https://www.opennet.ru/openforum/vsluhforumID3/129338.html Опубликован выпуск пакетного фильтра nftables 1.0.6, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58378<br> https://www.opennet.ru/openforum/vsluhforumID3/129338.html#40 Sat, 24 Dec 2022 15:56:52 GMT Все же firewalld появился чуть ли не за десять лет до начала работ над nftables. И придумали его чтобы на уровне объектных абстракций рулить плоскими правилами iptables. Как итог на выходе получалась укурочная дичь, которая более-менее работала как примерно ожидалось. Про производительность получившихся макарон никто особо не задумывался, для производительности правила вручную обтачивались надфилем с тотальным упрощением всего и вся.<br> https://www.opennet.ru/openforum/vsluhforumID3/129338.html#39 Sat, 24 Dec 2022 12:11:12 GMT Nftables не выключен,ему там просто надо донастроить. Gentoo-sources и дополнительно с патчами RT<br> https://www.opennet.ru/openforum/vsluhforumID3/129338.html#38 Sat, 24 Dec 2022 12:09:18 GMT не, разница на линейных портянках проявится уже на первой сотне правил. Танцы с ipset'тами как-то ситуацию выправляют, но тоже как раз в районе ~1k элементов в сете тоже начнет проигрывать nftables'ам.<br> https://www.opennet.ru/openforum/vsluhforumID3/129338.html#37 Sat, 24 Dec 2022 11:58:14 GMT iptables в автозагрузке у вас срабатывает только потому, что добрый дядя, собравший вам ядро, уже эти настройки ткнул. Сегодня он их ткнул для iptables, завтра будет тыкать для nftables, а вам для оживления iptables тыкать эти настройки самостоятельно. Кстати, что за такой NIH-дистрибутив, у которого nftables в ядре выключен?<br> https://www.opennet.ru/openforum/vsluhforumID3/129338.html#36 Sat, 24 Dec 2022 10:52:11 GMT Правила Nfables у меня в /var/lib/nftables, а где они лежат у Iptables я не знаю. Просто эти 20 строчек копирую в xterm.<br> https://www.opennet.ru/openforum/vsluhforumID3/129338.html#35 Sat, 24 Dec 2022 10:49:03 GMT ХЗ. Iptables я только устанавливаю и в автозагрузку добавляю по сути, а Nftables надо в паре мест ткнуть при настройке ядра. Иначе при тех же в принципе правилах что и в Iptables только приведенные к пониманию Nftables, он не распознает что-то там. Имею ввиду ванильное ядро и его настройки по умолчанию. Вот этого мне недостаточно.<br> https://www.opennet.ru/openforum/vsluhforumID3/129338.html#34 Sat, 24 Dec 2022 09:52:00 GMT Ну, это не совсем оно.<br>Это документация по нетфильтру. К ней претензий нет.<br>А в том месте где упоминается nftables мы имеет те же самые 5 вики-страниц, состоящих из примеров без пояснений. <br><br>PS: не даром шляпники для него фронтенд (firewalld) накалякали. Понимают, что в проде, когда нужно быстренько включить доступ сетевому сервису на куче узлов, этот обфусцированный набор правил полезен, как лысому расческа.<br> https://www.opennet.ru/openforum/vsluhforumID3/129338.html#33 Sat, 24 Dec 2022 09:40:07 GMT Для вас не будет открытием, что для iptables надо тоже включать дополнительные примочки, без которых iptables'у из userspace просто некуда будет загружать правила?<br> https://www.opennet.ru/openforum/vsluhforumID3/129338.html#32 Sat, 24 Dec 2022 02:50:51 GMT Вас не поймёшь: то unix-философию выдумываете себе, то строки фаерволлом фильтруете. Фаерволл &#8212; это l3, строки четырьмя этажами выше.<br>