https://opennet.ru/openforum/vsluhforumID3/106028.html Представлен (http://lists.netfilter.org/pipermail/netfilter-announce/2015/000217.html) iptables 1.6.0, первый выпуск новой значительной ветки инструментария для управления пакетным фильтром Linux (http://netfilter.org/). Ветка 1.6 сформирована спустя восемь лет с момента выпуска прошлой стабильной ветки 1.4.x и включает в себя ряд нарушающих совместимость изменений, а также первую официальную реализацию инструментария iptables-compat, построенного поверх инфраструктуры пакетного фильтра nftables (https://www.opennet.ru/opennews/art.shtml?num=41282).<br><br><br>Новый слой совместимости iptables-compat позволяет мигрировать на nftables, продолжив использовать привычные инструменты, не отказываясь от синтаксиса iptables и постепенно внедряя новый синтаксис nft (https://home.regit.org/netfilter-en/nftables-quick-howto/). Работающая поверх nftables прослойка включает в себя утилиты iptables-compat, iptables-compat-save, iptables-compat-restore, ip6tables-compat, ip6tables-compat-save, ip6tables-compat-restore, ebtables- https://opennet.ru/openforum/vsluhforumID3/106028.html#91 Wed, 30 Dec 2015 03:26:21 GMT &gt;[оверквотинг удален]<br>&gt; % iptables -t nat -A PREROUTING -p udp --dport 2000 -j DNAT --to-destination 2.2.2.2:2345 <br>&gt; % iptables -t nat -A PREROUTING -p tcp --dport 3000 -j DNAT --to-destination 3.3.3.3:3456 <br>&gt; А вот новый синтаксис <br>&gt; % nft add rule nat prerouting dnat \ <br>&gt; tcp dport map { 1000 : 1.1.1.1, 2000 : 2.2.2.2, 3000 : 3.3.3.3} \ <br>&gt;  : tcp dport map { 1000 : 1234, 2000 : 2345, 3000 : 3456 } <br><br>Или я чего-то не понял, или ты сделал ошибку в пробросе udp 2000 на 2.2.2.2:2345<br>"Всё просто и элементарнно"?<br> https://opennet.ru/openforum/vsluhforumID3/106028.html#90 Thu, 24 Dec 2015 11:14:16 GMT Я ничего не имею против блочной структуры, кому удобно -- пользуйтесь.<br>Но наличие рядом слова dport помогает увидеть и понять все правило сразу.<br>Глядя на запись ниже все не так понятно. Нужно потратить лишнее время что бы понять что написано в правиле. И дело тут не в переучивании, а в интуитивном восприятии информации.<br><br>Я честно не понимаю как это:<br><br>printf("table %s %s {\n",<br>http://git.netfilter.org/nftables/tree/src/rule.c#n1069<br><br>может быть лучше. Это прибитый гвоздями синтаксис к коду. И это 2015 год?<br>Даже если это обвесить макросами, можно хоть какую-то гибкость добавить и подкрутить вывод под себя. А в каком формате писать это вообще дело десятое: можно xml, ini и другие форматы прикрутить. Хоть на си, программе от этого не холодно не жарко.<br>Сам подход к разработке очень убогий.<br>Я понимаю если предложили действительно что-то стоящее, но это сырой продукт.<br>Этим нельзя пользоваться в продакшене.<br>Когда по работе приходится много смотреть правила, то это не должно создавать дискомфорт.<br> https://opennet.ru/openforum/vsluhforumID3/106028.html#89 Wed, 23 Dec 2015 12:03:41 GMT &gt; Где старый добрый iptables, где я могу сделать так iptables -A INPUT -p tcp -s 192.168.0.1/24 -j ALLOWED?<br><br>Нигде. Такого никогда не было и уже никогда не будет.<br><br>P.S. ACCEPT<br> https://opennet.ru/openforum/vsluhforumID3/106028.html#88 Wed, 23 Dec 2015 07:34:38 GMT nftables под капотом намного лучше, так что миграция неизбежна. Привыкнем. <br> https://opennet.ru/openforum/vsluhforumID3/106028.html#87 Wed, 23 Dec 2015 07:19:32 GMT &gt; Ну почему их ручонки постоянно, что-то меняют и усложняют. Ну почему?<br><br>Потому что упрощать -- сложнее? %)<br><br>&gt;Где старый добрый iptables, где я могу сделать<br><br>Там вверху, в новости же. Сколько ж можно-то??<br><br> https://opennet.ru/openforum/vsluhforumID3/106028.html#86 Wed, 23 Dec 2015 06:51:11 GMT Вот пример dnat в iptables<br>% iptables -t nat -A PREROUTING -p tcp --dport 1000 -j DNAT --to-destination 1.1.1.1:1234<br>% iptables -t nat -A PREROUTING -p udp --dport 2000 -j DNAT --to-destination 2.2.2.2:2345<br>% iptables -t nat -A PREROUTING -p tcp --dport 3000 -j DNAT --to-destination 3.3.3.3:3456<br><br>А вот новый синтаксис<br>% nft add rule nat prerouting dnat \<br> tcp dport map { 1000 : 1.1.1.1, 2000 : 2.2.2.2, 3000 : 3.3.3.3} \<br>  : tcp dport map { 1000 : 1234, 2000 : 2345, 3000 : 3456 }<br><br>Помоему ничего такого заурядного чем то на vyOs правила похоже в плане блочной структуры. Думаю для многих переход не станет такой уж большой проблемой.<br> https://opennet.ru/openforum/vsluhforumID3/106028.html#85 Tue, 22 Dec 2015 12:23:22 GMT &gt; Вообще то изменения были сделаны с изменением синтаксиса, в том самом nftables, <br>&gt; к которому уже потом были допилены compat. Так что забирайте свой <br>&gt; сарказм и несите его туда где его оценят.<br><br>В iptables 1.4.21 синтаксис не менялся, в -compat утилитах в версии 1.6.0 пишут, что не менялся. nftables, как утилита ком.строки имеет другой синтаксис, да. И не имеет никакого отношения к сабжу. И тот, и другой _управляют_ файервволом в ядре. Оба. Берёшь или один, или другой.<br><br>Какое-то из ядер вот здесь http://wiki.nftables.org/wiki-nftables/index.php/List_of_updates_since_Linux_kernel_3.13 вот тебе, убогий, "сломало" синтаксис? Версии утилит iptables 1.4.xx?<br><br>Утилиты nftables по-прежнему http://www.netfilter.org/projects/nftables/#backward-compatibility числятся "in development". Ты поставил себе какую-то другую devel-уровня утилиту, и жидко удивился прямо сюда, что тебе "поломали синтаксис"?<br><br>То, где они там "поменяли синтаксис" тебя не коснулось ни разу. Истеричка?<br><br>-----<br><br>2015-Dec-18 iptables https://opennet.ru/openforum/vsluhforumID3/106028.html#84 Tue, 22 Dec 2015 11:37:46 GMT Ну почему их ручонки постоянно, что-то меняют и усложняют. Ну почему? Где старый добрый iptables, где я могу сделать так iptables -A INPUT -p tcp -s 192.168.0.1/24 -j ALLOWED?<br> https://opennet.ru/openforum/vsluhforumID3/106028.html#83 Tue, 22 Dec 2015 11:18:20 GMT Вообще то изменения были сделаны с изменением синтаксиса, в том самом nftables, к которому уже потом были допилены compat. Так что забирайте свой сарказм и несите его туда где его оценят.<br>