Давайте не спеша поищем аналоги командам iptables в nftables

Первая строчка разрешает принимать ответы на запросы с нашего компа. Вторая команда запрещает все остальные соединения.

это не так. исходя из описанного выше, ты ннп логики iptables и что к чему. откуда такое рвение к nftables?))

Зачем тебе аналоги, если старые правила продолжат работать? Собственно, много где миграция уже состоялась, и её мало кто заметил.

Собственно, много где миграция уже состоялась, и её мало кто заметил.

Это, кстати, вообще правда? Даже в арче

$ iptables --version
iptables v1.8.2 (legacy)

Во-первых, ты можешь собрать iptables ≥1.8.0 так, что он на самом деле будет прозрачно транслировать правила в nftables и ты этого (в идеале) даже не заметишь.

Во-вторых, держи:

flush ruleset

table inet filter {
	chain iface_common {
		# trusted interfaces
		iifname { lo, tun0, ve-arch } accept
	}

	chain ct_common {
		# early drop of invalid connections
		ct state invalid drop

		# allow established/related connections
		ct state { established, related } accept

		# allow dnat-ed connections
		ct status dnat accept
	}
	chain srv_common {
		# allow icmp
		ip protocol icmp limit rate 1000/second accept
		ip6 nexthdr icmpv6 limit rate 1000/second accept
	}
	chain input {
		type filter hook input priority 0; policy drop;

		jump iface_common
		jump ct_common
		jump srv_common

		tcp dport ssh accept
		udp dport openvpn accept
		udp dport 60000-61000 accept
		tcp dport 8388 accept

		tcp dport 12345 accept
		udp dport 12345 accept
	}
	chain forward {
		type filter hook forward priority 0; policy drop;

		jump iface_common
		jump ct_common
		jump srv_common

		# e:d to able
		ip6 daddr [2a01:7e01:e002:8500::1000] tcp dport 5100 accept
	}
	chain output {
		type filter hook output priority 0; policy accept;
	}
}
table ip nat {
	chain dstnat {
		type nat hook prerouting priority 0; policy accept;

		# e:d to able
		tcp dport 5100 dnat to 10.139.24.2
	}

	chain srcnat {
		type nat hook postrouting priority 100; policy accept;

		oifname enp0s3 masquerade
	}
}

Дальше разберёшься сам.

Это, кстати, вообще правда?

Вроде как последние iptables уже только врапер. Хотя могу ошибаться, специально не смотрел, только, кажется, слышал.

Чтобы защитить интерфейс eth1, я выполнил это:

Зачем, если у тебя NAT и приватные IP на eth1?

Нет, не только.

1.8.2 — это и есть последняя версия.

Всё для людей. Эта портянка, конечно, гораздо удобнее правил iptables.

Не очень понял, сарказм это или нет, но вообще-то да, гораздо удобнее.

Давно заметил, что тебе удобнее странные вещи ;)

А я давно заметил, что на ЛОРе полно утят. Тоже, в общем-то, ничего нового.

В общем, она «пробрасывает» порт 2000, который я ранее открыл, на другой комп, который подключен к eth1

Вот это правило:

iptables -A INPUT -p tcp -m state --state NEW --dport 2000 -i ppp0 -j ACCEPT

совсем не нужно, оно к пробросу не имеет отношения.

Зачем, если у тебя NAT и приватные IP на eth1?

А если кто-то со стороны ppp0 пропишет роутинг на его приватную сеть? Понятно что шансов не много, но все-таки шанс отличен от нуля. Так что у него все верно.

А если кто-то со стороны ppp0 пропишет роутинг на его приватную сеть?

Взломает NAS оператра? Ну может быть конечно...

но все-таки шанс отличен от нуля.

Хорошо, уговорил. :-)

Он это научился делать? iptables recent

https://developers.redhat.com/blog/2017/01/10/migrating-my-iptables-setup-to-...

a ipset там есть? скажем, на сервере есть дофига длинных ipset'ов, с подсетями. их можно в nftables интегрировать без особого гемора?

Не вникал. Описания говорят, что iptables теперь использует nftables API.

$ realpath /usr/sbin/iptables
/usr/sbin/xtables-nft-multi
$ dpkg -S $(realpath /usr/sbin/iptables)
iptables: /usr/sbin/xtables-nft-multi
$ dpkg -l iptables
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================================
ii  iptables       1.8.2-3      amd64        administration tools for packet filtering and NAT
$ man -f xtables-nft-multi 
xtables-nft-multi (8) - iptables using nftables kernel api
$ 

Правда, я уже ловил глюк из-за того, что Docker предпочитает использовать бинарник iptables-legacy, если такой есть.

Первая ссылка в гугле по запросу «nftables ipset». Это же насколько нужно лениться, чтобы не загуглить.

Когда я последний раз смотрел, они только планировали запилить замену.

Да, но он не все умел транслировать, когда я смотрел.

там написано «разработка в процессе» и нет прямой трансляции. как-то это не то. может, уже доделали?

я не только гуглить, но и читать умею.

я не только гуглить, но и читать умею.

там написано «разработка в процессе»

Это где это такое написано?

а ты полазь по их сайту и почитай.

То есть я ещё и сам должен подтверждение твоим словам искать. Миленько.

ты же мастер гугла. мне лень. я проверила, что ничего не изменилось с тех пор, как я последний раз тыкала это палочкой, и закрыла страницы. ничего, кроме гугла, для этого не требуется.

тебе выше ещё один товарищ написал то же самое. или ты только ко мне придраться захотел?

Ты вот звиняй, но и правда у тебя портянка. И это не потому-что я привык. А потому-что я эти конфиги видел всего пару раз за пару десятков лет, ну вот понадобились, и они еще до прочтения мана были вполне очевидны. Ну а новое чудолестничное конструирование вы простите какое-то Г и понятно почему, погромисты стремяться натянуть синтаксис своих недоязычков на все, им же так удобней :)

Расписываешься в своей неспособности привести ссылку на страницу, на которой написано «разработка в процессе»?

Аналог ipset по функциональности там был с самого начала, но утилит для конвертирования имеющегося легаси нет. Если интересно, то вот.

если бы ты нормально спросил - я бы привела ссылки. но так как ты гуру гугла - шуруй сам в гугл и ищи.

я эту страницу тоже видела. слава гуглу! кто-то вот нишмог.

но меня-то интересует именно конвертация. есть просто куча длинных ipset'ов. естественно, вручную это конвертировать как-то обломно. ещё бы хорошо, чтобы с ними можно было работать с сохранением-загрузкой из текстовых файлов, вроде блэклистов.

я эту страницу тоже видела. слава гуглу! кто-то вот нишмог.

там написано «разработка в процессе»

я не только гуглить, но и читать умею.

Не умеешь.

А как правильно? Может знаешь?

Там есть не просто ipset, там есть словари!

Если нужно сделать, например, DNAT большого количества IP-адресов в большое количество других IP-адресов, то в nftables это делается одним правилом, а в iptables это эффективно нельзя сделать даже с ipset.

sudo iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -i ppp0 -j DROP

А это не сломает входящий ICMP?

Оно просто не нужно и все. Правило проброса у вас уже есть.

Справедливости ради для меня преимущество nftables перед iptables видится только в одном - нет разделения для IPv4 и IPv6-траффика в фильтрах. И вроде как ebtables он тоже замещает, что вообще гуд.

нет разделения для IPv4 и IPv6-траффика в фильтрах

Есть.

Просто сделали псевдо-address-type inet, который приводит к созданию фильтров в обеих таблицах.

Я именно это и имел ввиду - есть возможность НЕ дублировать правила, что в случае iptables и ip6tables ДИКО раздражало.

Ога, а в debian гибрид

#iptables --version
iptables v1.8.2 (nf_tables)

Скорее всего nftables так версию возвращает для парсеров.

sudo iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Первая строчка разрешает принимать ответы на запросы с нашего компа. Вторая команда запрещает все остальные соединения.

Нда. Может вместо мозгового штурма ЛОРа стоит почитать, ман, гугл?

sudo iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Первая строчка разрешает принимать ответы на запросы с нашего компа. Вторая команда запрещает все остальные соединения.

Нда. Может вместо мозгового штурма ЛОРа стоит почитать, ман, гугл?

Имхо вполне парсится такая формулировка. А что вам так сильно не понравилось?

Это у тебя дебиан?

$ realpath /usr/bin/iptables
/usr/bin/xtables-legacy-multi

Вот это поворот, дебиан прогрессивнее арча.

Это у тебя дебиан?

Да, Debian testing.

Вот это поворот, дебиан прогрессивнее арча.

Нет-нет, что ты! В Debian только окаменелости.

В Debian только окаменелости

Ну по большей части так и есть %)

Но я сейчас даже не про версии (бессмысленно меряться версиями с тестингом, тем более когда 1.8.2 сабжа уже несколько месяцев как существует), а про подход.

а про подход

Если у сопровождающего есть желание, в sid новые версии попадают достаточно быстро. Затем через 10 или 5 дней пакет мигрирует в testing. Правда, при заморозке перед выпуском stable в testing обновления не прилетают. И даже sid успокаивается.

Глянь на версии пакетов в repology. Большей частью они там не сильно отличаются от rolling-дистрибутивов.

Опять же, не о версиях речь. А о том, что у вас уже прыгнули на nftables-бэкенд, хотя это потенциально очень ломающее изменение, к которому даже в арче отнеслись более консервативно.

(Или ты это сам собрал, чтобы троллить ЛОРовцев?)

Не знаю, что на это сказать. Все изменения потенциально очень ломающие. Не вижу, почему nftables чем-то отличаются.

А может дело просто в том, что пользуясь Arch ты автоматически считаешь, что то, как делают в Arch — это и есть правильно?

Не знаю, что на это сказать. Все изменения потенциально очень ломающие. Не вижу, почему nftables чем-то отличаются.

Далеко не все.

Приведу аналогию: это почти настолько же странно, как если бы Debian перешёл на systemd по умолчанию раньше Fedora.

В обоих случаях изменения потенциально более ломающие, чем в среднем, т. к. в обоих случаях присутствует конфликт слоя совместимости (который никогда не пишется bug to bug и хорошо если просто полностью соответствует стандарту) и действий прикладных программ (которые зачастую полагаются на особенности поведения конкретной реализации, а не пишутся по стандарту).

А может дело просто в том, что пользуясь Arch ты автоматически считаешь, что то, как делают в Arch — это и есть правильно?

Ты перепутал причину со следствием. Я априорно считаю, что прогресс ценой breakage — это правильно, и поэтому я пользуюсь Arch, т. к. его политика обычно совпадает с моими взглядами на мир.

если бы Debian перешёл на systemd по умолчанию раньше Fedora

Если бы редхат очень захотел, так бы и было. Проблема в том, ненужнод уже оттестировали на арчешкольниках.

прогресс ценой breakage — это правильно

«Весь мир до основания мы разрушим, а затем ...»? Так себе политика. Корни почти всех современных проблем следует искать именно в такой политике.