----- Исходное сообщение ----- > От: "В.А. Илларионов" <[email protected]> > Кому: "ALT Linux sysadmins' discussion" <[email protected]> > Отправлено: Пятница, 2 Декабрь 2016 г 13:23:19 > Тема: Re: [Sysadmins] рутер на nftables > > 02.12.2016 12:52, Alexei Takaseev пишет: > > > > >> Пытаясь перепилить шлюз с иптаблиц на сабж, упёрся в пару > >> неясностей > >> в > >> таблице mangle: > >> > >> 1. Цепочка forward > >> TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp > >> flags:0x06/0x02 TCPMSS clamp to PMTU > >> > >> 2. Цепочка postrouting > >> TTL all -- 0.0.0.0/0 0.0.0.0/0 TTL > >> match > >> TTL == 1 TTL set to 64 > >> > >> Может, кому-то уже удалось перевести это в правила nftables? > > Целиком и полностью переехать на nft сейчас не реально. Что-то > > можно вынести в nft, > > что-то пока оставить на iptables > > Ну, с ТТЛ, вроде, получилось, а кламп TCPMSS нужен только на > РРР-соединениях. У меня лишь одни подопечные до > сих пор на АДСЛ остались, остальным не актуально. > > А вот фейл2бан на нфтаблицах работает отлично - только жаль, что: > а) он у нас старый и акции с нфтаблицами пришлось добавлять руками; > б) прибит зависимостями наглухо к иптаблицам, и снести их можно > только с --nodeps;
Чем это мешает? Учитывая то, что nft и iptables между собой не конфликтуют, и вполне себе живут и работают на одной системе. > в) нфтаблицы тоже старые и не умеют burst. В Сизиф и P8 буквально вчера отправил 0.6, там этот функционал есть. _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
