|
|
|
@ -45,7 +45,7 @@ Swap позволяет немного сгладить проблему, но |
|
|
|
|
|
|
|
Боль N4 |
|
|
|
|
|
|
|
Все версии nft вплоть до как минимум 1.0.1 имеют баг, который не разрешает названия интерфейсов в кавычках в |
|
|
|
Все версии nft вплоть до 1.0.1 имеют баг, который не разрешает названия интерфейсов в кавычках в |
|
|
|
определении flowtable. Без кавычек нельзя вставить интерфейсы , имя которых начинается с цифры. |
|
|
|
OpenWRT решает эту проблему отдельным патчем в snapshot версии, но на традиционных системах и в openwrt 21.x- его нет. |
|
|
|
Почему бы не наплевать на интерфейсы, начинающиеся с цифры ? Потому что для openwrt 6to4-6to4, 6in4-he-net - обычное явление. |
|
|
|
@ -84,7 +84,9 @@ zapret может работать в другой таблице и не тро |
|
|
|
|
|
|
|
Плюс N5 |
|
|
|
|
|
|
|
Пишут, что nftables работают быстрее. |
|
|
|
Пишут, что nftables работают быстрее. Но это не точно и зависит от много чего. |
|
|
|
В целом - чем меньше правил, тем выше скорость. Но в nftables правил можно писать меньше, значит скрость тоже может быть выше. |
|
|
|
У разработчиков есть идея перевести backend nftables на BPF, а это наверняка будет существенно быстрее. |
|
|
|
|
|
|
|
|
|
|
|
Выводы |
|
|
|
@ -100,3 +102,7 @@ iptables можно задействовать на любой openwrt верс |
|
|
|
Если используется fw3, применяется старый механизм интеграции в fw3. |
|
|
|
Если он не используется, то правилами iptables управляем как в традиционных linux системах - то есть с возможностью |
|
|
|
запуска и остановки, а скрипт запуска вносит в том числе и правила iptables. |
|
|
|
|
|
|
|
Скрипты zapret используют фичи из nftables, появившиеся только в версии 0.9.4 утилиты nft. |
|
|
|
Ubuntu 20.04 содержит версию 0.9.3. Ничего не выйдет, придется собирать самому. |
|
|
|
Рекомендуется версия 1.0.2 и выше. |
|
|
|
|
bol-van
3 years ago