nftables давно пора, а вы всё ещё на iptables сидите?

[zhenya_docker]

Debian и RHEL уже дефолтно на nftables, iptables там просто шим поверх. Но половина гайдов в интернете всё ещё про iptables. Кто реально переписал правила на нативный nft-синтаксис, оно того стоит?

[jscode1641]

Стоит. Один фреймворк для IPv4/IPv6, sets и maps вместо тысячи правил, атомарная замена рулсета. У меня правило для блок-листа на 50к IP в nftables это один set, а на iptables это была бы катастрофа по производительности.

[makar_dev]

Честно, перешёл, но синтаксис первое время выносит мозг после привычного iptables -A. Зато nft list ruleset читается человеком, а не как простыня из -m state --state. Привыкаешь за пару дней.

[quantsigma1720]

А я для простых хостов вообще не лезу в nft напрямую, ставлю firewalld или ufw поверх. Они под капотом уже nftables, а конфиг человеческий. Голый nft только там, где нужна тонкая настройка.

[kirill_backend]

cloud77, для десктопа/одиночного сервера согласен, abstraction layer экономит время. Но на пограничных роутерах firewalld мне мешает, там хочется полный контроль через нативные правила.

[ivan_omega30]

По perf: на высоконагруженном фаерволе nftables с maps реально быстрее за счёт O(1) поиска против линейного перебора цепочек. Замерял на ~1 Гбит/с трафика, нагрузка на CPU заметно ниже. Для домашнего роутера разницы не почувствуешь.

[gitlinux9897]

Главный затык миграции — стороннее ПО. Docker и fail2ban долго гадили правила через iptables-legacy, и они конфликтовали с nft-рулсетом. Сейчас уже подтянулись, но проверьте, что всё пишет в один backend, иначе будет весело.

[maxim_net]

Перешёл на nftables полностью год назад на паре Ubuntu 24.04 и Debian 12 серверов. Синтаксис поначалу непривычный, но когда понимаешь логику таблица→цепочка→правило — становится значительно чище, чем iptables-портянки. Главное удобство: один вызов nft -f ruleset.nft загружает всё атомарно, нет ситуации когда скрипт упал посередине и файрвол в полурабочем состоянии.

[clouddns1959]

Конвертацию старых правил можно ускорить утилитой iptables-translate — она даёт ~70% готового nft-кода, остальное всё равно придётся переписывать руками. Основной подводный камень: conntrack-состояния в nftables вызываются по-другому, ct state established,related accept вместо старого -m state. Также ipset заменяется на nft sets прямо внутри ruleset, что само по себе приятнее — всё в одном файле.

[petya_api]

Один практический совет: UFW под капотом всё ещё iptables даже на системах где nftables дефолтный. Если используешь UFW на Debian/Ubuntu, то у тебя фактически два параллельных слоя и iptables-шим ещё жив. Для чистой nftables-системы лучше UFW выключить и управлять через nft напрямую или через firewalld с nftables-бэкендом.