AstraLinux_Group 14 ноя 2024 в 07:28

Простой шлюз в сеть Интернет на nftables в ОС Astra Linux Special Edition

Средний

17 мин

6.8K

Блог компании Группа АстраНастройка Linux*Linux*

Туториал

+10

Комментарии 4

SignFinder 15 ноя 2024 в 20:38

Спасибо, отличная статья на конкретном реальном примере.

Но почему /etc/firewall.nft, это Astra - related? Ибо стандартно правила хранятся в /etc/nftables.conf

Еще к сожалению docker до сих пор не дружит с nftables, а даже если бы и дружил - flush ruleset выносила бы его правила и ломала работу.

AstraLinux_Group 20 ноя 2024 в 09:40

Но почему /etc/firewall.nft, это Astra — related? Ибо стандартно правила хранятся в /etc/nftables.conf.

Здравствуйте! Благодарим за комментарий.
Имя firewall.nft было выбрано случайно. Согласны, более правильно было использовать /etc/nftables.conf и просто включить сервис sudo systemctl enable nftables.service.

Еще к сожалению docker до сих пор не дружит с nftables, а даже если бы и дружил - flush ruleset выносила бы его правила и ломала работу.

Все верно. Однако есть практика, когда docker полностью отключают от редактирования файервола, чтобы делать это вручную. Это как две хозяйки на одной кухне, только поссорятся)

Semen55338 19 ноя 2024 в 02:16

Нельзя мигрировать с Netfilter к nftables потому что nftables является компонентом фреймворка Netfilter наравне с устаревшим iptables

AstraLinux_Group 20 ноя 2024 в 09:41

Здравствуйте! От того, что Nftables частично использует Netfilter, от этого он не перестанет быть фреймворком. Соответственно, статья о том, как переписать правила с одного фреймворка на другой, т.е. по сути выполнить миграцию.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий