https://www.opennet.ru/openforum/vsluhforumID3/135305.html После года разработки опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.11, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62213<br> https://www.opennet.ru/openforum/vsluhforumID3/135305.html#38 Mon, 18 Nov 2024 11:48:05 GMT &gt;&gt; Ну скажи уже честно - темой не владеешь, ни одного примера рабочей <br>&gt;&gt; (не высосанной из пальца) конфигурации привести не можешь.<br>&gt; Таки вон то умеет жарить, парить и крестиком вышивать, довольно мощная и <br><br>ты об этом в интернетах прочитал. Примеров нет. Что и требовалось доказать.<br><br>&gt; Кроме плеч я и поразвлекаться с этим малость умею. Может и не <br><br>ты кроме п-дедь - вообще ничего, похоже, не умеешь.<br><br>&gt; Без понятия - я вообще не интересовался подобными извращениями.<br><br>Как обычно на любой вопрос требующий минимальных знаний темы.<br><br>&gt; А я вот nftables освоил малость.. ну или может уже и не <br><br>слово выучил? Еще поди - кунфу и джиуджитсу освоил? Или второе пока с трудом выговариваешь?<br><br> https://www.opennet.ru/openforum/vsluhforumID3/135305.html#37 Mon, 18 Nov 2024 10:53:55 GMT &gt; Ну скажи уже честно - темой не владеешь, ни одного примера рабочей <br>&gt; (не высосанной из пальца) конфигурации привести не можешь.<br><br>Таки вон то умеет жарить, парить и крестиком вышивать, довольно мощная и крутая штука. И на мой вкус синтаксис довольно читаемый.<br><br>А у вон тех есть полтора уродца, разные и с вечными проблемами, то одно не умеет, то другое, то многоядерности нет, то клинит на большом рулесете, не понос - так золотуха! Iptables без ipset'а - примерно туда же, btw.<br><br>&gt; Чего там умеет линуксное - тоже толком не знаешь, потому что "видел" <br>&gt; через чужое плечо.<br><br>Кроме плеч я и поразвлекаться с этим малость умею. Может и не на уровне суперпро, но большая часть местных и так не умело.<br><br>&gt; Кстати, напомни, в каком году л@п4@тые сп-ли из pf os fingerprint match?<br>&gt; И в каком оно появилось в самом pf (том, разумеется, настоящем). <br><br>Без понятия - я вообще не интересовался подобными извращениями.<br><br>&gt; У меня масса претензий к pf, но я-то в отличие от тебя <br>&gt; им умею пользоваться.<br><br>А я вот nftables https://www.opennet.ru/openforum/vsluhforumID3/135305.html#36 Mon, 18 Nov 2024 06:52:58 GMT Это новая реальность ... Привыкай.<br> https://www.opennet.ru/openforum/vsluhforumID3/135305.html#35 Sat, 16 Nov 2024 20:01:48 GMT Ну скажи уже честно - темой не владеешь, ни одного примера рабочей (не высосанной из пальца) конфигурации привести не можешь.<br><br>Чего там умеет линуксное - тоже толком не знаешь, потому что "видел" через чужое плечо.<br><br>Кстати, напомни, в каком году л@п4@тые сп-ли из pf os fingerprint match? И в каком оно появилось в самом pf (том, разумеется, настоящем).<br><br>У меня масса претензий к pf, но я-то в отличие от тебя им умею пользоваться.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/135305.html#34 Fri, 15 Nov 2024 13:23:12 GMT Зачем? Есть же nftables.<br> https://www.opennet.ru/openforum/vsluhforumID3/135305.html#33 Wed, 13 Nov 2024 14:01:06 GMT Chains &#8212; это ты правильно сказал. Цепочки предполагают собой наличие первого и последнего. Подумай на досуге, сколько времени займёт фильтрование пакета, который обрабатывается правилами в конце цепи, почему важно грамотное упорядочивание правил и как тут помогают счётчики. Ну и заодно посмотри, что делает COMMIT, почему их в выхлопе iptables-save несколько, и подумай так же что происходит МЕЖДУ двумя коммитами. Как разберёшься &#8212; пиши, я тебе ещё интересных задачек подкину мозги размять.<br> https://www.opennet.ru/openforum/vsluhforumID3/135305.html#31 Tue, 12 Nov 2024 13:14:05 GMT &gt; В смысле "даже"?<br>&gt; По сравнению с iptables, правила nft - это просто небесный нектар.<br><br>Смотря где. Если с командлайна и oneliner - ну вот не, с nft это будет несподручно. И команды у него несколько странные вообще. Если ты не знаешь что хочешь - даже список активных рулесов хрен посмотришь так сразу.<br><br>Но если рулесей несколько - нфтаблес резко вырывается вперед и там все куда логичнее и эстетичнее чем тот замес в iptablese. Ну там какойнить stateful фаер, NAT, а то и модный у некоторых редирект в nf queue. Что-то сравнимое в iptables - выглядит как тот еще брейнфак.<br><br>&gt; Iptables абсолютно не читаемое говнище. Даже ipfw, of и прочие в сто раз лучше <br><br>Он окей для oneliner'ов но для чего-то сложнее этого... эээ...<br><br> https://www.opennet.ru/openforum/vsluhforumID3/135305.html#30 Tue, 12 Nov 2024 13:09:27 GMT &gt; И какие у Вас претензии к PF?<br><br>Он по сравнению с тем что умеет все это линуховое добро... как бы вам сказать то? :)<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/135305.html#29 Tue, 12 Nov 2024 11:58:06 GMT А параметр -P Вы, судя по комментариям, так и не смогли освоить.<br>