| 1.6, Аноним (6), 03:05, 06/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Глубину стека только надо не 16 сделать, а 64 и тогда можно пользоваться...
| | |
| |
| 2.17, Tty4 (?), 11:30, 06/12/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
IP tables имеет куда более понятным подход при написании. Только читать его сдуреешь. Тут тоже можно сделать очень сложные цепочки, но некоторые простые задачи получаются переусложненными.
| | |
| |
| 3.57, Аноним (57), 13:49, 07/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Вполне можно писать правила в стиле iptables: одна строка - одно правило. С тем дополнением, что в nftables прямо в правиле можно перечислять список портов через запятую.
| | |
| |
| 4.60, Аноним (60), 14:39, 07/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Так это legacy режим. Спрашивается, нафига вообще тогда переходить с iptables.
| | |
| |
| 5.62, rhbm (?), 18:10, 07/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
потому что мы их вам запретили, разумеется!
И разработчики уже давно даже и не пытаются делать вид что поддерживают эту немодную устаревшую технологию. Любое мелкое улучшайсто сетевого стека, которое поломает их окончательно - приведет к тому что этот немодный код объявят неправильным и выбросят совсем.
Ну а режим совместимости у нас совместим примерно с нашим файрволом по умолчанию из 2000го года. Примитивный конфиг из десятка правил. А его ты как-нибудь и в новом формате бы смог.
Так что бороться бесполезно, привыкай.
| | |
|
|
| 3.76, Аноним (76), 11:32, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Мне наоборот iptables кажется шифрограммой. nftables намного чище и понятнее.
| | |
| |
| 4.80, Аноним (80), 13:37, 08/12/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> nftables намного чище и понятнее
Так может написать только тот, кто настраивал сабж очень тривиально и поверхностно :)
| | |
|
|
| 2.81, Аноним (80), 13:39, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Пользуюсь на своих серверах.
Рискну предположить, что это localhost. Иначе бы обплевался из-за крайне запутанного синтаксиса.
| | |
| |
| 3.90, Аноним (-), 08:21, 09/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Рискну предположить, что это localhost. Иначе бы обплевался из-за крайне
> запутанного синтаксиса.
Наоборот. Сколь-нибудь сложные рулесеты в iptables - совершенно не читаемы. А вот для сабжа их можно структурировать более менее. Так что админ нелокалхоста типа - спалился.
| | |
|
|
| 1.13, Аноним (13), 09:54, 06/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А есть какие то понятные туториалы по nftables чтобы пацаны могли легко понять?
| | |
| |
| |
| |
| 4.83, Аноним (-), 07:19, 09/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Надо чтобы на русском ну ты понял да. И попроще было.
Тады иди в поле, или сталеваром там каким, там это может и прокатит. И черт с ними с файрволами.
| | |
|
| 3.54, нах. (?), 13:30, 07/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
может, скажем ему... хотя зачем... улыбаемся и машем.
Правильный ответ для тредстартера: нет и не надейся что будет. Даже документации как таковой нет и не будет.
| | |
|
|
| 1.25, Ванька с огорода (?), 16:18, 06/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 прекрасный release, без документации. Кто найдет ссылку на описание (лучше из официальной документации) на описание блока конфигурации "tunnel xx {...}" , тот огурец!
| | |
| |
| 2.72, Eifan (?), 00:33, 08/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
А у nfttables никогда не было документации (десяток вики-страниц, из которых треть не работает и еще треть уже неактуальны) не в счёт.
Не барское это дело - документацию писать.
| | |
| |
| 3.78, нах. (?), 13:19, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Не барское это дело - документацию писать.
на всякий случай напомню, что документация к iptables (не man page и недовика, а - документация) - тоже написана холопьями.
И тоже крайне обрывочная и неполная.
| | |
|
|
| |
| 2.31, Аноним (-), 22:37, 06/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
На сколько я знаю не существует такого понятия "туннель через файрвол". Ты просто открываешь порт, которым пользуется твой VPN. Файрвол - это защитная стена. Ты можешь настроить, какие "двери" в нём можно открыть, а какие закрыть. Ты можешь настроить режим работы этих "дверей" например, не отвечать на подозрительные запросы извне, или ограничить количество запросов определённым числом.
| | |
| 2.35, Аноним (35), 01:32, 07/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
С чего ты взял, что nftables - это фаервол? Это значительно больше, чем фаервол.
Сказано-же: заменяет iptables, ip6table, arptables и ebtables. Ты хотя бы приблизительно представляешь, зачем были нужны arptables и ebtables?
| | |
|
| |
| 2.44, Аноним (-), 07:37, 07/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
ufw работает только на Ubuntu. На других дистрах его нет, ну мэйби Дебиан?
| | |
| |
| 3.52, rhbm (?), 13:28, 07/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
на "других" есть firewalld. Ради которого в общем-то мы и придумали эту невменяемую перегруженную закорючками хернотень вместо человекочитаемых iptables.
Ну и что что нельзя ограничивать source address? Наши экспертные-эксперты решили что и так сойдет!
| | |
| |
| |
| 5.79, нах. (?), 13:25, 08/12/2025 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> В firewalld нельзя src?
штатным способом - нет. Разьве что костылем через rich rules (а тогда нахрена ж оно ненужно)
Их задумка (понятно, пошедшая с локалхоста того васяна что и реализовал эту недоделку) - интерфейс->зона->сервис
т.е. грубо говоря к интерфейсу привязывается зона в которой определены "сервисы" (а на самом деле просто порты)
ну куда ты тут собрался воткнуть проверку для source?
Тут всю систему менять надо, сперва перевешав все политбюро.
| | |
|
|
|
| 2.84, Аноним (-), 07:24, 09/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Слишком сложно. Спасибо, что существует ufw.
Экскаватор - слишком сложно. Ведь есть палка-копалка с интуитивным интерфейсом. Все так, но...
| | |
|
| 1.48, Аноним (50), 10:14, 07/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
iptables -> nftables = пожалуй, самая лучшая трансформация, которая произошла в линуксе за все время его существования.
| | |
| |
| 2.66, Аноним (66), 21:51, 07/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
В руководствах по чему угодно всегда так или иначе упоминается настройка iptables. А про nftables молчок. Точно трансформировались?
| | |
| |
| 3.67, aim (ok), 22:26, 07/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
 а в 98 везде был ipfwadm в руководствах. и что теперь, не надо было в ядре 2.2 переходить на ipchains, а затем в 2.4 ядре на iptables?
| | |
| |
| 4.68, Аноним (66), 22:54, 07/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я как бы не против nftables, я просто их в обиходе не встречаю. Вот чтобы мне пришлось конфиг написать, к примеру. Существование системды например совершенно неоспоримо - с ним сталкиваешься постоянно.
| | |
| |
| 5.69, aim (ok), 23:07, 07/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Я как бы не против nftables, я просто их в обиходе не
> встречаю. Вот чтобы мне пришлось конфиг написать, к примеру. Существование системды
> например совершенно неоспоримо - с ним сталкиваешься постоянно.
ubuntu 20.04+
debian 10+
rhel 8+
fedora
все они используют nftables в качестве основного fw
| | |
| |
| 6.71, a (??), 23:47, 07/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ага, а при сетапе от docker до k8s все равно используют iptables. Особенно в k8s.
| | |
| |
| 7.74, Аноним (73), 04:19, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
А потому что, что iptables это сейчас как стандартные цепочки, уже с хорошо известным flow. В nftables, же, можно не ветвиться от трёх базовых.
| | |
| |
| 8.88, Аноним (-), 08:18, 09/12/2025 [^] [^^] [^^^] [ответить] | +1 +/– | iptables сейчас - лишь другая морда для nftables делающая трансляцию тех древнос... текст свёрнут, показать | | |
|
| 7.82, нах. (?), 13:50, 08/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Ага, а при сетапе от docker до k8s все равно используют iptables.
дыркер не совсем доисторических версий умеет в firewalld а не напрямую в iptables.
А тому все равно что генерить на выходе (так и так бредятина выходит).
ну и в единственноверном podman тоже все хорошо.
Пользуемые k8s должны страдать!
| | |
| |
| 8.92, aim (ok), 13:29, 09/12/2025 [^] [^^] [^^^] [ответить] | +/– | и docker engine 1 и kubernetes 2 научились в нативный nftables в 2025 1 ht... текст свёрнут, показать | | |
|
| 7.86, Аноним (-), 08:16, 09/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Ага, а при сетапе от docker до k8s все равно используют iptables. Особенно в k8s.
Но по факту это будет - лишь трансляция в nftables.
| | |
|
| 6.85, Аноним (-), 08:15, 09/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> все они используют nftables в качестве основного fw
Даже опенврт несчастный - на него перешел. Пусть и на урезанный из бизибокса, чтоли, если не ошибаюсь. У которого хелп совсем на минималках и если вы в нем не эксперт, то будет довольно душновато по началу.
Но на самом деле крутая штука. А в паре с nfqueue так и вовсе чудеса творит.
| | |
|
|
|
|
|
| 1.91, Аноним (91), 13:05, 09/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Сведующий, анон.
Вот на микротике у меня нет firewall правил с ip адресами.
Interface list (IL) -> IL, обратно established, related.
Покажи тоже самое для nftables
| | |
|
