[Sysadmins] рутер на nftables

Пт Дек 2 08:23:19 MSK 2016

02.12.2016 12:52, Alexei Takaseev пишет:

>
>> Пытаясь перепилить шлюз с иптаблиц на сабж, упёрся в пару неясностей
>> в
>> таблице mangle:
>>
>> 1. Цепочка forward
>> TCPMSS     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp
>> flags:0x06/0x02 TCPMSS clamp to PMTU
>>
>> 2. Цепочка postrouting
>> TTL        all  --  0.0.0.0/0            0.0.0.0/0            TTL
>> match
>> TTL == 1 TTL set to 64
>>
>> Может, кому-то уже удалось перевести это в правила nftables?
> Целиком и полностью переехать на nft сейчас не реально. Что-то можно вынести в nft,
> что-то пока оставить на iptables

Ну, с ТТЛ, вроде, получилось, а кламп TCPMSS нужен только на РРР-соединениях. У меня лишь одни подопечные до 
сих пор на АДСЛ остались, остальным не актуально.

А вот фейл2бан на нфтаблицах работает отлично - только жаль, что:
а) он у нас старый и акции с нфтаблицами пришлось добавлять руками;
б) прибит зависимостями наглухо к иптаблицам, и снести их можно только с --nodeps;
в) нфтаблицы тоже старые и не умеют burst.

-- 
Мимо крокодил.
WBR, rednex CIO.
Viber = +7(964)103-65-67
JID = <mailto:>
Skype = $local_part@<mailto:>

Опциии rsync -aHAX --delete мозг автоматом переводит как "удалить к чёртовой матери!"