"V první řadě se liší syntaxe, která více připomíná ovládání utility ip či příkazu tcpdump. Přepínače se neuvozují pomlčkami, ale je možné je přirozeně zapisovat za sebou v relativně volném pořadí."
tcpdump ale pouziva pro prepinace pomlcky. Bez pomlcek je jen filtr.
Ale diky za clanek. Rikal se si proc nahrazovat iptables, ale presun kodu ven z jadra je vzdy krok spravnym smerem.
18. 12. 2019, 08:31 editováno autorem komentáře
Vím jen o tom, že podporu má Firewalld a že připravovaná Fedora 32 by ji měla mít jako výchozí.
To už asi má ne? Nevím, Fedoru nepoužívám, ale třeba CentOS 8 má nftables jako výchozí, tak bych čekal, že Fedora už dávno:
/etc/firewalld/firewalld.conf
# FirewallBackend # Selects the firewall backend implementation. # Choices are: # - nftables (default) # - iptables (iptables, ip6tables, ebtables and ipset) FirewallBackend=nftables
18. 12. 2019, 12:11 editováno autorem komentáře
Já jsem nftables objevil při upgrade na Debian buster, používám shorewall a prostě se použila emulace iptables. Takže shorewall alespoň v jednoduché konfiguraci s nftables použít lze.
Ale je možné, že shorewall nevyužije všechny možnosti nftables, takže to bude o trošku pomalejší...
A podle článku nftables dost řeší to 'patlání' i bez nadstavby
s pf už přes 3 roky nepracuji, ale správa oproti iptables byla mnohem příjemnější. o nft jsem se dozvěděl dnes a příjde mi to, že spíše se inspirovali u pf než naopak - nft implementuje věci, které mělo pf už dávno. v syntaxi pravidel při rychlém pohledu na ukázky v druhém díle ale vidím jasný rozdíl.
Jen takovy postreh. Shodou okolnosti potrebuju na nftables prevest konfiguraci, kde pouzivam iptables s ipset a v nich jsou znacna mnozstvi ruznych rozsahu a siti. Translacni utility jako tables-restore-translate a iptables-translate ipset nepodporuji a takova pravidla neprevedou...
10. 1. 2020, 08:58 editováno autorem komentáře