| |
| 2.3, анони (?), 17:57, 20/02/2026 [^] [^^] [^^^] [ответить]
| +5 +/– |
А его обязательно видеть? Так то json придумывался не для "парсинга" глазами человека.
| | |
| |
| 3.11, WE (?), 19:12, 20/02/2026 [^] [^^] [^^^] [ответить]
| +5 +/– |
 Потому что синтаксис nft делал человек с юмором и теперь определить где там оператор, а где параметр можно только 5 раз прочитав строку.
| | |
|
| 2.4, Аноним (4), 18:01, 20/02/2026 [^] [^^] [^^^] [ответить]
| +4 +/– |
А зачем вы читает JSON? Он для передачи между софтом предназначен. Вы ещё байт код попробуйте с фильтра выгрузить, а потом ныть ой не могу.
| | |
| 2.25, Аноним (-), 21:52, 20/02/2026 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> тот кто видел json код правил nftables, тот в цирке не смеётся.
Вы еще хексдампы читаемые потребуйте. А так нативный синтаксис nftables вполне себе - тем более для рулесетов чуть сложнее чем hello world которе на iptables мигом становятся гигантским спагетти.
| | |
| 2.26, Анонисссм (?), 22:21, 20/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>кто видел json код правил nftables
и что тебе не нравится или кажется нечитаемым?
сконверти это в iptables
ip saddr {1.2.3.4,5.6.7.8} tcp dport {42322,42343,47567,48080,48484,48751,49005} accept comment "apis"
| | |
| |
| 3.28, нах. (?), 23:04, 20/02/2026 [^] [^^] [^^^] [ответить] | –6 +/– | действительно, ну вот - что Что тут может казаться нечитабельным Неужели же ... большой текст свёрнут, показать | | |
| |
| 4.30, q (ok), 23:26, 20/02/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
 "Вадим Вадимыч, сколько будет два плюс два?"
Показательно, что тебя попросили сконвертить одну строчку в iptables, а ты разродился стеной рационализаторского текста вместо столь же короткого ответа. Гы. Подозреваю, что вначале ты действительно пытался сконвертить в iptables, но потом осознал ущербность iptables и поэтому заменил ответ простыней оправданий.
| | |
| |
| 5.31, нах. (?), 23:57, 20/02/2026 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Что тебе неясно в ответе - это чушь написана и никуда это конвертить незачем?
И да, возможность такое надевляпать - это одна среди многих причин, почему nft - дерьмо.
Никакой "ущербности" в том что такое дерьмо написать нельзя в iptables - нет.
И да, я там одну цифру в цитате исправил. Ты, разумеется, не заметил. Точно так же ты и свою опечатку не увидишь. "ой, а почему у меня не работает?"
| | |
| |
| 6.33, q (ok), 00:32, 21/02/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> такое дерьмо написать нельзя в iptables
Все, что нельзя написать в iptables -- дерьмо. Спасибо! Теперь понял! Гы. Вот серьезно. Смотрю на тебя как на пещерного человека, который гордится тем, что живет в пещере и -- внимание! -- умеет добывать огонь без этих ваших спичек и зажигалок! "Текнолоджиа! Текнолоджиа!" (c)
> я там одну цифру в цитате исправил. Ты, разумеется, не заметил
Разумеется, у меня же мясной мозг, а не ЦПУ, который делает strcmp в фоне. Странная придира. Это как если бы ты заменил кириллическую "а" на латинскую, а потом говорил, как ты ловко обманул меня, подсунув мне не ту букву в рандомном слове! Только вот, что именно должно было это доказать? Этот момент остался загадкой. Ну да, я не гоняю strcmp по цитатам, и как бы - и чо? Гы.
| | |
| |
| 7.38, abu (?), 01:19, 21/02/2026 [^] [^^] [^^^] [ответить] | +/– | Так ведь вас и попросили найти ошибку А вы ее не нашли Дело всего этого спора... большой текст свёрнут, показать | | |
| |
| 8.39, q (ok), 01:31, 21/02/2026 [^] [^^] [^^^] [ответить] | +/– | Понимаешь ли ты, насколько это убого Чел прислал nft-конструкцию и попросил пер... большой текст свёрнут, показать | | |
| |
| 9.41, abu (?), 01:52, 21/02/2026 [^] [^^] [^^^] [ответить] | +/– | Ваш подход я понял, спасибо Но подходов тут все равно остается ровно два - ест... большой текст свёрнут, показать | | |
| |
| |
| 11.91, нах. (?), 11:22, 23/02/2026 [^] [^^] [^^^] [ответить] | +/– | то что тебя быстро уволят, потому что пока ты собираешь систему , бизнес подожд... текст свёрнут, показать | | |
|
|
|
|
| 7.54, нах. (?), 12:49, 21/02/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Все, что нельзя написать в iptables -- дерьмо.
возможно не все (но мне пока не попадались реалистичные сценарии)
Но твой пример - безусловное дерьмо. Но тут явный случай данинга-крюгера, когда бесполезно объяснять безграмотному фанату что он безграмотный - он безграмотный и все равно не поймет.
> Разумеется,
поэтому кому-то вменяемому за тобой потом придется переделывать.
На такое, в чем ошибки замечать и исправлять - просто.
И это таки да, проблема nft, что их синтаксис позволяет с легкостью наляпать нечитаемые и неотлаживаемые правила. А то что твою бредятину придется записать в другой форме чтобы скормить ее в iptables - это вообще не проблема iptables.
| | |
| |
| 8.84, Аноним (84), 22:32, 22/02/2026 [^] [^^] [^^^] [ответить] | +/– | Может, Вы сначала перепишете это на iptables, а потом уже мы продолжим разговор ... текст свёрнут, показать | | |
|
|
| 6.86, Аноним (-), 05:17, 23/02/2026 [^] [^^] [^^^] [ответить] | –1 +/– | Не иллюстративно - короткий, емкий, вполне читаемый синтаксис В отличие от спаг... большой текст свёрнут, показать | | |
|
|
| 4.32, Аноним (-), 00:31, 21/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
Нормальный человек напишет так:
ip saddr @allowed_ips tcp dport @allowed_ports accept comment "apis"
> я добьюсь увольнения идиота-девляпса который такое притащит
Почему не "добить" мануал по nft?
> И в каждой будет по строчке на адрес и по строчке на порт, и вселенная от этого вовсе в черную дыру не схлопнется.
Классно читать, когда счет ip пойдет на 1000, не?
Не говоря уже про то, что части функций таких как указание интерфейсов в POSTROUTING в ipotables тупо нет и приходилось по диапазонам указывать.
| | |
| |
| 5.35, abu (?), 01:00, 21/02/2026 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Первое, что гуглится по postrouting и интерфейсы:
>
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 1.2.3.4
Важно: Использовать -i (input interface) в POSTROUTING нельзя, так как пакеты к этому моменту уже маршрутизированы и выходят через конкретное устройство.
>
а вы что имели в виду?
| | |
| 5.40, abu (?), 01:34, 21/02/2026 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Добавлю тут, потому что на ваш следующий ответ почему-то нет возможности отвечать. Второе гугление тотчас дает такой ответ:
>
It is not possible to perform a standard Destination Network Address Translation (DNAT) in the POSTROUTING hook using nftables (or iptables for that matter). The fundamental reason lies in the structure of the Linux networking stack and the timing of the routing decisions.
>
Если можете - уточните все же, что имеете в виду - интересно для самообразования.
| | |
| |
| 6.42, Аноним (-), 01:54, 21/02/2026 [^] [^^] [^^^] [ответить] | +/– | Ну это к модеру вопрос, почему то сообщение в блок залетело Это уточняйте у тех... большой текст свёрнут, показать | | |
| |
| 7.44, abu (?), 05:21, 21/02/2026 [^] [^^] [^^^] [ответить] | +/– | Не то чтобы я великий специалист по iptables, но всегда воспринимал то, что есть... большой текст свёрнут, показать | | |
|
|
| 5.46, Анонисссм (?), 08:40, 21/02/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Нормальный человек напишет так:
> ip saddr @allowed_ips tcp dport @allowed_ports accept comment "apis"
какое стрёмное название @allowed_ips. Где тут отсылка на api?
Или у тебя все ip-шники из всех строк/правил свалены в общий allowed_ips?
И я дурак? Точно, точно? )))
тысячи IP у меня не появятся, т.к. я знаю сколько у меня серверов.
"тысячи IP" это или какой-нибудь гугло, в который вас не возьмут или провайдер (где обычно мало платят, наверное поэтому вы такие распальцованные и злые)
| | |
| |
| |
| 7.74, Анонисссм (?), 15:29, 22/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну назови по другому. Придирался к названию переменных в сообщении, лол
нет я офигел от предложения на КАЖДОЕ правило создавать по таблице/сету/цепочке.
надеялся, что ты проспишься и что-то хорошее скажешь.
| | |
| |
| |
| 9.82, Аноним (82), 19:44, 22/02/2026 [^] [^^] [^^^] [ответить] | –2 +/– | Расслабься, человек привык как в iptables все в одну таблицу - фильтр липить Во... текст свёрнут, показать | | |
|
|
|
| 6.81, Аноним (82), 19:38, 22/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Та даже если 2 ip, правило должно быть одно а не по 1 * n
Названия выбирай какие хочешь.
| | |
|
| 5.56, нах. (?), 13:01, 21/02/2026 [^] [^^] [^^^] [ответить] | –2 +/– | поздравляю, теперь тут ТРИ непригодных для отладки места вместо одного КАК ты с... большой текст свёрнут, показать | | |
| |
| 6.65, Аноним (65), 21:19, 21/02/2026 [^] [^^] [^^^] [ответить] | +/– | Это каких Для начал так А дальше глазами или грепом Да хоть эй ай Да, это оч... большой текст свёрнут, показать | | |
| |
| 7.66, Аноним (66), 21:40, 21/02/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
> table ip nat {
> chain postrouting {
> type nat hook postrouting priority srcnat; policy accept;
> iif "dummy0" snat to 8.8.8.8
> }
> }
Чем это лучше одной строки в iptables?
| | |
| |
| 8.69, Аноним (82), 23:14, 21/02/2026 [^] [^^] [^^^] [ответить] | –2 +/– | Тогда нужно цитировать только правило iif dummy0 snat to 8 8 8 8 Так-то и в... текст свёрнут, показать | | |
|
| 7.90, нах. (?), 11:17, 23/02/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
> КАК ты собираешься искать опечатку в одном из портов
> nft list set ip allowed_ports
тебя спросили - как искать (и даже там выше пример с опечаткой) - в ответ опять только твое хвастовство знанием закорючек.
> А дальше глазами
я так и думал.
> А не вычитывать 1 порт = 1 правило, где какой-то дед, костями вросший во второе ядро,
> вместо dport sport написал. Грепом ты то найдешь по порту, уидишь что порт верен, а
> правило а нет.
ну вот уровень местных недедов.
Я даже не буду тебе объяснять, что я на самом деле увижу в выводе grep и почему это позволит СРАЗУ увидеть строку с ошибкой (даже если ты настолько альтернативно одаренный что умеешь перепутать s и d - я уж не знаю чем для этого надо думать, а не просто бессмысленную цифирку одну из двадцати, как оно будет в реальном мире).
Тратить на вас время совершенно незачем, апологеты обмазывания модноновейшим.
| | |
|
|
|
| 4.43, Вася (??), 03:04, 21/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>>я добьюсь увольнения идиота-девляпса который такое притащит
откуда в компании по перепродаже китайских чайников девопс?
| | |
| 4.45, ананим.orig (?), 06:28, 21/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> я не то что это конвертить не буду никуда, я добьюсь увольнения идиота-девляпса
Так ты не только на опеннете атмосферу портишь?
А когда то тут были инженеры.
Теперь только фиктивные манагеры.
| | |
|
|
|
| 1.2, Аноним (4), 17:57, 20/02/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– | |
Кому это нужно, когда есть nftables?
Тем кто уже в деменцию скатился и не может пяток команд выучить?
| | |
| |
| 2.8, Аноним (8), 18:39, 20/02/2026 [^] [^^] [^^^] [ответить]
| +7 +/– |
Да тем же, кто уже в деменцию впал и кроме systemd с юнит-портянками никакой другой init выучить не может.
| | |
| |
| 3.9, Аноним (9), 18:49, 20/02/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну в 2026 нормальный человек ничего кроме systemd в прод не выберет. Так что знание других нужно не от хорошей жизни, а если что-то по наследству пришло.
| | |
| |
| 4.55, BrainFucker (ok), 12:56, 21/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
 > Ну в 2026 нормальный человек ничего кроме systemd в прод не выберет.
На более менее серьёзных продах сервисами управляют докеры и кубернетсы. С systemd или другой системой инициализации ОС взаимодействовать не приходится, оно один раз запустило систему и служебные сервисы и пофиг что там за система.
| | |
| |
| 5.57, нах. (?), 13:05, 21/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> На более менее серьёзных продах сервисами управляют докеры и кубернетсы.
и вот сочетание докера с системдрянью - особенно удивляет, восхищает, в чем-то даже изумляет, но вслух ты произнесешь нечто совершенно другое, когда попытаешься.
Даже rhbm вынуждена была целиком весь докер переписать заново для совместимости со своей любимой системдрянью. Причем получилось все равно плохо и никто ее поделку не любит.
(вот реально ноль решений за последние лет пять использующие podman по назначению)
| | |
| |
| 6.59, BrainFucker (ok), 13:12, 21/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
Насколько помню, основная идея podman в rootless контейнерах. А почему не популярен, так сейчас новые проекты редко запускают, а переделвывать давно отлаженный и работающий прод ради новомодных технических решений в здравом уме мало кто будет.
| | |
| |
| 7.64, нах. (?), 20:55, 21/02/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Насколько помню, основная идея podman в rootless контейнерах.
не cовсем - существует rootless docker, уже разок пришлось удалять за девляпами эту мерзость.
основная идея все же что нет лишнего демона, и systemd _видит_ контейнер как отдельную сущность.
(хотя да, то как ТАМ сделан rootless - позволяет не сломать нахрен selinux, например. Но это уже высший пилотаж - надо ж чтоб девляпс его не выключил еще до установки системы)
| | |
| |
| 8.68, Аноним (82), 22:18, 21/02/2026 [^] [^^] [^^^] [ответить] | –1 +/– | Правильно, чтобы без всякой изоляции размазать свой шлак по всей системе и други... текст свёрнут, показать | | |
|
|
| 6.67, Аноним (82), 22:10, 21/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> (вот реально ноль решений за последние лет пять использующие podman по назначению)
Обычный врапер над namespaces
Отличное решение для локальной разработки, когда любой пакет следует считать вектором угрозы для системы.
| | |
|
|
|
|
| 2.29, нах. (?), 23:10, 20/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Кому это нужно, когда есть nftables?
это, которое ВЧЕРА научилось, оказывается, в атомарные изменения - не нужно вообще никому.
Все кто пытался этим пользоваться когда оно еще было хоть немного актуальным - выбросили его по причине неумения сконвертировать даже совсем-совсем тривиальные конфиги.
А нормальные iptables (еще и не завязанные на неотключаемый ebpf) были конечно нужны, но теперь уже проехали, жрите убогий синтаксис из закорючек.
| | |
| |
| 3.92, morphe (?), 23:39, 23/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Втф? Атомарные изменения в api nftables было с самого начала, команда nft это по дефолту использует
У iptables разве есть такое вообще?
| | |
|
|
| 1.20, q (ok), 19:45, 20/02/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
iptables -- это набор страшных непонятных комманд с ужасным синтаксисом.
nftables -- это структурированная конфетка, которую легко и приятно читать/писать.
| | |
| |
| 2.48, онаним (?), 09:59, 21/02/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
nftables -- это набор страшных непонятных комманд с ужасным синтаксисом.
iptables -- это структурированная конфетка, которую легко и приятно читать/писать.
| | |
| |
| 3.58, Аноним (58), 13:10, 21/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>nftables -- это набор страшных непонятных комманд с ужасным синтаксисом.
Ложь. Правила nftables можно читать как осмысленное гумманитарное предложение. синтаксис комманд своей болтливостью меня сначала раздражал. А потом я понял, писать правила оформленные естественным человеческим языком приятнее.
| | |
| |
| 4.63, Гость (??), 18:27, 21/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
Кроме приятного есть ещё практические задачи. Вы перестали выбирать инструмент под задачу и стали использовать только "приятные" инструменты?
| | |
| |
| 5.76, Аноним (76), 15:47, 22/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
Иногда можно просто перестать есть кактус и начать жить и пользоваться nft.
| | |
| |
| 6.89, нах. (?), 11:07, 23/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Иногда можно просто перестать есть кактус и засунуть его себе в задницу - пользоваться nft.
поправил, не благодари.
| | |
|
|
| 4.93, Sm0ke85 (ok), 07:33, 24/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
 >Правила nftables можно читать как осмысленное гумманитарное предложение.
Может гуманитарию это и удобно, вот только все боевое пишут технари, а гуманитарии - только нейрослопить могут, т.к. гуманитарное образование без технической базы - это обезьянкино образование (по опыту знаю, что лучше сначала техническое образование получить, а потом сверху гуманитарщиной все это накрывать, пусть даже на уровне самообразования, тогда выхлоп от образования на порядок выше...)
| | |
|
|
|
| 1.71, Аноним (71), 08:50, 22/02/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Пожалуйста, переведите в правило nftables:
iptables -I INPUT -p tcp --tcp-flags RST RST -j DROP
iptables -I INPUT -p tcp --sport 443 --tcp-flags RST RST -j DROP
Заранее спасибо! :)
| | |
| |
| 2.72, Аноним (71), 08:58, 22/02/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Так правильно? nft add rule inet filter input tcp flags rst drop
| | |
| 2.75, Аноним (76), 15:46, 22/02/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Тебя в нейросети забанили?
table inet filter {
chain input {
type filter hook input priority 0; policy accept;
# Блокировка входящих TCP RST-флагов
ip protocol tcp tcp flags RST drop;
# Блокировка входящих TCP RST-сигналов с порта 443
ip protocol tcp tcp flags RST sport 443 drop;
}
}
| | |
| |
| 3.78, Аноним (78), 17:33, 22/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
А ты чо такой ленивый? Сам синтаксис nftables изучить не можешь что-ли? Тебя приободрить надо?
| | |
| |
| 4.79, Аноним (80), 19:29, 22/02/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
> А ты чо такой ленивый? Сам синтаксис nftables изучить не можешь что-ли?
> Тебя приободрить надо?
Ты просто нейросети не осилил вот и бесишься.
| | |
|
|
| |
| 3.88, нах. (?), 11:00, 23/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
судя по содержимому - в качестве фона "экспертизы" перед отчетом для инвесторов.
Obviously, iptables-nft's code base is less proven which means it may contain bugs and certainly has performance problems in some situations.
примерно там же с 19го года все и осталось. Особенно смешно из будущего читать бла-бла-бла о преимуществах "atomic operations" когда вот в 26м наконец научились в COMMIT.
| | |
|
|
|
