Witam serdecznie wszystkich.
Przede wszystkim to wspaniały artykuł jak chodzi o zagadnienie nftables. Wielkie podziękowania za tyle dobrej roboty.
nftables zajmuję się od wersji 0.2 co tu można o tym powiedzieć na pewno jest to dużo lepsze od iptables, składnia znaczenie inna co przyznam rację BloodMan. Moje pytanie do Autora tego artykułu gdzie jest dostępna dokumentacja do nftables, wiem że jest kilka naście stron opisujących nftables, ale według mnie to naprawdę tylko opisują tu niektóre możliwość.Aktualnie jestem w trakcie pisania firewall opartym o nftables, borykam się jeszcze z wieloma sprawami które mam na iptables połączonych z ipset, ale powoli idzie do przodu prace na firewall (nftables). Gdyby ktoś chciał się podzielić i wymienić informacjami na temat nftables to zapraszam, kontakt jest na mojej stronie www.linuxbox.pl.

Pozdrawiam LinuxBox.

Rozumiem, że na dzień dzisiejszy (maj 2016) nftables jest ciągle w fazie rozwojowej i nie jest wdrożony w żadnej liczącej się dystrybucji?

Witam czy jest możliwość wykonania na nftables nat 1:1 ale na zasadzie add, del element aby uniknąć dodatkowych reguł
nftables tak działa

nft add table nat
nft add chain nat output { type nat hook output priority 0 \; }
nft add chain nat input { type nat hook input priority 0 \; }
nft add rule nat output ip daddr 1.1.1.1 dnat 192.168.0.1
nft add rule nat output ip daddr 2.2.2.2 dnat 8.8.8.8

sprawdzone ale chciałem na zasadzie elementów

próbuje tak

nft add map nat fakes { type ipv4_addr : ipv4_addr \; }
nft add element nat fakes { 1.1.1.1 : 192.168.0.1 }
nft add element nat fakes { 2.2.2.2 : 8.8.8.8 }

mapa działa ale nie idzie dodać wtedy tej mapy do rule nftables

Pytanie moje czy istnieje taka funkcjonalność

Pozdrawiam LinuxBox

Dziękuje za linki kilka z nich mam kilka nowych doszło więc jeszcze raz dziękuje.

Napiszę tu najbardziej używaną funkcję w iptables lub iptables połączone z ipset czyli tak potoczenie nazwane Access List dla wersji nftables może komuś się przyda.

Dodajemy nową mapę:
nft add map filter LBox-ACCESS { type ether_addr . ipv4_addr : verdict \; }

Teraz tą mapę możemy podłączyć po tablicę filter, mangle, nat przykład dodania mapy do tabeli filter:

nft add rule filter LBox-INPUT ether saddr . ip saddr vmap @LBox-ACCESS

A teraz już sobie dodajemy elementy do mapy decyzja verdict w tym przypadku access lub drop

nft add element filter LBox-ACCESS { 00:11:22:33:00:11 . 10.20.20.2 : accept } # Dostęp dozwolony z adresu IP + MAC
nft add element filter LBox-ACCESS { 33:22:11:00:11:00 . 20.10.10.3 : drop } # Odmowa dostępu z adresu IP + MAC

i w ten sposób mamy bardzo szybko za pomocą nftables uzyskaną autoryzację IP + MAC, a teraz zaglądając na składnię
iptables lub iptables + ipset ta może wydać się trochę dziwna, ale wystarczy z 2 dni treningu i według mnie idzie iptables,
ipset odłożyć dla potomnych.

Pozdrawiam Grzegorz (LinuxBox)

Zastanawiam się nad kilkoma sprawami:
1. Albo jestem już za stary, albo programowanie firewalla nftables wygląda kosmicznie - natomiast znalezienie błędu będzie proste jak szukanie życia w układzie słonecznym.
2. Komu to potrzebne? Tzn. nie chce być jakoś specjalnie niewdzięczny, ale to jest jakiś chory przerost złożoności formy programowania firewalla nad treścią tego co chcemy uzyskać. Żeby nie było że nie rozumiem zalet - ale jaki promil adminów potrzebuje tych możliwości?
3. Jest jeden plus - byle "gimbus" tego nie zaprogramuje (poprawnie). Chyba...

Czekamy na część drugą

Jak zawsze artykuł na 17 stron po 6 miesiącach milczenia i do tego to tylko część 1... mamy co czytać na następne miesiące :)

Prawda jest taka, że sporej grupie ludzi nie chce się już czytać dużej ilości LITER.

10 dni i żadnego komentarza? jeden z lepszych artykułów - będzie część druga?