LINUX.ORG.RU
ФорумTalks

nftables 0.9.7 - торт!

 , ,


0

1

Наконец можно будет не патчить ядро и iptables для пропуска нескольких правил!

В nftables-0.97 завезли конструкции вида

  table inet x {
        chain y {
             type filter hook input priority 0;
             tcp dport 22 jump {
                    ip saddr { 127.0.0.0/8, 172.23.0.0/16, 192.168.13.0/24 } accept
                    ip6 saddr ::1/128 accept;
             }
        }
  }

Теперь можно рассматривать nftables как конкурента iptables.

Правда не совсем понятно нужно ли для этого ядро >= 5.10-rc1

★★★★★
Ответ на: комментарий от intelfx

Анонимные цепочки. Один раз проверяем условие

tcp dport 22 jump
а потом несколько действий
   {
     ip saddr { 127.0.0.0/8, 172.23.0.0/16, 192.168.13.0/24 } accept
     ip6 saddr ::1/128 accept;
   }
Сейчас нужно в явном виде создать именнованую цепочку
iptables -N XX1
iptables -A ... -p tcp --dport 22 -j XX1
iptables -A XX1 .....
Даже на подправленном ядре и iptables это делать очень неудобно.

У меня есть хак, который умеет пропускать N следующих правил.

Например Если tcp && dport != 22, то 3 следующих правила пропускаем.

iptables -A ... -p tcp ! --dport 22 -g +3
iptables -A ... -j LOG
iptables -A ... -j SET --add-set xxx src
iptables -A ... -j ACCEPT
При изменении нужно быть ооочень аккуратным.

vel ★★★★★
() автор топика
Ответ на: комментарий от vel

никогда не было подобных проблем. просто потому что сначала проектирую, создаю цепочки, а потом уже наполняю правилами.

Rost ★★★★★
()
Ответ на: комментарий от vel

Вот это нифига себе. У меня где-то валяется недописанный костыль-препроцессор над nft, который добавляет в него условные операторы и вложенные блоки (генерируя именованные цепочки для каждого блока). Получается, можно выкидывать?

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.