Сосуществование nftables и iptables

0

3

Хочу тут наконец настроить прозначное перенаправление некоторых особенных IP адресов через локальную SOCKS прокси, заодно освоить netfilter на уровнь хорошего понимания, а не копипасты готовых решений.

Пишут, что iptables отныне legacy и лучше использовать nftables. Но, с другой стороны, от iptables в Arch зависят куча софта, даже systemd, не говоря о docker и подобных. Судя по выводу lsmod и различиям в дизайне они и в ядре разными модулями обрабатываются.

Вопрос, не будут ли мои правила nftables конфликтовать с динамически генерируемыми правилами от разного софта? Как вообще в ядре разруливается сосуществование двух фаерволов? Или ну его нафиг и писать правила iptables?

Ссылка

←	full text search engine для gziped файлов

database is not a Zabbix database wtf ?

→

Тем временем их оба закапывают в пользу bpf.

anonymous
(09.10.18 21:00:13 MSK)

там вроде iptables транслируется в nftables

отныне

лет 10

anonymous
(09.10.18 21:02:16 MSK)

Ссылка

На арче юзаю nftables, вроде проблем никаких нет.
Сервисы iptables-а в systemd выключены.

Sorcus ★
(09.10.18 21:15:09 MSK)

Ссылка

Ответ на: комментарий от anonymous 09.10.18 21:00:13 MSK

Тем временем их оба закапывают в пользу bpf.

Говорят не готово ещё:

2018-08-14 I do not think the userspace is ready yet http://vger.kernel.org/netconf2018_files/DanielBorkmann_netconf2018.pdf slides 17 and 18.

А вообще спасибо, покопался в теме, крайне интересная штука оказалась - буду следить. Помимо фаервола с офлоадингом правил на железо там ещё seccomp-bpf, cilium может покручу для homelab kubernetes кластера.

snizovtsev ★★★★★
(10.10.18 01:48:07 MSK) автор топика

Ссылка

Или ну его нафиг и писать правила iptables?

Писать правила nftables, по возможности.

xdimquax ★★★★
(10.10.18 05:59:44 MSK)

Ответ на: комментарий от xdimquax 10.10.18 05:59:44 MSK

bpf будет поддерживать синтаксис iptables, стоит ли nftables заморочек?

user_nobody
(10.10.18 07:54:22 MSK)

Ответ на: комментарий от user_nobody 10.10.18 07:54:22 MSK

нет, не стоит

anonymous
(10.10.18 08:12:26 MSK)

Ссылка

Если только начинаете изучать я бы взял nftables. Сам еще не осиливал и пока «сильно не припрет» не собираюсь ( прошел путь fwadm-ipchains-iptables)

динамически генерируемыми правилами от разного софта

Такой софт по большому счету надо ~~закапывать в детстве~~ чуть по другому настраивать. Вот навеяло соседней темой, тот же libvirt, да конечно можно там указать что-то типа nat и он вам насоздает правил, но ведь все тоже само можно сделать руками, и в этом случае fw у вас под контролем, а не под контролем неведомого софта создающего хз что и хз как, а потом обновиться и еще что-то другое сделает, что станет «приятным» сюрпризом. Давать рулить fw какому-то не было софту кроме нейронной сети считаю не самая лучшая идея.
Исключением пожалуй только file2ban, полезная утилита.

anc ★★★★★
(10.10.18 18:59:45 MSK)
Последнее исправление: anc 10.10.18 19:03:27 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	full text search engine для gziped файлов

Admin

database is not a Zabbix database wtf ?

→

Похожие темы