Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск пакетного фильтра iptables 1.8.12"	+/–
Сообщение от opennews (??), 20-Фев-26, 17:54
После полутора лет разработки  опубликован выпуск классического инструментария для управления пакетным фильтром  iptables 1.8.12, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables.  Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64840
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 20-Фев-26, 17:54	+20 +/–
тот кто видел json код правил nftables, тот в цирке не смеётся.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4, #25, #26

2. Сообщение от Аноним (4), 20-Фев-26, 17:57	–3 +/–
Кому это нужно, когда есть nftables? Тем кто уже в деменцию скатился и не может пяток команд выучить?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #8, #29, #50, #52, #62

3. Сообщение от анони (?), 20-Фев-26, 17:57	+5 +/–
А его обязательно видеть? Так то json придумывался не для "парсинга" глазами человека.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #7, #11

4. Сообщение от Аноним (4), 20-Фев-26, 18:01	+4 +/–
А зачем вы читает JSON? Он для передачи между софтом предназначен. Вы ещё байт код попробуйте с фильтра выгрузить, а потом ныть ой не могу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6

5. Сообщение от Frestein (ok), 20-Фев-26, 18:03	+8 +/–
Новость не читаем, сразу в комменты прыгаем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

6. Сообщение от Аноним (6), 20-Фев-26, 18:17	–2 +/–
Нормально дизассемблится и проверяется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

7. Сообщение от Аноним (7), 20-Фев-26, 18:37	–4 +/–
ИИ нормально наваливает правила!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #49, #73

8. Сообщение от Аноним (8), 20-Фев-26, 18:39	+7 +/–
Да тем же, кто уже в деменцию впал и кроме systemd с юнит-портянками никакой другой init выучить не может.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #9, #61

9. Сообщение от Аноним (9), 20-Фев-26, 18:49	–1 +/–
Ну в 2026 нормальный человек ничего кроме systemd в прод не выберет. Так что знание других нужно не от хорошей жизни, а если что-то по наследству пришло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #55

10. Сообщение от Аноним (10), 20-Фев-26, 19:10	+/–
Непонял, мы же перешли на nftables? Не?
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от WE (?), 20-Фев-26, 19:12	+5 +/–
Потому что синтаксис nft делал человек с юмором и теперь определить где там оператор, а где параметр можно только 5 раз прочитав строку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

20. Сообщение от q (ok), 20-Фев-26, 19:45	–4 +/–
iptables -- это набор страшных непонятных комманд с ужасным синтаксисом. nftables -- это структурированная конфетка, которую легко и приятно читать/писать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

25. Сообщение от Аноним (-), 20-Фев-26, 21:52	+2 +/–
> тот кто видел json код правил nftables, тот в цирке не смеётся. Вы еще хексдампы читаемые потребуйте. А так нативный синтаксис nftables вполне себе - тем более для рулесетов чуть сложнее чем hello world которе на iptables мигом становятся гигантским спагетти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

26. Сообщение от Анонисссм (?), 20-Фев-26, 22:21	+/–
>кто видел json код правил nftables и что тебе не нравится или кажется нечитаемым? сконверти это в iptables ip saddr {1.2.3.4,5.6.7.8} tcp dport {42322,42343,47567,48080,48484,48751,49005} accept comment "apis"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #28

28. Сообщение от нах. (?), 20-Фев-26, 23:04	–6 +/–
> и что тебе не нравится или кажется нечитаемым? действительно, ну вот - что? Что тут может "казаться" нечитабельным? Неужели же вот ... все целиком? > сконверти это в iptables я не то что это конвертить не буду никуда, я добьюсь увольнения идиота-девляпса который такое притащит. Надо бы кстати добавить в пыточную анкету для собеседований, чтоб сразу с пляжа. > ip saddr {1.2.3.4,5.6.7.8} tcp dport {42312,42343,47567,48080,48484,48751,49005} accept > comment "apis" найди тут ошибку. найди такую же среди хотя бы десятка подобных правил. Поэтому _нормальные_ люди вместо этой чуши напишут ДВЕ таблицы - одну с портами и назовут ее (а не коммент дурацкий вляпают на который сослаться нельзя) apis, и вторую - с адресами, и назовут ее чтонибудь вроде api-access. И в каждой будет по строчке на адрес и по строчке на порт, и вселенная от этого вовсе в черную дыру не схлопнется. И тогда отличие от iptables будет только в том что при отладке там сразу были бы видны счетчики и ясно где ошибка.  А тут ты не догадался про них вспомнить, и будешь в суматохе включать на ходу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #30, #32, #43, #45

29. Сообщение от нах. (?), 20-Фев-26, 23:10	+/–
> Кому это нужно, когда есть nftables? это, которое ВЧЕРА научилось, оказывается, в атомарные изменения - не нужно вообще никому. Все кто пытался этим пользоваться когда оно еще было хоть немного актуальным - выбросили его по причине неумения сконвертировать даже совсем-совсем тривиальные конфиги. А нормальные iptables (еще и не завязанные на неотключаемый ebpf) были конечно нужны, но теперь уже проехали, жрите убогий синтаксис из закорючек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #92

30. Сообщение от q (ok), 20-Фев-26, 23:26	+/–
"Вадим Вадимыч, сколько будет два плюс два?" Показательно, что тебя попросили сконвертить одну строчку в iptables, а ты разродился стеной рационализаторского текста вместо столь же короткого ответа. Гы. Подозреваю, что вначале ты действительно пытался сконвертить в iptables, но потом осознал ущербность iptables и поэтому заменил ответ простыней оправданий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #31

31. Сообщение от нах. (?), 20-Фев-26, 23:57	–2 +/–
Что тебе неясно в ответе - это чушь написана и никуда это конвертить незачем? И да, возможность такое надевляпать - это одна среди многих причин, почему nft - дерьмо. Никакой "ущербности" в том что такое дерьмо написать нельзя в iptables - нет. И да, я там одну цифру в цитате исправил. Ты, разумеется, не заметил. Точно так же ты и свою опечатку не увидишь. "ой, а почему у меня не работает?"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #33, #86

32. Сообщение от Аноним (-), 21-Фев-26, 00:31	+/–
Нормальный человек напишет так: ip saddr @allowed_ips tcp dport @allowed_ports accept comment "apis" > я добьюсь увольнения идиота-девляпса который такое притащит Почему не "добить" мануал по nft? > И в каждой будет по строчке на адрес и по строчке на порт, и вселенная от этого вовсе в черную дыру не схлопнется. Классно читать, когда счет ip пойдет на 1000, не? Не говоря уже про то, что части функций таких как указание интерфейсов в POSTROUTING в ipotables тупо нет и приходилось по диапазонам указывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #35, #40, #46, #56

33. Сообщение от q (ok), 21-Фев-26, 00:32	+/–
> такое дерьмо написать нельзя в iptables Все, что нельзя написать в iptables -- дерьмо. Спасибо! Теперь понял! Гы. Вот серьезно. Смотрю на тебя как на пещерного человека, который гордится тем, что живет в пещере и -- внимание! -- умеет добывать огонь без этих ваших спичек и зажигалок! "Текнолоджиа! Текнолоджиа!" (c) > я там одну цифру в цитате исправил. Ты, разумеется, не заметил Разумеется, у меня же мясной мозг, а не ЦПУ, который делает strcmp в фоне. Странная придира. Это как если бы ты заменил кириллическую "а" на латинскую, а потом говорил, как ты ловко обманул меня, подсунув мне не ту букву в рандомном слове! Только вот, что именно должно было это доказать? Этот момент остался загадкой. Ну да, я не гоняю strcmp по цитатам, и как бы - и чо? Гы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #38, #54

35. Сообщение от abu (?), 21-Фев-26, 01:00	+3 +/–
Первое, что гуглится по postrouting и интерфейсы: > iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 1.2.3.4 Важно: Использовать -i (input interface) в POSTROUTING нельзя, так как пакеты к этому моменту уже маршрутизированы и выходят через конкретное устройство. > а вы что имели в виду?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #37

37. Сообщение от Аноним (-), 21-Фев-26, 01:18	+/–
Верно. Это и имел ввиду. Так вот в nftables этой проблемы нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

38. Сообщение от abu (?), 21-Фев-26, 01:19	+/–
Так ведь вас и попросили найти ошибку. А вы ее не нашли. Дело всего этого спора в другом - вам, насколько я понимаю, пытаются объяснить то, как работает системный администратор с firewall'ом. Один из примеров - это разбивка на две таблицы, по которым будут понятны привязки адресов и портов. В nft наверняка тоже так можно, но - =зачем платить больше= изучением еще одного фаервола (это отдельная тема)? А вокруг этих объяснений - проды, сляпанные на скорую руку, в которых, действительно, удобно нафигачить по-быстрому и - в кусты, да гыгканья. В которых не понять, например, что может быть парк серверов с настроенным iptables. И все эти ваши проды таким серверам снятся в кошмарах - они просто работают годами безо всего этого зоопарка. Годным спором был бы тот, в котором вы бы выкатили, как аргумент, киллер-фичу nftables. Кстати, ведь  где-то пару лет назад про нее тут писали. И тогда, да, всерьез пришлось бы учить nftables, несмотря на его =закорючки=. А так - все отлично и без него, уж поверьте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #39

39. Сообщение от q (ok), 21-Фев-26, 01:31	+/–
> Так ведь вас и попросили найти ошибку. А вы ее не нашли. Понимаешь ли ты, насколько это убого? Чел прислал nft-конструкцию и попросил перевести в iptables. Далее объявился пох-нах, процитировал конструкцию, изменил цифру, __представил ее себе ошибкой__ и... попросил найти __ошибку__. Лол. То есть буквально: — Сколько будет два плюс два? — Найди ошибку: Sколько будет два плюс два? — Эм... Чо? — Я заменил один символ на другой! А ты и не заметил! Хахаха! > вам, насколько я понимаю, пытаются объяснить то, как работает системный администратор с firewall'ом Причем делают это так, будто есть ровно одно правильное решение. Остальные заочно объявляются неверными. > зачем платить больше= изучением еще одного фаервола (это отдельная тема)? В современном мире именно iptables является "еще одним". Так что нахрена переходить с дефолта (nft) на не-дефолт, если, как продемонстрировал пох-нах, не-дефолт нихрена особо не умеет, усугубляя ужасным синтаксисом? > Годным спором был бы тот, в котором вы бы выкатили, как аргумент, киллер-фичу nftables. Уже выкатели комментами выше, а пох-нах ушел катать простыни текста и... --- внимание! --- заменять циферки, аки Сол Гудман с 1216 vs 1261. Дешевый трюк, который ничего не демонстрирует. Вот серьезно. Если ты такой любитель спора, проведи логический анализ этого приема согласно "Искусству спора" Поварнина: Оппонент А: "Сколько будет два плюс два?" Оппонент Б: "Найди ошибку: Sколько будет два плюс два?" Оппонент А: ЭЭм... Чо? На вопрос можешь ответить?" Оппонент Б: "Я заменил один символ на другой! А ты и не заметил! Хахаха!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #41

40. Сообщение от abu (?), 21-Фев-26, 01:34	+2 +/–
Добавлю тут, потому что на ваш следующий ответ почему-то нет возможности отвечать. Второе гугление тотчас дает такой ответ: > It is not possible to perform a standard Destination Network Address Translation (DNAT) in the POSTROUTING hook using nftables (or iptables for that matter). The fundamental reason lies in the structure of the Linux networking stack and the timing of the routing decisions. > Если можете - уточните все же, что имеете в виду - интересно для самообразования.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #42, #51

41. Сообщение от abu (?), 21-Фев-26, 01:52	+/–
Ваш подход я понял, спасибо. Но подходов тут все равно остается ровно два - есть то, от чего не уйти, хоть с каким синтаксисом - организация все же firewall'a, несмотря на всякие мейнстримы, и второй - следование за ними, мейнстримами. Это не плохо, но второй вариант несколько расхолаживает, как по мне. Хорошо, что дефолты в линуксе, кроме, пожалуй, systemd, которое прибили гвоздями намертво, переменны. Мое отношение к дефолтам такое - скорость эскадры измеряется самым медленным кораблем. И пока, например, в такой эскадре есть работающий iptables, то он и будет дефолтом. Стопицот других разных дефолтов - подождут, ничего там такого особенного для работы на десятке-другом серверов средней руки нет. Ну а в девопсии, конечно, давай то, что только что испекли. Завязываться на iptables, если это не часть заказа, не стоит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #60

42. Сообщение от Аноним (-), 21-Фев-26, 01:54	+/–
> Добавлю тут, потому что на ваш следующий ответ почему-то нет возможности отвечать. Ну это к модеру вопрос, почему то сообщение в блок залетело. > It is not possible to perform a standard Destination Network Address Translation (DNAT) in the POSTROUTING hook using nftables (or iptables for that matter). The fundamental reason lies in the structure of the Linux networking stack and the timing of the routing decisions. Это уточняйте у тех, кто это бред писал, тут я помочь не могу. > Если можете - уточните все же, что имеете в виду - интересно для самообразования. Имелось ввиду это: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... С nftalbles, когда я тестил это (мб ядро 6.1 было) у меня работало. С iptables - нет. Мб сейчас iptables подправили, мб нет, iptables я давно не использовал. Вы можете проверить с nftables у себя, если ядро 6+, должно работать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #44

43. Сообщение от Вася (??), 21-Фев-26, 03:04	+/–
>>я добьюсь увольнения идиота-девляпса который такое притащит откуда в компании по перепродаже китайских чайников девопс?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

44. Сообщение от abu (?), 21-Фев-26, 05:21	+/–
>> It is not possible to perform a standard Destination Network Address Translation (DNAT) in the POSTROUTING hook using nftables (or iptables for that matter). The fundamental reason lies in the structure of the Linux networking stack and the timing of the routing decisions. > Это уточняйте у тех, кто это бред писал, тут я помочь не > могу. Не то чтобы я великий специалист по iptables, но всегда воспринимал то, что есть только исходящий интерфейс, как данность. Мельком полистал сейчас по Сети рассказы об этом, пишут, что метками можно обходить и пр., но, конечно, если из коробки сделано, то обходиться костылями не следует. Иной вопрос, насколько это все вообще нужно, но это отдельная тема. >> Если можете - уточните все же, что имеете в виду - интересно для самообразования. > Имелось ввиду это: > https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... > С nftalbles, когда я тестил это (мб ядро 6.1 было) у меня > работало. С iptables - нет. Мб сейчас iptables подправили, мб нет, > iptables я давно не использовал. > Вы можете проверить с nftables у себя, если ядро 6+, должно работать. Спасибо большое за информацию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #94

45. Сообщение от ананим.orig (?), 21-Фев-26, 06:28	+/–
> я не то что это конвертить не буду никуда, я добьюсь увольнения идиота-девляпса Так ты не только на опеннете атмосферу портишь? А когда то тут были инженеры. Теперь только фиктивные манагеры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

46. Сообщение от Анонисссм (?), 21-Фев-26, 08:40	–1 +/–
> Нормальный человек напишет так: > ip saddr @allowed_ips tcp dport @allowed_ports accept comment "apis" какое стрёмное название @allowed_ips. Где тут отсылка на api? Или у тебя все ip-шники из всех строк/правил свалены в общий allowed_ips? И я дурак? Точно, точно? ))) тысячи IP у меня не появятся, т.к. я знаю сколько у меня серверов. "тысячи IP" это или какой-нибудь гугло, в который вас не возьмут или провайдер (где обычно мало платят, наверное поэтому вы такие распальцованные и злые)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #47, #81

47. Сообщение от nebularia (ok), 21-Фев-26, 08:47	+2 +/–
Ну назови по другому. Придирался к названию переменных в сообщении, лол
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #74

48. Сообщение от онаним (?), 21-Фев-26, 09:59	+1 +/–
nftables -- это набор страшных непонятных комманд с ужасным синтаксисом. iptables -- это структурированная конфетка, которую легко и приятно читать/писать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #58

49. Сообщение от Аноним (49), 21-Фев-26, 10:33	+/–
Нейронка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

50. Сообщение от Аноним (49), 21-Фев-26, 10:36	+/–
Кому это нужно когда есть Windows? Из той же серии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

51. Сообщение от Аноним (51), 21-Фев-26, 11:34	+1 +/–
Через лог моделирования на него ответь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

52. Сообщение от Аноним (51), 21-Фев-26, 11:36	+/–
Во всех туториалах и стековкрылоу iptables значит он навсегда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

54. Сообщение от нах. (?), 21-Фев-26, 12:49	+1 +/–
> Все, что нельзя написать в iptables -- дерьмо. возможно не все (но мне пока не попадались реалистичные сценарии) Но твой пример - безусловное дерьмо. Но тут явный случай данинга-крюгера, когда бесполезно объяснять безграмотному фанату что он безграмотный - он безграмотный и все равно не поймет. > Разумеется, поэтому кому-то вменяемому за тобой потом придется переделывать. На такое, в чем ошибки замечать и исправлять - просто. И это таки да, проблема nft, что их синтаксис позволяет с легкостью наляпать нечитаемые и неотлаживаемые правила. А то что твою бредятину придется записать в другой форме чтобы скормить ее в iptables - это вообще не проблема iptables.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #84

55. Сообщение от BrainFucker (ok), 21-Фев-26, 12:56	+/–
> Ну в 2026 нормальный человек ничего кроме systemd в прод не выберет. На более менее серьёзных продах сервисами управляют докеры и кубернетсы. С systemd или другой системой инициализации ОС взаимодействовать не приходится, оно один раз запустило систему и служебные сервисы и пофиг что там за система.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #57

56. Сообщение от нах. (?), 21-Фев-26, 13:01	–2 +/–
> Нормальный человек напишет так: поздравляю, теперь тут ТРИ непригодных для отладки места вместо одного. КАК ты собираешься искать опечатку в одном из портов? Пристальным вглядыванием? Нет, нормальный так не будет делать. > Почему не "добить" мануал по nft? потому что, внезапно, я его прочитал. (кстати, нет у него мануалов. гуановики у него вместо) И не нашел в нем ровно ничего полезного для себя - одни закорючки и проблемы на ровном месте. Вы их очаровательно научились себе и последователям создавать, это я уже вижу. > Классно читать, когда счет ip пойдет на 1000, не? man grep. (я в курсе что девляпсы не умеют в юникс) И да, в этом случае ты _сразу_ увидишь где ты опечатался в айпишнике. Даже если их не 1000 а 10000  - у меня такие конструкции бывали. (кстати, еще у нас был ipset. но это для других случаев, когда адреса добавляются автоматически и на время - и тебе не придется потом перекапывать всю таблицу чтобы удалить один) > Не говоря уже про то, что части функций таких как указание интерфейсов в POSTROUTING в > ipotables тупо нет С добрым утром: Chain POSTROUTING (policy ACCEPT 115K packets, 8993K bytes) pkts bytes target     prot opt in     out     source               destination 4408K  246M SNAT       all  --  any    eth1    172.18.231.0/24      anywhere            to:179.125.14.201 (интерфейса in разумеется нет и быть не может - в том месте где срабатывает postrouting, он уже потерян)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #65

57. Сообщение от нах. (?), 21-Фев-26, 13:05	+/–
> На более менее серьёзных продах сервисами управляют докеры и кубернетсы. и вот сочетание докера с системдрянью - особенно удивляет, восхищает, в чем-то даже изумляет, но вслух ты произнесешь нечто совершенно другое, когда попытаешься. Даже rhbm вынуждена была целиком весь докер переписать заново для совместимости со своей любимой системдрянью. Причем получилось все равно плохо и никто ее поделку не любит. (вот реально ноль решений за последние лет пять использующие podman по назначению)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #59, #67

58. Сообщение от Аноним (58), 21-Фев-26, 13:10	+/–
>nftables -- это набор страшных непонятных комманд с ужасным синтаксисом. Ложь. Правила nftables можно читать как осмысленное гумманитарное предложение. синтаксис комманд своей болтливостью меня сначала раздражал. А потом я понял, писать правила оформленные естественным человеческим языком приятнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #63, #93

59. Сообщение от BrainFucker (ok), 21-Фев-26, 13:12	+/–
Насколько помню, основная идея podman в rootless контейнерах. А почему не популярен, так сейчас новые проекты редко запускают, а переделвывать давно отлаженный и работающий прод ради новомодных технических решений в здравом уме мало кто будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #64

60. Сообщение от Аноним (60), 21-Фев-26, 14:20	+/–
> systemd, которое прибили гвоздями намертво Что мешает собрать систему на любой другой системе инициализации? Хоть на busybox init, который есть практически везде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #91

61. Сообщение от Аноним (60), 21-Фев-26, 14:24	+/–
Как в inittab прописать зависимости?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

62. Сообщение от Аноним (62), 21-Фев-26, 16:36	+/–
В nftables принципиально нет ipset.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

63. Сообщение от Гость (??), 21-Фев-26, 18:27	+/–
Кроме приятного есть ещё практические задачи. Вы перестали выбирать инструмент под задачу и стали использовать только "приятные" инструменты?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #76

64. Сообщение от нах. (?), 21-Фев-26, 20:55	–1 +/–
> Насколько помню, основная идея podman в rootless контейнерах. не cовсем - существует rootless docker, уже разок пришлось удалять за девляпами эту мерзость. основная идея все же что нет лишнего демона, и systemd _видит_ контейнер как отдельную сущность. (хотя да, то как ТАМ сделан rootless - позволяет не сломать нахрен selinux, например. Но это уже высший пилотаж - надо ж чтоб девляпс его не выключил еще до установки системы)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #68

65. Сообщение от Аноним (65), 21-Фев-26, 21:19	+/–
> ТРИ непригодных для отладки места вместо одного Это каких? > КАК ты собираешься искать опечатку в одном из портов Для начал так: > nft list set ip allowed_ports А дальше глазами или грепом. Да хоть эй ай. > (кстати, еще у нас был ipset.) Да, это очень по линуксовски. Для одной задачи не один nft, а arp,eb,ip tables. А что не влезло в ipset Только не удивляйся, что вас теперь от нормального прода тряпками гонят. > man grep. (я в курсе что девляпсы не умеют в юникс) А с nft тебе что мешает, религия? Хоть в json положи и в jq ищи. Только тут я буду видеть именно значения сета и одно правило, что говорит ВСЕМ ИЗ ЭТОГО СЕТА МОЖНЯ. А не вычитывать 1 порт = 1 правило, где какой-то дед, костями вросший во второе ядро, вместо dport sport написал. Грепом ты то найдешь по порту, уидишь что порт верен, а правило а нет. А сколько еще таких правил может быть с ошибками? А если там другие ошибки? А дальше перечитывай все правила... > С добрым утром: И тебе не хворать. > он уже потерян Попробуй корпус компьютера изолентой пройти, чтобы не терялось. > интерфейса in разумеется нет и быть не может Кому разумеется? > nft add table ip nat > nft "add chain ip nat postrouting { type nat hook postrouting priority srcnat; }" > nft add rule ip nat postrouting iif dummy0 snat to 8.8.8.8 > nft list chain ip nat postrouting table ip nat {     chain postrouting {         type nat hook postrouting priority srcnat; policy accept;         iif "dummy0" snat to 8.8.8.8     } } Мне вот другое разумется, что если ядро не окаменело (это на 6.12 пример), то ничего там не "теряется".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #66, #90

66. Сообщение от Аноним (66), 21-Фев-26, 21:40	–1 +/–
> table ip nat { >    chain postrouting { >        type nat hook postrouting priority srcnat; policy accept; >        iif "dummy0" snat to 8.8.8.8 >    } > } Чем это лучше одной строки в iptables?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #69

67. Сообщение от Аноним (82), 21-Фев-26, 22:10	+/–
> (вот реально ноль решений за последние лет пять использующие podman по назначению) Обычный врапер над namespaces Отличное решение для локальной разработки, когда любой пакет следует считать вектором угрозы для системы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

68. Сообщение от Аноним (82), 21-Фев-26, 22:18	–1 +/–
> не cовсем - существует rootless docker, уже разок пришлось удалять за девляпами эту мерзость. Правильно, чтобы без всякой изоляции размазать свой шлак по всей системе и другим потом пришлось ее вообще переставлять, или как ковыряться как курица лапой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

69. Сообщение от Аноним (82), 21-Фев-26, 23:14	–2 +/–
> одной строки Тогда нужно цитировать только правило (iif "dummy0" snat to 8.8.8.8). Так-то и в iptables не одна строка. > Чем это лучше Вы хотите сказать вот этой шляпы? Chain POSTROUTING (policy ACCEPT) pkts bytes target  prot opt in     out     source      destination     0     0 SNAT    all  --  dummy0  *       0.0.0.0/0   0.0.0.0/0   to:8.8.8.8 Э-э-э. Да всем. Для чего мне тут source, destination, prot, out с дефолтами? Оно как-то дополняет вывод? Да и pkts,bytes я могу не считать в nftables не указав counter.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

71. Сообщение от Аноним (71), 22-Фев-26, 08:50	+/–
Пожалуйста, переведите в правило nftables: iptables -I INPUT -p tcp --tcp-flags RST RST -j DROP iptables -I INPUT -p tcp --sport 443 --tcp-flags RST RST -j DROP Заранее спасибо! :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #72, #75, #83, #95

72. Сообщение от Аноним (71), 22-Фев-26, 08:58	–1 +/–
Так правильно? nft add rule inet filter input tcp flags rst drop
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #85

73. Сообщение от Аноним (73), 22-Фев-26, 13:32	+/–
Нет никакого ИИ, не было и не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #80

74. Сообщение от Анонисссм (?), 22-Фев-26, 15:29	+/–
> Ну назови по другому. Придирался к названию переменных в сообщении, лол нет я офигел от предложения на КАЖДОЕ правило создавать по таблице/сету/цепочке. надеялся, что ты проспишься и что-то хорошее скажешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #77

75. Сообщение от Аноним (76), 22-Фев-26, 15:46	–1 +/–
Тебя в нейросети забанили? table inet filter {     chain input {         type filter hook input priority 0; policy accept;         # Блокировка входящих TCP RST-флагов         ip protocol tcp tcp flags RST drop;         # Блокировка входящих TCP RST-сигналов с порта 443         ip protocol tcp tcp flags RST sport 443 drop;     } }
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #78

76. Сообщение от Аноним (76), 22-Фев-26, 15:47	+/–
Иногда можно просто перестать есть кактус и начать жить и пользоваться nft.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #89

77. Сообщение от nebularia (ok), 22-Фев-26, 16:25	+/–
> надеялся, что ты проспишься и что-то хорошее скажешь. Ты с кем-то другим общаешься, тот коммент мой первый в треде. А вообще, в NGFW зачастую так и сделано, что добавляется в правило не IP, а сет (даже из одного адреса). Удобно, если потом окажется, что там не один адрес надо, а больше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #82

78. Сообщение от Аноним (78), 22-Фев-26, 17:33	+/–
А ты чо такой ленивый? Сам синтаксис nftables изучить не можешь что-ли? Тебя приободрить надо?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #79

79. Сообщение от Аноним (80), 22-Фев-26, 19:29	+1 +/–
> А ты чо такой ленивый? Сам синтаксис nftables изучить не можешь что-ли? > Тебя приободрить надо? Ты просто нейросети не осилил вот и бесишься.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #87

80. Сообщение от Аноним (80), 22-Фев-26, 19:30	+/–
Ты же есть. Значит есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

81. Сообщение от Аноним (82), 22-Фев-26, 19:38	+/–
Та даже если 2 ip, правило должно быть одно а не по 1 * n Названия выбирай какие хочешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

82. Сообщение от Аноним (82), 22-Фев-26, 19:44	–2 +/–
Расслабься, человек привык как в iptables все в одну таблицу - фильтр липить. Вот такая структура ему и кажется кощунством. Это как расказывать джуну, почему все нужно разносить по функциям. Никогда не верят, пока не упрутся в дублирование и постоянный рефактор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

83. Сообщение от Аноним (-), 22-Фев-26, 21:10	+/–
https://www.redhat.com/en/blog/using-iptables-nft-hybrid-lin... Это для кого писали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #88

84. Сообщение от Аноним (84), 22-Фев-26, 22:32	+/–
Может, Вы сначала перепишете это на iptables, а потом уже мы продолжим разговор? В чем сложность то?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

85. Сообщение от Аноним (85), 22-Фев-26, 22:51	+/–
Неправильно. В наборе слов нету цифр.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

86. Сообщение от Аноним (-), 23-Фев-26, 05:17	–1 +/–
> И да, возможность такое надевляпать - это одна среди многих причин, почему nft - дерьмо. Не иллюстративно - короткий, емкий, вполне читаемый синтаксис. В отличие от спагетти айпитаблеса. > Никакой "ущербности" в том что такое дерьмо написать нельзя в iptables - нет. Таких как ты уже попурли нафиг из продов вместе с вашей ветеранюниксэкспертизой за такие сказки. Но некоторые я так смотрю - необучаемые, и выводов не делают даже после кончины их чистокровного юниксвэя с вашими высокохудожественными простынками на шелле и прочими копролитами borg^W xorg. И начинается та же история. Рассказывающая нам почему именно nftables победит а адепты iptables с его чудным синтаксисом - пойдут на мороз. > И да, я там одну цифру в цитате исправил. Ты, разумеется, не > заметил. Точно так же ты и свою опечатку не увидишь. "ой, > а почему у меня не работает?" Можно подумать в спагетти айпитаблеса ты много чего увидишь. Особенно с кучей таблиц. В этой штуке между прочим показ рулесей как минимум счетчики - кажет. Без особых приседаний. Куда iptables до такого...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

87. Сообщение от Аноним (87), 23-Фев-26, 07:37    Скрыто ботом-модератором	+/–
Ну так ты не ответил на вопрос. Почему ты такой ленивый? Учится не хочешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

88. Сообщение от нах. (?), 23-Фев-26, 11:00	+/–
судя по содержимому - в качестве фона "экспертизы" перед отчетом для инвесторов. Obviously, iptables-nft's code base is less proven which means it may contain bugs and certainly has performance problems in some situations. примерно там же с 19го года все и осталось. Особенно смешно из будущего читать бла-бла-бла о преимуществах "atomic operations" когда вот в 26м наконец научились в COMMIT.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

89. Сообщение от нах. (?), 23-Фев-26, 11:07	+1 +/–
> Иногда можно просто перестать есть кактус и засунуть его себе в задницу - пользоваться nft. поправил, не благодари.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

90. Сообщение от нах. (?), 23-Фев-26, 11:17	–1 +/–
> КАК ты собираешься искать опечатку в одном из портов > nft list set ip allowed_ports тебя спросили - как искать (и даже там выше пример с опечаткой) - в ответ опять только твое хвастовство знанием закорючек. > А дальше глазами я так и думал. > А не вычитывать 1 порт = 1 правило, где какой-то дед, костями вросший во второе ядро, > вместо dport sport написал. Грепом ты то найдешь по порту, уидишь что порт верен, а > правило а нет. ну вот уровень местных недедов. Я даже не буду тебе объяснять, что я на самом деле увижу в выводе grep и почему это позволит СРАЗУ увидеть строку с ошибкой (даже если ты настолько альтернативно одаренный что умеешь перепутать s и d - я уж не знаю чем для этого надо думать, а не просто бессмысленную цифирку одну из двадцати, как оно будет в реальном мире). Тратить на вас время совершенно незачем, апологеты обмазывания модноновейшим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

91. Сообщение от нах. (?), 23-Фев-26, 11:22	+/–
то что тебя быстро уволят, потому что пока ты "собираешь систему", бизнес подождет. Если же речь о твоем подкроватном хосте - то тоже видимо что-то мешает, поскольку мы как-то не видим массового распространения васянских сборок подобного вида. Вероятно они получаются настолько кривые и убогие, что их нельзя выносить из под кровати. Единственное общеизвестное исключение - devuan, которое вот как раз лучше б не позорились и не выносили на свет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #96

92. Сообщение от morphe (?), 23-Фев-26, 23:39	+/–
Втф? Атомарные изменения в api nftables было с самого начала, команда nft это по дефолту использует У iptables разве есть такое вообще?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

93. Сообщение от Sm0ke85 (ok), 24-Фев-26, 07:33	+/–
>Правила nftables можно читать как осмысленное гумманитарное предложение. Может гуманитарию это и удобно, вот только все боевое пишут технари, а гуманитарии - только нейрослопить могут, т.к. гуманитарное образование без технической базы - это обезьянкино образование (по опыту знаю, что лучше сначала техническое образование получить, а потом сверху гуманитарщиной все это накрывать, пусть даже на уровне самообразования, тогда выхлоп от образования на порядок выше...)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

94. Сообщение от PnD (??), 02-Мрт-26, 22:52	+/–
Выставленные в PREROUTING метки ещё много где (ip rules) работают. Вообще, к nftables основная претензия в том что сделано тяп-ляп и без документации. На iptables там где надо структуру можно навесить ferm. Где не надо — ipset и т.д. Дальше можно достаточно простыми средствами распарсить как оно там сейчас работает. А nftables такое ощущение что писа́ли программисты-олимпиадники. Крутая идея, замах на километр и… <вырезано цензурой>
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

95. Сообщение от Имя (?), 04-Мрт-26, 08:46	+/–
У меня на определенных серверах iptables -nvL выдаёт такое: iptables v1.8.10 (nf_tables): table `filter' is incompatible, use 'nft' tool. В nftables уже есть то, что не бэкпортировали в iptables.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

96. Сообщение от Аноним (-), 04-Мрт-26, 09:21	+/–
> то что тебя быстро уволят, потому что пока ты "собираешь систему", бизнес подождет. О, внезапно. Бизнесу оказывается нахрен не упали твои высокопарные художества с самопалами в скриптах - это вообще для него подстава. Потому что завтра ты уволишься - а желающих раскуривать твой "офигенный" креатив окажется примерно ноль. Или там просто куча наворотов, которые мозг выносят. И тут вдруг оказывается что бизнесу интереснее более менее устаканеная инициализация с декларативнм синтаксисом. Где конфигурация и логика - отделены, и уж тем более навороты - в конфигурации - discouraged. > Если же речь о твоем подкроватном хосте - то тоже видимо что-то > мешает, поскольку мы как-то не видим массового распространения васянских сборок Потому что когда вопрос в том чтобы оптом ворочать хосты - ничего кроме гимора от васянских художеств не получается. Через пару лет ты и сам забудешь - зачем ты твкой креатив тут наворотил, если локалхостов побольше нарулить. Собственно поэтому s-d и победил. Позволяет не убивать время на типовые операции оптом и заодно - разруливает кучу типовых системных аспектов. А этот твой юниксвэй в чистом виде только для локалхоста и годился...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема