forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Выпуск пакетного фильтра nftables 1.0.2, opennews (??), 21-Фев-22, (0) [смотреть все] +2

Не, забавно, конечно, а может, и удобно Но каждый раз когда начинают сыпать сах, InuYasha (??), 23:38 , 21-Фев-22, (1) +3 //

Скрыто модератором, Аноним (4), 00:04 , 22-Фев-22, (4) +5 //

Скрыто модератором, YetAnotherOnanym (ok), 01:21 , 22-Фев-22, (7) +1

это типа конкатенация такаяПосле оптимизации все, что в скобках можно выписать в, Аноним (36), 12:59 , 22-Фев-22, (36)

А ICMP и IGMP не фильтрует что ли , Аноним (2), 23:40 , 21-Фев-22, (2) //

Фильтрует Но для примера лучше самые попсовые , llolik (ok), 23:45 , 21-Фев-22, (3)

RК сожалению, ничего лучше pf в мире брандмауэров до сих пор не придумано , Ан (??), 01:10 , 22-Фев-22, (5) +4 //

Я вот тоже все поглядываю на замены, но что то не вижу альтернатив Вот где еще, Azudim (??), 02:16 , 22-Фев-22, (10) +2 //

Надо структурировать задачи и подойти к её решению со стороны zone based firewal, Аноним (14), 05:50 , 22-Фев-22, (14) –1
media-sound mpdLatest version available Latest version installed Not Insta, Аноним (32), 11:55 , 22-Фев-22, (32) –4 //

http mpd sourceforge net , Sin2x (ok), 12:28 , 22-Фев-22, (35) +4

дык проще простого, пиши програмку с читабельным конфигом, которая компеляет ент, pfg21 (ok), 12:26 , 22-Фев-22, (34)
Ну если на мир смотреть через дырку в сортире, кроме жопы ничего и не видно прос, пох. (?), 10:18 , 03-Мрт-22, (50)

Поправил тебя Можешь не благодарить P S И находятся же еще в мире странные сущ, Anon090807 (?), 09:42 , 22-Фев-22, (19) –2 //

Ну если быть совсем точным, то iptables - это не брандмауэр, а набор управляющих, llolik (ok), 10:25 , 22-Фев-22, (22) +2
А есть возможность с IPTABLES прослушать трафик на всех портах разом и выяснить , Azudim (??), 14:49 , 22-Фев-22, (41) //

modprobe nf_logiptables -t raw -I PREROUTING критерий выбора пакета -j TRACE, Аноним (4), 18:31 , 22-Фев-22, (45)

только nf_log_ipv4 угу, очередное поулучшайкали sysctl который это активировал, , пох. (?), 13:04 , 03-Мрт-22, (51)

Agnitum Outpost Firewall, Аноним (31), 11:40 , 22-Фев-22, (31) –2

Какой-то ад, по-моему Пфом по функционалу оно не стало А синтаксис для среднес, Аноним (6), 01:15 , 22-Фев-22, (6) +11 //

Я тут с дебиана 9 на 11 переводил VDSку, так и не разобрался, даже по статьям св, Аноним (8), 01:37 , 22-Фев-22, (8) +2 //

Через прослойку вполне нормальный подход Все знакомые так делали Импорт, экспо, mumu (ok), 01:49 , 22-Фев-22, (9) //

Зная о том как пишутся костыли гхм прослойки и прочие трансляторы, я бы переписа, Аноним (6), 02:48 , 22-Фев-22, (11)

Что уж, перепишите А мне - оно и так работает , Sultan (?), 10:29 , 22-Фев-22, (24)
Там сложность в том, что в iptables куча сторонних модулей, трансляцию синтаксис, Sultan (?), 11:22 , 22-Фев-22, (30)

Кто ж виноват, что Вы не готовились заранее Да и правила iptables в большинстве , Аноним (14), 05:48 , 22-Фев-22, (13) //

А как сделать перенаправление с виртуального dev tap_vpn на внешний интерфейс , Аноним (8), 09:44 , 22-Фев-22, (20)

Тут сумбур какой-то Опишите задачу ясней Половина ответа содержится в правильн, Sultan (?), 10:34 , 22-Фев-22, (25)

При запуске сервера запускается это ip address add 192 168 250 1 24 dev tap_vb0i, Аноним (43), 16:30 , 22-Фев-22, (43) –1

table inet filter set nat type ipv4_addr flags interval , Аноним (47), 11:07 , 24-Фев-22, (47)

и dnsmasq занимается динамическими IP, Аноним (43), 16:32 , 22-Фев-22, (44)

А по-моему, там всё отлично Именованные списки sets и maps - очень удобны, жаль, Аноним (14), 05:38 , 22-Фев-22, (12) –1 //

пример в студию, Sw00p aka Jerom (?), 06:52 , 22-Фев-22, (16) //

Точно так же, как в iptables Синтетический пример iif eth0 iif eth0 ii, Sultan (?), 10:26 , 22-Фев-22, (23)

gt оверквотинг удален это что за пример по какому линейному списку если прави, Sw00p aka Jerom (?), 12:08 , 22-Фев-22, (33)

Правила могут пересекаться как для разных интерфейсов, так и для сервисов В гугл, Sultan (?), 13:09 , 22-Фев-22, (37) –2

Кулсисопы негодуе, а сетевикам - каеф xD s, leap42 (ok), 06:39 , 22-Фев-22, (15) +1 //

Сетевики, однако, на цисках давно, и даже sdn все нихрена не на голых tables В , User (??), 10:05 , 22-Фев-22, (21) –1 //

Пиоэнэры админят свои циски привет 90е с венды через pussy exe, пока профи сид, leap42 (ok), 16:22 , 22-Фев-22, (42) +1 //

Вы так говорите, как будто в этом есть что-то плохое Ага На всех трех Настраив, User (??), 07:19 , 23-Фев-22, (46)

и сплошной ALLOW для всех А потом нвидия такая ой, даже верилоги поперли - кт, пох. (?), 13:09 , 03-Мрт-22, (52)

Один из немногих вменяемых фильтров пакетов , Sultan (?), 11:10 , 22-Фев-22, (29)

После systemd хоть камни с неба, Аноним (17), 06:55 , 22-Фев-22, (17) +3
что то не осилил как такую конструкцию втащить -A PREROUTING -p tcp -m tcp --dpo, Аноним (18), 08:22 , 22-Фев-22, (18) //

https stackoverflow com a 69178498 например, Аноним (4), 10:36 , 22-Фев-22, (26)
С ipset надо переписывать на named sets и named maps Например -A PREROUTING -m , Sultan (?), 11:09 , 22-Фев-22, (28)

Шли годы А документации по nftables нет, пара кривых, устаревших вики-страниц, Аноним (27), 10:42 , 22-Фев-22, (27) +3 //

man nft, Аноним (39), 13:54 , 22-Фев-22, (39) –2
как будто документация по iptables была чем-то хороша Последней качественной лин, пох. (?), 13:11 , 03-Мрт-22, (53)

Раз уж упомянули скажите, а вы SCTP часто используете , March_13 (?), 13:12 , 22-Фев-22, (38) //

Я сказал демону sshd использовать SCTP Работает Но не тестировал пропускную сп, Аноним (32), 14:02 , 22-Фев-22, (40)

Сообщения [Сортировка по времени | RSS]

6. "Выпуск пакетного фильтра nftables 1.0.2" +11 +/–

Сообщение от Аноним (6), 22-Фев-22, 01:15

Какой-то ад, по-моему. Пфом по функционалу оно не стало. А синтаксис для среднестатистического админа нетривиален. Вопрос знатокам: а зачем? Это под гуй тулзы делалось, чтоб для погроммистов мышкой писать окошки админам мышкой?
Пипитаблес звезд с неба не хватал, но был понятен и прозрачен. А для админа который без знаний погроммирования это важно.

Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск пакетного фильтра nftables 1.0.2" +2 +/–

Сообщение от Аноним (8), 22-Фев-22, 01:37

Я тут с дебиана 9 на 11 переводил VDSку, так и не разобрался, даже по статьям свежим не работает. В итоге через прослойку iptables сделал. Целый язык-фреймворк придумали. А надо было срочно перейти, т.к. я в команде chmod перед слешем точку не поставил.

Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск пакетного фильтра nftables 1.0.2" +/–

Сообщение от mumu (ok), 22-Фев-22, 01:49

Через прослойку вполне нормальный подход. Все знакомые так делали. Импорт, экспорт, потом немного править руками (define-ы те же). Всё работает как часы.
Нет ни одной причины что-то там писать с нуля, кроме академической.

Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск пакетного фильтра nftables 1.0.2" +/–

Сообщение от Аноним (6), 22-Фев-22, 02:48

Зная о том как пишутся костыли гхм прослойки и прочие трансляторы, я бы переписал с 0. Так спокойнее.
Зы. Посоны, война по ходу началась. Всем соболезную.

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск пакетного фильтра nftables 1.0.2" +/–

Сообщение от Sultan (?), 22-Фев-22, 10:29

Что уж, перепишите...
А мне - оно и так работает.

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск пакетного фильтра nftables 1.0.2" +/–

Сообщение от Sultan (?), 22-Фев-22, 11:22

Там сложность в том, что в iptables куча сторонних модулей, трансляцию синтаксиса которых...

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

13. "Выпуск пакетного фильтра nftables 1.0.2" +/–

Сообщение от Аноним (14), 22-Фев-22, 05:48

Кто ж виноват, что Вы не готовились заранее?
Да и правила iptables в большинстве случаев транслируются в nft без проблем, затем доводятся на свой вкус.
sets там просто шикарны.
Я использую такой скрипт для nftables:
<quote>
#!/usr/bin/bash
BACKUP_DIR="/var/backups/nftables"
NFTCONF_SRC="/etc/nftables.conf"
YR=$(date +'%Y')
MN=$(date +'%m')
DY=$(date +'%d')
TM=$(date +'%H%M')
if nft -c -f ${NFTCONF_SRC}; then
    if [[ ! -d ${BACKUP_DIR}/${YR}/${MN} ]]; then
        mkdir -p ${BACKUP_DIR}/${YR}/${MN}
    fi
    cp /etc/nftables.conf ${BACKUP_DIR}/${YR}/${MN}/nftables.conf-${YR}${MN}${DY}-${TM}
    /usr/sbin/nft flush ruleset
    /usr/sbin/nft -f ${NFTCONF_SRC}
    echo '#!/usr/sbin/nft -f' > /etc/nftables.conf
    echo "" >> /etc/nftables.conf
    echo "flush ruleset" >> /etc/nftables.conf
    echo "" >> /etc/nftables.conf
    nft -s list ruleset >> /etc/nftables.conf
fi
</quote>
Это позволяет избежать многих граблей.
В отличие от недоразумений вроде ufw и firewald - оно управляемо, т.к. не вносит гору информационного шума и оставляет возможность оптимизации порядка правил по счётчикам пакетов.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

20. "Выпуск пакетного фильтра nftables 1.0.2" +/–

Сообщение от Аноним (8), 22-Фев-22, 09:44

А как сделать перенаправление с виртуального /dev/tap_vpn на внешний интерфейс? Т.е. подключаюсь к сети сервера, но чтобы в инет через него?

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск пакетного фильтра nftables 1.0.2" +/–

Сообщение от Sultan (?), 22-Фев-22, 10:34

Тут сумбур какой-то. Опишите задачу ясней. Половина ответа содержится в правильно сформулированном вопросе.
Если вы приходите по впн, терминируемом сервером, то нужен просто NAT типо такого:
table ip nat {
        set lans {
                type ipv4_addr
                flags interval
                auto-merge
                elements = { 192.168.0.11,
                             192.168.0.12,
                             192.168.0.15-192.168.0.20 }
        }
        chain PREROUTING {
                type nat hook prerouting priority dstnat; policy accept;

        }
        chain INPUT {
                type nat hook input priority 100; policy accept;
        }
        chain POSTROUTING {
                type nat hook postrouting priority srcnat; policy accept;
                oif "eno2" ip saddr @lans counter masquerade
        }
        chain OUTPUT {
                type nat hook output priority -100; policy accept;
        }
}

Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск пакетного фильтра nftables 1.0.2" –1 +/–

Сообщение от Аноним (43), 22-Фев-22, 16:30

При запуске сервера запускается это:
ip address add 192.168.250.1/24 dev tap_vb0
iptables -t nat -A POSTROUTING -s 192.168.250.0/24 -j SNAT --to-source 8x.14x.4x.20x
и как это через nft?

Ответить | Правка | Наверх | Cообщить модератору

47. "Выпуск пакетного фильтра nftables 1.0.2" +/–

Сообщение от Аноним (47), 24-Фев-22, 11:07

table inet filter {
...
set nat {
        type ipv4_addr
        flags interval
        elements = {
                192.168.1.0/24,
                192.168.250.0/24
        }
...
    chain POSTROUTING {
        type nat hook postrouting priority srcnat; policy accept;
        oifname "OUT_INTERFACE" ip saddr @nat counter snat to 8x.14x.4x.20x
    }
}

Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск пакетного фильтра nftables 1.0.2" +/–

Сообщение от Аноним (43), 22-Фев-22, 16:32

и dnsmasq занимается динамическими IP

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

12. "Выпуск пакетного фильтра nftables 1.0.2" –1 +/–

Сообщение от Аноним (14), 22-Фев-22, 05:38

А по-моему, там всё отлично. Именованные списки sets и maps - очень удобны, жаль только, что не глобальны.
jump, так вообще - вещь, во многих случаях позволяющая избавиться от линейного поиска.
Вот подход линейных портянок pf и ipfilter без каких либо списков, на мой взгляд, не оптимальен - это подход а-ля Cisco acl 20-25 летней давности.
pf пригоден только как хостовый пакетный фильтр, и то часто хотелось бы большего.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

16. "Выпуск пакетного фильтра nftables 1.0.2" +/–

Сообщение от Sw00p aka Jerom (?), 22-Фев-22, 06:52

>jump, так вообще - вещь, во многих случаях позволяющая избавиться от линейного поиска
пример в студию

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск пакетного фильтра nftables 1.0.2" +/–

Сообщение от Sultan (?), 22-Фев-22, 10:26

Точно так же, как в iptables. Синтетический пример:
iif eth0 ...
...
iif eth0 ...
iif eth1 ...
меняем на
iif eth0 jump eth0-forward
table eth0 eth0-forward {
   ваши проверки
}
И пакеты не бегают по линейному списку

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск пакетного фильтра nftables 1.0.2" +/–

Сообщение от Sw00p aka Jerom (?), 22-Фев-22, 12:08

>[оверквотинг удален]
> iif eth0 ...
> ...
> iif eth0 ...
> iif eth1 ...
> меняем на
> iif eth0 jump eth0-forward
> table eth0 eth0-forward {
>    ваши проверки
> }
> И пакеты не бегают по линейному списку
это что за пример? по какому линейному списку если правила форвардинга никак не пересекаются с правилами фильтрации. Давайте конкретный полный пример, как с реализацией в iptables так и с nftables.

Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск пакетного фильтра nftables 1.0.2" –2 +/–

Сообщение от Sultan (?), 22-Фев-22, 13:09

Правила могут пересекаться как для разных интерфейсов, так и для сервисов.
В гугле всё есть - идите и берите "полный пример".

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

6. "Выпуск пакетного фильтра nftables 1.0.2"	+11 +/–
Сообщение от Аноним (6), 22-Фев-22, 01:15
Какой-то ад, по-моему. Пфом по функционалу оно не стало. А синтаксис для среднестатистического админа нетривиален. Вопрос знатокам: а зачем? Это под гуй тулзы делалось, чтоб для погроммистов мышкой писать окошки админам мышкой? Пипитаблес звезд с неба не хватал, но был понятен и прозрачен. А для админа который без знаний погроммирования это важно.
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Выпуск пакетного фильтра nftables 1.0.2"	+2 +/–
	Сообщение от Аноним (8), 22-Фев-22, 01:37
	Я тут с дебиана 9 на 11 переводил VDSку, так и не разобрался, даже по статьям свежим не работает. В итоге через прослойку iptables сделал. Целый язык-фреймворк придумали. А надо было срочно перейти, т.к. я в команде chmod перед слешем точку не поставил.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Выпуск пакетного фильтра nftables 1.0.2"	+/–
	Сообщение от mumu (ok), 22-Фев-22, 01:49
	Через прослойку вполне нормальный подход. Все знакомые так делали. Импорт, экспорт, потом немного править руками (define-ы те же). Всё работает как часы. Нет ни одной причины что-то там писать с нуля, кроме академической.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Выпуск пакетного фильтра nftables 1.0.2"	+/–
	Сообщение от Аноним (6), 22-Фев-22, 02:48
	Зная о том как пишутся костыли гхм прослойки и прочие трансляторы, я бы переписал с 0. Так спокойнее. Зы. Посоны, война по ходу началась. Всем соболезную.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Выпуск пакетного фильтра nftables 1.0.2"	+/–
	Сообщение от Sultan (?), 22-Фев-22, 10:29
	Что уж, перепишите... А мне - оно и так работает.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Выпуск пакетного фильтра nftables 1.0.2"	+/–
	Сообщение от Sultan (?), 22-Фев-22, 11:22
	Там сложность в том, что в iptables куча сторонних модулей, трансляцию синтаксиса которых...
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	13. "Выпуск пакетного фильтра nftables 1.0.2"	+/–
	Сообщение от Аноним (14), 22-Фев-22, 05:48
	Кто ж виноват, что Вы не готовились заранее? Да и правила iptables в большинстве случаев транслируются в nft без проблем, затем доводятся на свой вкус. sets там просто шикарны. Я использую такой скрипт для nftables: <quote> #!/usr/bin/bash BACKUP_DIR="/var/backups/nftables" NFTCONF_SRC="/etc/nftables.conf" YR=$(date +'%Y') MN=$(date +'%m') DY=$(date +'%d') TM=$(date +'%H%M') if nft -c -f ${NFTCONF_SRC}; then if [[ ! -d ${BACKUP_DIR}/${YR}/${MN} ]]; then mkdir -p ${BACKUP_DIR}/${YR}/${MN} fi cp /etc/nftables.conf ${BACKUP_DIR}/${YR}/${MN}/nftables.conf-${YR}${MN}${DY}-${TM} /usr/sbin/nft flush ruleset /usr/sbin/nft -f ${NFTCONF_SRC} echo '#!/usr/sbin/nft -f' > /etc/nftables.conf echo "" >> /etc/nftables.conf echo "flush ruleset" >> /etc/nftables.conf echo "" >> /etc/nftables.conf nft -s list ruleset >> /etc/nftables.conf fi </quote> Это позволяет избежать многих граблей. В отличие от недоразумений вроде ufw и firewald - оно управляемо, т.к. не вносит гору информационного шума и оставляет возможность оптимизации порядка правил по счётчикам пакетов.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	20. "Выпуск пакетного фильтра nftables 1.0.2"	+/–
	Сообщение от Аноним (8), 22-Фев-22, 09:44
	А как сделать перенаправление с виртуального /dev/tap_vpn на внешний интерфейс? Т.е. подключаюсь к сети сервера, но чтобы в инет через него?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Выпуск пакетного фильтра nftables 1.0.2"	+/–
	Сообщение от Sultan (?), 22-Фев-22, 10:34
	Тут сумбур какой-то. Опишите задачу ясней. Половина ответа содержится в правильно сформулированном вопросе. Если вы приходите по впн, терминируемом сервером, то нужен просто NAT типо такого: table ip nat { set lans { type ipv4_addr flags interval auto-merge elements = { 192.168.0.11, 192.168.0.12, 192.168.0.15-192.168.0.20 } } chain PREROUTING { type nat hook prerouting priority dstnat; policy accept; } chain INPUT { type nat hook input priority 100; policy accept; } chain POSTROUTING { type nat hook postrouting priority srcnat; policy accept; oif "eno2" ip saddr @lans counter masquerade } chain OUTPUT { type nat hook output priority -100; policy accept; } }
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Выпуск пакетного фильтра nftables 1.0.2"	–1 +/–
	Сообщение от Аноним (43), 22-Фев-22, 16:30
	При запуске сервера запускается это: ip address add 192.168.250.1/24 dev tap_vb0 iptables -t nat -A POSTROUTING -s 192.168.250.0/24 -j SNAT --to-source 8x.14x.4x.20x и как это через nft?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Выпуск пакетного фильтра nftables 1.0.2"	+/–
	Сообщение от Аноним (47), 24-Фев-22, 11:07
	table inet filter { ... set nat { type ipv4_addr flags interval elements = { 192.168.1.0/24, 192.168.250.0/24 } ... chain POSTROUTING { type nat hook postrouting priority srcnat; policy accept; oifname "OUT_INTERFACE" ip saddr @nat counter snat to 8x.14x.4x.20x } }
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Выпуск пакетного фильтра nftables 1.0.2"	+/–
	Сообщение от Аноним (43), 22-Фев-22, 16:32
	и dnsmasq занимается динамическими IP
	Ответить \| Правка \| К родителю #25 \| Наверх \| Cообщить модератору


	12. "Выпуск пакетного фильтра nftables 1.0.2"	–1 +/–
	Сообщение от Аноним (14), 22-Фев-22, 05:38
	А по-моему, там всё отлично. Именованные списки sets и maps - очень удобны, жаль только, что не глобальны. jump, так вообще - вещь, во многих случаях позволяющая избавиться от линейного поиска. Вот подход линейных портянок pf и ipfilter без каких либо списков, на мой взгляд, не оптимальен - это подход а-ля Cisco acl 20-25 летней давности. pf пригоден только как хостовый пакетный фильтр, и то часто хотелось бы большего.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	16. "Выпуск пакетного фильтра nftables 1.0.2"	+/–
	Сообщение от Sw00p aka Jerom (?), 22-Фев-22, 06:52
	>jump, так вообще - вещь, во многих случаях позволяющая избавиться от линейного поиска пример в студию
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Выпуск пакетного фильтра nftables 1.0.2"	+/–
	Сообщение от Sultan (?), 22-Фев-22, 10:26
	Точно так же, как в iptables. Синтетический пример: iif eth0 ... ... iif eth0 ... iif eth1 ... меняем на iif eth0 jump eth0-forward table eth0 eth0-forward { ваши проверки } И пакеты не бегают по линейному списку
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Выпуск пакетного фильтра nftables 1.0.2"	+/–
	Сообщение от Sw00p aka Jerom (?), 22-Фев-22, 12:08
	>[оверквотинг удален] > iif eth0 ... > ... > iif eth0 ... > iif eth1 ... > меняем на > iif eth0 jump eth0-forward > table eth0 eth0-forward { > ваши проверки > } > И пакеты не бегают по линейному списку это что за пример? по какому линейному списку если правила форвардинга никак не пересекаются с правилами фильтрации. Давайте конкретный полный пример, как с реализацией в iptables так и с nftables.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Выпуск пакетного фильтра nftables 1.0.2"	–2 +/–
	Сообщение от Sultan (?), 22-Фев-22, 13:09
	Правила могут пересекаться как для разных интерфейсов, так и для сервисов. В гугле всё есть - идите и берите "полный пример".
	Ответить \| Правка \| Наверх \| Cообщить модератору