iptables vs nftables

настраивай то с чем лучше знаком, новое изучай в свободное время. У меня нужда в nft только на Astra возникла т.к. там в репах нет netfilter-persistent

nfttables

У меня нужда в nft только на Astra возникла т.к. там в репах нет netfilter-persistent

Если я не ошибаюсь, то эта хрень для восстановления правил. А если правила «загнать» в файл и восстанавливать их (iptables-restore) при загрузке системы как например из файла /etc/network/interfaces…?
P.S> Я скептически отношусь к российским разработкам, поэтому может чего не знаю в астре

Если я не ошибаюсь, то эта хрень для восстановления правил. А если правила «загнать» в файл и восстанавливать их (iptables-restore) при загрузке системы как например из файла /etc/network/interfaces…?

Да для восстановления, да можно самому скрипты накатать и в авторан сунуть, но там требования были определенные

P.S Я скептически отношусь к российским разработкам, поэтому может чего не знаю в астре

а тут не важно как ты относишся, есть определенный софт для взаимодействия бизнеса и гос. органов который легально можно ставить только на сертифицированные дистрибутивы (и они проверяют, точнее в моем случае софт ставили сторонние люди из структур)

Если нет в том, что хотелось делать в iptables, unsupported extensions, то, в принципе, ничего сложного переделать нет.

Все эти сложно-пугающие команды в инете они для ввода правил «на-горячую» из консоли или скрипта. Так-то можно и вполне себе человеко-читаемые конфиги писать.

nftables умеет -m string --hex-string ?
Если да, пойду почитаю и может перееду.

iptables работает - пользуйся им. Удалять его никто не планирует.

современный iptables лишь фронтэнд для ядерного nftables.

~$ iptables --version
iptables v1.8.7 (nf_tables)

а пишут iptables потому что привыкли к iptables. плюс он таки работает.

iptables работает

Если не ошибаюсь, он уже также транслируется в nftables. Как-минимум в Debian так.

Нет там строк пока. Ссылка выше. А если нужен hex так всё равно с raw payload expressions сношаться. Они есть.

На хабре нашёл довольно-таки неплохую статью с примерами по настройке nftables. Думаю что стоит реализовать подобное на новом сервисе.

Какая разница? Ты пишешь правила iptables, они работают и в обозримом будущем не сломаются (даже если его из ядра удалят, есть этот транслятор), значит нет причин смотреть альтернативы, если только ты не ищешь какие-то новые фичи которых тебе не хватает.

Ну, так-то да. Лично мне nftables показался куда дружелюбней. Если уже есть понимание, как работает в iptables, то перехать на nftables - дело пары часов: один раз по диагонали прочитать wiki/man и посмотреть пару-тройку типовых конфигов.

нет причин смотреть альтернативы

Я тоже к этому отношусь, но встречаются упоротые наркоманы, которые с пеной у рта доказывают что iptables - RIP, больше не обновляется, а вот nft с рюшками и надо жамкать его.

У меня нужда в nft только на Astra возникла т.к. там в репах нет netfilter-persistent

Открою вам секрет, его не только в Астре нет, но как-то живы.

Если я не ошибаюсь, то эта хрень для восстановления правил. А если правила «загнать» в файл и восстанавливать их (iptables-restore) при загрузке системы

Вы не ошибаетесь.

Из любопытства зашёл в Ваш профиль. У Вас статистика, как у меня плитка в ванной. Восхитительно…=)

Если уже есть понимание, как работает в iptables, то перехать на nftables - дело пары часов: один раз по диагонали прочитать wiki/man и посмотреть пару-тройку типовых конфигов.

Это если и в iptables у вас «пара строк».

Шо, такая же кислотно зеленая? :)

Имелось ввиду въехать в то, как работает и как делать под nftables. Понятно, что если там километр конфигов, то делать не пять минут.

птому что так оно и есть :)
ядерный сетевой фильтр «перешел» с iptables на nftables в ядре 3.13.

интерфейс командной строки iptables оставили для поддержки legacy.

Я тоже к этому отношусь, но встречаются упоротые наркоманы, которые с пеной у рта доказывают что iptables - RIP, больше не обновляется, а вот nft с рюшками и надо жамкать его.

Ну на новых системах наверное почему бы и нет. :) Хотя лично мне все ещё лень заставить себя основательно въехать в nft.

В том-то и дело, что когда все просто на «полторы строчки» то вроде как пофигу чем рулить.
Возможно это не точно, но кажется я сталкивался с тем, что у ntf небыло простого решения которое было в одном модуле у ipt. Т.е. там где раньше решалось одной строчкой, в nft надо писать несколько наркоманских строчек или вообще решения нет.

Возможно это не точно, но кажется я сталкивался с тем, что у ntf небыло простого решения которое было в одном модуле у ipt

Да, есть такое местами. Пример хотя-бы, вон, выше с -m string который пока не реализован (я так понял, ждут в ядре решения). Единственный вариант, как в лоб заменить: парсить заголовок через raw payload expression и бинарно сравнивать с бинарным-же представлением строки. Ну, или выдумывать какую другую метрику.

Пример хотя-бы, вон, выше с -m strings который пока не реализован

Вот прям его хотел привести, у меня он используется, удобно и добротно, мне хорошо а «мамкиным какерам» надеюсь что не очень, точнее точно 'не очень' так как работает.

Ну как пример блокировка google.com через raw payload expression:

nft add rule filter OUTPUT meta l4proto tcp tcp dport 80 @th,432,48 0x676f6f676c65 counter drop

Если нужно более гибкое решение, можно попробовать, например, Netify или другой подобный софт на базе nftables.

В свои 40 ты наверняка уже терял друзей детства. Так вот iptables тоже пора

ну патаму что на площадках сидят такие же «незаменимые специалисты» как и ты. в линуксе уже давно используется nftables. современый iptables это транслятор синтаксиса старого iptables в nft.