LINUX.ORG.RU

Ответ на: комментарий от ass

Ну в прямом. Раньше по умолчанию был iptables, nftables можно было задействовать по желанию. Теперь по умолчанию nftables, а команды iptables из соображений совместимости транслируются в команды nftables через обертку.

Vsevolod-linuxoid ★★★★★
() автор топика
Ответ на: комментарий от Vsevolod-linuxoid

Это будет обертка уровня дистра. Подсистемы iptables и nftables существуют в ядре отдельно, ты можешь пользоваться ими одновременно.

unicorne
()
Ответ на: комментарий от Vsevolod-linuxoid

Таки нет, CONFIG_IP_NF_IPTABLES до сих пор существует, и там не написано, что это обертка.

unicorne
()
Ответ на: комментарий от imul

Ну нет же. netfilter не может быть «вместо» iptables, т. к. и iptables, и nftables, и *tables — это высокоуровневые интерфейсы к netfilter.

В любом случае тут правильно написали, что в ядре iptables и nftables сосуществуют на равных и выкидывать их никто вроде бы не собирается. «Дефолта» тоже как такового нет, ты можешь пользоваться чем считаешь нужным (в т. ч. по транзитивности). А вот обёртки — да, в некоторых случаях команда iptables будет обёрткой к подсистеме nftables. Но это всё строго в юзерспейсе.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 5)
Ответ на: комментарий от intelfx

netfilter не может быть «вместо» iptables

Как хорошо быть тобой. Сам придумал какую-то ахинею и сам ее тут же опроверг.

т. к. и iptables, и nftables, и *tables — это высокоуровневые интерфейсы к netfilter.

Высокоуровневые юзерспейсные интерфейсы к netfilter это действительно iptables, ip6tables, ebtables, arptables. А nftables это фреймворк, который состоит из ядерной части, либы, юзерспейсной утилиты nft и костылей для совместимости с юзерспейсными интерфейсами к netfilter.
В остальном ты правильно за другими повторил, что обе системы в ядре параллельно, без всяких «дефолтов».

(всего исправлений: 5)

Кур воровал?

imul ★★★★★
()
Ответ на: комментарий от imul

Тебе кто-то нахамил в автобусе? Чего такой агрессивный?

netfilter не может быть «вместо» iptables

Как хорошо быть тобой. Сам придумал какую-то ахинею и сам ее тут же опроверг.

Пардон, не iptables, а nftables. Netfilter не может быть «вместо» nftables.

Высокоуровневые юзерспейсные интерфейсы к netfilter это действительно iptables, ip6tables, ebtables, arptables. А nftables это фреймворк, который состоит из ядерной части…

…которая называется Netfilter:

CONFIG_NF_TABLES:

nftables is the new packet classification framework that intends to
replace the existing {ip,ip6,arp,eb}_tables infrastructure. It
provides a pseudo-state machine with an extensible instruction-set
(also known as expressions) that the userspace 'nft' utility
(http://www.netfilter.org/projects/nftables) uses to build the
rule-set. It also comes with the generic set infrastructure that
allows you to construct mappings between matchings and actions
for performance lookups.

To compile it as a module, choose M here.

Symbol: NF_TABLES [=y]
Type  : tristate
Prompt: Netfilter nf_tables support
  Location:
    -> Networking support (NET [=y])
      -> Networking options
        -> Network packet filtering framework (Netfilter) (NETFILTER [=y])
          -> Core Netfilter Configuration
  Defined at net/netfilter/Kconfig:442
  Depends on: NET [=y] && INET [=y] && NETFILTER [=y]
  Selects: NETFILTER_NETLINK [=m]

Кур воровал?

А?

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от imul

Ты бы лучше не хамил, а отдохнуть сходил или ещё что.

intelfx ★★★★★
()

Где ты такое взял? Что за nftables?

[code] uname -r 5.4.16-gentoo [/code]

Никаких nftables нет, да и откуда бы они взялись? iptables рулит.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General