Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск пакетного фильтра nftables 1.1.6"	+/–
Сообщение от opennews (??), 06-Дек-25, 01:25
Опубликован выпуск пакетного фильтра nftables 1.1.6, унифицирующего интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов (нацелен на замену iptables, ip6table, arptables и ebtables). Одновременно опубликован выпуск сопутствующей библиотеки libnftnl 1.3.1, предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64386
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 06-Дек-25, 01:25    Скрыто ботом-модератором	–9 +/–
Поскорее бы iptables выпинули отовсюду к чертям собачьим, выглядит страшно и отталкивающе. В nftables интерфейс понятный и структурированный, так и хочется лизнуть.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от penetrator (?), 06-Дек-25, 01:39	+6 +/–
ты хоть пиши, что сарказм
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #41, #56

6. Сообщение от Аноним (6), 06-Дек-25, 03:05	+2 +/–
Глубину стека только надо не 16 сделать, а 64 и тогда можно пользоваться...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #47

8. Сообщение от _ (??), 06-Дек-25, 03:41	+/–
Почему у t1 и t2 - id одинаковый? Очепятка?
Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от openssh_user (ok), 06-Дек-25, 06:13	–6 +/–
Пользуюсь на своих серверах. Синтаксис приемлим и читаемый, по сравнению с iptables
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #39, #81

13. Сообщение от Аноним (13), 06-Дек-25, 09:54	+/–
А есть какие то понятные туториалы по nftables чтобы пацаны могли легко понять?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #53

15. Сообщение от Аномалии (?), 06-Дек-25, 10:01	+/–
https://wiki.nftables.org/wiki-nftables/index.php/Main_Page
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #46, #54, #63

17. Сообщение от Tty4 (?), 06-Дек-25, 11:30	+1 +/–
IP tables имеет куда более понятным подход при написании. Только читать его сдуреешь. Тут тоже можно сделать очень сложные цепочки, но некоторые простые задачи получаются переусложненными.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

25. Сообщение от Ванька с огорода (?), 06-Дек-25, 16:18	+4 +/–
прекрасный release, без документации. Кто найдет ссылку на описание (лучше из официальной документации) на описание блока конфигурации "tunnel xx {...}" , тот огурец!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #72

28. Сообщение от Аноним (28), 06-Дек-25, 18:24	+/–
Создание туннеля через фаервол?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #35

29. Сообщение от Аноним Псевдонимович (?), 06-Дек-25, 18:26	–1 +/–
4096
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #61

31. Сообщение от Аноним (-), 06-Дек-25, 22:37	–1 +/–
На сколько я знаю не существует такого понятия "туннель через файрвол". Ты просто открываешь порт, которым пользуется твой VPN. Файрвол - это защитная стена. Ты можешь настроить, какие "двери" в нём можно открыть, а какие закрыть. Ты можешь настроить режим работы этих "дверей" например, не отвечать на подозрительные запросы извне, или ограничить количество запросов определённым числом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

35. Сообщение от Аноним (35), 07-Дек-25, 01:32	+/–
С чего ты взял, что nftables - это фаервол? Это значительно больше, чем фаервол. Сказано-же: заменяет iptables, ip6table, arptables и ebtables. Ты хотя бы приблизительно представляешь, зачем были нужны arptables и ebtables?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

36. Сообщение от Пишу с 3 пня (?), 07-Дек-25, 02:00	+2 +/–
Слишком сложно. Спасибо, что существует ufw.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44, #49, #84

39. Сообщение от Васисуалий (?), 07-Дек-25, 02:10	+8 +/–
Не согласен. После iptables сабж кажется шифрограммой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #57, #76

41. Сообщение от Васисуалий (?), 07-Дек-25, 02:15	+1 +/–
> ты хоть пиши, что сарказм Вряд ли это сарказм. Такие поциенты существуют в реале, и их не мало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

44. Сообщение от Аноним (-), 07-Дек-25, 07:37	+/–
ufw работает только на Ubuntu. На других дистрах его нет, ну мэйби Дебиан?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #50, #52

46. Сообщение от Аноним (-), 07-Дек-25, 09:56	–1 +/–
>https://wiki.nftables.org/wiki-nftables/index.php/Main_Page Чоза подстава. Надо чтобы на русском ну ты понял да. И попроще было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #83

47. Сообщение от Аноним (-), 07-Дек-25, 09:57	+/–
Чо за глубина такая?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

48. Сообщение от Аноним (50), 07-Дек-25, 10:14	–2 +/–
iptables -> nftables = пожалуй, самая лучшая трансформация, которая произошла в линуксе за все время его существования.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #66, #75

49. Сообщение от Аноним (50), 07-Дек-25, 10:15	–1 +/–
https://pkgs.org/search/?q=ufw
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

50. Сообщение от Аноним (50), 07-Дек-25, 10:16	+/–
Чуть ли не во всех, мой дорогой: https://pkgs.org/search/?q=ufw
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

52. Сообщение от rhbm (?), 07-Дек-25, 13:28	+/–
на "других" есть firewalld. Ради которого в общем-то мы и придумали эту невменяемую перегруженную закорючками хернотень вместо человекочитаемых iptables. Ну и что что нельзя ограничивать source address? Наши экспертные-эксперты решили что и так сойдет!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #73

53. Сообщение от Васисуалий (?), 07-Дек-25, 13:29    Скрыто ботом-модератором	+1 +/–
Читая такие посты, понимаешь, что людей не умеющих пользоваться нейросетями в 2025 году, нужно увольнять за профнепригодность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #55

54. Сообщение от нах. (?), 07-Дек-25, 13:30	–1 +/–
может, скажем ему... хотя зачем... улыбаемся и машем. Правильный ответ для тредстартера: нет и не надейся что будет. Даже документации как таковой нет и не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

55. Сообщение от нах. (?), 07-Дек-25, 13:35	–2 +/–
за профнепригодность надо увольнять людей, которым взбрело в голову что нейросети заменяют документацию. Тем более что такие как ты нахрен ни для чего и не нужны. Современные нейросети вполне умеют набирать командочки в шелле без тебя, ненужной прокладки между стулом и клавиатурой. А вот создать документацию из пустого места - к сожалению, не умеют. (ну то есть они могут попытаться, но там будет бред один) Поэтому иногда будут набирать rm -rf / - ну показалось им там что-то. Причем вот на что, на что, а на ответить "yes" у них "интеллекта" хватает. Ачотакова, пипл хавает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #70

56. Сообщение от нах. (?), 07-Дек-25, 13:37	+/–
> ты хоть пиши, что сарказм так он написал же!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

57. Сообщение от Аноним (57), 07-Дек-25, 13:49	+/–
Вполне можно писать правила в стиле iptables: одна строка - одно правило. С тем дополнением, что в nftables прямо в правиле можно перечислять список портов через запятую.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #60

60. Сообщение от Аноним (60), 07-Дек-25, 14:39	–1 +/–
Так это legacy режим. Спрашивается, нафига вообще тогда переходить с iptables.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #62, #93

61. Сообщение от OpenEcho (?), 07-Дек-25, 18:07	+/–
8192
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

62. Сообщение от rhbm (?), 07-Дек-25, 18:10	+/–
потому что мы их вам запретили, разумеется! И разработчики уже давно даже и не пытаются делать вид что поддерживают эту немодную устаревшую технологию. Любое мелкое улучшайсто сетевого стека, которое поломает их окончательно - приведет к тому что этот немодный код объявят неправильным и выбросят совсем. Ну а режим совместимости у нас совместим примерно с нашим файрволом по умолчанию из 2000го года. Примитивный конфиг из десятка правил. А его ты как-нибудь и в новом формате бы смог. Так что бороться бесполезно, привыкай.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

63. Сообщение от OpenEcho (?), 07-Дек-25, 18:13	+1 +/–
И где там про новодобавленные фичи из новости ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

66. Сообщение от Аноним (66), 07-Дек-25, 21:51	–1 +/–
В руководствах по чему угодно всегда так или иначе упоминается настройка iptables. А про nftables молчок. Точно трансформировались?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #67

67. Сообщение от aim (ok), 07-Дек-25, 22:26	+/–
а в 98 везде был ipfwadm в руководствах. и что теперь, не надо было в ядре 2.2 переходить на ipchains, а затем в 2.4 ядре на iptables?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #68

68. Сообщение от Аноним (66), 07-Дек-25, 22:54	+1 +/–
Я как бы не против nftables, я просто их в обиходе не встречаю. Вот чтобы мне пришлось конфиг написать, к примеру. Существование системды например совершенно неоспоримо - с ним сталкиваешься постоянно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #69

69. Сообщение от aim (ok), 07-Дек-25, 23:07	+/–
> Я как бы не против nftables, я просто их в обиходе не > встречаю. Вот чтобы мне пришлось конфиг написать, к примеру. Существование системды > например совершенно неоспоримо - с ним сталкиваешься постоянно. ubuntu 20.04+ debian 10+ rhel 8+ fedora все они используют nftables в качестве основного fw
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68 Ответы: #71, #85

70. Сообщение от Самый Лучший Гусь (?), 07-Дек-25, 23:45	+/–
Набирать командочки могут а отвечать за результат выполнения командочек уже не могут
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #77

71. Сообщение от a (??), 07-Дек-25, 23:47	+/–
Ага, а при сетапе от docker до k8s все равно используют iptables. Особенно в k8s.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #74, #82, #86

72. Сообщение от Eifan (?), 08-Дек-25, 00:33	+1 +/–
А у nfttables никогда не было документации (десяток вики-страниц, из которых треть не работает и еще треть уже неактуальны) не в счёт. Не барское это дело - документацию писать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #78

73. Сообщение от Аноним (73), 08-Дек-25, 04:14	+/–
В firewalld нельзя src?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #79

74. Сообщение от Аноним (73), 08-Дек-25, 04:19	+/–
А потому что, что iptables это сейчас как стандартные цепочки, уже с хорошо известным flow. В nftables, же, можно не ветвиться от трёх базовых.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #88

75. Сообщение от Аноним (75), 08-Дек-25, 05:46	+/–
ipsetы где?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #87

76. Сообщение от Аноним (76), 08-Дек-25, 11:32	+/–
Мне наоборот iptables кажется шифрограммой. nftables намного чище и понятнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #80

77. Сообщение от нах. (?), 08-Дек-25, 12:57	–1 +/–
Чо эта не могут? В той истории он "ответил" же ж - ну то есть ответил "ой, сам не знаю как такое получилось", но чем этот ответ хуже чем такой же от кожанного?! Отлично ведь его скосплеил, согласись! Ну а с развитием антитехнологий - отвечать в общем-то и нечем будет. Ну как ты можешь отвечать за результат набирания командочек - если вместо документации у тебя - вика?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

78. Сообщение от нах. (?), 08-Дек-25, 13:19	+/–
> Не барское это дело - документацию писать. на всякий случай напомню, что документация к iptables (не man page и недовика, а - документация) - тоже написана холопьями. И тоже крайне обрывочная и неполная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

79. Сообщение от нах. (?), 08-Дек-25, 13:25	–2 +/–
> В firewalld нельзя src? штатным способом - нет. Разьве что костылем через rich rules (а тогда нахрена ж оно ненужно) Их задумка (понятно, пошедшая с локалхоста того васяна что и реализовал эту недоделку) - интерфейс->зона->сервис т.е. грубо говоря к интерфейсу привязывается зона в которой определены "сервисы" (а на самом деле просто порты) ну куда ты тут собрался воткнуть проверку для source? Тут всю систему менять надо, сперва перевешав все политбюро.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

80. Сообщение от Аноним (80), 08-Дек-25, 13:37	+2 +/–
> nftables намного чище и понятнее Так может написать только тот, кто настраивал сабж очень тривиально и поверхностно :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

81. Сообщение от Аноним (80), 08-Дек-25, 13:39	+/–
>  Пользуюсь на своих серверах. Рискну предположить, что это localhost. Иначе бы обплевался из-за крайне запутанного синтаксиса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #90

82. Сообщение от нах. (?), 08-Дек-25, 13:50	+/–
> Ага, а при сетапе от docker до k8s все равно используют iptables. дыркер не совсем доисторических версий умеет в firewalld а не напрямую в iptables. А тому все равно что генерить на выходе (так и так бредятина выходит). ну и в единственноверном podman тоже все хорошо. Пользуемые k8s должны страдать!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #92

83. Сообщение от Аноним (-), 09-Дек-25, 07:19	+/–
> Надо чтобы на русском ну ты понял да. И попроще было. Тады иди в поле, или сталеваром там каким, там это может и прокатит. И черт с ними с файрволами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

84. Сообщение от Аноним (-), 09-Дек-25, 07:24	+1 +/–
> Слишком сложно. Спасибо, что существует ufw. Экскаватор - слишком сложно. Ведь есть палка-копалка с интуитивным интерфейсом. Все так, но...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

85. Сообщение от Аноним (-), 09-Дек-25, 08:15	+1 +/–
> все они используют nftables в качестве основного fw Даже опенврт несчастный - на него перешел. Пусть и на урезанный из бизибокса, чтоли, если не ошибаюсь. У которого хелп совсем на минималках и если вы в нем не эксперт, то будет довольно душновато по началу. Но на самом деле крутая штука. А в паре с nfqueue так и вовсе чудеса творит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

86. Сообщение от Аноним (-), 09-Дек-25, 08:16	+1 +/–
> Ага, а при сетапе от docker до k8s все равно используют iptables. Особенно в k8s. Но по факту это будет - лишь трансляция в nftables.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

87. Сообщение от Аноним (-), 09-Дек-25, 08:17	+/–
> ipsetы где? map видимо за них...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

88. Сообщение от Аноним (-), 09-Дек-25, 08:18	+1 +/–
> А потому что, что iptables это сейчас как стандартные цепочки, iptables сейчас - лишь другая морда для nftables делающая трансляцию тех древностей в термины nftables, и только.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

90. Сообщение от Аноним (-), 09-Дек-25, 08:21	+/–
> Рискну предположить, что это localhost. Иначе бы обплевался из-за крайне > запутанного синтаксиса. Наоборот. Сколь-нибудь сложные рулесеты в iptables - совершенно не читаемы. А вот для сабжа их можно структурировать более менее. Так что админ нелокалхоста типа - спалился.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

91. Сообщение от Аноним (91), 09-Дек-25, 13:05	+/–
Сведующий, анон. Вот на микротике у меня нет firewall правил с ip адресами. Interface list (IL) -> IL, обратно established, related. Покажи тоже самое для nftables
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #94

92. Сообщение от aim (ok), 09-Дек-25, 13:29	+/–
>> Ага, а при сетапе от docker до k8s все равно используют iptables. > дыркер не совсем доисторических версий умеет в firewalld а не напрямую в > iptables. > А тому все равно что генерить на выходе (так и так бредятина > выходит). > ну и в единственноверном podman тоже все хорошо. > Пользуемые k8s должны страдать! и docker engine [1] и kubernetes [2] научились в нативный nftables в 2025 [1] https://docs.docker.com/engine/network/firewall-nftables/ [2] https://kubernetes.io/blog/2025/02/28/nftables-kube-proxy/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

93. Сообщение от Аноним (93), 09-Дек-25, 13:30	+/–
Это не legacy режим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

94. Сообщение от aim (ok), 09-Дек-25, 13:31    Скрыто ботом-модератором	+/–
> Сведующий, анон. > Вот на микротике у меня нет firewall правил с ip адресами. > Interface list (IL) -> IL, обратно established, related. > Покажи тоже самое для nftables ``` nft add rule inet filter INPUT ct state established,related accept ``` ты про это? p.s. для ознакомления есть быстрый гайд: https://wiki.nftables.org/wiki-nftables/index.php/Quick_refe...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема