| |
| 2.3, анони (?), 17:57, 20/02/2026 [^] [^^] [^^^] [ответить]
| +3 +/– |
А его обязательно видеть? Так то json придумывался не для "парсинга" глазами человека.
| | |
| |
| 3.11, WE (?), 19:12, 20/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
 Потому что синтаксис nft делал человек с юмором и теперь определить где там оператор, а где параметр можно только 5 раз прочитав строку.
| | |
|
| 2.4, Аноним (4), 18:01, 20/02/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
А зачем вы читает JSON? Он для передачи между софтом предназначен. Вы ещё байт код попробуйте с фильтра выгрузить, а потом ныть ой не могу.
| | |
| 2.25, Аноним (-), 21:52, 20/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> тот кто видел json код правил nftables, тот в цирке не смеётся.
Вы еще хексдампы читаемые потребуйте. А так нативный синтаксис nftables вполне себе - тем более для рулесетов чуть сложнее чем hello world которе на iptables мигом становятся гигантским спагетти.
| | |
| 2.26, Анонисссм (?), 22:21, 20/02/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>кто видел json код правил nftables
и что тебе не нравится или кажется нечитаемым?
сконверти это в iptables
ip saddr {1.2.3.4,5.6.7.8} tcp dport {42322,42343,47567,48080,48484,48751,49005} accept comment "apis"
| | |
| |
| 3.28, нах. (?), 23:04, 20/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> и что тебе не нравится или кажется нечитаемым?
действительно, ну вот - что?
Что тут может "казаться" нечитабельным?
Неужели же вот ... все целиком?
> сконверти это в iptables
я не то что это конвертить не буду никуда, я добьюсь увольнения идиота-девляпса который такое притащит. Надо бы кстати добавить в пыточную анкету для собеседований, чтоб сразу с пляжа.
> ip saddr {1.2.3.4,5.6.7.8} tcp dport {42312,42343,47567,48080,48484,48751,49005} accept
> comment "apis"
найди тут ошибку.
найди такую же среди хотя бы десятка подобных правил.
Поэтому _нормальные_ люди вместо этой чуши напишут ДВЕ таблицы - одну с портами и назовут ее (а не коммент дурацкий вляпают на который сослаться нельзя) apis, и вторую - с адресами, и назовут ее чтонибудь вроде api-access. И в каждой будет по строчке на адрес и по строчке на порт, и вселенная от этого вовсе в черную дыру не схлопнется.
И тогда отличие от iptables будет только в том что при отладке там сразу были бы видны счетчики и ясно где ошибка. А тут ты не догадался про них вспомнить, и будешь в суматохе включать на ходу.
| | |
| |
| 4.30, q (ok), 23:26, 20/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
 "Вадим Вадимыч, сколько будет два плюс два?"
Показательно, что тебя попросили сконвертить одну строчку в iptables, а ты разродился стеной рационализаторского текста вместо столь же короткого ответа. Гы. Подозреваю, что вначале ты действительно пытался сконвертить в iptables, но потом осознал ущербность iptables и поэтому заменил ответ простыней оправданий.
| | |
| |
| 5.31, нах. (?), 23:57, 20/02/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Что тебе неясно в ответе - это чушь написана и никуда это конвертить незачем?
И да, возможность такое надевляпать - это одна среди многих причин, почему nft - дерьмо.
Никакой "ущербности" в том что такое дерьмо написать нельзя в iptables - нет.
И да, я там одну цифру в цитате исправил. Ты, разумеется, не заметил. Точно так же ты и свою опечатку не увидишь. "ой, а почему у меня не работает?"
| | |
| |
| 6.33, q (ok), 00:32, 21/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> такое дерьмо написать нельзя в iptables
Все, что нельзя написать в iptables -- дерьмо. Спасибо! Теперь понял! Гы. Вот серьезно. Смотрю на тебя как на пещерного человека, который гордится тем, что живет в пещере и -- внимание! -- умеет добывать огонь без этих ваших спичек и зажигалок! "Текнолоджиа! Текнолоджиа!" (c)
> я там одну цифру в цитате исправил. Ты, разумеется, не заметил
Разумеется, у меня же мясной мозг, а не ЦПУ, который делает strcmp в фоне. Странная придира. Это как если бы ты заменил кириллическую "а" на латинскую, а потом говорил, как ты ловко обманул меня, подсунув мне не ту букву в рандомном слове! Только вот, что именно должно было это доказать? Этот момент остался загадкой. Ну да, я не гоняю strcmp по цитатам, и как бы - и чо? Гы.
| | |
| |
| 7.38, abu (?), 01:19, 21/02/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Так ведь вас и попросили найти ошибку. А вы ее не нашли.
Дело всего этого спора в другом - вам, насколько я понимаю, пытаются объяснить то, как работает системный администратор с firewall'ом. Один из примеров - это разбивка на две таблицы, по которым будут понятны привязки адресов и портов. В nft наверняка тоже так можно, но - =зачем платить больше= изучением еще одного фаервола (это отдельная тема)?
А вокруг этих объяснений - проды, сляпанные на скорую руку, в которых, действительно, удобно нафигачить по-быстрому и - в кусты, да гыгканья. В которых не понять, например, что может быть парк серверов с настроенным iptables. И все эти ваши проды таким серверам снятся в кошмарах - они просто работают годами безо всего этого зоопарка.
Годным спором был бы тот, в котором вы бы выкатили, как аргумент, киллер-фичу nftables. Кстати, ведь где-то пару лет назад про нее тут писали. И тогда, да, всерьез пришлось бы учить nftables, несмотря на его =закорючки=. А так - все отлично и без него, уж поверьте.
| | |
| |
| 8.39, q (ok), 01:31, 21/02/2026 [^] [^^] [^^^] [ответить] | +/– | Понимаешь ли ты, насколько это убого Чел прислал nft-конструкцию и попросил пер... текст свёрнут, показать | | |
| |
| 9.41, abu (?), 01:52, 21/02/2026 [^] [^^] [^^^] [ответить] | +/– | Ваш подход я понял, спасибо Но подходов тут все равно остается ровно два - ест... текст свёрнут, показать | | |
|
|
|
|
|
| 4.32, Аноним (-), 00:31, 21/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
Нормальный человек напишет так:
ip saddr @allowed_ips tcp dport @allowed_ports accept comment "apis"
> я добьюсь увольнения идиота-девляпса который такое притащит
Почему не "добить" мануал по nft?
> И в каждой будет по строчке на адрес и по строчке на порт, и вселенная от этого вовсе в черную дыру не схлопнется.
Классно читать, когда счет ip пойдет на 1000, не?
Не говоря уже про то, что части функций таких как указание интерфейсов в POSTROUTING в ipotables тупо нет и приходилось по диапазонам указывать.
| | |
| |
| 5.35, abu (?), 01:00, 21/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Первое, что гуглится по postrouting и интерфейсы:
>
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 1.2.3.4
Важно: Использовать -i (input interface) в POSTROUTING нельзя, так как пакеты к этому моменту уже маршрутизированы и выходят через конкретное устройство.
>
а вы что имели в виду?
| | |
| 5.40, abu (?), 01:34, 21/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Добавлю тут, потому что на ваш следующий ответ почему-то нет возможности отвечать. Второе гугление тотчас дает такой ответ:
>
It is not possible to perform a standard Destination Network Address Translation (DNAT) in the POSTROUTING hook using nftables (or iptables for that matter). The fundamental reason lies in the structure of the Linux networking stack and the timing of the routing decisions.
>
Если можете - уточните все же, что имеете в виду - интересно для самообразования.
| | |
| |
| 6.42, Аноним (-), 01:54, 21/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Добавлю тут, потому что на ваш следующий ответ почему-то нет возможности отвечать.
Ну это к модеру вопрос, почему то сообщение в блок залетело.
> It is not possible to perform a standard Destination Network Address Translation (DNAT) in the POSTROUTING hook using nftables (or iptables for that matter). The fundamental reason lies in the structure of the Linux networking stack and the timing of the routing decisions.
Это уточняйте у тех, кто это бред писал, тут я помочь не могу.
> Если можете - уточните все же, что имеете в виду - интересно для самообразования.
Имелось ввиду это:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=
С nftalbles, когда я тестил это (мб ядро 6.1 было) у меня работало. С iptables - нет. Мб сейчас iptables подправили, мб нет, iptables я давно не использовал.
Вы можете проверить с nftables у себя, если ядро 6+, должно работать.
| | |
| |
| 7.44, abu (?), 05:21, 21/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
>> It is not possible to perform a standard Destination Network Address Translation (DNAT) in the POSTROUTING hook using nftables (or iptables for that matter). The fundamental reason lies in the structure of the Linux networking stack and the timing of the routing decisions.
> Это уточняйте у тех, кто это бред писал, тут я помочь не
> могу.
Не то чтобы я великий специалист по iptables, но всегда воспринимал то, что есть только исходящий интерфейс, как данность. Мельком полистал сейчас по Сети рассказы об этом, пишут, что метками можно обходить и пр., но, конечно, если из коробки сделано, то обходиться костылями не следует. Иной вопрос, насколько это все вообще нужно, но это отдельная тема.
>> Если можете - уточните все же, что имеете в виду - интересно для самообразования.
> Имелось ввиду это:
> https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=
> С nftalbles, когда я тестил это (мб ядро 6.1 было) у меня
> работало. С iptables - нет. Мб сейчас iptables подправили, мб нет,
> iptables я давно не использовал.
> Вы можете проверить с nftables у себя, если ядро 6+, должно работать.
Спасибо большое за информацию.
| | |
|
|
|
| 4.43, Вася (??), 03:04, 21/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>>я добьюсь увольнения идиота-девляпса который такое притащит
откуда в компании по перепродаже китайских чайников девопс?
| | |
| 4.45, ананим.orig (?), 06:28, 21/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> я не то что это конвертить не буду никуда, я добьюсь увольнения идиота-девляпса
Так ты не только на опеннете атмосферу портишь?
А когда то тут были инженеры.
Теперь только фиктивные манагеры.
| | |
|
|
|
| 1.2, Аноним (4), 17:57, 20/02/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– | |
Кому это нужно, когда есть nftables?
Тем кто уже в деменцию скатился и не может пяток команд выучить?
| | |
| |
| 2.8, Аноним (8), 18:39, 20/02/2026 [^] [^^] [^^^] [ответить]
| +4 +/– |
Да тем же, кто уже в деменцию впал и кроме systemd с юнит-портянками никакой другой init выучить не может.
| | |
| |
| 3.9, Аноним (9), 18:49, 20/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
Ну в 2026 нормальный человек ничего кроме systemd в прод не выберет. Так что знание других нужно не от хорошей жизни, а если что-то по наследству пришло.
| | |
|
| 2.29, нах. (?), 23:10, 20/02/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Кому это нужно, когда есть nftables?
это, которое ВЧЕРА научилось, оказывается, в атомарные изменения - не нужно вообще никому.
Все кто пытался этим пользоваться когда оно еще было хоть немного актуальным - выбросили его по причине неумения сконвертировать даже совсем-совсем тривиальные конфиги.
А нормальные iptables (еще и не завязанные на неотключаемый ebpf) были конечно нужны, но теперь уже проехали, жрите убогий синтаксис из закорючек.
| | |
|
| 1.20, q (ok), 19:45, 20/02/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
iptables -- это набор страшных непонятных комманд с ужасным синтаксисом.
nftables -- это структурированная конфетка, которую легко и приятно читать/писать.
| | |
|
