From 8b38cccee215199719392101ce192dc2495a4559 Mon Sep 17 00:00:00 2001
From: bol-van <none@none.none>
Date: Sun, 3 Mar 2024 12:21:25 +0300
Subject: [PATCH] nftables.txt more info

---
 docs/nftables_notes.txt | 3 +++
 1 file changed, 3 insertions(+)

diff --git a/docs/nftables_notes.txt b/docs/nftables_notes.txt
index 4147e0c..4d08f2a 100644
--- a/docs/nftables_notes.txt
+++ b/docs/nftables_notes.txt
@@ -64,6 +64,8 @@ zapret может работать в другой таблице и не тро
 
 Возможность выбора приоритета хука позволяет легко решить проблему хаотической и принудительной дефрагментацией L3 ipv6,
 без танцев с загрузкой модулей ядра со специальными параметрами или перекомпиляцией nftables-nft.
+Это же позволяет перехватить трафик после SNAT/MASQUERADE, что на iptables невозможно.
+Атаки на проходящий трафик, ломающие NAT, крайне затруднены на iptables.
 
 Плюс N3
 
@@ -87,6 +89,7 @@ zapret может работать в другой таблице и не тро
 
 Без больших листов все почти прекрасно. Но большие ip листы убивают все. Не для домашних это роутеров.
 А ipset-ы к nftables не прикрутить.
+Зато есть возможность задействовать более продвинутые атаки, конфликтующие с NAT, которые на iptables могут быть невозможны.
 Делать нечего. Openwrt отошел от iptables. С этим придется как-то жить.
 Поэтому пришлось сделать для openwrt поддержку и iptables, и nftables (только с версии openwrt 21.xx, в более старых будут проблемы).
 iptables можно задействовать на любой openwrt версии.