The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск пакетного фильтра iptables 1.8.12"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск пакетного фильтра iptables 1.8.12"  +/
Сообщение от opennews (??), 20-Фев-26, 17:54 
После полутора лет разработки  опубликован выпуск классического инструментария для управления пакетным фильтром  iptables 1.8.12, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables.  Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64840

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 20-Фев-26, 17:54   +4 +/
тот кто видел json код правил nftables, тот в цирке не смеётся.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4, #25, #26

2. Сообщение от Аноним (4), 20-Фев-26, 17:57   –3 +/
Кому это нужно, когда есть nftables?

Тем кто уже в деменцию скатился и не может пяток команд выучить?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #8, #17, #22, #29

3. Сообщение от анони (?), 20-Фев-26, 17:57   +3 +/
А его обязательно видеть? Так то json придумывался не для "парсинга" глазами человека.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #7, #11

4. Сообщение от Аноним (4), 20-Фев-26, 18:01   +2 +/
А зачем вы читает JSON? Он для передачи между софтом предназначен. Вы ещё байт код попробуйте с фильтра выгрузить, а потом ныть ой не могу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6

5. Сообщение от Frestein (ok), 20-Фев-26, 18:03   +6 +/
Новость не читаем, сразу в комменты прыгаем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #12

6. Сообщение от Аноним (6), 20-Фев-26, 18:17   –1 +/
Нормально дизассемблится и проверяется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #14

7. Сообщение от Аноним (7), 20-Фев-26, 18:37   –4 +/
ИИ нормально наваливает правила!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

8. Сообщение от Аноним (8), 20-Фев-26, 18:39   +4 +/
Да тем же, кто уже в деменцию впал и кроме systemd с юнит-портянками никакой другой init выучить не может.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #9

9. Сообщение от Аноним (9), 20-Фев-26, 18:49   +/
Ну в 2026 нормальный человек ничего кроме systemd в прод не выберет. Так что знание других нужно не от хорошей жизни, а если что-то по наследству пришло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #13, #15

10. Сообщение от Аноним (10), 20-Фев-26, 19:10    Скрыто ботом-модератором–1 +/
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от WEemail (?), 20-Фев-26, 19:12   +/
Потому что синтаксис nft делал человек с юмором и теперь определить где там оператор, а где параметр можно только 5 раз прочитав строку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

12. Сообщение от Аноним (14), 20-Фев-26, 19:32    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

13. Сообщение от Аноним (14), 20-Фев-26, 19:33    Скрыто ботом-модератором–1 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

14. Сообщение от Аноним (14), 20-Фев-26, 19:34    Скрыто ботом-модератором–3 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

15. Сообщение от dannyD (?), 20-Фев-26, 19:35    Скрыто ботом-модератором+1 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #18

16. Сообщение от Аноним (18), 20-Фев-26, 19:37   –5 +/
> выпуск классического инструментария

Читаешь "классического инструментария".
Понимаешь "дидового копролита".
Учитесь читать между строк, господа.


> развитие которого последнее время сосредоточено на компонентах
> для сохранения обратной совместимости

Развитие? В "сохранении обратной совместимости"?

Ахаха! Для чего? Чтобы неосияторов nftables не уволили за профнепригодность? И это они называют развитием))

Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Фонтимос (?), 20-Фев-26, 19:38   –1 +/
Месье знает толк в деменции!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

18. Сообщение от Аноним (18), 20-Фев-26, 19:39    Скрыто ботом-модератором–1 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

19. Сообщение от Аноним (19), 20-Фев-26, 19:40    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от q (ok), 20-Фев-26, 19:45   –1 +/
iptables -- это набор страшных непонятных комманд с ужасным синтаксисом.
nftables -- это структурированная конфетка, которую легко и приятно читать/писать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

21. Сообщение от Аноним (19), 20-Фев-26, 19:47   +/
> iptables -- это набор страшных непонятных комманд с ужасным синтаксисом.
> nftables -- это структурированная конфетка, которую легко и приятно читать/писать.

Ух какой ты!
Сейчас тебе диды с окостеневшими межушными ганглиями и синдромом утенка покажут где раки зимуют!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #23

22. Сообщение от мелстрой (?), 20-Фев-26, 20:39   +2 +/
Я так и не понял, как там nft покупать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

23. Сообщение от Аноним (23), 20-Фев-26, 20:57   +3 +/
Да эти диды совсем уже того, со своими круглыми колёсами! Только молокососня с нфт, системд и сторис вайбит докером!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #24, #36

24. Сообщение от Аноним (-), 20-Фев-26, 21:16    Скрыто ботом-модератором+1 +/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

25. Сообщение от Аноним (-), 20-Фев-26, 21:52   +/
> тот кто видел json код правил nftables, тот в цирке не смеётся.

Вы еще хексдампы читаемые потребуйте. А так нативный синтаксис nftables вполне себе - тем более для рулесетов чуть сложнее чем hello world которе на iptables мигом становятся гигантским спагетти.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

26. Сообщение от Анонисссм (?), 20-Фев-26, 22:21   –1 +/
>кто видел json код правил nftables

и что тебе не нравится или кажется нечитаемым?

сконверти это в iptables

ip saddr {1.2.3.4,5.6.7.8} tcp dport {42322,42343,47567,48080,48484,48751,49005} accept comment "apis"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #28

28. Сообщение от нах. (?), 20-Фев-26, 23:04   +/
> и что тебе не нравится или кажется нечитаемым?

действительно, ну вот - что?
Что тут может "казаться" нечитабельным?
Неужели же вот ... все целиком?

> сконверти это в iptables

я не то что это конвертить не буду никуда, я добьюсь увольнения идиота-девляпса который такое притащит. Надо бы кстати добавить в пыточную анкету для собеседований, чтоб сразу с пляжа.

> ip saddr {1.2.3.4,5.6.7.8} tcp dport {42312,42343,47567,48080,48484,48751,49005} accept
> comment "apis"

найди тут ошибку.

найди такую же среди хотя бы десятка подобных правил.

Поэтому _нормальные_ люди вместо этой чуши напишут ДВЕ таблицы - одну с портами и назовут ее (а не коммент дурацкий вляпают на который сослаться нельзя) apis, и вторую - с адресами, и назовут ее чтонибудь вроде api-access. И в каждой будет по строчке на адрес и по строчке на порт, и вселенная от этого вовсе в черную дыру не схлопнется.

И тогда отличие от iptables будет только в том что при отладке там сразу были бы видны счетчики и ясно где ошибка.  А тут ты не догадался про них вспомнить, и будешь в суматохе включать на ходу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #30, #32

29. Сообщение от нах. (?), 20-Фев-26, 23:10   +/
> Кому это нужно, когда есть nftables?

это, которое ВЧЕРА научилось, оказывается, в атомарные изменения - не нужно вообще никому.

Все кто пытался этим пользоваться когда оно еще было хоть немного актуальным - выбросили его по причине неумения сконвертировать даже совсем-совсем тривиальные конфиги.

А нормальные iptables (еще и не завязанные на неотключаемый ebpf) были конечно нужны, но теперь уже проехали, жрите убогий синтаксис из закорючек.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

30. Сообщение от q (ok), 20-Фев-26, 23:26   +/
"Вадим Вадимыч, сколько будет два плюс два?"

Показательно, что тебя попросили сконвертить одну строчку в iptables, а ты разродился стеной рационализаторского текста вместо столь же короткого ответа. Гы. Подозреваю, что вначале ты действительно пытался сконвертить в iptables, но потом осознал ущербность iptables и поэтому заменил ответ простыней оправданий.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #31

31. Сообщение от нах. (?), 20-Фев-26, 23:57   –1 +/
Что тебе неясно в ответе - это чушь написана и никуда это конвертить незачем?

И да, возможность такое надевляпать - это одна среди многих причин, почему nft - дерьмо.

Никакой "ущербности" в том что такое дерьмо написать нельзя в iptables - нет.

И да, я там одну цифру в цитате исправил. Ты, разумеется, не заметил. Точно так же ты и свою опечатку не увидишь. "ой, а почему у меня не работает?"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #33

32. Сообщение от Аноним (-), 21-Фев-26, 00:31   +/
Нормальный человек напишет так:
ip saddr @allowed_ips tcp dport @allowed_ports accept comment "apis"

> я добьюсь увольнения идиота-девляпса который такое притащит

Почему не "добить" мануал по nft?

> И в каждой будет по строчке на адрес и по строчке на порт, и вселенная от этого вовсе в черную дыру не схлопнется.

Классно читать, когда счет ip пойдет на 1000, не?


Не говоря уже про то, что части функций таких как указание интерфейсов в POSTROUTING в ipotables тупо нет и приходилось по диапазонам указывать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #35, #40

33. Сообщение от q (ok), 21-Фев-26, 00:32   +/
> такое дерьмо написать нельзя в iptables

Все, что нельзя написать в iptables -- дерьмо. Спасибо! Теперь понял! Гы. Вот серьезно. Смотрю на тебя как на пещерного человека, который гордится тем, что живет в пещере и -- внимание! -- умеет добывать огонь без этих ваших спичек и зажигалок! "Текнолоджиа! Текнолоджиа!" (c)

> я там одну цифру в цитате исправил. Ты, разумеется, не заметил

Разумеется, у меня же мясной мозг, а не ЦПУ, который делает strcmp в фоне. Странная придира. Это как если бы ты заменил кириллическую "а" на латинскую, а потом говорил, как ты ловко обманул меня, подсунув мне не ту букву в рандомном слове! Только вот, что именно должно было это доказать? Этот момент остался загадкой. Ну да, я не гоняю strcmp по цитатам, и как бы - и чо? Гы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #38

34. Сообщение от Пынь Ынь (-), 21-Фев-26, 00:37    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от abu (?), 21-Фев-26, 01:00   +/
Первое, что гуглится по postrouting и интерфейсы:

>

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 1.2.3.4

Важно: Использовать -i (input interface) в POSTROUTING нельзя, так как пакеты к этому моменту уже маршрутизированы и выходят через конкретное устройство.
>

а вы что имели в виду?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #37

36. Сообщение от 12yoexpert (ok), 21-Фев-26, 01:17   +/
а жс за что забыли? теперь для скачивания видео с ютуба можно использовать жс движок, удобно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

37. Сообщение от Аноним (-), 21-Фев-26, 01:18    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

38. Сообщение от abu (?), 21-Фев-26, 01:19   –1 +/
Так ведь вас и попросили найти ошибку. А вы ее не нашли.

Дело всего этого спора в другом - вам, насколько я понимаю, пытаются объяснить то, как работает системный администратор с firewall'ом. Один из примеров - это разбивка на две таблицы, по которым будут понятны привязки адресов и портов. В nft наверняка тоже так можно, но - =зачем платить больше= изучением еще одного фаервола (это отдельная тема)?

А вокруг этих объяснений - проды, сляпанные на скорую руку, в которых, действительно, удобно нафигачить по-быстрому и - в кусты, да гыгканья. В которых не понять, например, что может быть парк серверов с настроенным iptables. И все эти ваши проды таким серверам снятся в кошмарах - они просто работают годами безо всего этого зоопарка.

Годным спором был бы тот, в котором вы бы выкатили, как аргумент, киллер-фичу nftables. Кстати, ведь  где-то пару лет назад про нее тут писали. И тогда, да, всерьез пришлось бы учить nftables, несмотря на его =закорючки=. А так - все отлично и без него, уж поверьте.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #39

39. Сообщение от q (ok), 21-Фев-26, 01:31   +/
> Так ведь вас и попросили найти ошибку. А вы ее не нашли.

Понимаешь ли ты, насколько это убого? Чел прислал nft-конструкцию и попросил перевести в iptables. Далее объявился пох-нах, процитировал конструкцию, изменил цифру, __представил ее себе ошибкой__ и... попросил найти __ошибку__. Лол. То есть буквально:

— Сколько будет два плюс два?
— Найди ошибку: Sколько будет два плюс два?
— Эм... Чо?
— Я заменил один символ на другой! А ты и не заметил! Хахаха!

> вам, насколько я понимаю, пытаются объяснить то, как работает системный администратор с firewall'ом

Причем делают это так, будто есть ровно одно правильное решение. Остальные заочно объявляются неверными.

> зачем платить больше= изучением еще одного фаервола (это отдельная тема)?

В современном мире именно iptables является "еще одним". Так что нахрена переходить с дефолта (nft) на не-дефолт, если, как продемонстрировал пох-нах, не-дефолт нихрена особо не умеет, усугубляя ужасным синтаксисом?

> Годным спором был бы тот, в котором вы бы выкатили, как аргумент, киллер-фичу nftables.

Уже выкатели комментами выше, а пох-нах ушел катать простыни текста и... --- внимание! --- заменять циферки, аки Сол Гудман с 1216 vs 1261. Дешевый трюк, который ничего не демонстрирует. Вот серьезно. Если ты такой любитель спора, проведи логический анализ этого приема согласно "Искусству спора" Поварнина:

Оппонент А: "Сколько будет два плюс два?"
Оппонент Б: "Найди ошибку: Sколько будет два плюс два?"
Оппонент А: ЭЭм... Чо? На вопрос можешь ответить?"
Оппонент Б: "Я заменил один символ на другой! А ты и не заметил! Хахаха!"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #41

40. Сообщение от abu (?), 21-Фев-26, 01:34   +/
Добавлю тут, потому что на ваш следующий ответ почему-то нет возможности отвечать. Второе гугление тотчас дает такой ответ:

>

It is not possible to perform a standard Destination Network Address Translation (DNAT) in the POSTROUTING hook using nftables (or iptables for that matter). The fundamental reason lies in the structure of the Linux networking stack and the timing of the routing decisions.
>

Если можете - уточните все же, что имеете в виду - интересно для самообразования.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #42

41. Сообщение от abu (?), 21-Фев-26, 01:52   +/
Ваш подход я понял, спасибо.

Но подходов тут все равно остается ровно два - есть то, от чего не уйти, хоть с каким синтаксисом - организация все же firewall'a, несмотря на всякие мейнстримы, и второй - следование за ними, мейнстримами.

Это не плохо, но второй вариант несколько расхолаживает, как по мне.

Хорошо, что дефолты в линуксе, кроме, пожалуй, systemd, которое прибили гвоздями намертво, переменны. Мое отношение к дефолтам такое - скорость эскадры измеряется самым медленным кораблем. И пока, например, в такой эскадре есть работающий iptables, то он и будет дефолтом. Стопицот других разных дефолтов - подождут, ничего там такого особенного для работы на десятке-другом серверов средней руки нет.

Ну а в девопсии, конечно, давай то, что только что испекли. Завязываться на iptables, если это не часть заказа, не стоит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

42. Сообщение от Аноним (-), 21-Фев-26, 01:54   +/
> Добавлю тут, потому что на ваш следующий ответ почему-то нет возможности отвечать.

Ну это к модеру вопрос, почему то сообщение в блок залетело.

> It is not possible to perform a standard Destination Network Address Translation (DNAT) in the POSTROUTING hook using nftables (or iptables for that matter). The fundamental reason lies in the structure of the Linux networking stack and the timing of the routing decisions.

Это уточняйте у тех, кто это бред писал, тут я помочь не могу.

> Если можете - уточните все же, что имеете в виду - интересно для самообразования.

Имелось ввиду это:

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...

С nftalbles, когда я тестил это (мб ядро 6.1 было) у меня работало. С iptables - нет. Мб сейчас iptables подправили, мб нет, iptables я давно не использовал.

Вы можете проверить с nftables у себя, если ядро 6+, должно работать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру