| 1.1, Аноним (1), 09:03, 06/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Arch Linux перевёл iptables на бэкенд nft по умолчанию
А чего они так долго с этим тормозили то? Впрочем нынче пора уже nft освоить, для мало-мальски продвинутых рулесей он куда лучше.
| | |
| |
| 2.2, User (??), 09:20, 06/04/2026 [^] [^^] [^^^] [ответить]
| –5 +/– |
Ээээ... а их в арчелинуксах кто-то руками пишет? А зОчем?
Что у арчевода на дЫсктопе (Про "на сервере в продакшУн" н-нинада) может быть такого, что потребует аж прям ручной пилёжки iptables? Доскер-через-доскер и сам прекрасно едет, opensnitch какой тоже сам справляется...
| | |
| |
| 3.28, Аноним (-), 11:57, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Ээээ... а их в арчелинуксах кто-то руками пишет? А зОчем?
1) Затем что конфиги бывают разные. И нужды тоже. Для всякого кастома с сетями именно руками придется.
2) Generated спагетти айпитаблеса это вообще полный капец как раз. В этом смысле nftables куда как структурированнее и читаемее, если в это все же надо сунуться оказалось.
> Что у арчевода на дЫсктопе (Про "на сервере в продакшУн" н-нинада) может
> быть такого, что потребует аж прям ручной пилёжки iptables?
Ну как бы вам сказать то? У россиян например всякий кастом с nftables очень сильно популяризовался после удушения одного видеохостинга. Почему-то. Да и в целом - забавная штука, может дофига всего. И на мой вкус удобнее IPTables для всяких продвинутостей. IPTables совсем педальный, так что при мало-мальски продвинутых рулесях получается нечитаемое спагетти в стиле ассемблера.
> Доскер-через-доскер и сам прекрасно едет, opensnitch какой тоже сам справляется...
Все это корпоративное гамно не поможет с продвинутыми сетевыми хотелками.
| | |
|
|
| |
| 2.23, blkkid (?), 11:36, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
ufw лежит на уровень выше, ему только интерфейс iptables для работы нужен, что там на самом деле считает правила - без разницы
| | |
| 2.30, Аноним (-), 11:58, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Использую ufw. Надеюсь его не поломали.
Эта байда для совсем уж пользователей windows firewall. Кусок крапа на питоне спамящий в сислоги.
| | |
|
| 1.5, Аноним (5), 09:31, 06/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –8 +/– | |
> Пакет iptables-nft переименован в iptables, а пакет с классическим iptables в iptables-legacy.
То есть в имени пакетов врут.
Если ваша идея так хороша, зачем вам требуется врать для её продвижения?
| | |
| |
| |
| 3.24, Анрнип (?), 11:54, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Попытка съехать с темы полностью провалилась. И лишь подтвердила недолёкость решений арча.
| | |
| |
| 4.31, Аноним (-), 11:59, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Попытка съехать с темы полностью провалилась. И лишь подтвердила недолёкость решений арча.
Вообще-то iptables-nft это как таковой iptables - портированый на бэкэнд NFT. А классический бэк это вообще легаси махровое.
| | |
|
|
|
| |
| 2.17, Аноним (17), 10:43, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Даже Debian перешёл на nft по умолчанию. Думал раз Debian перешёл, так наверное все уже давно на nft. А тут то, корова прогрессивнее крокодила!
| | |
|
| 1.10, баламарес (?), 10:08, 06/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
прямо все такие вумные здесь, только забыли про правило: работает - не трож!
как в ядре очередной раз че-нить нааптимизируют и начнет это ваш nft тормазить.
| | |
| |
| 2.15, Аноним (15), 10:29, 06/04/2026 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>только забыли про правило: работает - не трож!
Такое правило в ходу только у мальчиков компьютерщиков. Которые не понимают что делают. И если у них что то заработало то они над этим трясутся и боятся трогать, так как может сломаться. А починить они не в силах. Порой даже не обновляют.
Более менее грамотные специалисты меняют систему под изменившиеся обстоятельства.
| | |
| |
| 3.19, User (??), 11:00, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Теперь понятно: почему у более-менее грамотных специалистов система не работает, пока обстоятельства не прекратят изменяться.
| | |
|
|
| |
| 2.26, Аноним (26), 11:55, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Да, но nftables чуть поаккуратнее, особенно если делать большие сложные списки правил. Я себе дома роутер сделал на debian с nftables, вполне так неплохо, правда первое время вникать надо долго - документация у них не идеальная.
Хотя там есть, на что пожаловаться. Удалить правило без handle нельзя, например. Мелочь, а неудобно
| | |
|
| 1.20, Аноним (20), 11:20, 06/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>Для восстановления правил после замены реализации iptables следует проверить файлы /etc/iptables/iptables.rules.pacsave и /etc/iptables/ip6tables.rules.pacsave. Пользователям рекомендуют внимательно оценить работоспособность используемых правил межсетевых экранов и при необходимости откатиться на пакет iptables-legacy.
Типичный рач. В NixOS, когда в системе что-то меняют, при пересборке системы возникает ошибка, пользователь остаётся на старой, заведомо рабочей сборке и сразу же видно, что нужно пойти в конфиг и отредактировать его руками. В арче, нужно во-первых читать новости, а во-вторых, руками внимательно оценивать не отвалилось ли что.
| | |
| |
| 2.27, Анрнип (?), 11:57, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
В этом и заключается игра в Арч, что пользуешься компьютером и постоянно чинишь то что итак раньше работало в случайное время.
| | |
|
| 1.21, Bob (??), 11:28, 06/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Хоть бы мелкую сводку по nftables добавили)
Nftables:
1) один инструмент, вместо 4х (iptables, ip6tables, arptables, ebtables).
2) весь набор правил применяется как одно, а не по отдельности
3) есть sets и maps - удобная работа с огромным списком правил
| | |
|
