[Sysadmins] рутер на nftables

Alexei Takaseev alexei на taf.ru
Пт Дек 2 09:16:58 MSK 2016



----- Исходное сообщение -----
> От: "В.А. Илларионов" <gbimobou на gmail.com>
> Кому: "ALT Linux sysadmins' discussion" <sysadmins на lists.altlinux.org>
> Отправлено: Пятница, 2 Декабрь 2016 г 13:23:19
> Тема: Re: [Sysadmins] рутер на nftables
> 
> 02.12.2016 12:52, Alexei Takaseev пишет:
> 
> >
> >> Пытаясь перепилить шлюз с иптаблиц на сабж, упёрся в пару
> >> неясностей
> >> в
> >> таблице mangle:
> >>
> >> 1. Цепочка forward
> >> TCPMSS     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp
> >> flags:0x06/0x02 TCPMSS clamp to PMTU
> >>
> >> 2. Цепочка postrouting
> >> TTL        all  --  0.0.0.0/0            0.0.0.0/0            TTL
> >> match
> >> TTL == 1 TTL set to 64
> >>
> >> Может, кому-то уже удалось перевести это в правила nftables?
> > Целиком и полностью переехать на nft сейчас не реально. Что-то
> > можно вынести в nft,
> > что-то пока оставить на iptables
> 
> Ну, с ТТЛ, вроде, получилось, а кламп TCPMSS нужен только на
> РРР-соединениях. У меня лишь одни подопечные до
> сих пор на АДСЛ остались, остальным не актуально.
> 
> А вот фейл2бан на нфтаблицах работает отлично - только жаль, что:
> а) он у нас старый и акции с нфтаблицами пришлось добавлять руками;
> б) прибит зависимостями наглухо к иптаблицам, и снести их можно
> только с --nodeps;

Чем это мешает? Учитывая то, что nft и iptables между собой не конфликтуют, и
вполне себе живут и работают на одной системе.

> в) нфтаблицы тоже старые и не умеют burst.

В Сизиф и P8 буквально вчера отправил 0.6, там этот функционал есть.


Подробная информация о списке рассылки Sysadmins