02.12.2016 12:52, Alexei Takaseev пишет:



Пытаясь перепилить шлюз с иптаблиц на сабж, упёрся в пару неясностей
в
таблице mangle:

1. Цепочка forward
TCPMSS     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp
flags:0x06/0x02 TCPMSS clamp to PMTU

2. Цепочка postrouting
TTL        all  --  0.0.0.0/0            0.0.0.0/0            TTL
match
TTL == 1 TTL set to 64

Может, кому-то уже удалось перевести это в правила nftables?
Целиком и полностью переехать на nft сейчас не реально. Что-то можно вынести в 
nft,
что-то пока оставить на iptables

Ну, с ТТЛ, вроде, получилось, а кламп TCPMSS нужен только на РРР-соединениях. У меня лишь одни подопечные до сих пор на АДСЛ остались, остальным не актуально.

А вот фейл2бан на нфтаблицах работает отлично - только жаль, что:
а) он у нас старый и акции с нфтаблицами пришлось добавлять руками;
б) прибит зависимостями наглухо к иптаблицам, и снести их можно только с 
--nodeps;
в) нфтаблицы тоже старые и не умеют burst.

--
Мимо крокодил.
WBR, rednex CIO.
Viber = +7(964)103-65-67
JID = <mailto:>
Skype = $local_part@<mailto:>

Опциии rsync -aHAX --delete мозг автоматом переводит как "удалить к чёртовой 
матери!"

_______________________________________________
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Ответить