overmind88,
$ ( iptables-save && ip6tables-save ) | wc -l
228

mva, бойся 228!

overmind88, положить под git?

Sectoid, или сделать роутер с pf?

overmind88, и будет правило одно, но километровое

overmind88, pf это тебе к некрофи^Wбздунам

mva, зато на человеческом языке

Sectoid, более того, прямо к опёнкам

ещё можно собрать свежее ядро с nftables

overmind88, можно. но не факт что там будет меньше правил

Sectoid, да и не надо меньше, надо понятнее. Больше всего меня убивает проброс портов в iptables.

Sectoid, iptables'овая-то морда всё равно осталась, так что пофиг сколько там внутри правил будет, iptables-то будет столько же хранить :)

mva, чот я думал, что оно напрямую с netfilter работает

overmind88, а что не так?
iptables -A FORWARD -i net0 -o mva -p tcp --dport 655

overmind88, а что не так с пробромос портов в iptables? O_o

Ещё мне рекомендуют просто разгруппировать правила по цепочкам

пробросом

overmind88, ну, нетфильтр ему представляет понятный для него интерфейс, как был в старых ядрах. Но можно и дрочить nftables, если осилишь :)

mva, а PREROUTING?

overmind88, нат нинужен

mva, увы

firewalld

omsklug, а я было надеялся, что это шутка..

Нет. Зима близко.