нет

просто жопа, когда несколько программных модулей пытаются влезть в одну сущность. Тот же айписек, например, тоже корежит правила файрволла

скажем так - это особенность, которую приходится нейтрализоавть

Каким образом?

кстати, а когда iptables депрекейтнули? я как-то пропустил этот момент

Чуть больше года назад

я ж объясняю уже третий час это

🤦‍♂️🤦‍♂️🤦‍♂️

гугол говорит https://www.phoronix.com/scan.php?page=news_item&px=MTQ5MDU

слежу за вашей дисскусией, пью пиво. есть что сказать, но чот не тянет.

One issue with firewalld’s use of iptables and family is that firewalld assumes complete control of the hosts firewalling. With the nftables backend this is no longer true. Since nftables allows multiple namespaces (tables in nftables vernacular), firewalld will scope all of its rules, sets, and chains to the firewalldtable. This will avoid much of the contention with other pieces of software that don’t interact directly with firewalld.

Крч, свежие iptables работают по дефолту через nftables. save/restore трогают только определенный скоуп, а не вообще все.

ok

И эта хотелка реализуется даже без nft: достаточно весь трафик во внешний мир завернуть через отдельный network namespace и фигачить любимые правила там

Сделать отдельный vrf. Угу.

Угу.

Да. Огонь просто. Тоже цитата в голове засела =)

@SinTeZoiD распечатаю анонс этого выпуска, приду за автографом. Вообще хорошо получилось =)

а какой тайминг? просто я за подкаст столько навещал, что не всё помню)

где в районе 58-й минуты