История изменений
Исправление intelfx, (текущая версия) :
Нет, никакие пакеты никуда не перенаправляются. Ты не так понимаешь механику работы nftables.
Когда пакет доходит до какой-то «точки» (см. картинку netfilter packet flow), он по очереди передаётся во все обработчики (таблицы), подключенные к этой точке, в порядке приоритетов.
В iptables эти обработчики захардкожены (в виде таблиц filter, nat, mangle, raw и цепочек INPUT/FORWARD/OUTPUT), и их приоритеты захардкожены.
В nftables ты сам управляешь обработчиками, т. е. твои таблицы и цепочки могут называться как угодно, главное, чтобы они были подключены к правильным хукам/точкам. И таблиц может быть несколько, т. е. у тебя в nft может быть filter1 и filter2, а внутри них INPUT1 и INPUT2, и они все будут исполняться в том порядке, в котором ты указал (без каких-либо прыжков между ними, просто по очереди!).
(Собственно, именно так и работает слой совместимости iptables-nft: он создаёт свой, полностью отдельный набор таблиц и цепочек в nftables, и пишет тебе грозные комментарии, чтобы ты их не трогал, а создавал свои отдельно, если нужно.)
Исправление intelfx, :
Нет, никакие пакеты никуда не перенаправляются. Ты не так понимаешь механику работы nftables.
Когда пакет доходит до какой-то «точки» (см. картинку netfilter packet flow), он по очереди передаётся во все обработчики (таблицы), подключенные к этой точке, в порядке приоритетов.
В iptables эти обработчики захардкожены (в виде таблиц filter, nat, mangle, raw и цепочек INPUT/FORWARD/OUTPUT), и их приоритеты захардкожены.
В nftables ты сам управляешь обработчиками, т. е. твои таблицы и цепочки могут называться как угодно, главное, чтобы они были подключены к правильным хукам/точкам. И таблиц может быть несколько, т. е. у тебя в nft может быть filter и filter2, а внутри них INPUT и INPUT2, и они все будут исполняться в том порядке, в котором ты указал (без каких-либо прыжков!).
(Собственно, именно так и работает слой совместимости iptables-nft: он создаёт свой, полностью отдельный набор таблиц и цепочек в nftables, и пишет тебе грозные комментарии, чтобы ты их не трогал, а создавал свои отдельно, если нужно.)
Исправление intelfx, :
Нет, никакие пакеты никуда не перенаправляются. Ты не так понимаешь механику работы nftables.
Когда пакет доходит до какой-то «точки» (см. картинку netfilter packet flow), он по очереди передаётся во все обработчики (таблицы), подключенные к этой точке, в порядке приоритетов.
В iptables эти обработчики захардкожены (в виде таблиц filter, nat, mangle и цепочек INPUT/FORWARD/OUTPUT), и их приоритеты захардкожены.
В nftables ты сам управляешь обработчиками, т. е. твои таблицы и цепочки могут называться как угодно, главное, чтобы они были подключены к правильным хукам/точкам. И таблиц может быть несколько, т. е. у тебя в nft может быть filter и filter2, а внутри них INPUT и INPUT2, и они все будут исполняться в том порядке, в котором ты указал (без каких-либо прыжков!).
(Собственно, именно так и работает слой совместимости iptables-nft: он создаёт свой, полностью отдельный набор таблиц и цепочек в nftables, и пишет тебе грозные комментарии, чтобы ты их не трогал, а создавал свои отдельно, если нужно.)
Исправление intelfx, :
Нет, никакие пакеты никуда не перенаправляются. Ты не так понимаешь механику работы nftables.
Когда пакет доходит до какой-то «точки» (см. картинку netfilter packet flow), он по очереди передаётся во все обработчики (таблицы), подключенные к этой точке, в порядке приоритетов.
В iptables эти обработчики захардкожены (в виде таблиц filter, nat, mangle и цепочек INPUT/FORWARD/OUTPUT), и их приоритеты захардкожены.
В nftables ты сам управляешь обработчиками, т. е. твои таблицы и цепочки могут называться как угодно, главное, чтобы они были подключены к правильным хукам/точкам. И таблиц может быть несколько, т. е. у тебя в nft может быть filter и filter2, а внутри них INPUT и INPUT2, и они все будут исполняться в том порядке, в котором ты указал.
(Собственно, именно так и работает слой совместимости iptables-nft: он создаёт свой, полностью отдельный набор таблиц и цепочек в nftables, и пишет тебе грозные комментарии, чтобы ты их не трогал, а создавал свои отдельно, если нужно.)
Исправление intelfx, :
Нет, никакие пакеты никуда не перенаправляются. Ты не так понимаешь механику работы nftables.
Когда пакет доходит до какой-то «точки» (см. картинку netfilter packet flow, он по очереди передаётся во все обработчики (таблицы), подключенные к этой точке, в порядке приоритетов.
В iptables эти обработчики захардкожены (в виде таблиц filter, nat, mangle и цепочек INPUT/FORWARD/OUTPUT), и их приоритеты захардкожены.
В nftables ты сам управляешь обработчиками, т. е. твои таблицы и цепочки могут называться как угодно, главное, чтобы они были подключены к правильным хукам/точкам. И таблиц может быть несколько, т. е. у тебя в nft может быть filter и filter2, а внутри них INPUT и INPUT2, и они все будут исполняться в том порядке, в котором ты указал.
(Собственно, именно так и работает слой совместимости iptables-nft: он создаёт свой, полностью отдельный набор таблиц и цепочек в nftables, и пишет тебе грозные комментарии, чтобы ты их не трогал, а создавал свои отдельно, если нужно.)
Исправление intelfx, :
Нет, никакие пакеты никуда не перенаправляются. Ты не так понимаешь механику работы nftables.
Когда пакет доходит до какой-то «точки» (см. картинку netfilter packet flow, он по очереди передаётся во все обработчики (таблицы), подключенные к этой точке, в порядке приоритетов.
В iptables эти обработчики захардкожены (в виде таблиц filter, nat, mangle и цепочек INPUT/FORWARD/OUTPUT), и их приоритеты захардкожены.
В nftables ты сам управляешь обработчиками, т. е. твои таблицы и цепочки могут называться как угодно, главное, чтобы они были подключены к правильным хукам/точкам. И таблиц может быть несколько, т. е. у тебя в nft может быть filter и filter2, а внутри них INPUT и INPUT2, и они все будут исполняться в том порядке, в котором ты указал.
(Собственно, именно так и работает слой совместимости iptables-nft: он создаёт свои, отдельные таблицы и цепочки в nft.)
Исходная версия intelfx, :
Нет, никакие пакеты никуда не перенаправляются. Ты не так понимаешь механику работы nftables.
Когда пакет доходит до какой-то «точки» (см. картинку netfilter packet flow, он по очереди передаётся во все обработчики (таблицы), подключенные к этой точке.