Опубликован выпуск пакетного фильтра nftables 1.1.6, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Одновременно опубликован выпуск сопутствующей библиотеки libnftnl 1.3.1, предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables...Подробнее: https://www.opennet.me/opennews/art.shtml?num=64386
Поскорее бы iptables выпинули отовсюду к чертям собачьим, выглядит страшно и отталкивающе. В nftables интерфейс понятный и структурированный, так и хочется лизнуть.
ты хоть пиши, что сарказм
> ты хоть пиши, что сарказмВряд ли это сарказм. Такие поциенты существуют в реале, и их не мало.
> ты хоть пиши, что сарказмтак он написал же!
Глубину стека только надо не 16 сделать, а 64 и тогда можно пользоваться...
4096
8192
Чо за глубина такая?
Почему у t1 и t2 - id одинаковый? Очепятка?
Пользуюсь на своих серверах. Синтаксис приемлим и читаемый, по сравнению с iptables
IP tables имеет куда более понятным подход при написании. Только читать его сдуреешь. Тут тоже можно сделать очень сложные цепочки, но некоторые простые задачи получаются переусложненными.
Не согласен. После iptables сабж кажется шифрограммой.
Вполне можно писать правила в стиле iptables: одна строка - одно правило. С тем дополнением, что в nftables прямо в правиле можно перечислять список портов через запятую.
Так это legacy режим. Спрашивается, нафига вообще тогда переходить с iptables.
потому что мы их вам запретили, разумеется!
И разработчики уже давно даже и не пытаются делать вид что поддерживают эту немодную устаревшую технологию. Любое мелкое улучшайсто сетевого стека, которое поломает их окончательно - приведет к тому что этот немодный код объявят неправильным и выбросят совсем.Ну а режим совместимости у нас совместим примерно с нашим файрволом по умолчанию из 2000го года. Примитивный конфиг из десятка правил. А его ты как-нибудь и в новом формате бы смог.
Так что бороться бесполезно, привыкай.
Это не legacy режим.
Мне наоборот iptables кажется шифрограммой. nftables намного чище и понятнее.
> nftables намного чище и понятнееТак может написать только тот, кто настраивал сабж очень тривиально и поверхностно :)
> Пользуюсь на своих серверах.Рискну предположить, что это localhost. Иначе бы обплевался из-за крайне запутанного синтаксиса.
> Рискну предположить, что это localhost. Иначе бы обплевался из-за крайне
> запутанного синтаксиса.Наоборот. Сколь-нибудь сложные рулесеты в iptables - совершенно не читаемы. А вот для сабжа их можно структурировать более менее. Так что админ нелокалхоста типа - спалился.
А есть какие то понятные туториалы по nftables чтобы пацаны могли легко понять?
https://wiki.nftables.org/wiki-nftables/index.php/Main_Page
>https://wiki.nftables.org/wiki-nftables/index.php/Main_PageЧоза подстава.
Надо чтобы на русском ну ты понял да. И попроще было.
> Надо чтобы на русском ну ты понял да. И попроще было.Тады иди в поле, или сталеваром там каким, там это может и прокатит. И черт с ними с файрволами.
В ленинградском юридическом обучение? )
может, скажем ему... хотя зачем... улыбаемся и машем.Правильный ответ для тредстартера: нет и не надейся что будет. Даже документации как таковой нет и не будет.
И где там про новодобавленные фичи из новости ?
Читая такие посты, понимаешь, что людей не умеющих пользоваться нейросетями в 2025 году, нужно увольнять за профнепригодность.
за профнепригодность надо увольнять людей, которым взбрело в голову что нейросети заменяют документацию.Тем более что такие как ты нахрен ни для чего и не нужны. Современные нейросети вполне умеют набирать командочки в шелле без тебя, ненужной прокладки между стулом и клавиатурой.
А вот создать документацию из пустого места - к сожалению, не умеют.
(ну то есть они могут попытаться, но там будет бред один)Поэтому иногда будут набирать rm -rf / - ну показалось им там что-то. Причем вот на что, на что, а на ответить "yes" у них "интеллекта" хватает.
Ачотакова, пипл хавает.
Набирать командочки могут а отвечать за результат выполнения командочек уже не могут
Чо эта не могут? В той истории он "ответил" же ж - ну то есть ответил "ой, сам не знаю как такое получилось", но чем этот ответ хуже чем такой же от кожанного?! Отлично ведь его скосплеил, согласись!Ну а с развитием антитехнологий - отвечать в общем-то и нечем будет. Ну как ты можешь отвечать за результат набирания командочек - если вместо документации у тебя - вика?
прекрасный release, без документации. Кто найдет ссылку на описание (лучше из официальной документации) на описание блока конфигурации "tunnel xx {...}" , тот огурец!
А у nfttables никогда не было документации (десяток вики-страниц, из которых треть не работает и еще треть уже неактуальны) не в счёт.Не барское это дело - документацию писать.
> Не барское это дело - документацию писать.на всякий случай напомню, что документация к iptables (не man page и недовика, а - документация) - тоже написана холопьями.
И тоже крайне обрывочная и неполная.
Куда-то пролюбил более компактное руководство, но нашёл вот это:
https://homes.di.unimi.it/sisop/qemu/iptables-tutorial.pdf
* На 117-й странице дело наконец доходит до блок-схемы этих ваших чейнов.Дайте мне такое (первые 116 страниц можно заменить на разбор специфики ipV6) для nftables. И я отстану. Честно-честно.
Создание туннеля через фаервол?
На сколько я знаю не существует такого понятия "туннель через файрвол". Ты просто открываешь порт, которым пользуется твой VPN. Файрвол - это защитная стена. Ты можешь настроить, какие "двери" в нём можно открыть, а какие закрыть. Ты можешь настроить режим работы этих "дверей" например, не отвечать на подозрительные запросы извне, или ограничить количество запросов определённым числом.
С чего ты взял, что nftables - это фаервол? Это значительно больше, чем фаервол.
Сказано-же: заменяет iptables, ip6table, arptables и ebtables. Ты хотя бы приблизительно представляешь, зачем были нужны arptables и ebtables?
Расскажи.
Слишком сложно. Спасибо, что существует ufw.
ufw работает только на Ubuntu. На других дистрах его нет, ну мэйби Дебиан?
Чуть ли не во всех, мой дорогой: https://pkgs.org/search/?q=ufw
на "других" есть firewalld. Ради которого в общем-то мы и придумали эту невменяемую перегруженную закорючками хернотень вместо человекочитаемых iptables.Ну и что что нельзя ограничивать source address? Наши экспертные-эксперты решили что и так сойдет!
В firewalld нельзя src?
> В firewalld нельзя src?штатным способом - нет. Разьве что костылем через rich rules (а тогда нахрена ж оно ненужно)
Их задумка (понятно, пошедшая с локалхоста того васяна что и реализовал эту недоделку) - интерфейс->зона->сервист.е. грубо говоря к интерфейсу привязывается зона в которой определены "сервисы" (а на самом деле просто порты)
ну куда ты тут собрался воткнуть проверку для source?
Тут всю систему менять надо, сперва перевешав все политбюро.
https://pkgs.org/search/?q=ufw
> Слишком сложно. Спасибо, что существует ufw.Экскаватор - слишком сложно. Ведь есть палка-копалка с интуитивным интерфейсом. Все так, но...
iptables -> nftables = пожалуй, самая лучшая трансформация, которая произошла в линуксе за все время его существования.
В руководствах по чему угодно всегда так или иначе упоминается настройка iptables. А про nftables молчок. Точно трансформировались?
а в 98 везде был ipfwadm в руководствах. и что теперь, не надо было в ядре 2.2 переходить на ipchains, а затем в 2.4 ядре на iptables?
Я как бы не против nftables, я просто их в обиходе не встречаю. Вот чтобы мне пришлось конфиг написать, к примеру. Существование системды например совершенно неоспоримо - с ним сталкиваешься постоянно.
> Я как бы не против nftables, я просто их в обиходе не
> встречаю. Вот чтобы мне пришлось конфиг написать, к примеру. Существование системды
> например совершенно неоспоримо - с ним сталкиваешься постоянно.ubuntu 20.04+
debian 10+
rhel 8+
fedoraвсе они используют nftables в качестве основного fw
Ага, а при сетапе от docker до k8s все равно используют iptables. Особенно в k8s.
А потому что, что iptables это сейчас как стандартные цепочки, уже с хорошо известным flow. В nftables, же, можно не ветвиться от трёх базовых.
> А потому что, что iptables это сейчас как стандартные цепочки,iptables сейчас - лишь другая морда для nftables делающая трансляцию тех древностей в термины nftables, и только.
> Ага, а при сетапе от docker до k8s все равно используют iptables.дыркер не совсем доисторических версий умеет в firewalld а не напрямую в iptables.
А тому все равно что генерить на выходе (так и так бредятина выходит).ну и в единственноверном podman тоже все хорошо.
Пользуемые k8s должны страдать!
>> Ага, а при сетапе от docker до k8s все равно используют iptables.
> дыркер не совсем доисторических версий умеет в firewalld а не напрямую в
> iptables.
> А тому все равно что генерить на выходе (так и так бредятина
> выходит).
> ну и в единственноверном podman тоже все хорошо.
> Пользуемые k8s должны страдать!и docker engine [1] и kubernetes [2] научились в нативный nftables в 2025
[1] https://docs.docker.com/engine/network/firewall-nftables/
[2] https://kubernetes.io/blog/2025/02/28/nftables-kube-proxy/
А вот эти вот "все они используют":
ubuntu 20.04+
debian 10+
rhel 8+- в каком году появились? (подсказка - первые две цифры в списке - это год и месяц)
А вы в 2025м - "научились". К 2029му - не только научатся но и починят повылезшие баги.
Как раз обезьянки придумают какое-нибудь новое несовместимое фуфло, чтоб и дальше получать свои зарплаты разработчиков, и ничего не чинить.
> Ага, а при сетапе от docker до k8s все равно используют iptables. Особенно в k8s.Но по факту это будет - лишь трансляция в nftables.
> все они используют nftables в качестве основного fwДаже опенврт несчастный - на него перешел. Пусть и на урезанный из бизибокса, чтоли, если не ошибаюсь. У которого хелп совсем на минималках и если вы в нем не эксперт, то будет довольно душновато по началу.
Но на самом деле крутая штука. А в паре с nfqueue так и вовсе чудеса творит.
ipsetы где?
> ipsetы где?map видимо за них...
Сведующий, анон.
Вот на микротике у меня нет firewall правил с ip адресами.
Interface list (IL) -> IL, обратно established, related.
Покажи тоже самое для nftables
> Сведующий, анон.
> Вот на микротике у меня нет firewall правил с ip адресами.
> Interface list (IL) -> IL, обратно established, related.
> Покажи тоже самое для nftables```
nft add rule inet filter INPUT ct state established,related accept
```ты про это?
p.s. для ознакомления есть быстрый гайд: https://wiki.nftables.org/wiki-nftables/index.php/Quick_refe...
>ты про это?да, только для forward и мн-ва интерфейсов
https://wiki.nftables.org/wiki-nftables/index.php/Setsв VPP такое похоже делается через ACL сущности
https://wiki.fd.io/view/VPP/SecurityGroups