The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Arch Linux перевёл iptables на бэкенд nft по умолчанию"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Arch Linux перевёл iptables на бэкенд nft по умолчанию"  +/
Сообщение от opennews (??), 06-Апр-26, 09:03 
Разработчики Arch Linux объявили о переключении инструментария  iptables на бэкенд nft, выполняющий трансляцию правил в байткод nftables. Возможность использования классического инструментария сохранена в форме опции, но по умолчанию отныне задействован пакет iptables-nft, предоставляющий утилиты с тем же синтаксисом командной строки. Пакет iptables-nft переименован в iptables, а пакет с классическим  iptables в iptables-legacy...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=65152

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 06-Апр-26, 09:03   +/
> Arch Linux перевёл iptables на бэкенд nft по умолчанию

А чего они так долго с этим тормозили то? Впрочем нынче пора уже nft освоить, для мало-мальски продвинутых рулесей он куда лучше.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #36, #48

2. Сообщение от User (??), 06-Апр-26, 09:20   –7 +/
Ээээ... а их в арчелинуксах кто-то руками пишет? А зОчем?
Что у арчевода на дЫсктопе (Про "на сервере в продакшУн" н-нинада) может быть такого, что потребует аж прям ручной пилёжки iptables? Доскер-через-доскер и сам прекрасно едет, opensnitch какой тоже сам справляется...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #39

3. Сообщение от jura12email (ok), 06-Апр-26, 09:29   +/
Использую ufw. Надеюсь его не поломали.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #23, #30, #37

5. Сообщение от Аноним (5), 06-Апр-26, 09:31   –8 +/
> Пакет iptables-nft переименован в iptables, а пакет с классическим iptables в iptables-legacy.

То есть в имени пакетов врут.

Если ваша идея так хороша, зачем вам требуется врать для её продвижения?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

6. Сообщение от Аноним (6), 06-Апр-26, 09:36   +/
Долго же они думали.
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Жироватт (ok), 06-Апр-26, 09:40   +1 +/
Упитанно, но нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #24

9. Сообщение от Соль земли2 (?), 06-Апр-26, 09:57   +1 +/
Вот те раз! Arch Linux до сих пор на iptables!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

10. Сообщение от баламарес (?), 06-Апр-26, 10:08   +/
прямо все такие вумные здесь, только забыли про правило: работает - не трож!

как в ядре очередной раз че-нить нааптимизируют и начнет это ваш nft тормазить.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

12. Сообщение от Аноним (12), 06-Апр-26, 10:10   –1 +/
А что такое nft?
Ответить | Правка | Наверх | Cообщить модератору

15. Сообщение от Аноним (15), 06-Апр-26, 10:29   –1 +/
>только забыли про правило: работает - не трож!

Такое правило в ходу только у мальчиков компьютерщиков. Которые не понимают что делают. И если у них что то заработало то они над этим трясутся и боятся трогать, так как может сломаться. А починить они не в силах. Порой даже не обновляют.

Более менее грамотные специалисты меняют систему под изменившиеся обстоятельства.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #19

17. Сообщение от Аноним (17), 06-Апр-26, 10:43   +/
Даже Debian перешёл на nft по умолчанию. Думал раз Debian перешёл, так наверное все уже давно на nft. А тут то, корова прогрессивнее крокодила!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

19. Сообщение от User (??), 06-Апр-26, 11:00   +/
Теперь понятно: почему у более-менее грамотных специалистов система не работает, пока обстоятельства не прекратят изменяться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

20. Сообщение от Аноним (20), 06-Апр-26, 11:20   –1 +/
>Для восстановления правил после замены реализации iptables следует проверить файлы /etc/iptables/iptables.rules.pacsave и /etc/iptables/ip6tables.rules.pacsave. Пользователям рекомендуют внимательно оценить работоспособность используемых правил межсетевых экранов и при необходимости откатиться на пакет iptables-legacy.

Типичный рач. В NixOS, когда в системе что-то меняют, при пересборке системы возникает ошибка, пользователь остаётся на старой, заведомо рабочей сборке и сразу же видно, что нужно пойти в конфиг и отредактировать его руками. В арче, нужно во-первых читать новости, а во-вторых, руками внимательно оценивать не отвалилось ли что.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

21. Сообщение от Bob (??), 06-Апр-26, 11:28   +/
Хоть бы мелкую сводку по nftables добавили)

Nftables:
1) один инструмент, вместо 4х (iptables, ip6tables, arptables, ebtables).
2) весь набор правил применяется как одно, а не по отдельности
3) есть sets и maps - удобная работа с огромным списком правил

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #32, #35

22. Сообщение от Аноним (22), 06-Апр-26, 11:34   +1 +/
ufw это обёртка над ip/nftables
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

23. Сообщение от blkkid (?), 06-Апр-26, 11:36   +1 +/
ufw лежит на уровень выше, ему только интерфейс iptables для работы нужен, что там на самом деле считает правила - без разницы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

24. Сообщение от Анрнип (?), 06-Апр-26, 11:54   –1 +/
Попытка съехать с темы полностью провалилась. И лишь подтвердила недолёкость решений арча.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #31, #45

27. Сообщение от Анрнип (?), 06-Апр-26, 11:57   –2 +/
В этом и заключается игра в Арч, что пользуешься компьютером и постоянно чинишь то что итак раньше работало в случайное время.  
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #47

29. Сообщение от Анрнип (?), 06-Апр-26, 11:58    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

30. Сообщение от Аноним (-), 06-Апр-26, 11:58   +1 +/
> Использую ufw. Надеюсь его не поломали.

Эта байда для совсем уж пользователей windows firewall. Кусок крапа на питоне спамящий в сислоги.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

31. Сообщение от Аноним (-), 06-Апр-26, 11:59   +/
> Попытка съехать с темы полностью провалилась. И лишь подтвердила недолёкость решений арча.

Вообще-то iptables-nft это как таковой iptables - портированый на бэкэнд NFT. А классический бэк это вообще легаси махровое.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #40

32. Сообщение от Аноним (-), 06-Апр-26, 12:06   +/
> Хоть бы мелкую сводку по nftables добавили)
> Nftables:
> 1) один инструмент, вместо 4х (iptables, ip6tables, arptables, ebtables).
> 2) весь набор правил применяется как одно, а не по отдельности
> 3) есть sets и maps - удобная работа с огромным списком правил

4) Офоад разрюханых flow чтоб не жевать пакеты.
5) Нормальный интерфейс nfqueue позволяющий внешними приблудами рюхать пакеты и потоки.

Не то чтобы это предел мечтаний, просто у остальных еще хуже.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

34. Сообщение от Аноним (34), 06-Апр-26, 12:14    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от rm1 (?), 06-Апр-26, 12:34   +2 +/
958) синтаксис максимально удолбанный и неудобный, по сравнению с тем что было раньше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #38, #44

36. Сообщение от Аноним (36), 06-Апр-26, 12:40   +1 +/
На самом деле именно подобное - самый правильный подход. Заменять ключевые компоненты системы надо когда альтернатива стабильна, а не тащить полу-готовый прототип в умолчания (привет вейланд, пульсаудио, пайпварь, самое свежее ядро с его експериментальными билд-опциями).
Сначало оно должно работать....
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #41

37. Сообщение от Аноним (36), 06-Апр-26, 12:43   +/
Переходи на Opensnitch - им можно выборочно настроить какие бинарники и с какими опциями пу скать в сеть (с интерактивным запросом), плюс класические правила, плюс гуй.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

38. Сообщение от Аноним (36), 06-Апр-26, 12:44    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

39. Сообщение от Аноним (39), 06-Апр-26, 12:46   +/
> Ээээ... а их в арчелинуксах кто-то руками пишет? А зОчем?

Затем что всякий кастом по другому особо и не получится. Странно.

> Что у арчевода на дЫсктопе (Про "на сервере в продакшУн" н-нинада) может
> быть такого, что потребует аж прям ручной пилёжки iptables? Доскер-через-доскер и
> сам прекрасно едет, opensnitch какой тоже сам справляется...

Весь этот печальный корпоративный крап никак не поможет при более-менее кастомных нуждах. И к тому же одуплять в автогенеренное спагетти iptables куда менее эпично.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

40. Сообщение от Аноним (40), 06-Апр-26, 12:47   +1 +/
Сломается все равно всё у всех. Всё что может сломаться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #43

41. Сообщение от Аноним (39), 06-Апр-26, 12:47   +/
> умолчания (привет вейланд, пульсаудио, пайпварь, самое свежее ядро с его експериментальными
> билд-опциями).
> Сначало оно должно работать....

У вас никто ничего не занимал - поэтому никтом вам ничего не должен. Но вы можете потребовать свои деньги назад. И не, спецом ради всяких некрофилов "мытакривыклиничегомеенятьненадо!!!111" никто мир на паузу не поставит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

42. Сообщение от Аноним (40), 06-Апр-26, 12:48   –1 +/
Мода на nft безвозвратно ушла, а они только спохватились.
Ответить | Правка | Наверх | Cообщить модератору

43. Сообщение от Аноним (39), 06-Апр-26, 12:49   +/
> Сломается все равно всё у всех. Всё что может сломаться.

Не знаю что там у кого сломается, я уж эн лет как фигачу nft в нативном его режиме и мне попытки сэмулировать привычный интерфейс путем првязки вожжей к рулю вообще не очень то и нужна. Я и напрямую nft покомандую на отлично. И ничего особо не ломается.

А то что раз в ..цать лет я разучил иной файер - зато и возможностей получил немеряно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

44. Сообщение от Аноним (39), 06-Апр-26, 12:50   +/
> 958) синтаксис максимально удолбанный и неудобный, по сравнению с тем что было
> раньше

Только для тривиальных сетапов. Чуть менее тривиальные - и все ровно наоборот. Айпитаблес становится ужасным спагетти.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

45. Сообщение от Жироватт (ok), 06-Апр-26, 13:08   +/
Также упитанно. Ребят, ну пробуйте тоньше, что ли?
Тут уже пара толстяков - 12йо и пох., если это не один убежант с разными логинами - водятся, их выше крыши
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

46. Сообщение от Frestein (ok), 06-Апр-26, 13:08   +/
Странное решение сбивающее с толку. nftables пакет тогда для чего?
Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от Жироватт (ok), 06-Апр-26, 13:10   +/
Где вы так умудряетесь систему ломать в раче, чтобы приходилось её *чинить*?
Нет, даже интересно, лол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

48. Сообщение от Жироватт (ok), 06-Апр-26, 13:12   +/
Если оно работает и решает свою задачу - то зачем менять без веской причины?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру