Pull to refresh

Comments 4

Спасибо, отличная статья на конкретном реальном примере.

Но почему /etc/firewall.nft, это Astra - related? Ибо стандартно правила хранятся в /etc/nftables.conf

Еще к сожалению docker до сих пор не дружит с nftables, а даже если бы и дружил - flush ruleset выносила бы его правила и ломала работу.

Но почему /etc/firewall.nft, это Astra — related? Ибо стандартно правила хранятся в /etc/nftables.conf.

Здравствуйте! Благодарим за комментарий.
Имя firewall.nft было выбрано случайно. Согласны, более правильно было использовать /etc/nftables.conf и просто включить сервис sudo systemctl enable nftables.service.

Еще к сожалению docker до сих пор не дружит с nftables, а даже если бы и дружил - flush ruleset выносила бы его правила и ломала работу.

Все верно. Однако есть практика, когда docker полностью отключают от редактирования файервола, чтобы делать это вручную. Это как две хозяйки на одной кухне, только поссорятся)

Нельзя мигрировать с Netfilter к nftables потому что nftables является компонентом фреймворка Netfilter наравне с устаревшим iptables

Здравствуйте! От того, что Nftables частично использует Netfilter, от этого он не перестанет быть фреймворком. Соответственно, статья о том, как переписать правила с одного фреймворка на другой, т.е. по сути выполнить миграцию.

Sign up to leave a comment.