #9, #13, #22, #25, #32, #53

6. Сообщение от Аноним (6), 17-Июл-24, 13:23 –1 +/–

С этими канпуктерами вечно так — приходится думать, напрягаться. И тут уже не важно, ipchains это или nftables, сишка или java, один фиг без мозга с этим работать тяжело.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

7. Сообщение от Аноним (9), 17-Июл-24, 13:43 +/–

Как жить, как жить...
Так же твердо веря в счастливое будущее человечества, как тверда Ваша буква ы в слове жить! ;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

9. Сообщение от Аноним (9), 17-Июл-24, 13:52 +/–

Уважаемый Нах, когда я изучу nft до такой (или примерно такой) же степени как iptables, то смогу соглвсится с Вами в большей чем сейчас степени. Хотя я уже начинаю подозревать, что Вы абсолютно правы (может и не во всем, но во многом).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #17

10. Сообщение от Аноним (10), 17-Июл-24, 13:59 +/–

>  define dst_map = { ::1234 : 5678 }
Не могли, что ли, сделать не через задницу, например, так
>  define dst_map = { ::1234 -> 5678 }

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #21

11. Сообщение от Аноним (11), 17-Июл-24, 14:15 +1 +/–

В мапах и схожих структурах ключ от значения обычно отделяется двоеточием. JavaScript, JSON, Python, Rust, и так далее. Добро пожаловать в айти. Это тебе не похапе с его array("foo" => "bar").

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #12, #15

12. Сообщение от noc101 (ok), 17-Июл-24, 14:20 +/–

Зачем РНР то обвинять в чемто?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #14

13. Сообщение от Аноним (-), 17-Июл-24, 14:31 +1 +/–

> проще. Их самое грандиозное усовершенствование - которое ентер-прайсы
> сумели скопировать, между нами, на пятнадцать лет позже и то криво - полностью
> раздельные in/out/forward и еще более отдельные nat и raw.
Проблема в том что простота иногда - хуже воровства. Особенно если хочется файрволить ломовой поток, да еще с 100500 айпишников в фильтре - вон та сладкая парочка почему-то сливалась с треском.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #29

14. Сообщение от Аноним (11), 17-Июл-24, 14:32 +/–

да не, никто никого не обвиняет. Похапе это довольно-таки смешной шаблонизатор, читаю их доки как сайт с приколами.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #36

15. Сообщение от Аноним (10), 17-Июл-24, 14:45 –1 +/–

В большинстве из этих ЯП/Форматов используется строгий синтаксис и строковые ключи со значениями идут как строки, т.е. было бы как
>  define dst_map = { '::1234' : 5678 }
И с таким представлением всё ок. Хотя в питоне есть ещё вариант с '='. А когда нет строгого универсального формата и вместо него контекстный DSL, то нужно выбирать разметку наименее пересекающуются служебными символами/кейвордами с inline данными.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #16, #26

16. Сообщение от Аноним (11), 17-Июл-24, 14:51 +1 +/–

нет, надо выбирать наиболее привычные символы. За исключением похапе, "->" и "=>" обычно обозначают инлайновую функцию. nftables -- для людей технических, обычно имеющих опыт в программировании. Незачем их вводить в заблуждение.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #51, #60

17. Сообщение от Аноним (17), 17-Июл-24, 15:13 +3 +/–

Глупость он говорит.
1. nft не делит ipv4/ipv6. Одна блокировка порта = одно правило. Также в едином синтаксисе там голые ethernet пакеты, что гораздо удобнее и безопаснее.
2. Именованные правила.
3. Chains там ровно те же самые, только пишутся с маленькой буквы. Что и позволяет реализовать заглушку iptables-nft.
Количество метаданных, доступных правилам, гораздо больше из коробки, без васянских модулей, как у iptables. Но писать васянские модули тоже никто не запрещает.
Скобки гораздо лучше структурируются, чем from/to.
Синтаксис и правда чуть менее читабелен, чем iptables, но это важно только "васяну порт для торрентов открыть", а тот, кто пишет сложные правила, всё равно будет по уши в доках. А для васянов есть firewalld.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #19, #56, #57

19. Сообщение от нах. (?), 17-Июл-24, 15:18 +2 +/–

> Глупость он говорит.
> 1. nft не делит ipv4/ipv6. Одна блокировка порта = одно правило. Также
и что в этом - хорошего?
> в едином синтаксисе там голые ethernet пакеты, что гораздо удобнее и
> безопаснее.
но доказательство оставим читателю (главное верить)
> 2. Именованные правила.
ну... э.. ок. Правда обычно достаточно именованных чейнов.
> Количество метаданных, доступных правилам, гораздо больше из коробки, без васянских модулей,
невасянский модуль называется bpf и представляет собой чудовищного монстра (возможно способного выполнить пакет вместо его фильтрации, кстати)
> как у iptables. Но писать васянские модули тоже никто не запрещает.
но написан ровно ноль (в отличие от iptables для которых модуль мог написать любой васян и у этого есть пруфы)
> Синтаксис и правда чуть менее читабелен, чем iptables, но это важно только
> "васяну порт для торрентов открыть", а тот, кто пишет сложные правила,
синтаксис читать придется не тому кто пишет, а тому кто после него попытается разобраться, что ж он тут такое написал.
И будет он по уши в навозе.
P.S. это ж опять продавец умных ворот? Которого никогда не возьмут туда где на самом деле придется разбираться в сложном фильтре написанном не тобой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #50, #54

21. Сообщение от нах. (?), 17-Июл-24, 15:21 +/–

>>  define dst_map = { ::1234 : 5678 }
> Не могли, что ли, сделать не через задницу, например, так
>>  define dst_map = { ::1234 -> 5678 }
так ты сразу поймешь что написано - без уважения. Неет, давай-ка потрахайся, поищи в доке что эти двоеточия значат и почему их тут столько

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

22. Сообщение от Аноним (22), 17-Июл-24, 15:33 –2 +/–

С дуру можно и хрен сломать.
Не твоё - не лезь, выбирай себе другой инструмент. А вот навязывать убогий firewalld всем - не стоит. Тем более, что в официальной документации к firewalld разрабы указали - нафиг он сдался, не более.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

24. Сообщение от myster (ok), 17-Июл-24, 16:03 +1 +/–

> Чем nf_tables лучше netfilter?
А как он может быть лучше, если nftables использует netflter и разработчики у них одни?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #35

25. Сообщение от User (??), 17-Июл-24, 16:25 +/–

"Но в главном-то они правы!"(Ц)
В смысле для простых кейсов вида "закрыть все - открыть SSH и 80/443 вот оттудой" что iptables, что nftables - дофига избыточны\переусложнены, там какой ipfw или вот ufw надь, даже firewalld уже эребор.
А сколько-нибудь сложные действительно автогенеряться с какого уеб-интерфейса\фиреволлды а то и вовсе вот докером\кубиковой CNI и руками туда без большой-большой-пребольшой нужды никто и не полезет, а на страдания этих понужденцев да в общем-то пофиг.

А чтоб осмысленно руками и головой написанный сложный рулсет для generic linux - я уже лет 10 встречал разве что в виде "чужое legacy".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #27

26. Сообщение от Аноним (26), 17-Июл-24, 16:37 +/–

> строковые ключи со значениями идут как строки
а там не строковое, там 'ip6 daddr' и парсер знает, что парсить

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

27. Сообщение от нах. (?), 17-Июл-24, 17:38 +/–

> В смысле для простых кейсов вида "закрыть все - открыть SSH и 80/443 вот оттудой" что iptables,
> что nftables - дофига избыточны\переусложнены
давай предположим что кейс простой, но для него нет никакой ложечки (тебе, допустим, нужен не ssh а... чего у нас там нету... пять сек, я не мальчик с феноменальной памятью... а, во - pptp внезапно нету, видимо немодно-немолодежно. вайргада тоже нету но это скучно - один udp порт. Пока давай не заморачиваться зачем он нам, а просто его приземлим, для начала)
iptables: -I INPUT -p gre -j ACCEPT -i ens\* / -I INPUT -p tcp --dport pptp -j ACCEPT (в редхате не прокатит но ладно уж) и предположим что  OUTPUT у нас с ALLOW по умолчанию  - мы вероятно сделали все крайне неэффективно (тот ACCEPT как минимум должен быть до а не после conntrack) но оно вот почти работает, в две строчки.
firewalld:
--new-service ...
--add-service ...
--add-port
--add-protocol
--reload... ой чорт мы там permanent забыли, начинай сначала.
Ты еще не затрахался? А ведь я тут скромно обошел вниманием conntrack. Его по каким-то мистическим причинам нельзя засунуть в сервис, он есть только в policy. Т.е. тебе светит разбираться с тем как полиси связаны с зонами и какие зоны тут вообще есть.
Для ufw уж сам придумай, но вряд ли это будет легко.
А для простого кейса с готовым сервисом который до тебя кто-то написал и который принимает единственный well known tcp порт - ну я не вижу особо разницы между одной строчкой c -I, и одной строчкой add-service во втором случае.
Только второе будет работать везде где есть firewalld, а вот с первым можно обломаться, сломав какие-то проверки, сделаные кем-то до тебя.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #31

29. Сообщение от Аноним (29), 17-Июл-24, 18:44 +/–

> простота иногда - хуже воровства
Вот тут как раз и предлагают "более простое решение", на деле являющееся "пустым мудрствованием".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

31. Сообщение от User (??), 17-Июл-24, 19:03 +/–

Ну, если тебе не жить не быть зачем-то нужно полунеподдерживаемое легаси 2014 или когда он там помер, года что-то вроде:
firewall-cmd --permanent --add-port=1723/tcp
firewall-cmd --permanent --add-rich-rule rule protocol value="gre" accept
Ну или через --direct можно на втыкать - не сильно сложнее для "плохого" кейса, да?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #37

32. Сообщение от crypt (ok), 17-Июл-24, 19:09 +1 +/–

> А вот закорючки и скобочки nft вместо чейнов - абсолютно невменозны. Поскольку теперь это по сути корявый ассемблер для bpf машины
да х*вно эти скобочки, я уже это вижу:((( действительно теперь у нас еще один новый язык программирования, чтобы что-то отконфигурять. ну приплыли.
еще и дыры в bpf постоянные(

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

35. Сообщение от аНОНИМ (?), 17-Июл-24, 19:43 +/–

Ну я хз кто чего там использует. Вон выше пишуть что якобы nf_tables лучше отражает потоки *овна мультигигабитного, врут получается?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #40

36. Сообщение от Аноним (36), 17-Июл-24, 19:52 +1 +/–

Кажется, у вас проблемы с чувством юмора, вызванные чтением документации по PHP

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #63

37. Сообщение от нах. (?), 17-Июл-24, 20:02 +1 +/–

> firewall-cmd --permanent --add-port=1723/tcp
о, рука "мастера", эксперта (известногосайта)
Навтыкать своими корявками прямо в default zone, не создав отдельный сервис - запросто!
Проверять что нужный интерфейс именно в default zone - а зачем?
И еще давай rich rule (для банального протокола), так ему попроще. Да давай уже не парься, просто в обход firewalld запихни правило, ты ж всегда так делал.
И после еще десятка вот таких рукастых и умненьких - попробуй потом разобраться, что они наконфигурили и почему опять не все работает как надо.
Хотя firewalld для того и придумали чтоб ТАК не работать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #41

40. Сообщение от нах. (?), 17-Июл-24, 20:11 +/–

> Ну я хз кто чего там использует. Вон выше пишуть что якобы
> nf_tables лучше отражает потоки *овна мультигигабитного, врут получается?
да это тот эксперт из шкафа под лестницей пишет, не парься. Откуда у шибкоумных ворот на 3g модемке какие-то "потоки"?
впрочем, там ни разу не "система управления", как выразился другой эксперт, конечно. (ну то есть не более чем "линукс - система управления компьютером" - что-то где-то есть но мягко говоря не совсем так примитивно)
Иначе бы не было этим ребяткам так мучительно больно писать конвертер правил - за десять лет ведь  не дописали до полностью работающего. Да и тот в одну сторону. Хотя казалось бы "один норот....простите, экран", что могло бы помешать одновременно пользоваться двумя интерфейсами? Ан, нихрена. Общего у них только интерфейс непосредственно к перехвату пакетов. Что логично, сетевой стек один.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

41. Сообщение от User (??), 17-Июл-24, 20:13 +1 +/–

Ну, какая "постановка", такое и "решение", да? Ты хоть бы уточнил, что интерфейсов у тебя более одного, что ли...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #44

44. Сообщение от нах. (?), 17-Июл-24, 20:35 –1 +/–

> Ну, какая "постановка", такое и "решение", да?
я ведь привел тебе пример правильного (но недописанного), предложив подумать - точно ли это хороший способ - почему ты, вместо обсуждения примера - решил что тут нужно сходу тяпляпать - потому что ты всегда именно тяпляпаешь не подумав?
> Ты хоть бы уточнил, что интерфейсов у тебя более одного, что ли...
да, думать не твое... вот к примеру - после приземления этого протокола - у тебя ТОЧНО их станет больше одного.
А ведь обычно его не для красоты приземляют, а чтоб отправить пакетики куда-то еще.
То есть весь смысл более замороченного и менее надежного решения на базе firewalld - чтоб было сложнее что-то испортить и чтобы оно работало без необходимости детально лезть в потроха уже существующих на этой системе решений - одним шаловливым движением хвоста снесен к х-ям.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #46, #55

46. Сообщение от User (??), 17-Июл-24, 20:54 –1 +/–

Пардону прошу, но но если мы про "подумать" - то при практически любой постановке задачи я "подумаю" и НЕ БУДУ использовать pptp ни для чего и низачем, более того - скорее всего - не буду поднимать VPN на generic linux'е _в принципе_ - так что весь пример для меня что-то умозрительное из разряда "померяемся строчками" - надо тебе "в две строки" - ну вот, получи "в две строки", практического смысла в том примерно нуль.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

50. Сообщение от Аноним (-), 18-Июл-24, 00:05 +/–

>> 1. nft не делит ipv4/ipv6. Одна блокировка порта = одно правило. Также
> и что в этом - хорошего?
В два раза меньше правил чтобы заблочить порт. Ну да, чего в этом хорошего? :)
> но доказательство оставим читателю (главное верить)
Который посмотрит на вон то лоскутное одеяло костылей, с коронным достонством вида "ископаемые пускающие пузыри, из которых сыпется песок, так привыкли" - и пойдет изучать таки вон то.
> но написан ровно ноль (в отличие от iptables для которых модуль мог написать
> любой васян и у этого есть пруфы)
Давно каждому васяну дали в кернел комитить? ИМХО пусть васяны лучше в BPF гадятся чем сразу в кернель модули.
> P.S. это ж опять продавец умных ворот? Которого никогда не возьмут туда где
> на самом деле придется разбираться в сложном фильтре написанном не тобой.
Не, тебя какой-то другой анон развел на демо что ты таки унылый необучаемый типаж на данный момент, так что в приоритете "затомытакпривыклиещев1929" без иных аргументов и достоинств. Зато я могу с чистой совестью тут посмеяться над твоей овощнутой аргументацией.
Да, тебе не говорили? "Use it - or loose it". Это кстати не только мозга касается. Но и его тоже.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

51. Сообщение от Аноним (51), 18-Июл-24, 11:29 +/–

В Ruby тоже =>, например. Впрочем, там есть и :, но это для ключей-символов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

52. Сообщение от Анониссимус (?), 18-Июл-24, 12:20 +2 +/–

> Значительное изменение номера версии не связано с какими-то кардинальными изменениями, а лишь является следствием последовательного продолжения нумерации в десятичном исчислении
Раздражает этот маразм. В этом случае нумеровать надо было так: 1.8 -> 1.9 -> 1.10 -> 1.11 и т. д.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #59

53. Сообщение от крокодил мимо.. (-), 18-Июл-24, 12:36 +1 +/–

> Поскольку теперь это по сути корявый ассемблер для bpf машины - пусть
у "оригинального" bpf есть pf, а не вот это всё :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

54. Сообщение от крокодил мимо.. (-), 18-Июл-24, 12:43 +/–

> невасянский модуль называется bpf и представляет собой чудовищного монстра (возможно способного
> выполнить пакет вместо его фильтрации, кстати)
eBPF, где буква "e" неиллюзорно намекает :)
"выполнение" пакета, кстати, с учётом того, что уже планировщики можно через вот это запихивать, уже скорее "фича" а не "бага"..

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

55. Сообщение от scriptkiddis (?), 18-Июл-24, 13:42 +/–

Чет запутался. Так ты за или против firewalld?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #58

56. Сообщение от _oleg_ (ok), 18-Июл-24, 13:51 +/–

> Количество метаданных, доступных правилам, гораздо больше из коробки, без васянских модулей, как у iptables. Но писать васянские модули тоже никто не запрещает.
Да-да. Что уже ipt_netflow есть для nft?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

57. Сообщение от _oleg_ (ok), 18-Июл-24, 13:52 +1 +/–

There is no way to make netflow target as a separate installable module for nft. nftables source code patching is needed. But they will (probably) not integrate it into nftables because it is not in the kernel upstream. So, nftables is less flexible in the sense of extensibility than iptables.
https://github.com/aabc/ipt-netflow/issues/45

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

58. Сообщение от нах. (?), 18-Июл-24, 22:27 +/–

на фоне крючочков и кружочков nft - я целиком и полностью за firewalld - потому что потом гораздо легче разобраться, что тут до тебя накуролесили. Да и "руку мастера" отличить (rich rules без необходимости, add'ы в default zone и т д) с первого взгляда, а не гадать - это он д-л или ты чего-то недопонял в тактик furher.
Впрочем "пойми, вопрос даже ж так и не стоит, отдавать или не отдавать сыр!"
rhbm за нас уже все решила.
https://github.com/containers/podman/issues/5352 и рядом.
Единственный работающий бэкэнд - firewalld. Ну или добро пожаловать в мир чудесных патчей неведомых васянов, которые никогда не попадут в апстрим.
locked, and limited conversation for collaborators by stupid robot

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

59. Сообщение от нах. (?), 18-Июл-24, 22:32 +1 +/–

Да чо уж там - 110, 111 и т д. Инвесторы любят большие числа! Зачем эти точки. Хвостом их нажимать неудобно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

60. Сообщение от 1 (??), 19-Июл-24, 10:11 +/–

Предлагаю выбрать синтаксис паскаля с begin end и :=

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

62. Сообщение от Аноним (62), 22-Июл-24, 16:26 +/–

Nf_tables - это часть модуля netfilter. Ваш вопрос сродни тому, чем плавник лучше рыбы?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

63. Сообщение от Аноним (62), 22-Июл-24, 16:28 +/–

Нормальный он, человек, с прекрасным чувством юмора. Проблема в Вас.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от аНОНИМ (?), 17-Июл-24, 12:34	–7 +/–
Чем nf_tables лучше netfilter? Тем, что дырок больше, это да. А ещё?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2, #3, #24, #62

2. Сообщение от нах. (?), 17-Июл-24, 12:47	+2 +/–
тем что ipchains после тебя поправить мог почти любой васян (хотя квалификация этих васянов упала до такого плинтуса что теперь и это для них проблема, но для того и работают) а в качественной nft-вермишели разобраться не сможет никто. Да и вряд ли кто захочет. вжёпп секьюрити или как там енто называется. Ну и у разработчиков тоже не лаптем щи хлебают - вон сколько в новости "возобновлено сломанное неделю назад" и "добавлено то что и так было но не работало" А Russel давно уже небось пиццей торгует, потому что даже если бы собрался доделать разом все то что пообещал в 2000м году - ну на месяц пиццы пожрать бы ему зарплаты хватило, а дальше как жыть?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #4, #6, #7

3. Сообщение от XtkjRfk (?), 17-Июл-24, 12:59 Скрыто ботом-модератором	+6 +/–
Когда уже до людей дойдёт что у GNU/Linux есть только ОДИН межсетевой экран и это netfiltr а всё остальное это системы управления им Школьникам пора в школу ...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

4. Сообщение от Аноним (4), 17-Июл-24, 13:04	+6 +/–
Фига вспомнил. Да, ipchains был прост для понимания, но stateless, что несколько ограничивает применимость. Хотя для огромного числа юзкейсов было более чем достаточно. А вот iptables вообще нифига не проще. Васяны всегда гуглили и копипастили, не особо понимая смысл, со stackoverflow (сейчас в этой роли все чаще chatgpt, что ещё веселее). Nftables, как по мне, легче понимать. Настолько же легче, насколько структурированный код понятнее дедовского кода на Фортране-77 в виде портянки с goto.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #5

5. Сообщение от нах. (?), 17-Июл-24, 13:22	+2 +/–
я называю так современный вариант (потому что речь по прежнему о chains а не о чем-то еще, нет никаких там "таблиц") нет,те, оригинальные, ipchains умели в state, правда не очень красиво. > А вот iptables вообще нифига не проще. проще. Их самое грандиозное усовершенствование - которое ентер-прайсы сумели скопировать, между нами, на пятнадцать лет позже и то криво - полностью раздельные in/out/forward и еще более отдельные nat и raw. Представь что тебе для каждого пакета надо отдельно разрешать его прием на интерфейсе вообще, отдельно форвард, отдельно описывать правила для nat, и отдельно out - не забыв что оно после nat имеет другие адреса. А теперь еще раз то же самое в обратную сторону и смотри опять адреса не перепутай. Так себе было, прямо скажем, потом такое обслуживать. Все были в общем рады когда появился новый вариант. А вот закорючки и скобочки nft вместо чейнов - абсолютно невменозны. Поскольку теперь это по сути корявый ассемблер для bpf машины - пусть его firewalld читает и генерит. Его изобретатели именно так и делают, они сами никогда и не собирались вручную писать эти закорючки.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #9, #13, #22, #25, #32, #53

6. Сообщение от Аноним (6), 17-Июл-24, 13:23	–1 +/–
С этими канпуктерами вечно так — приходится думать, напрягаться. И тут уже не важно, ipchains это или nftables, сишка или java, один фиг без мозга с этим работать тяжело.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

7. Сообщение от Аноним (9), 17-Июл-24, 13:43	+/–
Как жить, как жить... Так же твердо веря в счастливое будущее человечества, как тверда Ваша буква ы в слове жить! ;)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

9. Сообщение от Аноним (9), 17-Июл-24, 13:52	+/–
Уважаемый Нах, когда я изучу nft до такой (или примерно такой) же степени как iptables, то смогу соглвсится с Вами в большей чем сейчас степени. Хотя я уже начинаю подозревать, что Вы абсолютно правы (может и не во всем, но во многом).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #17

10. Сообщение от Аноним (10), 17-Июл-24, 13:59	+/–
> define dst_map = { ::1234 : 5678 } Не могли, что ли, сделать не через задницу, например, так > define dst_map = { ::1234 -> 5678 }
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #11, #21

11. Сообщение от Аноним (11), 17-Июл-24, 14:15	+1 +/–
В мапах и схожих структурах ключ от значения обычно отделяется двоеточием. JavaScript, JSON, Python, Rust, и так далее. Добро пожаловать в айти. Это тебе не похапе с его array("foo" => "bar").
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #12, #15

12. Сообщение от noc101 (ok), 17-Июл-24, 14:20	+/–
Зачем РНР то обвинять в чемто?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #14

13. Сообщение от Аноним (-), 17-Июл-24, 14:31	+1 +/–
> проще. Их самое грандиозное усовершенствование - которое ентер-прайсы > сумели скопировать, между нами, на пятнадцать лет позже и то криво - полностью > раздельные in/out/forward и еще более отдельные nat и raw. Проблема в том что простота иногда - хуже воровства. Особенно если хочется файрволить ломовой поток, да еще с 100500 айпишников в фильтре - вон та сладкая парочка почему-то сливалась с треском.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #29

14. Сообщение от Аноним (11), 17-Июл-24, 14:32	+/–
да не, никто никого не обвиняет. Похапе это довольно-таки смешной шаблонизатор, читаю их доки как сайт с приколами.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #36

15. Сообщение от Аноним (10), 17-Июл-24, 14:45	–1 +/–
В большинстве из этих ЯП/Форматов используется строгий синтаксис и строковые ключи со значениями идут как строки, т.е. было бы как > define dst_map = { '::1234' : 5678 } И с таким представлением всё ок. Хотя в питоне есть ещё вариант с '='. А когда нет строгого универсального формата и вместо него контекстный DSL, то нужно выбирать разметку наименее пересекающуются служебными символами/кейвордами с inline данными.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #16, #26

16. Сообщение от Аноним (11), 17-Июл-24, 14:51	+1 +/–
нет, надо выбирать наиболее привычные символы. За исключением похапе, "->" и "=>" обычно обозначают инлайновую функцию. nftables -- для людей технических, обычно имеющих опыт в программировании. Незачем их вводить в заблуждение.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #51, #60

17. Сообщение от Аноним (17), 17-Июл-24, 15:13	+3 +/–
Глупость он говорит. 1. nft не делит ipv4/ipv6. Одна блокировка порта = одно правило. Также в едином синтаксисе там голые ethernet пакеты, что гораздо удобнее и безопаснее. 2. Именованные правила. 3. Chains там ровно те же самые, только пишутся с маленькой буквы. Что и позволяет реализовать заглушку iptables-nft. Количество метаданных, доступных правилам, гораздо больше из коробки, без васянских модулей, как у iptables. Но писать васянские модули тоже никто не запрещает. Скобки гораздо лучше структурируются, чем from/to. Синтаксис и правда чуть менее читабелен, чем iptables, но это важно только "васяну порт для торрентов открыть", а тот, кто пишет сложные правила, всё равно будет по уши в доках. А для васянов есть firewalld.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #19, #56, #57

19. Сообщение от нах. (?), 17-Июл-24, 15:18	+2 +/–
> Глупость он говорит. > 1. nft не делит ipv4/ipv6. Одна блокировка порта = одно правило. Также и что в этом - хорошего? > в едином синтаксисе там голые ethernet пакеты, что гораздо удобнее и > безопаснее. но доказательство оставим читателю (главное верить) > 2. Именованные правила. ну... э.. ок. Правда обычно достаточно именованных чейнов. > Количество метаданных, доступных правилам, гораздо больше из коробки, без васянских модулей, невасянский модуль называется bpf и представляет собой чудовищного монстра (возможно способного выполнить пакет вместо его фильтрации, кстати) > как у iptables. Но писать васянские модули тоже никто не запрещает. но написан ровно ноль (в отличие от iptables для которых модуль мог написать любой васян и у этого есть пруфы) > Синтаксис и правда чуть менее читабелен, чем iptables, но это важно только > "васяну порт для торрентов открыть", а тот, кто пишет сложные правила, синтаксис читать придется не тому кто пишет, а тому кто после него попытается разобраться, что ж он тут такое написал. И будет он по уши в навозе. P.S. это ж опять продавец умных ворот? Которого никогда не возьмут туда где на самом деле придется разбираться в сложном фильтре написанном не тобой.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17 Ответы: #50, #54

21. Сообщение от нах. (?), 17-Июл-24, 15:21	+/–
>> define dst_map = { ::1234 : 5678 } > Не могли, что ли, сделать не через задницу, например, так >> define dst_map = { ::1234 -> 5678 } так ты сразу поймешь что написано - без уважения. Неет, давай-ка потрахайся, поищи в доке что эти двоеточия значат и почему их тут столько
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

22. Сообщение от Аноним (22), 17-Июл-24, 15:33	–2 +/–
С дуру можно и хрен сломать. Не твоё - не лезь, выбирай себе другой инструмент. А вот навязывать убогий firewalld всем - не стоит. Тем более, что в официальной документации к firewalld разрабы указали - нафиг он сдался, не более.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

24. Сообщение от myster (ok), 17-Июл-24, 16:03	+1 +/–
> Чем nf_tables лучше netfilter? А как он может быть лучше, если nftables использует netflter и разработчики у них одни?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #35

25. Сообщение от User (??), 17-Июл-24, 16:25	+/–
"Но в главном-то они правы!"(Ц) В смысле для простых кейсов вида "закрыть все - открыть SSH и 80/443 вот оттудой" что iptables, что nftables - дофига избыточны\переусложнены, там какой ipfw или вот ufw надь, даже firewalld уже эребор. А сколько-нибудь сложные действительно автогенеряться с какого уеб-интерфейса\фиреволлды а то и вовсе вот докером\кубиковой CNI и руками туда без большой-большой-пребольшой нужды никто и не полезет, а на страдания этих понужденцев да в общем-то пофиг. А чтоб осмысленно руками и головой написанный сложный рулсет для generic linux - я уже лет 10 встречал разве что в виде "чужое legacy".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #27

26. Сообщение от Аноним (26), 17-Июл-24, 16:37	+/–
> строковые ключи со значениями идут как строки а там не строковое, там 'ip6 daddr' и парсер знает, что парсить
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

27. Сообщение от нах. (?), 17-Июл-24, 17:38	+/–
> В смысле для простых кейсов вида "закрыть все - открыть SSH и 80/443 вот оттудой" что iptables, > что nftables - дофига избыточны\переусложнены давай предположим что кейс простой, но для него нет никакой ложечки (тебе, допустим, нужен не ssh а... чего у нас там нету... пять сек, я не мальчик с феноменальной памятью... а, во - pptp внезапно нету, видимо немодно-немолодежно. вайргада тоже нету но это скучно - один udp порт. Пока давай не заморачиваться зачем он нам, а просто его приземлим, для начала) iptables: -I INPUT -p gre -j ACCEPT -i ens\* / -I INPUT -p tcp --dport pptp -j ACCEPT (в редхате не прокатит но ладно уж) и предположим что OUTPUT у нас с ALLOW по умолчанию - мы вероятно сделали все крайне неэффективно (тот ACCEPT как минимум должен быть до а не после conntrack) но оно вот почти работает, в две строчки. firewalld: --new-service ... --add-service ... --add-port --add-protocol --reload... ой чорт мы там permanent забыли, начинай сначала. Ты еще не затрахался? А ведь я тут скромно обошел вниманием conntrack. Его по каким-то мистическим причинам нельзя засунуть в сервис, он есть только в policy. Т.е. тебе светит разбираться с тем как полиси связаны с зонами и какие зоны тут вообще есть. Для ufw уж сам придумай, но вряд ли это будет легко. А для простого кейса с готовым сервисом который до тебя кто-то написал и который принимает единственный well known tcp порт - ну я не вижу особо разницы между одной строчкой c -I, и одной строчкой add-service во втором случае. Только второе будет работать везде где есть firewalld, а вот с первым можно обломаться, сломав какие-то проверки, сделаные кем-то до тебя.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25 Ответы: #31

29. Сообщение от Аноним (29), 17-Июл-24, 18:44	+/–
> простота иногда - хуже воровства Вот тут как раз и предлагают "более простое решение", на деле являющееся "пустым мудрствованием".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

31. Сообщение от User (??), 17-Июл-24, 19:03	+/–
Ну, если тебе не жить не быть зачем-то нужно полунеподдерживаемое легаси 2014 или когда он там помер, года что-то вроде: firewall-cmd --permanent --add-port=1723/tcp firewall-cmd --permanent --add-rich-rule rule protocol value="gre" accept Ну или через --direct можно на втыкать - не сильно сложнее для "плохого" кейса, да?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27 Ответы: #37

32. Сообщение от crypt (ok), 17-Июл-24, 19:09	+1 +/–
> А вот закорючки и скобочки nft вместо чейнов - абсолютно невменозны. Поскольку теперь это по сути корявый ассемблер для bpf машины да х*вно эти скобочки, я уже это вижу:((( действительно теперь у нас еще один новый язык программирования, чтобы что-то отконфигурять. ну приплыли. еще и дыры в bpf постоянные(
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

35. Сообщение от аНОНИМ (?), 17-Июл-24, 19:43	+/–
Ну я хз кто чего там использует. Вон выше пишуть что якобы nf_tables лучше отражает потоки *овна мультигигабитного, врут получается?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24 Ответы: #40

36. Сообщение от Аноним (36), 17-Июл-24, 19:52	+1 +/–
Кажется, у вас проблемы с чувством юмора, вызванные чтением документации по PHP
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #63

37. Сообщение от нах. (?), 17-Июл-24, 20:02	+1 +/–
> firewall-cmd --permanent --add-port=1723/tcp о, рука "мастера", эксперта (известногосайта) Навтыкать своими корявками прямо в default zone, не создав отдельный сервис - запросто! Проверять что нужный интерфейс именно в default zone - а зачем? И еще давай rich rule (для банального протокола), так ему попроще. Да давай уже не парься, просто в обход firewalld запихни правило, ты ж всегда так делал. И после еще десятка вот таких рукастых и умненьких - попробуй потом разобраться, что они наконфигурили и почему опять не все работает как надо. Хотя firewalld для того и придумали чтоб ТАК не работать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #31 Ответы: #41

40. Сообщение от нах. (?), 17-Июл-24, 20:11	+/–
> Ну я хз кто чего там использует. Вон выше пишуть что якобы > nf_tables лучше отражает потоки *овна мультигигабитного, врут получается? да это тот эксперт из шкафа под лестницей пишет, не парься. Откуда у шибкоумных ворот на 3g модемке какие-то "потоки"? впрочем, там ни разу не "система управления", как выразился другой эксперт, конечно. (ну то есть не более чем "линукс - система управления компьютером" - что-то где-то есть но мягко говоря не совсем так примитивно) Иначе бы не было этим ребяткам так мучительно больно писать конвертер правил - за десять лет ведь не дописали до полностью работающего. Да и тот в одну сторону. Хотя казалось бы "один норот....простите, экран", что могло бы помешать одновременно пользоваться двумя интерфейсами? Ан, нихрена. Общего у них только интерфейс непосредственно к перехвату пакетов. Что логично, сетевой стек один.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #35