forum.opennet.ru - "Arch Linux перевёл iptables на бэкенд nft по умолчанию" (27)

"Arch Linux перевёл iptables на бэкенд nft по умолчанию"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Arch Linux перевёл iptables на бэкенд nft по умолчанию"	+/–
Сообщение от opennews (??), 06-Апр-26, 09:03
Разработчики Arch Linux объявили о переключении инструментария iptables на бэкенд nft, выполняющий трансляцию правил в байткод nftables. Возможность использования классического инструментария сохранена в форме опции, но по умолчанию отныне задействован пакет iptables-nft, предоставляющий утилиты с тем же синтаксисом командной строки. Пакет iptables-nft переименован в iptables, а пакет с классическим iptables в iptables-legacy... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65152
Ответить \| Правка \| Cообщить модератору

Оглавление

А чего они так долго с этим тормозили то Впрочем нынче пора уже nft освоить, дл, Аноним (1), 09:03 , 06-Апр-26, (1)

Ээээ а их в арчелинуксах кто-то руками пишет А зОчем Что у арчевода на дЫск, User (??), 09:20 , 06-Апр-26, (2) –5

Использую ufw Надеюсь его не поломали , jura12 (ok), 09:29 , 06-Апр-26, (3)

ufw это обёртка над ip nftables, Аноним (22), 11:34 , 06-Апр-26, (22)
ufw лежит на уровень выше, ему только интерфейс iptables для работы нужен, что т, blkkid (?), 11:36 , 06-Апр-26, (23)
Эта байда для совсем уж пользователей windows firewall Кусок крапа на питоне сп, Аноним (-), 11:58 , 06-Апр-26, (30)

То есть в имени пакетов врут Если ваша идея так хороша, зачем вам требуется врат, Аноним (5), 09:31 , 06-Апр-26, (5) –8

Упитанно, но нет , Жироватт (ok), 09:40 , 06-Апр-26, (7) +1

Попытка съехать с темы полностью провалилась И лишь подтвердила недолёкость реш, Анрнип (?), 11:54 , 06-Апр-26, (24)

Вообще-то iptables-nft это как таковой iptables - портированый на бэкэнд NFT А , Аноним (-), 11:59 , 06-Апр-26, (31)

Долго же они думали , Аноним (6), 09:36 , 06-Апр-26, (6)
Вот те раз Arch Linux до сих пор на iptables , Соль земли2 (?), 09:57 , 06-Апр-26, (9) +1

Даже Debian перешёл на nft по умолчанию Думал раз Debian перешёл, так наверное , Аноним (17), 10:43 , 06-Апр-26, (17)

прямо все такие вумные здесь, только забыли про правило работает - не трож как , баламарес (?), 10:08 , 06-Апр-26, (10)

Такое правило в ходу только у мальчиков компьютерщиков Которые не понимают что , Аноним (15), 10:29 , 06-Апр-26, (15) –1

Теперь понятно почему у более-менее грамотных специалистов система не работает,, User (??), 11:00 , 06-Апр-26, (19)

Что nft что iptables каша , Аноним (11), 10:08 , 06-Апр-26, (11) –3

Скрыто модератором, Аноним (18), 10:52 , 06-Апр-26, (18) +2
Да, но nftables чуть поаккуратнее, особенно если делать большие сложные списки п, Аноним (26), 11:55 , 06-Апр-26, (26)

А что такое nft , Аноним (12), 10:10 , 06-Апр-26, (12) –1

non-fungible token, user1985 (?), 10:22 , 06-Апр-26, (13) +1

Типичный рач В NixOS, когда в системе что-то меняют, при пересборке системы воз, Аноним (20), 11:20 , 06-Апр-26, (20)

В этом и заключается игра в Арч, что пользуешься компьютером и постоянно чинишь , Анрнип (?), 11:57 , 06-Апр-26, (27)

Хоть бы мелкую сводку по nftables добавили Nftables 1 один инструмент, вместо 4, Bob (??), 11:28 , 06-Апр-26, (21)

Скрыто модератором, Анрнип (?), 11:58 , 06-Апр-26, (29)
4 Офоад разрюханых flow чтоб не жевать пакеты 5 Нормальный интерфейс nfqueue п, Аноним (-), 12:06 , 06-Апр-26, (32)

Скрыто модератором, Аноним (34), 12:14 , 06-Апр-26, (34)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 06-Апр-26, 09:03 +/–

> Arch Linux перевёл iptables на бэкенд nft по умолчанию
А чего они так долго с этим тормозили то? Впрочем нынче пора уже nft освоить, для мало-мальски продвинутых рулесей он куда лучше.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от User (??), 06-Апр-26, 09:20 –5 +/–

Ээээ... а их в арчелинуксах кто-то руками пишет? А зОчем?
Что у арчевода на дЫсктопе (Про "на сервере в продакшУн" н-нинада) может быть такого, что потребует аж прям ручной пилёжки iptables? Доскер-через-доскер и сам прекрасно едет, opensnitch какой тоже сам справляется...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от jura12 (ok), 06-Апр-26, 09:29 +/–

Использую ufw. Надеюсь его не поломали.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #23, #30

5. Сообщение от Аноним (5), 06-Апр-26, 09:31 –8 +/–

> Пакет iptables-nft переименован в iptables, а пакет с классическим iptables в iptables-legacy.
То есть в имени пакетов врут.
Если ваша идея так хороша, зачем вам требуется врать для её продвижения?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

6. Сообщение от Аноним (6), 06-Апр-26, 09:36 +/–

Долго же они думали.

Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Жироватт (ok), 06-Апр-26, 09:40 +1 +/–

Упитанно, но нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #24

9. Сообщение от Соль земли2 (?), 06-Апр-26, 09:57 +1 +/–

Вот те раз! Arch Linux до сих пор на iptables!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

10. Сообщение от баламарес (?), 06-Апр-26, 10:08 +/–

прямо все такие вумные здесь, только забыли про правило: работает - не трож!
как в ядре очередной раз че-нить нааптимизируют и начнет это ваш nft тормазить.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

11. Сообщение от Аноним (11), 06-Апр-26, 10:08 –3 +/–

Что nft что iptables каша.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #26

12. Сообщение от Аноним (12), 06-Апр-26, 10:10 –1 +/–

А что такое nft?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

13. Сообщение от user1985 (?), 06-Апр-26, 10:22 +1 +/–

non-fungible token

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от Аноним (15), 06-Апр-26, 10:29 –1 +/–

>только забыли про правило: работает - не трож!
Такое правило в ходу только у мальчиков компьютерщиков. Которые не понимают что делают. И если у них что то заработало то они над этим трясутся и боятся трогать, так как может сломаться. А починить они не в силах. Порой даже не обновляют.
Более менее грамотные специалисты меняют систему под изменившиеся обстоятельства.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #19

17. Сообщение от Аноним (17), 06-Апр-26, 10:43 +/–

Даже Debian перешёл на nft по умолчанию. Думал раз Debian перешёл, так наверное все уже давно на nft. А тут то, корова прогрессивнее крокодила!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

18. Сообщение от Аноним (18), 06-Апр-26, 10:52 Скрыто ботом-модератором +2 +/–

Пока не сьешь - гулять не пойдёшь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

19. Сообщение от User (??), 06-Апр-26, 11:00 +/–

Теперь понятно: почему у более-менее грамотных специалистов система не работает, пока обстоятельства не прекратят изменяться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

20. Сообщение от Аноним (20), 06-Апр-26, 11:20 +/–

>Для восстановления правил после замены реализации iptables следует проверить файлы /etc/iptables/iptables.rules.pacsave и /etc/iptables/ip6tables.rules.pacsave. Пользователям рекомендуют внимательно оценить работоспособность используемых правил межсетевых экранов и при необходимости откатиться на пакет iptables-legacy.
Типичный рач. В NixOS, когда в системе что-то меняют, при пересборке системы возникает ошибка, пользователь остаётся на старой, заведомо рабочей сборке и сразу же видно, что нужно пойти в конфиг и отредактировать его руками. В арче, нужно во-первых читать новости, а во-вторых, руками внимательно оценивать не отвалилось ли что.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

21. Сообщение от Bob (??), 06-Апр-26, 11:28 +/–

Хоть бы мелкую сводку по nftables добавили)
Nftables:
1) один инструмент, вместо 4х (iptables, ip6tables, arptables, ebtables).
2) весь набор правил применяется как одно, а не по отдельности
3) есть sets и maps - удобная работа с огромным списком правил

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #32

22. Сообщение от Аноним (22), 06-Апр-26, 11:34 +/–

ufw это обёртка над ip/nftables

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

23. Сообщение от blkkid (?), 06-Апр-26, 11:36 +/–

ufw лежит на уровень выше, ему только интерфейс iptables для работы нужен, что там на самом деле считает правила - без разницы

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

24. Сообщение от Анрнип (?), 06-Апр-26, 11:54 +/–

Попытка съехать с темы полностью провалилась. И лишь подтвердила недолёкость решений арча.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #31

26. Сообщение от Аноним (26), 06-Апр-26, 11:55 +/–

Да, но nftables чуть поаккуратнее, особенно если делать большие сложные списки правил. Я себе дома роутер сделал на debian с nftables, вполне так неплохо, правда первое время вникать надо долго - документация у них не идеальная.
Хотя там есть, на что пожаловаться. Удалить правило без handle нельзя, например. Мелочь, а неудобно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

27. Сообщение от Анрнип (?), 06-Апр-26, 11:57 +/–

В этом и заключается игра в Арч, что пользуешься компьютером и постоянно чинишь то что итак раньше работало в случайное время.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

29. Сообщение от Анрнип (?), 06-Апр-26, 11:58 Скрыто ботом-модератором +/–

Одними словом смузиненужно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

30. Сообщение от Аноним (-), 06-Апр-26, 11:58 +/–

> Использую ufw. Надеюсь его не поломали.
Эта байда для совсем уж пользователей windows firewall. Кусок крапа на питоне спамящий в сислоги.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

31. Сообщение от Аноним (-), 06-Апр-26, 11:59 +/–

> Попытка съехать с темы полностью провалилась. И лишь подтвердила недолёкость решений арча.
Вообще-то iptables-nft это как таковой iptables - портированый на бэкэнд NFT. А классический бэк это вообще легаси махровое.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

32. Сообщение от Аноним (-), 06-Апр-26, 12:06 +/–

> Хоть бы мелкую сводку по nftables добавили)
> Nftables:
> 1) один инструмент, вместо 4х (iptables, ip6tables, arptables, ebtables).
> 2) весь набор правил применяется как одно, а не по отдельности
> 3) есть sets и maps - удобная работа с огромным списком правил
4) Офоад разрюханых flow чтоб не жевать пакеты.
5) Нормальный интерфейс nfqueue позволяющий внешними приблудами рюхать пакеты и потоки.
Не то чтобы это предел мечтаний, просто у остальных еще хуже.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

34. Сообщение от Аноним (34), 06-Апр-26, 12:14 Скрыто ботом-модератором +/–

>Одними словом смузиненужно.
Ты попутал берега. nftables это тру.
В связи с этим возник вопрос. nftables в ядре и отдельно существующий пакет nftables чем-то отличаются? Как они в связке работают? Ну понятно что пакет - это юзерспейс.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 06-Апр-26, 09:03	+/–
> Arch Linux перевёл iptables на бэкенд nft по умолчанию А чего они так долго с этим тормозили то? Впрочем нынче пора уже nft освоить, для мало-мальски продвинутых рулесей он куда лучше.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2

2. Сообщение от User (??), 06-Апр-26, 09:20	–5 +/–
Ээээ... а их в арчелинуксах кто-то руками пишет? А зОчем? Что у арчевода на дЫсктопе (Про "на сервере в продакшУн" н-нинада) может быть такого, что потребует аж прям ручной пилёжки iptables? Доскер-через-доскер и сам прекрасно едет, opensnitch какой тоже сам справляется...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

3. Сообщение от jura12 (ok), 06-Апр-26, 09:29	+/–
Использую ufw. Надеюсь его не поломали.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #22, #23, #30

5. Сообщение от Аноним (5), 06-Апр-26, 09:31	–8 +/–
> Пакет iptables-nft переименован в iptables, а пакет с классическим iptables в iptables-legacy. То есть в имени пакетов врут. Если ваша идея так хороша, зачем вам требуется врать для её продвижения?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #7

6. Сообщение от Аноним (6), 06-Апр-26, 09:36	+/–
Долго же они думали.
Ответить \| Правка \| Наверх \| Cообщить модератору

7. Сообщение от Жироватт (ok), 06-Апр-26, 09:40	+1 +/–
Упитанно, но нет.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #24

9. Сообщение от Соль земли2 (?), 06-Апр-26, 09:57	+1 +/–
Вот те раз! Arch Linux до сих пор на iptables!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #17

10. Сообщение от баламарес (?), 06-Апр-26, 10:08	+/–
прямо все такие вумные здесь, только забыли про правило: работает - не трож! как в ядре очередной раз че-нить нааптимизируют и начнет это ваш nft тормазить.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #15

11. Сообщение от Аноним (11), 06-Апр-26, 10:08	–3 +/–
Что nft что iptables каша.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #18, #26

12. Сообщение от Аноним (12), 06-Апр-26, 10:10	–1 +/–
А что такое nft?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13

13. Сообщение от user1985 (?), 06-Апр-26, 10:22	+1 +/–
non-fungible token
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

15. Сообщение от Аноним (15), 06-Апр-26, 10:29	–1 +/–
>только забыли про правило: работает - не трож! Такое правило в ходу только у мальчиков компьютерщиков. Которые не понимают что делают. И если у них что то заработало то они над этим трясутся и боятся трогать, так как может сломаться. А починить они не в силах. Порой даже не обновляют. Более менее грамотные специалисты меняют систему под изменившиеся обстоятельства.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #19

17. Сообщение от Аноним (17), 06-Апр-26, 10:43	+/–
Даже Debian перешёл на nft по умолчанию. Думал раз Debian перешёл, так наверное все уже давно на nft. А тут то, корова прогрессивнее крокодила!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

18. Сообщение от Аноним (18), 06-Апр-26, 10:52 Скрыто ботом-модератором	+2 +/–
Пока не сьешь - гулять не пойдёшь.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11

19. Сообщение от User (??), 06-Апр-26, 11:00	+/–
Теперь понятно: почему у более-менее грамотных специалистов система не работает, пока обстоятельства не прекратят изменяться.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

20. Сообщение от Аноним (20), 06-Апр-26, 11:20	+/–
>Для восстановления правил после замены реализации iptables следует проверить файлы /etc/iptables/iptables.rules.pacsave и /etc/iptables/ip6tables.rules.pacsave. Пользователям рекомендуют внимательно оценить работоспособность используемых правил межсетевых экранов и при необходимости откатиться на пакет iptables-legacy. Типичный рач. В NixOS, когда в системе что-то меняют, при пересборке системы возникает ошибка, пользователь остаётся на старой, заведомо рабочей сборке и сразу же видно, что нужно пойти в конфиг и отредактировать его руками. В арче, нужно во-первых читать новости, а во-вторых, руками внимательно оценивать не отвалилось ли что.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #27

21. Сообщение от Bob (??), 06-Апр-26, 11:28	+/–
Хоть бы мелкую сводку по nftables добавили) Nftables: 1) один инструмент, вместо 4х (iptables, ip6tables, arptables, ebtables). 2) весь набор правил применяется как одно, а не по отдельности 3) есть sets и maps - удобная работа с огромным списком правил
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #29, #32

22. Сообщение от Аноним (22), 06-Апр-26, 11:34	+/–
ufw это обёртка над ip/nftables
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

23. Сообщение от blkkid (?), 06-Апр-26, 11:36	+/–
ufw лежит на уровень выше, ему только интерфейс iptables для работы нужен, что там на самом деле считает правила - без разницы
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

24. Сообщение от Анрнип (?), 06-Апр-26, 11:54	+/–
Попытка съехать с темы полностью провалилась. И лишь подтвердила недолёкость решений арча.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #31

26. Сообщение от Аноним (26), 06-Апр-26, 11:55	+/–
Да, но nftables чуть поаккуратнее, особенно если делать большие сложные списки правил. Я себе дома роутер сделал на debian с nftables, вполне так неплохо, правда первое время вникать надо долго - документация у них не идеальная. Хотя там есть, на что пожаловаться. Удалить правило без handle нельзя, например. Мелочь, а неудобно
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11

27. Сообщение от Анрнип (?), 06-Апр-26, 11:57	+/–
В этом и заключается игра в Арч, что пользуешься компьютером и постоянно чинишь то что итак раньше работало в случайное время.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

29. Сообщение от Анрнип (?), 06-Апр-26, 11:58 Скрыто ботом-модератором	+/–
Одними словом смузиненужно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

30. Сообщение от Аноним (-), 06-Апр-26, 11:58	+/–
> Использую ufw. Надеюсь его не поломали. Эта байда для совсем уж пользователей windows firewall. Кусок крапа на питоне спамящий в сислоги.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

31. Сообщение от Аноним (-), 06-Апр-26, 11:59	+/–
> Попытка съехать с темы полностью провалилась. И лишь подтвердила недолёкость решений арча. Вообще-то iptables-nft это как таковой iptables - портированый на бэкэнд NFT. А классический бэк это вообще легаси махровое.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24

32. Сообщение от Аноним (-), 06-Апр-26, 12:06	+/–
> Хоть бы мелкую сводку по nftables добавили) > Nftables: > 1) один инструмент, вместо 4х (iptables, ip6tables, arptables, ebtables). > 2) весь набор правил применяется как одно, а не по отдельности > 3) есть sets и maps - удобная работа с огромным списком правил 4) Офоад разрюханых flow чтоб не жевать пакеты. 5) Нормальный интерфейс nfqueue позволяющий внешними приблудами рюхать пакеты и потоки. Не то чтобы это предел мечтаний, просто у остальных еще хуже.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

34. Сообщение от Аноним (34), 06-Апр-26, 12:14 Скрыто ботом-модератором	+/–
>Одними словом смузиненужно. Ты попутал берега. nftables это тру. В связи с этим возник вопрос. nftables в ядре и отдельно существующий пакет nftables чем-то отличаются? Как они в связке работают? Ну понятно что пакет - это юзерспейс.
Ответить \| Правка \| Наверх \| Cообщить модератору