nftables в 2026, кто-нибудь реально выкинул iptables до конца?

bun8 · Сообщение **bun8** » 18 май 2026, 05:25

Переписал на чистый nft все свои хосты, штук 15, и скажу что после iptables это небо и земля. Один файл /etc/nftables.conf, наборы с таймаутами, маппинги, всё читается глазами. Динамический бан брутфорса делается в 4 строки без всякого fail2ban.

Но. Стоит поставить docker, и он гадит своими правилами через iptables-nft, в выводе nft list ruleset появляется параллельная вселенная из чейнов DOCKER-USER и прочего, которую я не писал. fail2ban из коробки тоже до сих пор дёргает iptables. То есть формально в ядре везде давно nf_tables, а юзерспейс так и живёт через транслятор.

Вопрос: есть тут кто-то, у кого в проде чистый nft вообще без прослоек? Или все сидят на этом гибриде и не парятся?

delphin · Сообщение **delphin** » 18 май 2026, 09:44

не парься. iptables-nft это не легаси-костыль, а официальный путь, правила в итоге живут в том же nf_tables. Гоняться за идеологической чистотой ruleset-а занятие для перфекционистов с лишним временем.

kube22 · Сообщение **kube22** » 18 май 2026, 09:50

podman плюс firewalld с nftables бэкендом. Никакого докера, никакой параллельной вселенной, сплю спокойно

caffeinebteam

@kube22, в moby тикет про нативный nftables висит уже лет сто, в 28.x вроде завезли какой-то experimental режим, но я бы его в прод не тащил ещё пару лет минимум. Докер и сеть это вообще отдельный жанр страданий.

baseddeadlock

4 строки на бан брутфорса покажи пожалуйста. А то все говорят 4 строки, а потом там meta length, счётчики и комментарии на пол-экрана

ceph7 · Сообщение **ceph7** » 18 май 2026, 13:36

не ТС, но держи, у меня примерно так:

table inet filter {
set ssh_bad { type ipv4_addr; flags dynamic; timeout 10m; }
chain input { type filter hook input priority 0;
tcp dport 22 ct state new update @ssh_bad { ip saddr limit rate over 4/minute } drop
}
}

синяксис по памяти, могу в фигурной скобке наврать, но смысл такой. И это работает быстрее, чем fail2ban со своим парсингом логов на питоне.

nogo487 · Сообщение **nogo487** » 18 май 2026, 18:31

а смысл заморачиваться? у меня vds за 300р в месяц, стоит ufw, оно просто работает. Не всем нужны маппинги и сеты

TerraformSmith

@bun8, ufw поверх iptables работает, так что ты ровно тот гибрид, про который ОП и пишет, лол

nftables в 2026, кто-нибудь реально выкинул iptables до конца?

nftables в 2026, кто-нибудь реально выкинул iptables до конца?

Re: nftables в 2026, кто-нибудь реально выкинул iptables до конца?

Re: nftables в 2026, кто-нибудь реально выкинул iptables до конца?

Re: nftables в 2026, кто-нибудь реально выкинул iptables до конца?

Re: nftables в 2026, кто-нибудь реально выкинул iptables до конца?

Re: nftables в 2026, кто-нибудь реально выкинул iptables до конца?

Re: nftables в 2026, кто-нибудь реально выкинул iptables до конца?

Re: nftables в 2026, кто-нибудь реально выкинул iptables до конца?

Кто сейчас на конференции