|
|
|
@ -64,6 +64,8 @@ zapret может работать в другой таблице и не тро |
|
|
|
|
|
|
|
Возможность выбора приоритета хука позволяет легко решить проблему хаотической и принудительной дефрагментацией L3 ipv6, |
|
|
|
без танцев с загрузкой модулей ядра со специальными параметрами или перекомпиляцией nftables-nft. |
|
|
|
Это же позволяет перехватить трафик после SNAT/MASQUERADE, что на iptables невозможно. |
|
|
|
Атаки на проходящий трафик, ломающие NAT, крайне затруднены на iptables. |
|
|
|
|
|
|
|
Плюс N3 |
|
|
|
|
|
|
|
@ -87,6 +89,7 @@ zapret может работать в другой таблице и не тро |
|
|
|
|
|
|
|
Без больших листов все почти прекрасно. Но большие ip листы убивают все. Не для домашних это роутеров. |
|
|
|
А ipset-ы к nftables не прикрутить. |
|
|
|
Зато есть возможность задействовать более продвинутые атаки, конфликтующие с NAT, которые на iptables могут быть невозможны. |
|
|
|
Делать нечего. Openwrt отошел от iptables. С этим придется как-то жить. |
|
|
|
Поэтому пришлось сделать для openwrt поддержку и iptables, и nftables (только с версии openwrt 21.xx, в более старых будут проблемы). |
|
|
|
iptables можно задействовать на любой openwrt версии. |
|
|
|
|
bol-van
1 year ago