Предыдущая значительная ветка 1.4 вышла 10 лет назад, в декабре 2007.

Почему десять-то?

Предыдущая значительная ветка 1.4 вышла 10 лет назад, в декабре 2007.

10 лет назад

в декабре 2007

Ты просто великий математик!

По сабжу: Опять всё переписывать. Я магию правил ниасилил, может сиподобность это исправит для меня.

Ты просто великий математик!

Нет, просто опять машина времени барахлит :) Fixed.

Опять всё переписывать

iptables-compat, legacy можно не переписывать

опять машина времени барахлит

Нефиг угонять то, чем не умеешь пользоваться.

legacy можно не переписывать

Потыкать сиподобные правила хочу. Звучит понятнее, а как на деле — вопрос. Никогда не понимал магию iptables, но иногда нужно.

Между прочим, а кто щупал nftables, как они?

Решил почитать про них и сразу наткнулся на наличие файла с фильтром /etc/nftables.conf Это мне не нравится. Дело в том, что для iptables я могу просто написать несколько shell-скриптов, которые вызывать для разных ситуаций. Ну например, фильтровать или не фильтровать какие-то порты, настроить разные NAT или не настраивать и т.д. То есть, старые iptables получаются гибче. Или я не понял чего-то?

Не щупал, но отвечу. Есть утилита nft, которая делает то же самое. А за счёт динамических set-ов и map-ов во многих случаях можно делать то же самое значительно проще.

Никогда не понимал магию iptables, но иногда нужно.

iptables tutorial очень хорошо просвещает. Я тоже долго не мог вьехать, ipchains продолжал использовать достаточно долго, пока мне не понадобились фичи которые были только в iptables.
Но похоже мой совет уже не актуален. :)

iptables tutorial очень хорошо просвещает.

В моём случае подвох заключается в том, что я в сетях не шарю чуть более, чем никак.

Он просто в восьмеричной системе считает.

C-подобный синтаксис описания правил, иерархичные блочные структуры вместо линейного списка. Более компактный и удобочитаемый.

А для Ъ можно пример в студию?

хорошо ещё компилировать не надо....

Ну, молодцы чо. Кто-то осилил почитать доки по ipfw.

А как с быстродействием?

Вынос в userspace случайно не замедляет ли работу?

проще осилить доку по pfsense

8 лет назад
в декабре 2007

Капец.

Это только юзерспейсные утилиты, само оно в ядре.

В восьмеричной системе 8 == 10? Это в какой параллельной вселенной?

В восьмеричной системе 8 == 10? Это в какой параллельной вселенной?

А что не так?

0*8^0 + 1*8^1 = 8

В восьмеричной системе 8 == 10?

Нет же, 8 в десятичной системе равно 10 в восьмеричной, йуное дарование из параллельной вселенной.

nftables поудобней чуток iptables, но еще не реализованы все возможности того же iptables. Т.е. пока в production использовать немного рановато, только если у тебя простые правила. Скажем, как уменьшить MTU на каком-то интерфейсе - х.з., там че-то надо заморачиваться с библиотеками, а не просто через правила как-то, т.е. кое-какой функционал не допилен. Но простейший сетевой фильтр аля stateful router реализовывается и работает без проблем.

куда проще взять pfsense и сделать это мышкой...

Ты перепутал Linux с FreeBSD, наверное.

Нубский вопрос: энти ваши nftables это типа новые iptables в ядре Linux? Если нужно самое крутое и последнее то это именно nftables (применительно к Linux)? Просто не следил за вопросом, но заинтересовался.

Всё верно, чел как боженька шутканул, на 5 баллов. Действительно 10 в восьмеричной это 8 в десятеричной.

пробовал я ipfire, он куда хуже, потому предпочитаю pfsense, по мне куда проще поднять в виртуалке pfsense и настроить сеть на всё, чем мутузится с iptables, особенно когда надо 5-6 вланов и и доступы из одной сети в другую, но из той запретить в первую...

Чем -j MIRROR не угодил? И как теперь нюхать трафик? :-)

Ну это твои индивидуальные предпочтения.

Это понятно, но в моей вселенной век длится сто лет, и десять лет — это 0.1 века. Так что назревает вопрос: в какой вселенной восемь лет составляет 0.1 века?

есть какой-то вразумительный ман с примерами для тренировки на домашней сетке начинающему эникею?

Йуное дарование показало свою неграмотность и теперь пытается спасти положение, разводя невнятную демагогию про века. Как мило.

новость про ipt, 60% новости - реклама какой-то пижни.

эникею лучше смотреть ipfire и всё с ним связанное.

уменьшить MTU на каком-то интерфейсе

Это безусловно задача фаервола.

Возможно, вы правы, особо как-то не разбирался. Мне нужно было только прокинуть за NAT как-то PPPoE, у которого мелковат MTU и в результате некоторые странички типа ok.ru не открывались. Одно из решений типа такого https://wiki.gentoo.org/wiki/Home_Router#Incorrect_MTU_value Подозреваю, что как-то через DHCP можно дальше передать MTU, но не было времени разобраться.

чем лучше?

Значит жив? firewalld сносим?

Меня больше интересовало как с наличием нескольких вариантов правил на одном компьютере и легкого перехода от одних к другим. С iptables всё предельно просто: вызываем скрипт в котором в начале сбрасываются все настройки и нужные устанавливаются заново и всё. А вот что с nftables, возникло сомнение.

Я использую по-старинке конфигурационный скрипт nft.sh, переписанный вручную с iptab.sh (тогда еще не было автоматических средств перевода из iptables в nftables). В этом плане все работает. В nftables все сбрасывается еще проще.

nft="/sbin/nft";
#Linux Kernel 3.18
${nft} flush ruleset;
...
/etc/init.d/nftables save;

LOL
Ты ещё и не знаешь систем счисления?
хинт - в десятичной системе нет цифры соответствующей числу десять.

{ip | ip6 | arp | eb}tables

ip & arp - вещи слышанные, и я более менее знаю, что цэ такое, но вот что за eb ? :-O

но вот что за eb

ethernet bridge, фильтрация на L2.

Сейчас под рукой ничего с nftables и новым iptables нету, но если найдёшь - можно сделать iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu и посмотреть, что появится в nftables.

Пока что вся документация и how-to по iptables, для сложных случаев готового решения не нагуглишь.

Кто вышел-то? iptables или nftables?

Вышел новый iptables, в нём добавлен слой совместимости с nftables, позволяющий прозрачно мигрировать. Ну и дальше про nftables, потому что ещё не все в курсе.

чем -j TEE не угодил? :-)

Болезный, когда будешь делать правила на пфсенсе между 5-7 сетями с кипой правил по портам, коннектам, протоколам отпишись. Посмеемся всем лором.

Господин это только в арабских, а в римских Х

Господин это только в арабских, а в римских Х

О! Анон прочитал педивикию и узнал о существовании непозиционных систем счисления.
А ведь кроме римской есть ещё и другие, ага.
Можно выпендрится больше и вспомнить ещё китайскую там или греческую.
А вообще, если ты умеешь читать, то я явно сказал «десятичную».
И с какого бодуна ты решил приплести римскую?