nftables для FQDN

тот случай, когда теплое с мягким достало и смотришь на холодное с мягким?))

у тебя выхлоп от днс по fqdn меняется, всё нормально?

да, чужой хост, к которому нужно дать доступ, из какого то перечня возвращает адреса

А если днс не днс, то открываем доступ всем или закрываем доступ всем?

а если ip не ip?

если ip не ip, то файрволл тебе не нужен т.к. сети нет

сеть есть, не переживайте

Этого там быть не может, т.к. запросы/ответы dns обрабатываются юзерспейсом, а не ядром. Потому что диды так завещали, dns появился сильно позже ip.

Я же тебе писал уже. Как ты это себе представляешь? Если не знаешь как работает сеть - изучи, чтобы не писать глупостей. На пакете не написано и не может быть написано, от какого доменного имени он пришёл.

И да, iptables и nftables это не файрволлы а синтаксисы команд для файрволла. Файрволл в обоих случаях один и тот же, переходить там не на что.

Даже если бы днс обрабатывался ядром, затея автора менее бредовой бы не стала.

Тебе нужен какой-нибудь кастомный модуль нетфильтра для такого.

Файрволл в обоих случаях один и тот же, переходить там не на что

Да ну? В ядре есть разница, это не косметическая замена юзерспейса.

Разница в ядре применилась после апдейта ядра, теперь iptables ведёт в новый файрволл всё равно. Можно создавать правила через nftables и видеть их через iptables и наоборот. Просто старый файрволл поддерживал только iptables api а новый оба варианта.

теперь iptables ведёт в новый файрволл всё равно

Если у тебя юзерспейсный iptables это прослойка для совместимости (*-translate), то да. При этом надо понимать, что не все фичи iptables транслятор прожуёт, как и не все фичи nftables доступны через него. Но если используются классические утилиты, что тоже не редкость, то в таблицах nft будет пусто.

именно так

# iptables -V
iptables v1.8.2 (nf_tables)