История изменений
Исправление anc, (текущая версия) :
А от бага в netfilter как защищаетесь?
Встречный вопрос, если такое будет, как firewalld от этого защитит?
Установочные скрипты всех пакетов проверяете на отсутствие iptables -A && iptables-save?
А у меня нет пакетов которые рулят fw. Исключение libvirt на поддиванном для тестирования и то как писал выше эту часть послал нафиг.
И в данном случае вы «передергиваете» fwd рулит правилами, значит проверять все-таки надо, даже вы признали что он еще «не готов».
Он не мой. И вопрос этот адресовать нужно тем, кто кричит: «только %appname%, и никаких %otherapp%». Я пользуюсь и fwd, и ipt. По ситуации. nftables толком не пробовал ещё.
Я не корректно сформулировал. Мне действительно интересно с nftables он будет работать или такого даже в планах пока нет? Единственное ЗА изучение нового интерфейса может быть только в том что он будет унифицирован как для iptables так и для nftables.
Если посмотреть на историю, был ipfw потом ipchains потом iptables у них разные возможности и как следствие разный интерфейс в части написания правил. Переезд между ними, особенно ipchains - iptables, вызывало проблему в части изучения. Собственно у nftables сделали возможность загружать правила в формате iptables, что бы не было по началу жуткой попоболи.
Может ТС не хочет с вами бояться нового?
Теперь про fwd - если он ориентирован исключительно под «iptables» то смысла изучать/пилить что-то «новое» которое уже скоро станет «старым» абсолютно нет. Если бы это было лет 12 назад, тогда смысл еще мог быть. А так тратить время на изучение того же самого что работает годами, хорошо документировано, плюс куча готовых примеров в инете, да еще и стрематься за возможные баги... ну нафиг...
Новое (которое не приносит новых возможностей, а только как вы написали очередная абстракция, т.е. усложнение) не всегда есть хорошо: "...и что работает? Работает. Каждый день? Каждый день. И не глючит? Не глючит. Сынок, главное ничего не трогай."
ЗЫ
А то, что iptables -L сложнее выходит, так ipt в зоны по другому не умеет.
Увеличение кол-ва правил таки снижает производительность.
Исправление anc, :
А от бага в netfilter как защищаетесь?
Встречный вопрос, если такое будет, как firewalld от этого защитит?
Установочные скрипты всех пакетов проверяете на отсутствие iptables -A && iptables-save?
А у меня нет пакетов которые рулят fw. Исключение libvirt на поддиванном для тестирования и то как писал выше эту часть послал нафиг.
И в данном случае вы «передергиваете» fwd рулит правилами, значит проверять все-таки надо, даже вы признали что он еще «не готов».
Он не мой. И вопрос этот адресовать нужно тем, кто кричит: «только %appname%, и никаких %otherapp%». Я пользуюсь и fwd, и ipt. По ситуации. nftables толком не пробовал ещё.
Я не корректно сформулировал. Мне действительно интересно с nftables он будет работать или такого даже в планах пока нет? Единственное ЗА изучение нового интерфейса может быть только в том что он будет унифицирован как для iptables так и для nftables.
Если посмотреть на историю, был ipfw потом ipchains потом iptables у них разные возможности и как следствие разный интерфейс в части написания правил. Переезд между ними, особенно ipchains - iptables, вызывало проблему в части изучения. Собственно у nftables сделали возможность загружать правила в формате iptables, что бы не было по началу жуткой попоболи.
Может ТС не хочет с вами бояться нового?
Теперь про fwd - если он ориентирован исключительно под «iptables» то смысла изучать/пилить что-то «новое» которое уже скоро станет «старым» абсолютно нет. Если бы это было лет 12 назад, тогда смысл еще мог быть. А так тратить время на изучение того же самого что работает годами, хорошо документировано, плюс куча готовых примеров в инете, да еще и стрематься за возможные баги... ну нафиг...
Новое (которое не приносит новых возможностей, а только как вы написали очередная абстракция, т.е. усложнение) не всегда есть хорошо: "...и что работает? Работает. Каждый день? Каждый день. И не глючит? Не глючит. Сынок, главное ничего не трогай."
Исходная версия anc, :
А от бага в netfilter как защищаетесь?
Встречный вопрос, если такое будет, как firewalld от этого защитит?
Установочные скрипты всех пакетов проверяете на отсутствие iptables -A && iptables-save?
А у меня нет пакетов которые рулят fw. Исключение libvirt на поддиванном для тестирования и то как писал выше эту часть послал нафиг.
И в данном случае вы «передергиваете» fwd рулит правилами, значит проверять все-таки надо, даже вы признали что он еще «не готов».
Он не мой. И вопрос этот адресовать нужно тем, кто кричит: «только %appname%, и никаких %otherapp%». Я пользуюсь и fwd, и ipt. По ситуации. nftables толком не пробовал ещё.
Я не корректно сформулировал. Мне действительно интересно с nftables он будет работать или такого даже в планах пока нет? Единственное ЗА изучение нового интерфейса может быть только в том что он будет унифицирован как для iptables так и для nftables.
Если посмотреть на историю, был ipfw потом ipchains потом iptables у них разные возможности и как следствие разный интерфейс в части написания правил. Переезд между ними, особенно ipchains - iptables, вызывало проблему в части изучения. Собственно у nftables сделали возможность загружать правила в формате iptables, что бы не было по началу жуткой попоболи.
Может ТС не хочет с вами бояться нового?
Теперь про fwd - если он ориентирован исключительно под «iptables» то смысла изучать/пилить что-то «новое» которое уже скоро станет «старым» абсолютно нет. Если бы это было лет 12 назад, тогда смысл еще мог быть. А так тратить время на изучение того же самого что работает годами, хорошо документировано, плюс куча готовых примеров в инете, да еще и стрематься за возможные баги... ну нафиг...