The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Arch Linux перевёл iptables на бэкенд nft по умолчанию"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Arch Linux перевёл iptables на бэкенд nft по умолчанию"  +/
Сообщение от opennews (??), 06-Апр-26, 09:03 
Разработчики Arch Linux объявили о переключении инструментария  iptables на бэкенд nft, выполняющий трансляцию правил в байткод nftables. Возможность использования классического инструментария сохранена в форме опции, но по умолчанию отныне задействован пакет iptables-nft, предоставляющий утилиты с тем же синтаксисом командной строки. Пакет iptables-nft переименован в iptables, а пакет с классическим  iptables в iptables-legacy...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65152

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 06-Апр-26, 09:03   –3 +/
> Arch Linux перевёл iptables на бэкенд nft по умолчанию

А чего они так долго с этим тормозили то? Впрочем нынче пора уже nft освоить, для мало-мальски продвинутых рулесей он куда лучше.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #36, #48, #63

2. Сообщение от User (??), 06-Апр-26, 09:20   –17 +/
Ээээ... а их в арчелинуксах кто-то руками пишет? А зОчем?
Что у арчевода на дЫсктопе (Про "на сервере в продакшУн" н-нинада) может быть такого, что потребует аж прям ручной пилёжки iptables? Доскер-через-доскер и сам прекрасно едет, opensnitch какой тоже сам справляется...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #39, #57

3. Сообщение от jura12email (ok), 06-Апр-26, 09:29   +/
Использую ufw. Надеюсь его не поломали.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #23, #30, #37

5. Сообщение от Аноним (5), 06-Апр-26, 09:31   –9 +/
> Пакет iptables-nft переименован в iptables, а пакет с классическим iptables в iptables-legacy.

То есть в имени пакетов врут.

Если ваша идея так хороша, зачем вам требуется врать для её продвижения?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

6. Сообщение от Аноним (6), 06-Апр-26, 09:36   +/
Долго же они думали.
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Жироватт (ok), 06-Апр-26, 09:40   +/
Упитанно, но нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #24

9. Сообщение от Соль земли2 (?), 06-Апр-26, 09:57   +1 +/
Вот те раз! Arch Linux до сих пор на iptables!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

10. Сообщение от баламарес (?), 06-Апр-26, 10:08   –2 +/
прямо все такие вумные здесь, только забыли про правило: работает - не трож!

как в ядре очередной раз че-нить нааптимизируют и начнет это ваш nft тормазить.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

12. Сообщение от Аноним (12), 06-Апр-26, 10:10   –1 +/
А что такое nft?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #69

15. Сообщение от Аноним (15), 06-Апр-26, 10:29   +/
>только забыли про правило: работает - не трож!

Такое правило в ходу только у мальчиков компьютерщиков. Которые не понимают что делают. И если у них что то заработало то они над этим трясутся и боятся трогать, так как может сломаться. А починить они не в силах. Порой даже не обновляют.

Более менее грамотные специалисты меняют систему под изменившиеся обстоятельства.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #19, #50

17. Сообщение от Аноним (17), 06-Апр-26, 10:43   +/
Даже Debian перешёл на nft по умолчанию. Думал раз Debian перешёл, так наверное все уже давно на nft. А тут то, корова прогрессивнее крокодила!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

19. Сообщение от User (??), 06-Апр-26, 11:00   +1 +/
Теперь понятно: почему у более-менее грамотных специалистов система не работает, пока обстоятельства не прекратят изменяться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

20. Сообщение от Аноним (20), 06-Апр-26, 11:20   –2 +/
>Для восстановления правил после замены реализации iptables следует проверить файлы /etc/iptables/iptables.rules.pacsave и /etc/iptables/ip6tables.rules.pacsave. Пользователям рекомендуют внимательно оценить работоспособность используемых правил межсетевых экранов и при необходимости откатиться на пакет iptables-legacy.

Типичный рач. В NixOS, когда в системе что-то меняют, при пересборке системы возникает ошибка, пользователь остаётся на старой, заведомо рабочей сборке и сразу же видно, что нужно пойти в конфиг и отредактировать его руками. В арче, нужно во-первых читать новости, а во-вторых, руками внимательно оценивать не отвалилось ли что.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #52, #59, #66

21. Сообщение от Bob (??), 06-Апр-26, 11:28   +1 +/
Хоть бы мелкую сводку по nftables добавили)

Nftables:
1) один инструмент, вместо 4х (iptables, ip6tables, arptables, ebtables).
2) весь набор правил применяется как одно, а не по отдельности
3) есть sets и maps - удобная работа с огромным списком правил

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32, #35

22. Сообщение от Аноним (22), 06-Апр-26, 11:34   +1 +/
ufw это обёртка над ip/nftables
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

23. Сообщение от blkkid (?), 06-Апр-26, 11:36   +1 +/
ufw лежит на уровень выше, ему только интерфейс iptables для работы нужен, что там на самом деле считает правила - без разницы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

24. Сообщение от Анрнип (?), 06-Апр-26, 11:54   +/
Попытка съехать с темы полностью провалилась. И лишь подтвердила недолёкость решений арча.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #31

27. Сообщение от Анрнип (?), 06-Апр-26, 11:57   –1 +/
В этом и заключается игра в Арч, что пользуешься компьютером и постоянно чинишь то что итак раньше работало в случайное время.  
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #47

30. Сообщение от Аноним (-), 06-Апр-26, 11:58   +1 +/
> Использую ufw. Надеюсь его не поломали.

Эта байда для совсем уж пользователей windows firewall. Кусок крапа на питоне спамящий в сислоги.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

31. Сообщение от Аноним (-), 06-Апр-26, 11:59   +/
> Попытка съехать с темы полностью провалилась. И лишь подтвердила недолёкость решений арча.

Вообще-то iptables-nft это как таковой iptables - портированый на бэкэнд NFT. А классический бэк это вообще легаси махровое.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #40, #61

32. Сообщение от Аноним (-), 06-Апр-26, 12:06   +/
> Хоть бы мелкую сводку по nftables добавили)
> Nftables:
> 1) один инструмент, вместо 4х (iptables, ip6tables, arptables, ebtables).
> 2) весь набор правил применяется как одно, а не по отдельности
> 3) есть sets и maps - удобная работа с огромным списком правил

4) Офоад разрюханых flow чтоб не жевать пакеты.
5) Нормальный интерфейс nfqueue позволяющий внешними приблудами рюхать пакеты и потоки.

Не то чтобы это предел мечтаний, просто у остальных еще хуже.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

34. Сообщение от Аноним (34), 06-Апр-26, 12:14   +/
>Одними словом смузиненужно.

Ты попутал берега. nftables это тру.

В связи с этим возник вопрос. nftables в ядре и отдельно существующий пакет nftables чем-то отличаются? Как они в связке работают? Ну понятно что пакет - это юзерспейс.

Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от rm1 (?), 06-Апр-26, 12:34   +3 +/
958) синтаксис максимально удолбанный и неудобный, по сравнению с тем что было раньше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #38, #44, #70, #76

36. Сообщение от Аноним (36), 06-Апр-26, 12:40   +5 +/
На самом деле именно подобное - самый правильный подход. Заменять ключевые компоненты системы надо когда альтернатива стабильна, а не тащить полу-готовый прототип в умолчания (привет вейланд, пульсаудио, пайпварь, самое свежее ядро с его експериментальными билд-опциями).
Сначало оно должно работать....
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #41, #55, #58, #68

37. Сообщение от Аноним (36), 06-Апр-26, 12:43   +2 +/
Переходи на Opensnitch - им можно выборочно настроить какие бинарники и с какими опциями пу скать в сеть (с интерактивным запросом), плюс класические правила, плюс гуй.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #65

38. Сообщение от Аноним (36), 06-Апр-26, 12:44   +/
ты всегда можешь пользоватся старым интерфейсом с новым движком
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

39. Сообщение от Аноним (39), 06-Апр-26, 12:46   +1 +/
> Ээээ... а их в арчелинуксах кто-то руками пишет? А зОчем?

Затем что всякий кастом по другому особо и не получится. Странно.

> Что у арчевода на дЫсктопе (Про "на сервере в продакшУн" н-нинада) может
> быть такого, что потребует аж прям ручной пилёжки iptables? Доскер-через-доскер и
> сам прекрасно едет, opensnitch какой тоже сам справляется...

Весь этот печальный корпоративный крап никак не поможет при более-менее кастомных нуждах. И к тому же одуплять в автогенеренное спагетти iptables куда менее эпично.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #56

40. Сообщение от Аноним (40), 06-Апр-26, 12:47   +2 +/
Сломается все равно всё у всех. Всё что может сломаться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #43

41. Сообщение от Аноним (39), 06-Апр-26, 12:47   +/
> умолчания (привет вейланд, пульсаудио, пайпварь, самое свежее ядро с его експериментальными
> билд-опциями).
> Сначало оно должно работать....

У вас никто ничего не занимал - поэтому никтом вам ничего не должен. Но вы можете потребовать свои деньги назад. И не, спецом ради всяких некрофилов "мытакривыклиничегомеенятьненадо!!!111" никто мир на паузу не поставит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

42. Сообщение от Аноним (40), 06-Апр-26, 12:48   +/
Мода на nft безвозвратно ушла, а они только спохватились.
Ответить | Правка | Наверх | Cообщить модератору

43. Сообщение от Аноним (39), 06-Апр-26, 12:49   +/
> Сломается все равно всё у всех. Всё что может сломаться.

Не знаю что там у кого сломается, я уж эн лет как фигачу nft в нативном его режиме и мне попытки сэмулировать привычный интерфейс путем првязки вожжей к рулю вообще не очень то и нужна. Я и напрямую nft покомандую на отлично. И ничего особо не ломается.

А то что раз в ..цать лет я разучил иной файер - зато и возможностей получил немеряно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

44. Сообщение от Аноним (39), 06-Апр-26, 12:50   +/
> 958) синтаксис максимально удолбанный и неудобный, по сравнению с тем что было
> раньше

Только для тривиальных сетапов. Чуть менее тривиальные - и все ровно наоборот. Айпитаблес становится ужасным спагетти.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

46. Сообщение от Frestein (ok), 06-Апр-26, 13:08   +1 +/
Странное решение сбивающее с толку. nftables пакет тогда для чего?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

47. Сообщение от Жироватт (ok), 06-Апр-26, 13:10   +/
Где вы так умудряетесь систему ломать в раче, чтобы приходилось её *чинить*?
Нет, даже интересно, лол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #49, #64, #72

48. Сообщение от Жироватт (ok), 06-Апр-26, 13:12   +/
Если оно работает и решает свою задачу - то зачем менять без веской причины?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

49. Сообщение от Аноним (49), 06-Апр-26, 13:26   +/
Недавно, вот, в арче обновился Clover, что до этого пару лет стоял и есть не просил, и внезапно перестал видеть /boot/ на btrfs, хотя и конфиги на месте, и модуль для btrfs он себе установил - вот не видит и всё тут. Благо, что неподалёку был раздел на FAT32 - ядро вручную туда скинул и тогда всё поехало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

50. Сообщение от Аноним (50), 06-Апр-26, 13:46   +/
>>только забыли про правило: работает - не трож!
> Такое правило в ходу только у мальчиков компьютерщиков. Которые не понимают что
> делают. И если у них что то заработало то они над
> этим трясутся и боятся трогать, так как может сломаться. А починить
> они не в силах. Порой даже не обновляют.
> Более менее грамотные специалисты меняют систему под изменившиеся обстоятельства.

Такое правило у всех, кто из школьного возраста вышел, и вылупился из ноутаферов, которые только и делают, что свой Арч обновляют, в нормальные социальные существа, с семьями, работой, которая не будет отнимать времени на себя 24/7, на тех людей, у которых интересы ещё есть за пределами необходимости чахнуть над железом и крапокодом, которые полноценно IRL живут. Да, такие есть, представьте себе, а всякие хикканы-ноулайферы, которым их аутизм зацикленный не даёт выбраться за пределы своих зацикленных интересов, это как раз не норма, без какого-либо негатива к аутистам ;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

51. Сообщение от НяшМяш (ok), 06-Апр-26, 13:52   +/
iptables-nft конвертирует классические правила iptables для работы поверх nftables. Для тех, у кого много легаси и просто не хочет переходить на новый формат. Эти пакеты не заменяют друг друга, а дополняют. У кого сразу все правила в nft, iptables могут даже не ставить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #74

52. Сообщение от Аноним (50), 06-Апр-26, 13:54   +/
>>Для восстановления правил после замены реализации iptables следует проверить файлы /etc/iptables/iptables.rules.pacsave и /etc/iptables/ip6tables.rules.pacsave. Пользователям рекомендуют внимательно оценить работоспособность используемых правил межсетевых экранов и при необходимости откатиться на пакет iptables-legacy.
> Типичный рач. В NixOS, когда в системе что-то меняют, при пересборке системы
> возникает ошибка, пользователь остаётся на старой, заведомо рабочей сборке и сразу
> же видно, что нужно пойти в конфиг и отредактировать его руками.
> В арче, нужно во-первых читать новости, а во-вторых, руками внимательно оценивать
> не отвалилось ли что.

Я вам страшную тайну открою, мусье набрасыватель неправды. Когда в NixOS что-то меняют, кстати нередко просто чтобы поменять, потому что так захотела левая пятка разраба, пользователь после обновы отгребёт варнингов и откатывается на прошлую генерацию, и для того чтобы ему выяснить, как же починить то, что в нормальных дистрах здорового человека не ломали бы, нашему мамкиному какиру-никсоснику также нужно читать чейнжлоги и выяснять что-то там поменялось в синтаксисе конфига никсоси из-за очередной блажи никсосных разрабов. Но, в отличие от рачика, в котором всё что нужно лежит в одной арчевике, у никсосников актуальную инфу по изменениям в дистре найти, это ещё тот квест, потому что она ещё размазанна по разрозненным ресурсам, часть из них даже официального статуса не имеет. Для чего нужно идти вопрошать либо в натужное токсичное ру-собщество ЧСВшников-илитариев. Либо идти к англоговорящему сообществу в дискорд или ещё куда-то выяснять что на сегодня из этой россыпи ресурсов актуально. Или же постоянно держать руку на пульсе по этому вопросу и следить за трендами. А это не то что для дистров здорового человека дичь, это даже на фоне рачика дичь лютая.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

55. Сообщение от Аноним (55), 06-Апр-26, 14:40   +/
Ну вот пайпварь почти лишняя в этом списке - очень хорошо работает и проблем минимум.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

56. Сообщение от User (??), 06-Апр-26, 14:52   –2 +/
- Деточка, да что ж ты такого на компьютере-то делаешь?
- Программы!
- К-какие?
- Разные! Не такие, как ты111 Кастомный кастом кастомно кастомим!

Ну прелесть просто.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

57. Сообщение от Анонимemail (57), 06-Апр-26, 15:12   –1 +/
С таким подходом можно и дырку в штанах сзади сделать. Какой-нибудь гей-гомогей сам после этого справится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #67

58. Сообщение от px (??), 06-Апр-26, 15:33   +/
Это немного безумно, в контексте обсуждения Арча. Для любителей полежалых версий, есть огромное количество других дистрибутивов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

59. Сообщение от Аноним (20), 06-Апр-26, 15:47   +/
>и для того чтобы ему выяснить, как же починить то, что в нормальных дистрах здорового человека не ломали бы

Вот ни разу никто так и не написал, что там у него поломали, что он никак починить не мог.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

61. Сообщение от уп (?), 06-Апр-26, 16:33   +/
> легаси махровое

Правда?

https://www.netfilter.org/projects/iptables/downloads.html#i...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

62. Сообщение от уп (?), 06-Апр-26, 16:35   +/
Вместо pf.
Ответить | Правка | Наверх | Cообщить модератору

63. Сообщение от Аноним (63), 06-Апр-26, 17:57   +/
Пакет iptables-nft существует сто лет в обед. Кому горело - перешел на него сразу. Кто не хотел, имел время наподумать / освоиться с новым.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

64. Сообщение от анон (?), 06-Апр-26, 17:59   +/
Ничего особенного делать не надо, просто  "pacman -Syu". Какие гарантии есть что это ничего не сломает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #73

65. Сообщение от Аноним (63), 06-Апр-26, 18:02   +/
Одно другому не мешает. Можно классическим iptables/nft фильтровать все входящие и проходящие, а снитчем - исходящие от приложений.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

66. Сообщение от Аноним (63), 06-Апр-26, 18:10   +/
Классический NixOS, это когда его пользователи не знают, как оно всё в их волшебном декларативном конфиге вообще работает. Всё равно завтра всё опять поменяется до неузнаваемости.
А в Арче обычный пользователь сначала прочитает `man pacman`, и потом, обновлясь, следит за появлением .pacnew и мержит - `man pacdiff`. И ничего у него десятилетиями не отваливается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

67. Сообщение от User (??), 06-Апр-26, 18:26   +/
Арчевод-затейник? Чот мне подсказывает, что так ты себе партнёра не найдёшь...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

68. Сообщение от АнонимКо (?), 06-Апр-26, 18:30   +/
> На самом деле именно подобное - самый правильный подход. Заменять ключевые компоненты
> системы надо когда альтернатива стабильна, а не тащить полу-готовый прототип в
> умолчания (привет вейланд, пульсаудио, пайпварь, самое свежее ядро с его експериментальными
> билд-опциями).
> Сначало оно должно работать....

Вы тут со всех сторон правы, за исключением одного - это всё не про Арчик!
Арчик это про "с пылу с жару, только из под апстрима" и погнали забеги по граблям в погоне за ловлей блох! Блидинг эдж, мать его. xD

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

69. Сообщение от Аноним (69), 06-Апр-26, 19:06   +/
это токен
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

70. Сообщение от Аноним (70), 06-Апр-26, 19:46   +/
Если программировать умеешь -- отличный синтаксис, удобный и понятный. Проблемы с nft у тех, кто только со стаковерфлоу умеет готовые заклинания копипастить. Вот для этого случая синтаксис у nft совсем плохой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

72. Сообщение от ЛщЛ (?), 06-Апр-26, 20:17   –1 +/
> Где вы так умудряетесь систему ломать в раче, чтобы приходилось её *чинить*?
> Нет, даже интересно, лол.

В смысле, достаточно просто им пользоваться на постоянной основе, а не на ютубе проходить! ;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

73. Сообщение от я знаю что это (?), 06-Апр-26, 21:43   +/
Гарантий нет. Недавно столкнулся с тем, что ядро обновилось вперед компилятора, изза чего система перестала стартовать. С этим косяком сталкиваюсь не впервой, но он происходит редко. Лечится чрутом и повторной попыткой обновления, где и выскакивает запоздалый пакет llvm или gcc.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

74. Сообщение от Аноним (74), 06-Апр-26, 22:00   +/
> iptables могут даже не ставить.

Ты не сможешь не ставить iptables, так как это жёсткая зависимость iproute2, что в свою очередь является такой же зависимостью base в Arch. Можно, конечно, выпилить принудительно, но это уже совсем другая песня.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

75. Сообщение от Аноним (75), 06-Апр-26, 23:16   +/
В nftables нет ipset.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #77

76. Сообщение от анон (?), 06-Апр-26, 23:58   +/
по синтаксису почти старый добрый и понятный pf из фряхи
не знаю кому запоминается iptables, по мне так вообще не читаемый
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

77. Сообщение от анон (?), 06-Апр-26, 23:59   +/
и слава богу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру