https://ns.opennet.ru/openforum/vsluhforumID3/50862.html Вниманию общественности представлен (http://marc.info/?l=linux-netdev&m=123735060618579&w=2) первый публичный выпуск проекта nftables, новой реализации пакетного фильтра для Linux, идущего на смену iptables, как в свое время iptables пришел на смену ipchains, а ipchains заменил собой ipfwadm. Главным отличием nftables, является не только изменившийся синтаксис задания правил, но и совершенно новый подход в их трансляции: определенные пользователем правила теперь преобразуются в специальный объектный код, который используется для принятия решения по дальнейшим действиям с пакетом внутри ядра. <br><br><br><br>Для формирования правил фильтрации в nftables представлена утилита nft , которая проверяет корректность правил и транслирует их в псевдокод. Правила теперь могут добавляться не только инкрементально, но и загружаться атомарно целиком из файла на диске, как это сделано, например, в пакетном фильтре PF.<br><br><br>По заявлению разработчиков, код nftables еще находится на стадии альфа тестирования и ...<br><br>URL: http://marc.in https://ns.opennet.ru/openforum/vsluhforumID3/50862.html#56 Fri, 26 Jan 2018 12:18:12 GMT Как же вы любите Херами помериться. Я не знаю на чем основан фаервол в микротиках(учитывая что он на ядре линукс) но реализация мне там очень нравится. так же надеялся что в NFTCLI сделают что то вроде интерактива с табуляцией и динамической справкой. Ну и подсветка синтаксиса не помешала бы. В общем пока в OSourse -е "Лебедь, рак и щука" есть хорошие идеи но реализовать их качественно не получается, а жаль. Внедряют что то новое не доработав старое(в частности не к IPTables) и каждый режет свое. <br> https://ns.opennet.ru/openforum/vsluhforumID3/50862.html#55 Tue, 24 Mar 2009 04:30:35 GMT &gt;в BSD только... в linux к сожалению нет. <br><br>Вроде как есть порт pf в Windows<br> https://ns.opennet.ru/openforum/vsluhforumID3/50862.html#54 Tue, 24 Mar 2009 04:28:41 GMT &gt;&gt;Интересно, синтаксис iptables ужасен, новый nftables мне нравится, хотя лучше pf-а ещё <br>&gt;&gt;нечего не видел, для конечно. <br>&gt;<br>&gt;Наоборот, синтаксис iptables устраивает полностью. <br>&gt;А пример из текста новости совершено не читабелен. <br>&gt;<br>&gt;Неужели Вам ЭТО понятнее правил iptables? <br><br>Давай более простой вопрос.<br>Ты вообще видел и использовал pf ?<br>Если нет, тогда собственно и разговаривать не о чем.<br> https://ns.opennet.ru/openforum/vsluhforumID3/50862.html#53 Mon, 23 Mar 2009 14:30:53 GMT Похоже что разработчики iptables наконец-то прочитали faq по pf и наконец-то увидели, как они были не правы.<br>Решили срочно исправиться и все переделать ...<br> https://ns.opennet.ru/openforum/vsluhforumID3/50862.html#52 Mon, 23 Mar 2009 09:43:39 GMT не вижу прорыва.<br>заменили одну хорошую реализацию на другую (надеюсь не менее хорошую). <br>смысл такой переработки? <br>лучше бы замену tc написали, вот там действительно стоило бы пересмотреть<br>подход к конфигурации. потому что динамически изменять правила в этом<br>говнище крайне геморройно.<br> https://ns.opennet.ru/openforum/vsluhforumID3/50862.html#51 Sun, 22 Mar 2009 07:25:56 GMT &gt;кстати по ссылке человек выбрал pf потому что видно не прочёл man <br>&gt;natd, который поверьте более объёмен чем секция "Translation" в man pf.conf. <br>&gt;<br><br>ну не смешите =)<br>и binat там несомненно есть )))) <br> https://ns.opennet.ru/openforum/vsluhforumID3/50862.html#50 Sun, 22 Mar 2009 02:00:38 GMT Ну из плюсов очевидно подедржка обоих протоколов v4/v6 и бриджинг ну и соответственно наборы (sets), когда можно одним правилом решить то на что раньше нужно было городить тучу.<br> https://ns.opennet.ru/openforum/vsluhforumID3/50862.html#49 Sat, 21 Mar 2009 16:49:06 GMT &gt;Интересно, синтаксис iptables ужасен, новый nftables мне нравится, хотя лучше pf-а ещё <br>&gt;нечего не видел, для конечно. <br><br>Наоборот, синтаксис iptables устраивает полностью.<br>А пример из текста новости совершено не читабелен.<br><br>Неужели Вам ЭТО понятнее правил iptables?<br> https://ns.opennet.ru/openforum/vsluhforumID3/50862.html#48 Sat, 21 Mar 2009 16:18:51 GMT кстати по ссылке человек выбрал pf потому что видно не прочёл man natd, который поверьте более объёмен чем секция "Translation" в man pf.conf.<br>