Расскажите про NAT (source, destination, masquarade) в nft. Можно вас попросить делать шрифт на терминале чуточку побольше в видео, при просмотреть с телефонов не особо хорошо читаются команды.
Спасибо, всё чётко и понятно. Скажите пожалуйста, а почему для ipv6 вы никаких правил не прописывали? Разве с ipv6 адресов не может приходить запросов?
Скажите, а в nft порядок правил имеет такое же значение, как в iptables? Пакеты так же ходят? Правила с established рекомендуется в начало ставить? Я смотрю, вы не стали этого делать.
норм. только не понял -> получается надо так же output тоже сделать и туда тоже правил навалить. и про сэты к сожалению нет инфы. по типу как в ipset. в целом полезная инфа, спасибо.
Спасибо, как раз на Debian 11 перешёл, и вот те на, "iptables command not found", ушла эпоха :D а даунгрейдить неохота. Только вот вместо nft кажется пора уже bpfilter изучать) lpc.events/event/11/contributions/940/attachments/836/1644/bpfilter.pdf#page=25
![Noob To Max With DRAGON REWORK In Blox Fruits [FULL MOVIE]](http://i.ytimg.com/vi/LnBMOinoOvA/mqdefault.jpg)
Очень здорово доносите и понятно объясняете материал, спасибо!
Очень благодарен за материал, как раз искал по nft информацию, удачно попал на новое видео!
Расскажите про NAT (source, destination, masquarade) в nft.
Можно вас попросить делать шрифт на терминале чуточку побольше в видео, при просмотреть с телефонов не особо хорошо читаются команды.
шикарная тема, развиваем :)
Приятно слушать, продолжайте 🤝
Да очень интересно. Пожалуйста сделайте более подробные видео как делали по iptables
А что конкретно вас интересует в подробностях?
@@site_support конечно же nat, редирект портов и тд
Спасибо!
спасибо, хорошая база
расскажите про блок "priority" , не до конца понял, какие значение что у него значат
супер. да кстати надобы нат маскарад ну и всякие манглы
Хорошо, посмотрим.
Никак в голове не сложится все это. А что за таблицы выводит команда ip rule?
Таблицы маршрутизации.
Спасибо.
Подскажите, на видео сервис nftables находится в режиме inactive, но при этом в правилах счетчик пакетов на ssh работает. Как это возможно?
Сервис всего лишь занимается восстановлением правил при загрузке, более ни за что он не отвечает.
Спасибо, всё чётко и понятно.
Скажите пожалуйста, а почему для ipv6 вы никаких правил не прописывали?
Разве с ipv6 адресов не может приходить запросов?
IPv6 не используется в этом случае. Но можно все те же правила сделать в family inet, а не ip и они будут работать на любой версии IP.
Скажите, а в nft порядок правил имеет такое же значение, как в iptables? Пакеты так же ходят? Правила с established рекомендуется в начало ставить? Я смотрю, вы не стали этого делать.
Порядок правил имеет значение. Надо ли established ставить в начало зависит от особенностей трафика.
Не хочет работать, выдаёт ошибку, что не ожидает запятую, а ожидает КРУГЛУЮ скобку:
sudo nft 'add rule ip filter input tcp dport {80, 443} counter accept'
Error: syntax error, unexpected comma, expecting ')'
add rule ip filter input tcp dport (80, 443) counter accept
^
Значит, ошибка в синтаксисе. Скобки же не круглые должны быть, а фигурные.
норм. только не понял -> получается надо так же output тоже сделать и туда тоже правил навалить.
и про сэты к сожалению нет инфы. по типу как в ipset.
в целом полезная инфа, спасибо.
Можно OUTPUT не ограничивать, тогда правила там не нужны. Если хотите полный контроль, то да - настаивайте правила, симметрично с INPUT.
По сетам есть инфа: wiki.nftables.org/wiki-nftables/index.php/Sets
@@site_support благодарю
Ужасно интересно!
Спасибо, как раз на Debian 11 перешёл, и вот те на, "iptables command not found", ушла эпоха :D а даунгрейдить неохота.
Только вот вместо nft кажется пора уже bpfilter изучать)
lpc.events/event/11/contributions/940/attachments/836/1644/bpfilter.pdf#page=25
Насколько я понял, использование BPF для фильтрации пакетов это сложнее, чем через nft. Больше подходит для каких-то критичных ситуаций.
Кошмар! nft и bpf ужасны, синтаксис ужасен и непонятен, более того в Shell не работает. Классический iptables рулит
Спасибо!