AstraLinux_Group Nov 14 2024 at 07:28

Простой шлюз в сеть Интернет на nftables в ОС Astra Linux Special Edition

Medium

17 min

6.8K

Группа Астра corporate blogConfiguring Linux*Development for Linux*

Tutorial

+10

Comments 4

SignFinder Nov 15 2024 at 20:38

Спасибо, отличная статья на конкретном реальном примере.

Но почему /etc/firewall.nft, это Astra - related? Ибо стандартно правила хранятся в /etc/nftables.conf

Еще к сожалению docker до сих пор не дружит с nftables, а даже если бы и дружил - flush ruleset выносила бы его правила и ломала работу.

AstraLinux_Group Nov 20 2024 at 09:40

Но почему /etc/firewall.nft, это Astra — related? Ибо стандартно правила хранятся в /etc/nftables.conf.

Здравствуйте! Благодарим за комментарий.
Имя firewall.nft было выбрано случайно. Согласны, более правильно было использовать /etc/nftables.conf и просто включить сервис sudo systemctl enable nftables.service.

Еще к сожалению docker до сих пор не дружит с nftables, а даже если бы и дружил - flush ruleset выносила бы его правила и ломала работу.

Все верно. Однако есть практика, когда docker полностью отключают от редактирования файервола, чтобы делать это вручную. Это как две хозяйки на одной кухне, только поссорятся)

Semen55338 Nov 19 2024 at 02:16

Нельзя мигрировать с Netfilter к nftables потому что nftables является компонентом фреймворка Netfilter наравне с устаревшим iptables

AstraLinux_Group Nov 20 2024 at 09:41

Здравствуйте! От того, что Nftables частично использует Netfilter, от этого он не перестанет быть фреймворком. Соответственно, статья о том, как переписать правила с одного фреймворка на другой, т.е. по сути выполнить миграцию.