From a9c898f5a579d64fc2038cafc8fcccff28d9c8a7 Mon Sep 17 00:00:00 2001 From: bol-van Date: Wed, 23 Feb 2022 13:42:29 +0300 Subject: [PATCH] readme: nft 0.9.4 min required version note --- docs/nftables_notes.txt | 10 ++++++++-- docs/readme.txt | 3 +++ 2 files changed, 11 insertions(+), 2 deletions(-) diff --git a/docs/nftables_notes.txt b/docs/nftables_notes.txt index 98a41ed..54dc282 100644 --- a/docs/nftables_notes.txt +++ b/docs/nftables_notes.txt @@ -45,7 +45,7 @@ Swap позволяет немного сгладить проблему, но Боль N4 -Все версии nft вплоть до как минимум 1.0.1 имеют баг, который не разрешает названия интерфейсов в кавычках в +Все версии nft вплоть до 1.0.1 имеют баг, который не разрешает названия интерфейсов в кавычках в определении flowtable. Без кавычек нельзя вставить интерфейсы , имя которых начинается с цифры. OpenWRT решает эту проблему отдельным патчем в snapshot версии, но на традиционных системах и в openwrt 21.x- его нет. Почему бы не наплевать на интерфейсы, начинающиеся с цифры ? Потому что для openwrt 6to4-6to4, 6in4-he-net - обычное явление. @@ -84,7 +84,9 @@ zapret может работать в другой таблице и не тро Плюс N5 -Пишут, что nftables работают быстрее. +Пишут, что nftables работают быстрее. Но это не точно и зависит от много чего. +В целом - чем меньше правил, тем выше скорость. Но в nftables правил можно писать меньше, значит скрость тоже может быть выше. +У разработчиков есть идея перевести backend nftables на BPF, а это наверняка будет существенно быстрее. Выводы @@ -100,3 +102,7 @@ iptables можно задействовать на любой openwrt верс Если используется fw3, применяется старый механизм интеграции в fw3. Если он не используется, то правилами iptables управляем как в традиционных linux системах - то есть с возможностью запуска и остановки, а скрипт запуска вносит в том числе и правила iptables. + +Скрипты zapret используют фичи из nftables, появившиеся только в версии 0.9.4 утилиты nft. +Ubuntu 20.04 содержит версию 0.9.3. Ничего не выйдет, придется собирать самому. +Рекомендуется версия 1.0.2 и выше. diff --git a/docs/readme.txt b/docs/readme.txt index b6fc52d..2934349 100644 --- a/docs/readme.txt +++ b/docs/readme.txt @@ -156,6 +156,9 @@ NFQUEUE работает без изменений. Если коротко, то в nftables невозможно работать с большими ip листами на системах с малым количеством RAM. Остальные рассматриваемые здесь функции могут быть перенесены на nftables. +Скрипты zapret написаны с расчетом на nft 0.9.4 и выше. На более старых работать не будет. +Рекомендуется версия 1.0.2 или выше. + Когда это работать не будет ---------------------------