iptables всё

Годно, хоть какие-то подвижки теперь будут.

Я все-таки не пойму, ну зачем нарочно ломать? Какой-нибудь скрипт где-то 100 пудов поломается. Хорошо, если админ будет знать, что надо просто переименовать, а если ситуация, когда новый дистр, а на нем что-то старое не поднимается? Или просто, скомпилил новое ядро и хренак отвалилось.

И это не единственный случай

Линукс постепенно хуже виндов делается в плане совместимости.

Ох... где можно найти документацию на nftables и как теперь настраивать сеть?

Вечное легаси - это тоже не ок, надо идти вперед. nftables появилось еще в 3.13, ЕМНИП, так что времени было много.

Кому надо?

Человечеству. Ну и лично тебе тоже.

Нытик.

Это вряд ли

Сейчас повыползают травмированные айпитейблсом пациенты и начнут рассказывать, как в километровых конфигах трава была зеленее.

Вечное легаси - это тоже не ок,

Не вижу проблем.

nftables появилось еще в 3.13, ЕМНИП, так что времени было много.

А зачем принуждать?

Хипстеры готовы постоянно переписывать, все что старее одного года.

nftables

Наконец структурированные правила, а не наркоманские стены текста.

С пониманием к NIH-синдрому, но чего бы не напрягать своим зудом человечество и не назвать поделку iptables-new-super.

http://bfy.tw/IhpE

1) зачем переименовывать iptables в iptables-legacy, если новое называется nf_tables. кому iptables может помешать? или надо обязательно явно указать что оно legacy чтобы всем видно было, кто первый раз столкнулся?

2) ну никто же не запретит нам сделать ln -s /usr/bin/iptables-legacy /usr/bin/iptables

а там этот, очкастый гремлин на букву П к этому событию не приложился?

надо обязательно явно указать что оно legacy чтобы всем видно было, кто первый раз столкнулся?

Да. Иначе народ будет пользовать iptables, пока его окончательно не выпилят, и тогда всё равно придётся переучиваться, но уже в срочном порядке.

2) ну никто же не запретит нам сделать ln -s /usr/bin/iptables-legacy /usr/bin/iptables

Мешать будет бинарь /usr/bin/iptables, транслирующий правила iptalbes в формат nf_tables.

а там этот, очкастый гремлин на букву П к этому событию не приложился?

Pablo Neira Ayuso? Приложился, и весьма сильно.

nftables in 10 minutes

кстати, а net-tools уже выпилили окончательно из дистрибутивов? все уже перешли на iproute2? тоже же долго кота тянули.

https://www.youtube.com/watch?v=9HNi47ameLI

а когда ipchains меняли на iptables, так же было?

Не знаю, я слишком молод.

ЕМНИП, там синтаксис был похожий, должно было быть проще.

2) ну никто же не запретит нам сделать ln -s /usr/bin/iptables-legacy /usr/bin/iptables

Не запретит, но об этом надо знать (и о 100500 аналогичных случаев), а теперь представляем себе админа у которого внезапно в новом дистре или на новом ядре поломались правила.

Причем, можно этого даже не заметить сразу. Ну отвалился файрвол, ну поимели через какой-то сервис, который не настраивали торчать в интернет. Зато борьба с легаси.

И чо, и чо, какой профит? Много сломают?

Чейнджлоги читать надо, перед обновлением-то.

Вот это сложно по сравнению с iptables?

flush ruleset

table firewall {
  chain incoming {
    type filter hook input priority 0; policy drop;

    # established/related connections
    ct state established,related accept

    # loopback interface
    iifname lo accept

    # icmp
    icmp type echo-request accept

    # open tcp ports: sshd (22), httpd (80)
    tcp dport {ssh, http} accept
  }
}

table ip6 firewall {
  chain incoming {
    type filter hook input priority 0; policy drop;

    # established/related connections
    ct state established,related accept

    # invalid connections
    ct state invalid drop

    # loopback interface
    iifname lo accept

    # icmp
    # routers may also want: mld-listener-query, nd-router-solicit
    icmpv6 type {echo-request,nd-neighbor-solicit} accept

    # open tcp ports: sshd (22), httpd (80)
    tcp dport {ssh, http} accept
  }
}

даяхз. мне iptables кажется очевиднее, step-by-step, шаг за шагом. чем создаём какие-то вложенности и чёрти что там описывать. слишком запутанно. ну может дело привычки.

тоже самое на старом родном iptables, для сравнения.

iptables -P INPUT DROP
iptables -N tcp
iptables -N udp

iptables -t filter -A INPUT -i lo -j ACCEPT

iptables -t filter -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -m conntrack --ctstate INVALID -j DROP

iptables -t filter -A INPUT -p tcp --syn -m conntrack --ctstate NEW -j tcp
iptables -t filter -A INPUT -p udp -m conntrack --ctstate NEW -j udp
iptables -t filter -A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT

iptables -t filter -A INPUT -p tcp -j REJECT --reject-with tcp-rst
iptables -t filter -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
iptables -t filter -A INPUT -j REJECT --reject-with icmp-proto-unreachable

iptables -t filter -A tcp -p tcp --dport 22 -j ACCEPT
iptables -t filter -A tcp -p tcp --dport 80 -j ACCEPT

Угу, кучи чейнджологов, а там еще какой-нибудь софт не заработает и все надо знать почему и отчего. И даже спустя пару лет вспомнить, чтобы сразу понять почему софтина не пашет.

И это не только с iptables...

А может проще легаси тянуть? По крайней мере, пока его поддержка не начинает неадекватно много сил требовать.

По мне что то, что это примерно одинаково. Но конфиг nft все же читабильнее.

А может проще легаси тянуть?

Ты же можешь сидеть на РХЕЛ. 10 лет поддержка и всё такое. Ничего нового случайно не приедет.

Вопрос не в этом, а в том зачем нарочно было ломать обратную совместимость? Типа подталкивания к переменам, но нафига? Одно дело ворнинг в лог кинуть, что deprecated, другое вот так.

Вопрос не в этом, а в том зачем нарочно было ломать обратную совместимость?

Код проще поддерживать. Я так думаю.

Старые тулзы переименуют в iptables-legacy, а новые будут называться как старые, но будут использовать nf_tables.

феерический бред... оставили бы iptables, а новые тулзы nftables назвали.
кому надо - разберутся.

Тоже мне, трагедия. Или здесь никто не застал миграцию ipchains -> iptables?

Код проще поддерживать. Я так думаю.

Это если бы они совсем выпилили iptables, а то ведь нарочно переименовали.

Тогда трава была зеленее и машин с linux было меньше =)

Думал опять Лёня влез, но погуглив понял что не он. Хотя судя по синтаксису того как это конфигурируется его поделками вдохновлялись.

Не очень то и жалко этот ужос. Или кому то нравилось?

А у тебя настроено модемное соединение с РОЛ?

ну может дело привычки.

Я не знаю не тех ни других правил. Первый конфиг для меня понятней. Лично я не топлю не за одну из этих реализаций.

А при чем тут?

Я о другом. Мне нравится, когда прочитав о чем-то в книге 20-летней давности можно повторить на современной системе, потому что обратная совместимость.

Ну дык а я о чем. А мне вот нравится программировать на дебильном бейсике с номерами строк, но я понимаю, что это ментальное отклонение.

iifname
ct

Вот за такое нд бт рзр п ркм
А вообще норм

Вот за такое нд бт рзр п ркм

согласен

Команда для добавления правила блокирования пакетов, направленных на адрес 1.2.3.4:

nft add rule ip filter output ip daddr 1.2.3.4 drop


Синтаксис такого же действия для iptables:

iptables -t filter -A OUTPUT -j DROP -d 1.2.3.4

И в чем смылс? Лучше что ли стало?

Конечно лучше, теперь shift зажимать не надо, когда команды печатаешь.

Мешать будет бинарь /usr/bin/iptables,

В Debian есть для этого diversions и alternatives. Наверняка и в других дистрибутивах есть аналогичное.