Расскажите про NAT (source, destination, masquarade) в nft. Можно вас попросить делать шрифт на терминале чуточку побольше в видео, при просмотреть с телефонов не особо хорошо читаются команды.
Спасибо, всё чётко и понятно. Скажите пожалуйста, а почему для ipv6 вы никаких правил не прописывали? Разве с ipv6 адресов не может приходить запросов?
норм. только не понял -> получается надо так же output тоже сделать и туда тоже правил навалить. и про сэты к сожалению нет инфы. по типу как в ipset. в целом полезная инфа, спасибо.
Скажите, а в nft порядок правил имеет такое же значение, как в iptables? Пакеты так же ходят? Правила с established рекомендуется в начало ставить? Я смотрю, вы не стали этого делать.
Спасибо, как раз на Debian 11 перешёл, и вот те на, "iptables command not found", ушла эпоха :D а даунгрейдить неохота. Только вот вместо nft кажется пора уже bpfilter изучать) lpc.events/event/11/contributions/940/attachments/836/1644/bpfilter.pdf#page=25
![NFTABLES [PART - 1] : "Concept and Syntax"](/img/n.gif)
Очень здорово доносите и понятно объясняете материал, спасибо!
Спасибо!
Расскажите про NAT (source, destination, masquarade) в nft.
Можно вас попросить делать шрифт на терминале чуточку побольше в видео, при просмотреть с телефонов не особо хорошо читаются команды.
Очень благодарен за материал, как раз искал по nft информацию, удачно попал на новое видео!
Приятно слушать, продолжайте 🤝
Да очень интересно. Пожалуйста сделайте более подробные видео как делали по iptables
А что конкретно вас интересует в подробностях?
@@site_support конечно же nat, редирект портов и тд
спасибо, хорошая база
расскажите про блок "priority" , не до конца понял, какие значение что у него значат
Никак в голове не сложится все это. А что за таблицы выводит команда ip rule?
Спасибо, всё чётко и понятно.
Скажите пожалуйста, а почему для ipv6 вы никаких правил не прописывали?
Разве с ipv6 адресов не может приходить запросов?
IPv6 не используется в этом случае. Но можно все те же правила сделать в family inet, а не ip и они будут работать на любой версии IP.
супер. да кстати надобы нат маскарад ну и всякие манглы
Хорошо, посмотрим.
Спасибо.
Подскажите, на видео сервис nftables находится в режиме inactive, но при этом в правилах счетчик пакетов на ssh работает. Как это возможно?
Сервис всего лишь занимается восстановлением правил при загрузке, более ни за что он не отвечает.
норм. только не понял -> получается надо так же output тоже сделать и туда тоже правил навалить.
и про сэты к сожалению нет инфы. по типу как в ipset.
в целом полезная инфа, спасибо.
Можно OUTPUT не ограничивать, тогда правила там не нужны. Если хотите полный контроль, то да - настаивайте правила, симметрично с INPUT.
По сетам есть инфа: wiki.nftables.org/wiki-nftables/index.php/Sets
@@site_support благодарю
Скажите, а в nft порядок правил имеет такое же значение, как в iptables? Пакеты так же ходят? Правила с established рекомендуется в начало ставить? Я смотрю, вы не стали этого делать.
Порядок правил имеет значение. Надо ли established ставить в начало зависит от особенностей трафика.
Ужасно интересно!
Спасибо, как раз на Debian 11 перешёл, и вот те на, "iptables command not found", ушла эпоха :D а даунгрейдить неохота.
Только вот вместо nft кажется пора уже bpfilter изучать)
lpc.events/event/11/contributions/940/attachments/836/1644/bpfilter.pdf#page=25
Насколько я понял, использование BPF для фильтрации пакетов это сложнее, чем через nft. Больше подходит для каких-то критичных ситуаций.
Спасибо!