> унификация интерфейса iptables/nftablesлол. Теперь у вас есть ТРИ совершенно разных интерфейса и три нескучных синтаксиса конфигов.
Эта унификация имела бы хоть малейший смысл, если бы у вас в одной и той же системе сегодня стоял iptables, а завтра nft. А послезавтра еще что-то. Но есть один ньюанс - даже если бы вы на самом деле стали так делать - вероятно, ровно потому, что понадобилась фича, которой у альтернативной версии - нет.
> Это самое статистическое большинство (видимо из клиентов редхата), ему не хочется знать
> iptables, ему надо 80-й и 443-й порт открыть,
ему не надо - оно и о портах никаких ничего не знает. yum install apache2 прекрасно о них позаботился бы сам, без ненужных прослоек - и да, можно даже с автоугадавом какой файрвол тут стоит и стоит ли вообще.
> в iptables так нельзя by design.
в iptables так можно by design - так, к примеру, делает докер, оставляя место для ручных правил и добавляя свои к существующему файрволу. Но вы ведь не умеете iptables, да? Вот и дефективный редхатовец не умел, ему б попроще чо.
> А что есть что-то лучше для менеджмента фаервола из юзерспейса?
в десяточке, да, есть. windows advanced firewall. В частности - после местного аналога install apache - он бы открыл порты - _апача_, а не "80 и 443", на которых, вполне возможно, слушает кто-то совсем другой.
Но вот это для макак слишком сложная задача, это программировать надо уметь, а не нескучные оберточки ляпать вокруг изуродованных другими макаками остатков когда-то хорошего пакетного фильтра.
Проблема только еще и в том, что пакетные фильтры в XXI веке практически свое отслужили.