https://www.opennet.me/openforum/vsluhforumID3/114822.html Спустя два с половиной года с момента формирования прошлой стабильной ветки 1.6.x представлен (https://marc.info/?l=netfilter-devel&m=153086953903487&w=2) iptables 1.8.0 (https://netfilter.org/projects/iptables/), новый значительный релиз инструментария для управления пакетным фильтром Linux. <br><br><br>Основные изменения (https://netfilter.org/projects/iptables/files/changes-iptables-1.8.0.txt):<br><br><br>- Обеспечено явное разделение классического фронтэнда iptables и нового фронтэнда, построенного поверх инфраструктуры пакетного фильтра nftables и позволяющего мигрировать на технологии nftables, продолжив использовать привычные инструменты и синтаксис iptables. Классический фронтэнд теперь поставляется с явным указанием в имени исполняемых файлов слова "-legacy", например iptables-legacy и iptables-legacy-save, а файлы фронтэнда на базе nftables вместо "-compat" теперь заканчиваются на "-nft", например, iptables-nft. При запуске iptables с командой '--version' выдаётся информация о типе фронтэнда (например "iptab https://www.opennet.me/openforum/vsluhforumID3/114822.html#36 Fri, 27 Jul 2018 21:40:16 GMT Там очень много нового, и все довольно непривычное.<br>Мне нужно было перенаправить кучу IP-адресов в другую кучу IP-адресов. В iptables мне нужно добавлять по одному DNAT-правилу на каждый адрес, а в nftables я могу сделать одно правило со списком src ip &#8594; dst ip, и добавлять или удалять правило уже непосредственно из списка.<br> https://www.opennet.me/openforum/vsluhforumID3/114822.html#35 Tue, 17 Jul 2018 23:30:37 GMT Каждый, хотя бы раз в жизни, должен попробовать двухсторонний DNAT.<br> https://www.opennet.me/openforum/vsluhforumID3/114822.html#34 Mon, 16 Jul 2018 16:28:19 GMT Как там с libvirt? Точно не помню какой там фронт, но помню в доке что то типа &#171;в случае проблем service iptables restart&#187;<br> https://www.opennet.me/openforum/vsluhforumID3/114822.html#33 Sat, 14 Jul 2018 21:47:40 GMT Моей бабушке 92 года. Ей что iptables показывай, что nft, все равно скажет, что набор букв бусурманских :-D<br> https://www.opennet.me/openforum/vsluhforumID3/114822.html#32 Sat, 14 Jul 2018 20:41:13 GMT &gt;и сломаем все скрипты. вообще надо было так iptables-legacy-dont-use-its-deprecated<br><br>если уж делать западло, то по полной<br><br>И симлинк в /dev/null :)) <br> https://www.opennet.me/openforum/vsluhforumID3/114822.html#31 Sat, 14 Jul 2018 18:19:58 GMT &gt;Первый год(то есть где-то 2001) case-sensitive бесил, а потом привык и вот уже 16 лет живу нормально.<br><br>Стокгольмский синдром, ага :).<br>&gt;Пока мне nft кажется написанным чужими для хищников, но думаю привыкну с годами.<br><br>Оно человекочитаемое хотя бы. Его можно показать бабушке\внучке и есть шанс, что они "по аналогии" сделают, что им нужно, а не убегут за святой водой при виде мешанины -t -A -p -j в одной строке. <br> https://www.opennet.me/openforum/vsluhforumID3/114822.html#30 Sat, 14 Jul 2018 17:29:29 GMT Первый год(то есть где-то 2001) case-sensitive бесил, а потом привык и вот уже 16 лет живу нормально. Пока мне nft кажется написанным чужими для хищников, но думаю привыкну с годами.<br> https://www.opennet.me/openforum/vsluhforumID3/114822.html#29 Sat, 14 Jul 2018 17:10:36 GMT Ну, т.е. продукт, сделанный "чужими для хищников" таки нашел своего поклонника )<br>Синтаксическая помойка из case-sensitive однобуквенных ключей, -\--параметров и case-sensitive-же ключевых слов, бешено переусложненная для простых вещей (Которых в жизни 95% так-то) обмазанная разнообразными костылями в три слоя = "предельно понятно"? Ей-ей, на этом фоне cmd в windows очень даже прилично смотрится, да. Хуже можно сделать только обмазав в четыре слоя &lt;{)});&gt; oh shi...<br> https://www.opennet.me/openforum/vsluhforumID3/114822.html#28 Sat, 14 Jul 2018 08:31:46 GMT &gt; iptables-legacy<br><br>и сломаем все скрипты. вообще надо было так iptables-legacy-dont-use-its-deprecated<br>если уж делать западло, то по полной!<br>