https://www.opennet.ru/openforum/vsluhforumID3/139301.html После полутора лет разработки опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.12, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64840<br> https://www.opennet.ru/openforum/vsluhforumID3/139301.html#96 Wed, 04 Mar 2026 06:21:31 GMT &gt; то что тебя быстро уволят, потому что пока ты "собираешь систему", бизнес подождет.<br><br>О, внезапно. Бизнесу оказывается нахрен не упали твои высокопарные художества с самопалами в скриптах - это вообще для него подстава. Потому что завтра ты уволишься - а желающих раскуривать твой "офигенный" креатив окажется примерно ноль. Или там просто куча наворотов, которые мозг выносят.<br><br>И тут вдруг оказывается что бизнесу интереснее более менее устаканеная инициализация с декларативнм синтаксисом. Где конфигурация и логика - отделены, и уж тем более навороты - в конфигурации - discouraged.<br><br>&gt; Если же речь о твоем подкроватном хосте - то тоже видимо что-то <br>&gt; мешает, поскольку мы как-то не видим массового распространения васянских сборок<br><br>Потому что когда вопрос в том чтобы оптом ворочать хосты - ничего кроме гимора от васянских художеств не получается. Через пару лет ты и сам забудешь - зачем ты твкой креатив тут наворотил, если локалхостов побольше нарулить.<br><br>Собственно поэтому s-d и победил. Позволяет не уби https://www.opennet.ru/openforum/vsluhforumID3/139301.html#95 Wed, 04 Mar 2026 05:46:20 GMT У меня на определенных серверах iptables -nvL выдаёт такое:<br><br>iptables v1.8.10 (nf_tables): table `filter' is incompatible, use 'nft' tool.<br><br><br>В nftables уже есть то, что не бэкпортировали в iptables.<br> https://www.opennet.ru/openforum/vsluhforumID3/139301.html#94 Mon, 02 Mar 2026 19:52:14 GMT Выставленные в PREROUTING метки ещё много где (ip rules) работают.<br>Вообще, к nftables основная претензия в том что сделано тяп-ляп и без документации.<br><br>На iptables там где надо структуру можно навесить ferm. Где не надо &#8212; ipset и т.д.<br>Дальше можно достаточно простыми средствами распарсить как оно там сейчас работает.<br><br>А nftables такое ощущение что писа&#769;ли программисты-олимпиадники. Крутая идея, замах на километр и&#8230; &lt;вырезано цензурой&gt;<br> https://www.opennet.ru/openforum/vsluhforumID3/139301.html#93 Tue, 24 Feb 2026 04:33:52 GMT &gt;Правила nftables можно читать как осмысленное гумманитарное предложение. <br><br>Может гуманитарию это и удобно, вот только все боевое пишут технари, а гуманитарии - только нейрослопить могут, т.к. гуманитарное образование без технической базы - это обезьянкино образование (по опыту знаю, что лучше сначала техническое образование получить, а потом сверху гуманитарщиной все это накрывать, пусть даже на уровне самообразования, тогда выхлоп от образования на порядок выше...)<br> https://www.opennet.ru/openforum/vsluhforumID3/139301.html#92 Mon, 23 Feb 2026 20:39:34 GMT Втф? Атомарные изменения в api nftables было с самого начала, команда nft это по дефолту использует<br><br>У iptables разве есть такое вообще?<br> https://www.opennet.ru/openforum/vsluhforumID3/139301.html#91 Mon, 23 Feb 2026 08:22:50 GMT то что тебя быстро уволят, потому что пока ты "собираешь систему", бизнес подождет.<br><br>Если же речь о твоем подкроватном хосте - то тоже видимо что-то мешает, поскольку мы как-то не видим массового распространения васянских сборок подобного вида. Вероятно они получаются настолько кривые и убогие, что их нельзя выносить из под кровати.<br><br>Единственное общеизвестное исключение - devuan, которое вот как раз лучше б не позорились и не выносили на свет.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/139301.html#90 Mon, 23 Feb 2026 08:17:45 GMT &gt; КАК ты собираешься искать опечатку в одном из портов<br>&gt; nft list set ip allowed_ports<br><br>тебя спросили - как искать (и даже там выше пример с опечаткой) - в ответ опять только твое хвастовство знанием закорючек.<br><br>&gt; А дальше глазами <br><br>я так и думал.<br><br>&gt; А не вычитывать 1 порт = 1 правило, где какой-то дед, костями вросший во второе ядро,<br>&gt; вместо dport sport написал. Грепом ты то найдешь по порту, уидишь что порт верен, а<br>&gt; правило а нет. <br><br>ну вот уровень местных недедов.<br><br>Я даже не буду тебе объяснять, что я на самом деле увижу в выводе grep и почему это позволит СРАЗУ увидеть строку с ошибкой (даже если ты настолько альтернативно одаренный что умеешь перепутать s и d - я уж не знаю чем для этого надо думать, а не просто бессмысленную цифирку одну из двадцати, как оно будет в реальном мире).<br><br>Тратить на вас время совершенно незачем, апологеты обмазывания модноновейшим.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/139301.html#89 Mon, 23 Feb 2026 08:07:45 GMT &gt; Иногда можно просто перестать есть кактус и засунуть его себе в задницу - пользоваться nft.<br><br>поправил, не благодари.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/139301.html#88 Mon, 23 Feb 2026 08:00:38 GMT судя по содержимому - в качестве фона "экспертизы" перед отчетом для инвесторов.<br><br>Obviously, iptables-nft's code base is less proven which means it may contain bugs and certainly has performance problems in some situations.<br><br>примерно там же с 19го года все и осталось. Особенно смешно из будущего читать бла-бла-бла о преимуществах "atomic operations" когда вот в 26м наконец научились в COMMIT.<br><br>