Дополнения для nftables

2

1

Чёрт меня дернул вылезти из теплой уютной криокамеры iptables!

Посмотрев внимательно на слово nftables я случайно заменил, что там нет буквы 'M'. Как оказалось «модульность» отсутствует от слова совсем :(

Теперь понятно почему народ не горит желанием портировать расширения iptables в nftables.

Если в iptables можно было собрать свой модуль, положить его в нужный каталоги и оно работало, то теперь хрен!

Ядерные модули различаются не сильно, а вот userspace утилиту нужно будет патчить. Больше всего обрадовало использование bison/flex.

Сразу вспоминается ipset, в котором добавить свой тип совсем не просто. Но там бы хоть какая-то модульность, а тут её нет совсем :(

А еще просто бесит дублирование ядерных хидеров в ipset/iptables/nftables!

Ссылка

←	Чем посмотреть комбинацию mka и mkv файлов в онтопике?

Я тупой, что делать?

→

non-function test^Wtables

mittorn ★★★★★
(19.09.22 10:54:35 MSK)

Ссылка

Меня больше раздражает, что нет внятной документации на nftables с примерами

voltmod ★★★
(19.09.22 21:56:52 MSK)

Сам долго сидел на iptables через ferm. И очень удивлялся, что последний не развивается. Сейчас пару лет, как перешел на nftables и скажу, что он очень удобен для 90% случаев (в моём случае - для 100%). С документацией не очень. Когда мне надо было немного нестандартные мапы для nat завести - пришлось методом научного тыка искать. Зато другие вещи типа автоматических черных списков из коробки есть.

Сам я модули не писал для iptables - хватало коробочных. Какая именно задача и зачем самописный модуль понадобился? Точно этого нет в nftables?

Qasta ★
(19.09.22 23:43:06 MSK)

Ответ на: комментарий от Qasta 19.09.22 23:43:06 MSK

xt_dpi, xt_condition, ipt_account, NETFLOW, IMQ, TARPIT

Есть хитрый set для массового портмаппинга DNATMAP/SNATMAP.

Метки интерфейсов не поддерживаются (ipt_iftag)

vel ★★★★★
(19.09.22 23:52:14 MSK) автор топика

Ответ на: комментарий от voltmod 19.09.22 21:56:52 MSK

Дофига, просто нужно уметь искать.

Meyer ★★★★★
(20.09.22 08:27:12 MSK)

Ссылка

Ответ на: комментарий от vel 19.09.22 23:52:14 MSK

xt_dpi

Можно через NFQ прикрутить, если это так необходимо.

Есть хитрый set для массового портмаппинга

Кажется в nftables что-то похожее было.

Meyer ★★★★★
(20.09.22 08:29:10 MSK)

Ссылка

Напиши свою юзерспейсную утилиту, с блэкджеком и шлюхами. Вся суть nftables в том, что правила компилируются в байткод же.

intelfx ★★★★★
(20.09.22 10:52:00 MSK)
Последнее исправление: intelfx 20.09.22 10:52:10 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от vel 19.09.22 23:52:14 MSK

Ну по счётчикам (я так понимаю, что этим занимаются ipt_account и NETFLOW) и портмаппингу - это в коробе есть. Не понял, зачем именно нужен IMQ. Ну и TARPIT конечно же признан женевской конвенцией нелегетимным оружием :)

По DPI, condition и остальным - действительно почти ничего не нашел. Если что-то получится найти или как-то решить проблему - отпишитесь. Это точно поможет другим.

Qasta ★
(20.09.22 20:53:18 MSK)

Ответ на: комментарий от Qasta 20.09.22 20:53:18 MSK

IMQ единственное средство для ограничения трафика через множество интерфейсов.

ipt_account у меня еще подправлен для работы с множеством подсетей. Счетчики nftables не умеют сохранять mac-адрес который есть в ipt_accont

vel ★★★★★
(20.09.22 22:01:33 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Чем посмотреть комбинацию mka и mkv файлов в онтопике?

Talks

Я тупой, что делать?

→

Похожие темы