The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

19.12.2015 10:54  Релиз iptables 1.6.0

Представлен iptables 1.6.0, первый выпуск новой значительной ветки инструментария для управления пакетным фильтром Linux. Ветка 1.6 сформирована спустя восемь лет с момента выпуска прошлой стабильной ветки 1.4.x и включает в себя ряд нарушающих совместимость изменений, а также первую официальную реализацию инструментария iptables-compat, построенного поверх инфраструктуры пакетного фильтра nftables.

Новый слой совместимости iptables-compat позволяет мигрировать на nftables, продолжив использовать привычные инструменты, не отказываясь от синтаксиса iptables и постепенно внедряя новый синтаксис nft. Работающая поверх nftables прослойка включает в себя утилиты iptables-compat, iptables-compat-save, iptables-compat-restore, ip6tables-compat, ip6tables-compat-save, ip6tables-compat-restore, ebtables-compat и arptables-compat, которые являются аналогами штатных утилит без метки "-compat" и используют тот же самый код разбора опций.

Напомним, что подсистема Nftables примечательна унификацией интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов, а также оставлением в ядре лишь общего интерфейса, не зависящего от конкретного протокола и предоставляющего базовые функции извлечения данных из пакетов, операций с данными и управления потоком. Логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). Подобный подход позволяет значительно сократить размер кода фильтрации, работающего на уровне ядра и вынести все функции разбора правил и логики работы с протоколами в пространство пользователя. Синтаксис правил nft не похож на iptables, основан на реальной грамматике и отличается использованием иерархических блочных структур вместо линейной схемы.

Из изменений iptables 1.6.0, нарушающих совместимость, отмечается удаление устаревших действий (target) MIRROR и SAME, а также прекращение поддержки критерия (match) "unclean", который уже достаточно давно исключён из состава ядра Linux. Кроме того, в новом выпуске представлена достаточно большая порция мелких исправлений и улучшений, которые затрагивают действия CT, REJECT, SET, SNAT, SNPT, DNPT, SYNPROXY и TEE, а также критерии ah, connlabel, cgroup, devgroup, dst, icmp6, ipcomp, ipv6header, quota, set, socket и string.

  1. Главная ссылка к новости (http://lists.netfilter.org/pip...)
  2. OpenNews: Выпуск пакетного фильтра nftables 0.4, идущего на смену iptables
  3. OpenNews: Разработчики Netfilter представили замену iptables
  4. OpenNews: Новая версия пакетного фильтра для Linux - iptables 1.4.0
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: iptables, netfilter, linux, nftables
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 12:32, 19/12/2015 [ответить] [показать ветку] [···]    [к модератору]
  • –18 +/
    Давно смигрировал на netfilter. Последний год всё достаточно стабильно. К сожалению, по-прежнему отсутствует -j TCPMSS - для CPE устройств это всё ещё важно.
     
     
  • 2.7, pavlinux (ok), 13:48, 19/12/2015 [^] [ответить]    [к модератору]
  • +18 +/
    Вот объясните анонимы, нахрена вы пишете ради того, чтобы написать?!
    Иль очкуете, что херню напишете? Ну тогда да, netfilter - это и есть iptables.
     
     
  • 3.13, Andrey Mitrofanov (?), 14:03, 19/12/2015 [^] [ответить]    [к модератору]
  • +8 +/
    > Вот объясните анонимы, нахрена вы пишете ради того, чтобы написать?!
    > Иль очкуете, что херню напишете? Ну тогда да, netfilter - это и
    > есть iptables.

    АнОним "хотел" написать nftables же, и ссылка на новость про него есть под этой новостью. Но не смог!  Наверное, в глаза ни одного, ни другого, ни третьего не видел.  Мы-то с тобой не "очкуем херню пистать", но надо же дать чуть простора мОлодёжи -- пусть же и им можно будет. Не изверги ж мы!

     
     
  • 4.20, Аноним (-), 14:33, 19/12/2015 [^] [ответить]    [к модератору]
  • +3 +/
    Вы не просто не очкуете, вы ее активно пишите.
     
     
  • 5.21, Andrey Mitrofanov (?), 14:38, 19/12/2015 [^] [ответить]     [к модератору]
  • +3 +/
    Успех Нейден читатель опенета, понявши, что я написал Он почему-то это пытает... весь текст скрыт [показать]
     
     
  • 6.33, Аноним (-), 19:30, 19/12/2015 [^] [ответить]    [к модератору]  
  • +/
    Рад доставить удовольствие.
     
     
  • 7.48, 808 (??), 05:23, 20/12/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    Почём?
     
  • 4.45, pavlinux (ok), 01:36, 20/12/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    Я и говорю, описка по-Фрейду Были бы тут лайки нормальные, с указанием того к... весь текст скрыт [показать]
     
  • 3.67, Аноним (-), 16:58, 21/12/2015 [^] [ответить]     [к модератору]  
  • +/
    Сейчас netfilter все-таки уже ближе nftables, а iptables - это надстройка над nf... весь текст скрыт [показать]
     
  • 2.35, stalker37 (ok), 20:01, 19/12/2015 [^] [ответить]    [к модератору]  
  • +/
    > по-прежнему отсутствует -j TCPMSS - для CPE устройств это всё ещё важно.

    Гмм..его что реально не впилили в nftables?
    Они там свято верят что у всех чистый эзернет в пути и так далее?

     
  • 1.2, Аноним (-), 12:41, 19/12/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Я конечно всего пару раз его использовал за все время пользования, но почему его... весь текст скрыт [показать]
     
     
  • 2.44, pavlinux (ok), 01:22, 20/12/2015 [^] [ответить]     [к модератору]  
  • +/
    Его выпилили из iptables сто-питсот лет назад, как деструктивная фича Шло толь... весь текст скрыт [показать]
     
  • 2.60, Адекват (ok), 14:49, 21/12/2015 [^] [ответить]     [к модератору]  
  • –3 +/
    Конечно делал, для over 100k строчек правил есть прирост производительности, по ... весь текст скрыт [показать]
     
     
  • 3.77, Аноним (-), 18:11, 21/12/2015 [^] [ответить]     [к модератору]  
  • +/
    Ну зачем сразу XML, у нас тут не юникс какой-нибудь А бинарный формат, точнее, ... весь текст скрыт [показать]
     
  • 1.3, Аноним (-), 12:49, 19/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –15 +/
    Ему более 15 лет, поэтому не нужно, устарело и должно быть заменено на что-нибудь новое. Даёшь Firewalld по умолчанию!
     
     
  • 2.4, lbccom (??), 13:04, 19/12/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    у Firewalld что под капотом? ;)
     
     
  • 3.5, Аноним (-), 13:38, 19/12/2015 [^] [ответить]    [к модератору]  
  • –8 +/
    Какая разница? Iptables устарел по определению! Айти ушагало далеко вперёд, всё надо переписывать!
     
     
  • 4.18, Аноним (-), 14:25, 19/12/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    json RESTful api firewall ?
     
  • 4.22, Нимано (?), 14:39, 19/12/2015 [^] [ответить]    [к модератору]  
  • +/
    > всё надо переписывать!

    Интель и Кингстон наверняка, с превеликим удовольствием, проспонсируют переписывание на жабе/жабо-скрипте или питоне!

     
     
  • 5.37, Аноним (-), 20:17, 19/12/2015 [^] [ответить]    [к модератору]  
  • +/
    Проспонсируют это очень мало вероятно, но ты можешь открыть проект на кикстартере.
     
  • 2.24, Аноним (-), 14:49, 19/12/2015 [^] [ответить]    [к модератору]  
  • +/
    > Даёшь Firewalld по умолчанию!

    agnitumoutpostd :)

     
     
  • 3.26, Andrey Mitrofanov (?), 15:17, 19/12/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    >>Firewalld
    > agnitumoutpostd :)

    Гадость какая.   //iddqd уже вносили?

     
     
  • 4.43, Аноним (-), 00:58, 20/12/2015 [^] [ответить]    [к модератору]  
  • +/
    >>>Firewalld
    >> agnitumoutpostd :)
    > Гадость какая.   //iddqd уже вносили?

    idkfa добавить не забудьте, чтоб уж точно никто не прорвался, а то мало ли... ;)


     
  • 3.61, Адекват (ok), 14:52, 21/12/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    >> Даёшь Firewalld по умолчанию!
    > agnitumoutpostd :)

    antihumanfirewalld

     
  • 1.6, vitalikp (?), 13:38, 19/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –5 +/
    В одном месте я видел ваш новый синтаксис!
     
     
  • 2.8, vitalikp (?), 13:52, 19/12/2015 [^] [ответить]     [к модератору]  
  • –4 +/
    Я конечно все понимаю, но можно было оставить синтаксис хотя бы здесь такой как ... весь текст скрыт [показать]
     
     
  • 3.19, Andrey Mitrofanov (?), 14:30, 19/12/2015 [^] [ответить]     [к модератору]  
  • –2 +/
    Как я Вас понимаю Кинулся -- ан systemd кругом Заговор, насилие и вольюмтари... весь текст скрыт [показать]
     
     
  • 4.25, vitalikp (?), 14:58, 19/12/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    В его словах куда больше смысла, чем в ваших Не переживайте найдутся люди и без... весь текст скрыт [показать]
     
     
  • 5.27, Andrey Mitrofanov (?), 15:25, 19/12/2015 [^] [ответить]     [к модератору]  
  • –2 +/
    Его - это Ричарда, Била или девелоперз-девелоперз-Стива Я отказываюсь сравни... весь текст скрыт [показать]
     
     
  • 6.28, vitalikp (?), 15:28, 19/12/2015 [^] [ответить]     [к модератору]  
  • +/
    Прошу прощение, забыл уточнить Столлмана, конечно ... весь текст скрыт [показать]
     
  • 3.31, Аноним (-), 16:53, 19/12/2015 [^] [ответить]     [к модератору]  
  • +/
    Не льсти себе Cходи помойся Спорим ниасилишь Тупые горлопаны вроде тебя тольк... весь текст скрыт [показать]
     
  • 2.15, Andrey Mitrofanov (?), 14:14, 19/12/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    А надо было шчёлкнуть по ссылочке, и прочитать там so the syntax remains th... весь текст скрыт [показать]
     
     
  • 3.17, vitalikp (?), 14:21, 19/12/2015 [^] [ответить]    [к модератору]  
  • –3 +/
    Ага, префикс "-compat" просто так сделали.

    Ну ну.

     
     
  • 4.23, Andrey Mitrofanov (?), 14:46, 19/12/2015 [^] [ответить]    [к модератору]  
  • +/
    > Ага, префикс "-compat" просто так сделали.

    Конечно! И анонсий на таробрском напейсали -- нас, православных пейзан путають!!

    > Ну ну.

    Тпру-тпру.

     
  • 4.55, Ананас (?), 09:45, 21/12/2015 [^] [ответить]    [к модератору]  
  • +/
    Ну так в нормальном дистрибутиве полюбасу симлинки сделают и переключалку. Не ссы, короче, скорее всего ты еще лет пять и не заметишь изменений.
     
  • 2.32, robux (ok), 17:10, 19/12/2015 [^] [ответить]     [к модератору]  
  • –3 +/
    Согласен на все 100 Этот новый синтаксис прости, Г-ди пусть прикрутят сб... весь текст скрыт [показать]
     
     
  • 3.39, нидсмоардайвесити (?), 21:18, 19/12/2015 [^] [ответить]     [к модератору]  
  • –1 +/
    diversity-я ... весь текст скрыт [показать]
     
  • 3.62, Адекват (ok), 15:01, 21/12/2015 [^] [ответить]     [к модератору]  
  • –1 +/
    Нихрена, только xml, и только прибитый гвоздями к systemd На каждое правило пиш... весь текст скрыт [показать]
     
     
  • 4.68, Аноним (-), 17:00, 21/12/2015 [^] [ответить]     [к модератору]  
  • –1 +/
    XML - это слишкому юниксвейно, он в инитах солярки и мака используется Разрабы ... весь текст скрыт [показать]
     
  • 3.70, Аноним (-), 17:06, 21/12/2015 [^] [ответить]     [к модератору]  
  • +/
    Не учите меня жить, и я не скажу вам, куда вы можете идти - ответил бы на это ... весь текст скрыт [показать]
     
     
  • 4.74, Andrey Mitrofanov (?), 17:23, 21/12/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    >против мамкиных ветеран-

    Вот мне интересно, сий отрок воспитан двумя папами и горд этим? ...или в лесу и горд этим? ...или живёт с "мамкой" и проецирует в комментах?  ---В здании есть доктор??

     
     
  • 5.76, Аноним (-), 18:10, 21/12/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    Похоже, вас задело за живое :)
     
  • 2.53, freehck (ok), 09:39, 21/12/2015 [^] [ответить]     [к модератору]  
  • –1 +/
    Я этой бучи не понимаю Посмотрел, что будет Красивые синтаксис на командах с п... весь текст скрыт [показать]
     
     
  • 3.69, Аноним (-), 17:02, 21/12/2015 [^] [ответить]     [к модератору]  
  • –1 +/
    А может, просто у человека очень ограничен объем памяти, и новые знания и навыки... весь текст скрыт [показать]
     
     ....нить скрыта, показать (19)

  • 1.30, Некто (??), 16:20, 19/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Нужно! А то приходилось самому собирать из гита и мейнтейнить...
     
  • 1.34, Аноним (-), 19:46, 19/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    кто использоваол модуль string ? он позволяет проверять совпадения больше 255 символов по умолчанию?
     
     
  • 2.36, stalker37 (ok), 20:06, 19/12/2015 [^] [ответить]    [к модератору]  
  • +/
    > кто использоваол модуль string ? он позволяет проверять совпадения больше 255 символов
    > по умолчанию?

    Там ещё 1 весёлость - не работает если пакетики фрагментированы  судя по всему

     
     
  • 3.54, freehck (ok), 09:40, 21/12/2015 [^] [ответить]     [к модератору]  
  • +/
    Конечно Скользящее окно как-никак ... весь текст скрыт [показать]
     
  • 1.38, Gib_adm (?), 20:31, 19/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Мне как-то всегда было сложно понять такие действия.
    Возможно в душе я консерватор, но есть некие фундаментальные вещи с которыми работаешь и уже делаешь все на автомате или заготовленными шаблонами. А тут говорят мол, вот вам nftables - пользуйтесь. Который скорее всего так или иначе придет на замену штатно. Теперь для выполнения обычных задач при настройке сервера придется либо менять nftables на iptables или изучать новый синтаксис. Не у всех есть на это время и желание.

    Я категорически считаю, что можно было бы и iptables допилить до нужного состояния с нужными/новыми возможностями.

    Синтаксис в nftables для меня не удобен, т.к. читать строку за правило мне куда проще, чем разбираться в блоках.

    Но это ИМХО.

     
     
  • 2.71, Аноним (-), 17:12, 21/12/2015 [^] [ответить]     [к модератору]  
  • +/
    И это очень плохо Делать на автомате может и компьютер, а человек нужен для тог... весь текст скрыт [показать]
     
  • 2.88, Аноним (-), 10:34, 23/12/2015 [^] [ответить]    [к модератору]  
  • +/
    nftables под капотом намного лучше, так что миграция неизбежна. Привыкнем.
     
  • 1.42, Аноним (-), 00:07, 20/12/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • +3 +/
    Что интересно, минусуют тех кто радуется тому, что поломали синтаксис в очередно... весь текст скрыт [показать]
     
  • 1.46, Аноним (-), 01:49, 20/12/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Хотелось бы объяснить старперам которые не хотят учить новый синтаксис откуда он... весь текст скрыт [показать]
     
     
  • 2.50, EHLO (?), 12:48, 20/12/2015 [^] [ответить]     [к модератору]  
  • –3 +/
    Который загружается в ядро и исполняется для обработки любого трафика Хочу Знат... весь текст скрыт [показать]
     
     
  • 3.73, Аноним (-), 17:20, 21/12/2015 [^] [ответить]     [к модератору]  
  • +/
    Начнем с простого - как в старом синтаксисе создать новую базовую цепочу типа... весь текст скрыт [показать]
     
     
  • 4.75, Andrey Mitrofanov (?), 17:36, 21/12/2015 [^] [ответить]     [к модератору]  
  • +/
    Как обычно, connmark This module matches the netfilter mark field associa... весь текст скрыт [показать]
     
     
  • 5.78, Аноним (-), 18:13, 21/12/2015 [^] [ответить]    [к модератору]  
  • +/
    > насколько я ничего не понял в влролсе.

    Я вижу. Ответ совсем мимо. Совсем-совсем.

     
  • 4.79, EHLO (?), 23:12, 21/12/2015 [^] [ответить]     [к модератору]  
  • +/
    Умница, кавычки поставил, понимаешь, что это не вопрос синтаксиса Если добавил ... весь текст скрыт [показать]
     
  • 4.81, Адекват (ok), 09:20, 22/12/2015 [^] [ответить]     [к модератору]  
  • –1 +/
    iptables -N chain ... весь текст скрыт [показать]
     
  • 1.47, HorekRediskovich (ok), 05:19, 20/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Вообще не хочешь учиться - вон из профессии.

    бред, по причине, мне например не влом разобратся с новым синтаксисом но покажт мне эквивалентный хэндбукс для nftables как у iptables

     
     
  • 2.82, anonymous (??), 12:52, 22/12/2015 [^] [ответить]     [к модератору]  
  • +/
    wiki nftables org ... весь текст скрыт [показать]
     
  • 1.49, Black Paladin (?), 12:01, 20/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Когда с ipchains на iptables переходили - столько не ворчали, поспокойнее все проходило.
     
  • 1.52, iCat (ok), 04:01, 21/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >...Nftables примечательна унификацией интерфейсов фильтрации пакетов для IPv4, IPv6...

    IPv6.
    Блин... Сколько лет уже этот "вэшесть" уже внедряют?
    Никого не настораживает такой период "становления" такой "стройной и удачной" архитектуры?
    Ну ведь адресов-то хватит на все холодильники и виртуалочки на планете! Ан нет, не приживается что-то... Может - человечество другое нужно для "вэшесть"?

     
  • 1.58, pauk (?), 13:37, 21/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Круто что еще обновляется.
    Круто что добавили инструментарий COMPAT.
    Я не старпер, но на новый синтаксис у меня не стоит. Старый намного удобнее и понятнее. Нет, новый синтаксис выучить не проблема, но под старый у меня куча кода написана, впрочем тоже уже старого.. И вообще, мне кажется, все эти изменения в структуре nftables можно было сделать и без внедрения нового синтаксиса.. Может конечно я не вникал глубоко и не понимаю какие преимущества новый синтаксис имеет перед старым, но пока я этого не понимаю - я реально не понимаю зачем он нужен.. Похоже, пока будет работать инструментарий COMPAT и пока не осознаю преимущества nft - буду пользоваться старым синтаксисом.
     
     
  • 2.59, rob pike (?), 14:15, 21/12/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    > все эти изменения в структуре nftables можно было сделать и без внедрения нового синтаксиса

    Для этого надо много думать. Это сейчас немодно.

     
     
  • 3.63, Andrey Mitrofanov (?), 15:06, 21/12/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Круто что добавили инструментарий COMPAT Ога Особенно, если при ближайшем р... весь текст скрыт [показать]
     
     
  • 4.83, pauk (?), 14:18, 22/12/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    Вообще то изменения были сделаны с изменением синтаксиса, в том самом nftables, к которому уже потом были допилены compat. Так что забирайте свой сарказм и несите его туда где его оценят.
     
     
  • 5.85, Andrey Mitrofanov (?), 15:23, 22/12/2015 [^] [ответить]     [к модератору]  
  • +/
    В iptables 1 4 21 синтаксис не менялся, в -compat утилитах в версии 1 6 0 пишут,... весь текст скрыт [показать]
     
  • 2.72, Аноним (-), 17:18, 21/12/2015 [^] [ответить]     [к модератору]  
  • +/
    Скажу по секрету - он проще и логичнее Но чтобы это осознать, нужно в нем хотя ... весь текст скрыт [показать]
     
     
  • 3.80, EHLO (?), 23:46, 21/12/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    Разобраться там не долго, даже ты думаешь что осилил В tcpdump похожие фильтры ... весь текст скрыт [показать]
     
  • 1.84, Аноним (-), 14:37, 22/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Ну почему их ручонки постоянно, что-то меняют и усложняют. Ну почему? Где старый добрый iptables, где я могу сделать так iptables -A INPUT -p tcp -s 192.168.0.1/24 -j ALLOWED?
     
     
  • 2.87, Andrey Mitrofanov (?), 10:19, 23/12/2015 [^] [ответить]    [к модератору]  
  • +/
    > Ну почему их ручонки постоянно, что-то меняют и усложняют. Ну почему?

    Потому что упрощать -- сложнее?  %)

    >Где старый добрый iptables, где я могу сделать

    Там вверху, в новости же.  Сколько ж можно-то??

     
  • 2.89, Moomintroll (ok), 15:03, 23/12/2015 [^] [ответить]    [к модератору]  
  • +/
    > Где старый добрый iptables, где я могу сделать так iptables -A INPUT -p tcp -s 192.168.0.1/24 -j ALLOWED?

    Нигде. Такого никогда не было и уже никогда не будет.

    P.S. ACCEPT

     
  • 1.86, ziplex (?), 09:51, 23/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Вот пример dnat в iptables
    % iptables -t nat -A PREROUTING -p tcp --dport 1000 -j DNAT --to-destination 1.1.1.1:1234
    % iptables -t nat -A PREROUTING -p udp --dport 2000 -j DNAT --to-destination 2.2.2.2:2345
    % iptables -t nat -A PREROUTING -p tcp --dport 3000 -j DNAT --to-destination 3.3.3.3:3456

    А вот новый синтаксис
    % nft add rule nat prerouting dnat \
          tcp dport map { 1000 : 1.1.1.1, 2000 : 2.2.2.2, 3000 : 3.3.3.3} \
          : tcp dport map { 1000 : 1234, 2000 : 2345, 3000 : 3456 }

    Помоему  ничего такого заурядного чем то на vyOs правила похоже в плане блочной структуры. Думаю для многих переход не станет такой уж большой проблемой.

     
     
  • 2.90, vitalikp (?), 14:14, 24/12/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    Я ничего не имею против блочной структуры, кому удобно -- пользуйтесь.
    Но наличие рядом слова dport помогает увидеть и понять все правило сразу.
    Глядя на запись ниже все не так понятно. Нужно потратить лишнее время что бы понять что написано в правиле. И дело тут не в переучивании, а в интуитивном восприятии информации.

    Я честно не понимаю как это:

    printf("table %s %s {\n",
    http://git.netfilter.org/nftables/tree/src/rule.c#n1069

    может быть лучше. Это прибитый гвоздями синтаксис к коду. И это 2015 год?
    Даже если это обвесить макросами, можно хоть какую-то гибкость добавить и подкрутить вывод под себя. А в каком формате писать это вообще дело десятое: можно xml, ini и другие форматы прикрутить. Хоть на си, программе от этого не холодно не жарко.
    Сам подход к разработке очень убогий.
    Я понимаю если предложили действительно что-то стоящее, но это сырой продукт.
    Этим нельзя пользоваться в продакшене.
    Когда по работе приходится много смотреть правила, то это не должно создавать дискомфорт.

     
  • 2.91, iCat (ok), 06:26, 30/12/2015 [^] [ответить]    [к модератору]  
  • +/
    >[оверквотинг удален]
    > % iptables -t nat -A PREROUTING -p udp --dport 2000 -j DNAT --to-destination 2.2.2.2:2345
    > % iptables -t nat -A PREROUTING -p tcp --dport 3000 -j DNAT --to-destination 3.3.3.3:3456
    > А вот новый синтаксис
    > % nft add rule nat prerouting dnat \
    >       tcp dport map { 1000 : 1.1.1.1, 2000 : 2.2.2.2, 3000 : 3.3.3.3} \
    >       : tcp dport map { 1000 : 1234, 2000 : 2345, 3000 : 3456 }

    Или я чего-то не понял, или ты сделал ошибку в пробросе udp 2000 на 2.2.2.2:2345
    "Всё просто и элементарнно"?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor