Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск пакетного фильтра iptables 1.8.12"	+/–
Сообщение от opennews (??), 20-Фев-26, 17:54
После полутора лет разработки  опубликован выпуск классического инструментария для управления пакетным фильтром  iptables 1.8.12, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables.  Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64840
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Выпуск пакетного фильтра iptables 1.8.12"	+11 +/–
Сообщение от Аноним (1), 20-Фев-26, 17:54
тот кто видел json код правил nftables, тот в цирке не смеётся.
Ответить | Правка | Наверх | Cообщить модератору

	3. "Выпуск пакетного фильтра iptables 1.8.12"	+5 +/–
	Сообщение от анони (?), 20-Фев-26, 17:57
	А его обязательно видеть? Так то json придумывался не для "парсинга" глазами человека.
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Выпуск пакетного фильтра iptables 1.8.12"	–4 +/–
	Сообщение от Аноним (7), 20-Фев-26, 18:37
	ИИ нормально наваливает правила!
	Ответить | Правка | Наверх | Cообщить модератору

	49. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от Аноним (49), 21-Фев-26, 10:33
	Нейронка.
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Выпуск пакетного фильтра iptables 1.8.12"	+2 +/–
	Сообщение от WE (?), 20-Фев-26, 19:12
	Потому что синтаксис nft делал человек с юмором и теперь определить где там оператор, а где параметр можно только 5 раз прочитав строку.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	4. "Выпуск пакетного фильтра iptables 1.8.12"	+3 +/–
	Сообщение от Аноним (4), 20-Фев-26, 18:01
	А зачем вы читает JSON? Он для передачи между софтом предназначен. Вы ещё байт код попробуйте с фильтра выгрузить, а потом ныть ой не могу.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	6. "Выпуск пакетного фильтра iptables 1.8.12"	–1 +/–
	Сообщение от Аноним (6), 20-Фев-26, 18:17
	Нормально дизассемблится и проверяется.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Выпуск пакетного фильтра iptables 1.8.12"	+2 +/–
	Сообщение от Аноним (-), 20-Фев-26, 21:52
	> тот кто видел json код правил nftables, тот в цирке не смеётся. Вы еще хексдампы читаемые потребуйте. А так нативный синтаксис nftables вполне себе - тем более для рулесетов чуть сложнее чем hello world которе на iptables мигом становятся гигантским спагетти.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	26. "Выпуск пакетного фильтра iptables 1.8.12"	+1 +/–
	Сообщение от Анонисссм (?), 20-Фев-26, 22:21
	>кто видел json код правил nftables и что тебе не нравится или кажется нечитаемым? сконверти это в iptables ip saddr {1.2.3.4,5.6.7.8} tcp dport {42322,42343,47567,48080,48484,48751,49005} accept comment "apis"
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	28. "Выпуск пакетного фильтра iptables 1.8.12"	–6 +/–
	Сообщение от нах. (?), 20-Фев-26, 23:04
	> и что тебе не нравится или кажется нечитаемым? действительно, ну вот - что? Что тут может "казаться" нечитабельным? Неужели же вот ... все целиком? > сконверти это в iptables я не то что это конвертить не буду никуда, я добьюсь увольнения идиота-девляпса который такое притащит. Надо бы кстати добавить в пыточную анкету для собеседований, чтоб сразу с пляжа. > ip saddr {1.2.3.4,5.6.7.8} tcp dport {42312,42343,47567,48080,48484,48751,49005} accept > comment "apis" найди тут ошибку. найди такую же среди хотя бы десятка подобных правил. Поэтому _нормальные_ люди вместо этой чуши напишут ДВЕ таблицы - одну с портами и назовут ее (а не коммент дурацкий вляпают на который сослаться нельзя) apis, и вторую - с адресами, и назовут ее чтонибудь вроде api-access. И в каждой будет по строчке на адрес и по строчке на порт, и вселенная от этого вовсе в черную дыру не схлопнется. И тогда отличие от iptables будет только в том что при отладке там сразу были бы видны счетчики и ясно где ошибка.  А тут ты не догадался про них вспомнить, и будешь в суматохе включать на ходу.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от q (ok), 20-Фев-26, 23:26
	"Вадим Вадимыч, сколько будет два плюс два?" Показательно, что тебя попросили сконвертить одну строчку в iptables, а ты разродился стеной рационализаторского текста вместо столь же короткого ответа. Гы. Подозреваю, что вначале ты действительно пытался сконвертить в iptables, но потом осознал ущербность iptables и поэтому заменил ответ простыней оправданий.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Выпуск пакетного фильтра iptables 1.8.12"	–2 +/–
	Сообщение от нах. (?), 20-Фев-26, 23:57
	Что тебе неясно в ответе - это чушь написана и никуда это конвертить незачем? И да, возможность такое надевляпать - это одна среди многих причин, почему nft - дерьмо. Никакой "ущербности" в том что такое дерьмо написать нельзя в iptables - нет. И да, я там одну цифру в цитате исправил. Ты, разумеется, не заметил. Точно так же ты и свою опечатку не увидишь. "ой, а почему у меня не работает?"
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Выпуск пакетного фильтра iptables 1.8.12"	+1 +/–
	Сообщение от q (ok), 21-Фев-26, 00:32
	> такое дерьмо написать нельзя в iptables Все, что нельзя написать в iptables -- дерьмо. Спасибо! Теперь понял! Гы. Вот серьезно. Смотрю на тебя как на пещерного человека, который гордится тем, что живет в пещере и -- внимание! -- умеет добывать огонь без этих ваших спичек и зажигалок! "Текнолоджиа! Текнолоджиа!" (c) > я там одну цифру в цитате исправил. Ты, разумеется, не заметил Разумеется, у меня же мясной мозг, а не ЦПУ, который делает strcmp в фоне. Странная придира. Это как если бы ты заменил кириллическую "а" на латинскую, а потом говорил, как ты ловко обманул меня, подсунув мне не ту букву в рандомном слове! Только вот, что именно должно было это доказать? Этот момент остался загадкой. Ну да, я не гоняю strcmp по цитатам, и как бы - и чо? Гы.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от abu (?), 21-Фев-26, 01:19
	Так ведь вас и попросили найти ошибку. А вы ее не нашли. Дело всего этого спора в другом - вам, насколько я понимаю, пытаются объяснить то, как работает системный администратор с firewall'ом. Один из примеров - это разбивка на две таблицы, по которым будут понятны привязки адресов и портов. В nft наверняка тоже так можно, но - =зачем платить больше= изучением еще одного фаервола (это отдельная тема)? А вокруг этих объяснений - проды, сляпанные на скорую руку, в которых, действительно, удобно нафигачить по-быстрому и - в кусты, да гыгканья. В которых не понять, например, что может быть парк серверов с настроенным iptables. И все эти ваши проды таким серверам снятся в кошмарах - они просто работают годами безо всего этого зоопарка. Годным спором был бы тот, в котором вы бы выкатили, как аргумент, киллер-фичу nftables. Кстати, ведь  где-то пару лет назад про нее тут писали. И тогда, да, всерьез пришлось бы учить nftables, несмотря на его =закорючки=. А так - все отлично и без него, уж поверьте.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от q (ok), 21-Фев-26, 01:31
	> Так ведь вас и попросили найти ошибку. А вы ее не нашли. Понимаешь ли ты, насколько это убого? Чел прислал nft-конструкцию и попросил перевести в iptables. Далее объявился пох-нах, процитировал конструкцию, изменил цифру, __представил ее себе ошибкой__ и... попросил найти __ошибку__. Лол. То есть буквально: — Сколько будет два плюс два? — Найди ошибку: Sколько будет два плюс два? — Эм... Чо? — Я заменил один символ на другой! А ты и не заметил! Хахаха! > вам, насколько я понимаю, пытаются объяснить то, как работает системный администратор с firewall'ом Причем делают это так, будто есть ровно одно правильное решение. Остальные заочно объявляются неверными. > зачем платить больше= изучением еще одного фаервола (это отдельная тема)? В современном мире именно iptables является "еще одним". Так что нахрена переходить с дефолта (nft) на не-дефолт, если, как продемонстрировал пох-нах, не-дефолт нихрена особо не умеет, усугубляя ужасным синтаксисом? > Годным спором был бы тот, в котором вы бы выкатили, как аргумент, киллер-фичу nftables. Уже выкатели комментами выше, а пох-нах ушел катать простыни текста и... --- внимание! --- заменять циферки, аки Сол Гудман с 1216 vs 1261. Дешевый трюк, который ничего не демонстрирует. Вот серьезно. Если ты такой любитель спора, проведи логический анализ этого приема согласно "Искусству спора" Поварнина: Оппонент А: "Сколько будет два плюс два?" Оппонент Б: "Найди ошибку: Sколько будет два плюс два?" Оппонент А: ЭЭм... Чо? На вопрос можешь ответить?" Оппонент Б: "Я заменил один символ на другой! А ты и не заметил! Хахаха!"
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от abu (?), 21-Фев-26, 01:52
	Ваш подход я понял, спасибо. Но подходов тут все равно остается ровно два - есть то, от чего не уйти, хоть с каким синтаксисом - организация все же firewall'a, несмотря на всякие мейнстримы, и второй - следование за ними, мейнстримами. Это не плохо, но второй вариант несколько расхолаживает, как по мне. Хорошо, что дефолты в линуксе, кроме, пожалуй, systemd, которое прибили гвоздями намертво, переменны. Мое отношение к дефолтам такое - скорость эскадры измеряется самым медленным кораблем. И пока, например, в такой эскадре есть работающий iptables, то он и будет дефолтом. Стопицот других разных дефолтов - подождут, ничего там такого особенного для работы на десятке-другом серверов средней руки нет. Ну а в девопсии, конечно, давай то, что только что испекли. Завязываться на iptables, если это не часть заказа, не стоит.
	Ответить | Правка | Наверх | Cообщить модератору

	60. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от Аноним (60), 21-Фев-26, 14:20
	> systemd, которое прибили гвоздями намертво Что мешает собрать систему на любой другой системе инициализации? Хоть на busybox init, который есть практически везде.
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Выпуск пакетного фильтра iptables 1.8.12"	+2 +/–
	Сообщение от нах. (?), 21-Фев-26, 12:49
	> Все, что нельзя написать в iptables -- дерьмо. возможно не все (но мне пока не попадались реалистичные сценарии) Но твой пример - безусловное дерьмо. Но тут явный случай данинга-крюгера, когда бесполезно объяснять безграмотному фанату что он безграмотный - он безграмотный и все равно не поймет. > Разумеется, поэтому кому-то вменяемому за тобой потом придется переделывать. На такое, в чем ошибки замечать и исправлять - просто. И это таки да, проблема nft, что их синтаксис позволяет с легкостью наляпать нечитаемые и неотлаживаемые правила. А то что твою бредятину придется записать в другой форме чтобы скормить ее в iptables - это вообще не проблема iptables.
	Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

	32. "Выпуск пакетного фильтра iptables 1.8.12"	–1 +/–
	Сообщение от Аноним (-), 21-Фев-26, 00:31
	Нормальный человек напишет так: ip saddr @allowed_ips tcp dport @allowed_ports accept comment "apis" > я добьюсь увольнения идиота-девляпса который такое притащит Почему не "добить" мануал по nft? > И в каждой будет по строчке на адрес и по строчке на порт, и вселенная от этого вовсе в черную дыру не схлопнется. Классно читать, когда счет ip пойдет на 1000, не? Не говоря уже про то, что части функций таких как указание интерфейсов в POSTROUTING в ipotables тупо нет и приходилось по диапазонам указывать.
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	35. "Выпуск пакетного фильтра iptables 1.8.12"	+1 +/–
	Сообщение от abu (?), 21-Фев-26, 01:00
	Первое, что гуглится по postrouting и интерфейсы: > iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 1.2.3.4 Важно: Использовать -i (input interface) в POSTROUTING нельзя, так как пакеты к этому моменту уже маршрутизированы и выходят через конкретное устройство. > а вы что имели в виду?
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от Аноним (-), 21-Фев-26, 01:18
	Верно. Это и имел ввиду. Так вот в nftables этой проблемы нет.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Выпуск пакетного фильтра iptables 1.8.12"	+1 +/–
	Сообщение от abu (?), 21-Фев-26, 01:34
	Добавлю тут, потому что на ваш следующий ответ почему-то нет возможности отвечать. Второе гугление тотчас дает такой ответ: > It is not possible to perform a standard Destination Network Address Translation (DNAT) in the POSTROUTING hook using nftables (or iptables for that matter). The fundamental reason lies in the structure of the Linux networking stack and the timing of the routing decisions. > Если можете - уточните все же, что имеете в виду - интересно для самообразования.
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

	42. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от Аноним (-), 21-Фев-26, 01:54
	> Добавлю тут, потому что на ваш следующий ответ почему-то нет возможности отвечать. Ну это к модеру вопрос, почему то сообщение в блок залетело. > It is not possible to perform a standard Destination Network Address Translation (DNAT) in the POSTROUTING hook using nftables (or iptables for that matter). The fundamental reason lies in the structure of the Linux networking stack and the timing of the routing decisions. Это уточняйте у тех, кто это бред писал, тут я помочь не могу. > Если можете - уточните все же, что имеете в виду - интересно для самообразования. Имелось ввиду это: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... С nftalbles, когда я тестил это (мб ядро 6.1 было) у меня работало. С iptables - нет. Мб сейчас iptables подправили, мб нет, iptables я давно не использовал. Вы можете проверить с nftables у себя, если ядро 6+, должно работать.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от abu (?), 21-Фев-26, 05:21
	>> It is not possible to perform a standard Destination Network Address Translation (DNAT) in the POSTROUTING hook using nftables (or iptables for that matter). The fundamental reason lies in the structure of the Linux networking stack and the timing of the routing decisions. > Это уточняйте у тех, кто это бред писал, тут я помочь не > могу. Не то чтобы я великий специалист по iptables, но всегда воспринимал то, что есть только исходящий интерфейс, как данность. Мельком полистал сейчас по Сети рассказы об этом, пишут, что метками можно обходить и пр., но, конечно, если из коробки сделано, то обходиться костылями не следует. Иной вопрос, насколько это все вообще нужно, но это отдельная тема. >> Если можете - уточните все же, что имеете в виду - интересно для самообразования. > Имелось ввиду это: > https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... > С nftalbles, когда я тестил это (мб ядро 6.1 было) у меня > работало. С iptables - нет. Мб сейчас iptables подправили, мб нет, > iptables я давно не использовал. > Вы можете проверить с nftables у себя, если ядро 6+, должно работать. Спасибо большое за информацию.
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Выпуск пакетного фильтра iptables 1.8.12"	+1 +/–
	Сообщение от Аноним (51), 21-Фев-26, 11:34
	Через лог моделирования на него ответь.
	Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

	46. "Выпуск пакетного фильтра iptables 1.8.12"	–1 +/–
	Сообщение от Анонисссм (?), 21-Фев-26, 08:40
	> Нормальный человек напишет так: > ip saddr @allowed_ips tcp dport @allowed_ports accept comment "apis" какое стрёмное название @allowed_ips. Где тут отсылка на api? Или у тебя все ip-шники из всех строк/правил свалены в общий allowed_ips? И я дурак? Точно, точно? ))) тысячи IP у меня не появятся, т.к. я знаю сколько у меня серверов. "тысячи IP" это или какой-нибудь гугло, в который вас не возьмут или провайдер (где обычно мало платят, наверное поэтому вы такие распальцованные и злые)
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

	47. "Выпуск пакетного фильтра iptables 1.8.12"	+1 +/–
	Сообщение от nebularia (ok), 21-Фев-26, 08:47
	Ну назови по другому. Придирался к названию переменных в сообщении, лол
	Ответить | Правка | Наверх | Cообщить модератору

	56. "Выпуск пакетного фильтра iptables 1.8.12"	–1 +/–
	Сообщение от нах. (?), 21-Фев-26, 13:01
	> Нормальный человек напишет так: поздравляю, теперь тут ТРИ непригодных для отладки места вместо одного. КАК ты собираешься искать опечатку в одном из портов? Пристальным вглядыванием? Нет, нормальный так не будет делать. > Почему не "добить" мануал по nft? потому что, внезапно, я его прочитал. (кстати, нет у него мануалов. гуановики у него вместо) И не нашел в нем ровно ничего полезного для себя - одни закорючки и проблемы на ровном месте. Вы их очаровательно научились себе и последователям создавать, это я уже вижу. > Классно читать, когда счет ip пойдет на 1000, не? man grep. (я в курсе что девляпсы не умеют в юникс) И да, в этом случае ты _сразу_ увидишь где ты опечатался в айпишнике. Даже если их не 1000 а 10000  - у меня такие конструкции бывали. (кстати, еще у нас был ipset. но это для других случаев, когда адреса добавляются автоматически и на время - и тебе не придется потом перекапывать всю таблицу чтобы удалить один) > Не говоря уже про то, что части функций таких как указание интерфейсов в POSTROUTING в > ipotables тупо нет С добрым утром: Chain POSTROUTING (policy ACCEPT 115K packets, 8993K bytes) pkts bytes target     prot opt in     out     source               destination 4408K  246M SNAT       all  --  any    eth1    172.18.231.0/24      anywhere            to:179.125.14.201 (интерфейса in разумеется нет и быть не может - в том месте где срабатывает postrouting, он уже потерян)
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

	65. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от Аноним (65), 21-Фев-26, 21:19
	> ТРИ непригодных для отладки места вместо одного Это каких? > КАК ты собираешься искать опечатку в одном из портов Для начал так: > nft list set ip allowed_ports А дальше глазами или грепом. Да хоть эй ай. > (кстати, еще у нас был ipset.) Да, это очень по линуксовски. Для одной задачи не один nft, а arp,eb,ip tables. А что не влезло в ipset Только не удивляйся, что вас теперь от нормального прода тряпками гонят. > man grep. (я в курсе что девляпсы не умеют в юникс) А с nft тебе что мешает, религия? Хоть в json положи и в jq ищи. Только тут я буду видеть именно значения сета и одно правило, что говорит ВСЕМ ИЗ ЭТОГО СЕТА МОЖНЯ. А не вычитывать 1 порт = 1 правило, где какой-то дед, костями вросший во второе ядро, вместо dport sport написал. Грепом ты то найдешь по порту, уидишь что порт верен, а правило а нет. А сколько еще таких правил может быть с ошибками? А если там другие ошибки? А дальше перечитывай все правила... > С добрым утром: И тебе не хворать. > он уже потерян Попробуй корпус компьютера изолентой пройти, чтобы не терялось. > интерфейса in разумеется нет и быть не может Кому разумеется? > nft add table ip nat > nft "add chain ip nat postrouting { type nat hook postrouting priority srcnat; }" > nft add rule ip nat postrouting iif dummy0 snat to 8.8.8.8 > nft list chain ip nat postrouting table ip nat {     chain postrouting {         type nat hook postrouting priority srcnat; policy accept;         iif "dummy0" snat to 8.8.8.8     } } Мне вот другое разумется, что если ядро не окаменело (это на 6.12 пример), то ничего там не "теряется".
	Ответить | Правка | Наверх | Cообщить модератору

	66. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от Аноним (66), 21-Фев-26, 21:40
	> table ip nat { >    chain postrouting { >        type nat hook postrouting priority srcnat; policy accept; >        iif "dummy0" snat to 8.8.8.8 >    } > } Чем это лучше одной строки в iptables?
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от Аноним (69), 21-Фев-26, 23:14
	> одной строки Тогда нужно цитировать только правило (iif "dummy0" snat to 8.8.8.8). Так-то и в iptables не одна строка. > Чем это лучше Вы хотите сказать вот этой шляпы? Chain POSTROUTING (policy ACCEPT) pkts bytes target  prot opt in     out     source      destination     0     0 SNAT    all  --  dummy0  *       0.0.0.0/0   0.0.0.0/0   to:8.8.8.8 Э-э-э. Да всем. Для чего мне тут source, destination, prot, out с дефолтами? Оно как-то дополняет вывод? Да и pkts,bytes я могу не считать в nftables не указав counter.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от Вася (??), 21-Фев-26, 03:04
	>>я добьюсь увольнения идиота-девляпса который такое притащит откуда в компании по перепродаже китайских чайников девопс?
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	45. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от ананим.orig (?), 21-Фев-26, 06:28
	> я не то что это конвертить не буду никуда, я добьюсь увольнения идиота-девляпса Так ты не только на опеннете атмосферу портишь? А когда то тут были инженеры. Теперь только фиктивные манагеры.
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

2. "Выпуск пакетного фильтра iptables 1.8.12"	–2 +/–
Сообщение от Аноним (4), 20-Фев-26, 17:57
Кому это нужно, когда есть nftables? Тем кто уже в деменцию скатился и не может пяток команд выучить?
Ответить | Правка | Наверх | Cообщить модератору

	5. "Выпуск пакетного фильтра iptables 1.8.12"	+8 +/–
	Сообщение от Frestein (ok), 20-Фев-26, 18:03
	Новость не читаем, сразу в комменты прыгаем.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Выпуск пакетного фильтра iptables 1.8.12"	+6 +/–
	Сообщение от Аноним (8), 20-Фев-26, 18:39
	Да тем же, кто уже в деменцию впал и кроме systemd с юнит-портянками никакой другой init выучить не может.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	9. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от Аноним (9), 20-Фев-26, 18:49
	Ну в 2026 нормальный человек ничего кроме systemd в прод не выберет. Так что знание других нужно не от хорошей жизни, а если что-то по наследству пришло.
	Ответить | Правка | Наверх | Cообщить модератору

	55. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от BrainFucker (ok), 21-Фев-26, 12:56
	> Ну в 2026 нормальный человек ничего кроме systemd в прод не выберет. На более менее серьёзных продах сервисами управляют докеры и кубернетсы. С systemd или другой системой инициализации ОС взаимодействовать не приходится, оно один раз запустило систему и служебные сервисы и пофиг что там за система.
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от нах. (?), 21-Фев-26, 13:05
	> На более менее серьёзных продах сервисами управляют докеры и кубернетсы. и вот сочетание докера с системдрянью - особенно удивляет, восхищает, в чем-то даже изумляет, но вслух ты произнесешь нечто совершенно другое, когда попытаешься. Даже rhbm вынуждена была целиком весь докер переписать заново для совместимости со своей любимой системдрянью. Причем получилось все равно плохо и никто ее поделку не любит. (вот реально ноль решений за последние лет пять использующие podman по назначению)
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от BrainFucker (ok), 21-Фев-26, 13:12
	Насколько помню, основная идея podman в rootless контейнерах. А почему не популярен, так сейчас новые проекты редко запускают, а переделвывать давно отлаженный и работающий прод ради новомодных технических решений в здравом уме мало кто будет.
	Ответить | Правка | Наверх | Cообщить модератору

	64. "Выпуск пакетного фильтра iptables 1.8.12"	–1 +/–
	Сообщение от нах. (?), 21-Фев-26, 20:55
	> Насколько помню, основная идея podman в rootless контейнерах. не cовсем - существует rootless docker, уже разок пришлось удалять за девляпами эту мерзость. основная идея все же что нет лишнего демона, и systemd _видит_ контейнер как отдельную сущность. (хотя да, то как ТАМ сделан rootless - позволяет не сломать нахрен selinux, например. Но это уже высший пилотаж - надо ж чтоб девляпс его не выключил еще до установки системы)
	Ответить | Правка | Наверх | Cообщить модератору

	68. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от Аноним (69), 21-Фев-26, 22:18
	> не cовсем - существует rootless docker, уже разок пришлось удалять за девляпами эту мерзость. Правильно, чтобы без всякой изоляции размазать свой шлак по всей системе и другим потом пришлось ее вообще переставлять, или как ковыряться как курица лапой.
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от Аноним (69), 21-Фев-26, 22:10
	> (вот реально ноль решений за последние лет пять использующие podman по назначению) Обычный врапер над namespaces Отличное решение для локальной разработки, когда любой пакет следует считать вектором угрозы для системы.
	Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

	61. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от Аноним (60), 21-Фев-26, 14:24
	Как в inittab прописать зависимости?
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	29. "Выпуск пакетного фильтра iptables 1.8.12"	+1 +/–
	Сообщение от нах. (?), 20-Фев-26, 23:10
	> Кому это нужно, когда есть nftables? это, которое ВЧЕРА научилось, оказывается, в атомарные изменения - не нужно вообще никому. Все кто пытался этим пользоваться когда оно еще было хоть немного актуальным - выбросили его по причине неумения сконвертировать даже совсем-совсем тривиальные конфиги. А нормальные iptables (еще и не завязанные на неотключаемый ebpf) были конечно нужны, но теперь уже проехали, жрите убогий синтаксис из закорючек.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	50. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от Аноним (49), 21-Фев-26, 10:36
	Кому это нужно когда есть Windows? Из той же серии.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	52. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от Аноним (51), 21-Фев-26, 11:36
	Во всех туториалах и стековкрылоу iptables значит он навсегда.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	62. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от Аноним (62), 21-Фев-26, 16:36
	В nftables принципиально нет ipset.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

10. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
Сообщение от Аноним (10), 20-Фев-26, 19:10
Непонял, мы же перешли на nftables? Не?
Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск пакетного фильтра iptables 1.8.12"	–2 +/–
Сообщение от q (ok), 20-Фев-26, 19:45
iptables -- это набор страшных непонятных комманд с ужасным синтаксисом. nftables -- это структурированная конфетка, которую легко и приятно читать/писать.
Ответить | Правка | Наверх | Cообщить модератору

	48. "Выпуск пакетного фильтра iptables 1.8.12"	+2 +/–
	Сообщение от онаним (?), 21-Фев-26, 09:59
	nftables -- это набор страшных непонятных комманд с ужасным синтаксисом. iptables -- это структурированная конфетка, которую легко и приятно читать/писать.
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Выпуск пакетного фильтра iptables 1.8.12"	–1 +/–
	Сообщение от Аноним (58), 21-Фев-26, 13:10
	>nftables -- это набор страшных непонятных комманд с ужасным синтаксисом. Ложь. Правила nftables можно читать как осмысленное гумманитарное предложение. синтаксис комманд своей болтливостью меня сначала раздражал. А потом я понял, писать правила оформленные естественным человеческим языком приятнее.
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от Гость (??), 21-Фев-26, 18:27
	Кроме приятного есть ещё практические задачи. Вы перестали выбирать инструмент под задачу и стали использовать только "приятные" инструменты?
	Ответить | Правка | Наверх | Cообщить модератору

71. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
Сообщение от Аноним (71), 22-Фев-26, 08:50
Пожалуйста, переведите в правило nftables: iptables -I INPUT -p tcp --tcp-flags RST RST -j DROP iptables -I INPUT -p tcp --sport 443 --tcp-flags RST RST -j DROP Заранее спасибо! :)
Ответить | Правка | Наверх | Cообщить модератору

	72. "Выпуск пакетного фильтра iptables 1.8.12"	+/–
	Сообщение от Аноним (71), 22-Фев-26, 08:58
	Так правильно? nft add rule inet filter input tcp flags rst drop
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема