nftables часть 2 - Состояние пакетов invalid, established, related и untracked, плюс vmap.

Подписаться 884

50% 1

Плей лист на Дзен
dzen.ru/suite/d3c2df91-bf2e-4...
Плей лист на RUTUBE
rutube.ru/plst/378987
Ссылка на GitLab
gitlab.com/edmitry2010/doc-nf...
Поддержать меня, можно так.
ЮMoney
41001119620873
Карта МИР от ЮMoney
2204 1201 0691 1031
или по ссылке
yoomoney.ru/fundraise/axOKBAP...
Облачные решения
REG.RU скидка 5%, промокод: 151A-6618-E8AD-DF14
Домены: www.reg.ru/domain/new/?rlink=...
Сайты: www.reg.ru/web-sites/?rlink=r...
VPS/VDS: www.reg.ru/vps/cloud/?rlink=r...
Серверы и ДЦ: www.reg.ru/dedicated/?rlink=r...
SSL сертификаты: www.reg.ru/ssl-certificate/?r...
BTC - Bitcoin
bc1qr9fvkfhzagluj0pa77p4lvx74kh44vadprrylp
ETH - Ethereum
0xb7a9236641936aaf1EcCcd7ca06BB902AAD69B13
USDT - ETH Network
0xb7a9236641936aaf1EcCcd7ca06BB902AAD69B13
USDT - BSC Network (BIP20)
0xb7a9236641936aaf1EcCcd7ca06BB902AAD69B13
XRP
rKwqZcbD14S443mDi2GUceaWnhKZLNx37B
BNB - BSC Network
0xb7a9236641936aaf1EcCcd7ca06BB902AAD69B13
Cardano - ADA Network
addr1q8xja4pqxfnaluveezlay9zdcpz6sjuwg2ydj3xxgqts4txd9m2zqvn8mlcenj9l6g2ymsz94p9cus5gm9zvvsqhp2kq5uq469
DOT - Polkadot
163uWDSwX8qgZ322KC9f7tE6rakPvcqof5xGf1MtKVj3tThw
XLM - Stellar
GD622ECD6FNCMYW3OY3HVWSVEUGXEHXZRYGHRKHTFPFFZQK557I2UKDP
LTC - Litecoin
LbwNGke9Lk7Jwsem5aHx2r6pE6R3GX7bL1

Опубликовано:

3 мар 2024

Ссылка:

Скачать:

Готовим ссылку...

Добавить в:

Мой плейлист

Посмотреть позже

Комментарии : 12

@cobaltdust22 3 месяца назад

С точки зрения экономии ресурсов, стоит дропать INVALID сразу после conntrack, в хуке prerouting, чтобы не тащить эти пакеты через роутинг в input.

@LinuxbyDmitry 3 месяца назад

Согласен, просто так удобнее, одним правилом).

@haruops 3 месяца назад

Дмитрий, в профессиональных целях корректно использовать команды утилиты nft или возможно напрямую редактировать файл /etc/nftables.conf?

@LinuxbyDmitry 3 месяца назад

Если где нибудь в компании, где крутятся прод. серверы, то лучше утилита nft, тут скорее зависит от ситуации. А если это домашний сервере или личная VDS, то можно редактировать файл /etc/nftables.conf По утилите nft, я позже собираюсь сделать видео, это важно. Я начал показывать nftables в файле, по причине того, что так проще понять что к чему, потом можно уже переходить к утилите nft).

@cobaltdust22 3 месяца назад

Файлом удобнее и безопаснее. Обновления набора в nft атомарные, т.е. либо все применятся, либо ничего. Поэтому файл со стартовым flush не сломает рабочий конфиг при ошибках.

@LinuxbyDmitry 3 месяца назад

@@cobaltdust22 В большинстве случаев да, но бывают редкие исключения, когда требуется сохранить счётчики например или если при ошибке в конфиге, могут возникнуть временные задержки и это не допустимо в прод средах.

@cobaltdust22 3 месяца назад

@@LinuxbyDmitry Про счетчики - да, а про ошибки в конфиге - как раз атомарность загрузки спасет. Загрузка набора правил в nft - транзакция, и сначала все валидируется на корректность.

@LinuxbyDmitry 3 месяца назад

@@cobaltdust22 Ещё бывают большие списки адресов например, я про 10000 и более. Эти списки могут подгружаться несколько секунд, тут скорее от железа зависит. Пока готовятся/подгружаются такие списки, трафик ни как не контролируется и например SIP в это время может не работать. Потом клиенты будут жаловаться на обрывы связи).