Comments 4
Спасибо, отличная статья на конкретном реальном примере.
Но почему /etc/firewall.nft, это Astra - related? Ибо стандартно правила хранятся в /etc/nftables.conf
Еще к сожалению docker до сих пор не дружит с nftables, а даже если бы и дружил - flush ruleset выносила бы его правила и ломала работу.
Но почему /etc/firewall.nft, это Astra — related? Ибо стандартно правила хранятся в /etc/nftables.conf.
Здравствуйте! Благодарим за комментарий.
Имя firewall.nft было выбрано случайно. Согласны, более правильно было использовать /etc/nftables.conf и просто включить сервис sudo systemctl enable nftables.service.
Еще к сожалению docker до сих пор не дружит с nftables, а даже если бы и дружил - flush ruleset выносила бы его правила и ломала работу.
Все верно. Однако есть практика, когда docker полностью отключают от редактирования файервола, чтобы делать это вручную. Это как две хозяйки на одной кухне, только поссорятся)
Нельзя мигрировать с Netfilter к nftables потому что nftables является компонентом фреймворка Netfilter наравне с устаревшим iptables
Простой шлюз в сеть Интернет на nftables в ОС Astra Linux Special Edition