Jump to content
Калькуляторы

nftables первопроходцы есть?

Reply to this topic

nuclearcat   

nuclearcat
Posted

Я пробовал - но замеры производительности не делал. Не хватало функционала и пришлось накатать пару баг репортов, и пока их пофиксили - сделал все традиционными способами.

Поищу клиента с конфигами попроще и может попробую на следующей неделе.

Share this post

Link to post
Share on other sites

nuclearcat   

nuclearcat
Posted

Не будет - если использовать традиционные конструкции.

А вот скажем если нужен маппинг кучи портов для DVR и прочих, вот эта фича http://wiki.nftables.org/wiki-nftables/index.php/Maps будет бесценна, например.

Share this post

Link to post
Share on other sites

voron   

voron
Posted

Не хватало мне для домашнего применения -m ADDRTYPE, -j NOTRACK в nftables. Много еще чего для кого-то нужного нет судя по http://wiki.nftables...ared_to_xtables

Неясен вопрос одновременного использования с iptables/ip6tables, которое необходимо из-за отсутствия нужных матчей/таргетов. Указание стандартных приоритетов iptables'овских цепочек в http://wiki.nftables.org/wiki-nftables/index.php/Configuring_chains не сильно помогает.

Share this post

Link to post
Share on other sites

dtcom   

dtcom
Posted

Работает iptables параллельно с nftables. Все правила в nftables и одно в iptables, так как не нашел замены iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu.

Без этого правила половина сайтов не работает.

Share this post

Link to post
Share on other sites

Danila   

Danila
Posted

Работает iptables параллельно с nftables. Все правила в nftables и одно в iptables, так как не нашел замены iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu.

Без этого правила половина сайтов не работает.

А известен порядок обработки трафика?

Сначала nftables, потом iptables или наоборот?

Share this post

Link to post
Share on other sites

zi_rus   

zi_rus
Posted

а какая разница если результат одинаков, чтобы траф прошел, его должны пропустить оба

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

а какая разница если результат одинаков, чтобы траф прошел, его должны пропустить оба

 

Для stateless правил пофиг, а для stateful ИМХО разница принципиальная (всякие NAT и stateful firewall-ы)

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Программное обеспечение, биллинг и *unix системы