guеst Posted July 17, 2019 (edited) · Report post Уважаемые! в свете того, что в последних новых релизах и RedHat 8, и Debian 10 в качестве основного framework пакетного фильтра теперь не старый добрый :) iptables, а "новый" - nftables.... то поделитесь кто что как планирует жить дальше мигрировать на новый или оставаться на iptables? Может кто уже перешёл, поделитесь впечатлениями. В принципе обратная поддержка (iptables-legacy) она остаётся, но с трансляцией уже в модули nftables, что немного медленнее конечно же... + есть iptables-translate для конвертации старого синтаксиса в nftables Edited July 17, 2019 by guеst Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted July 17, 2019 · Report post Хороший вопрос в 2019 году. Во-первых, пакетным фильтром работает все тот же Netfilter, изменился лишь пакетный классификатор. Во-вторых, больше работы теперь делается в userspace, так что ценители микросекунд будут разочарованы независимо от того, перейдут или не перейдут. Так что вопрос "переходить/не переходить" - не вопрос. А ветераны FreeBDSM вообще счастливы, т.к. синтаксис теперь с ipfw прям как разлученные в детстве индийские братья. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted July 17, 2019 · Report post Так CentOS 8 же ещё не вышел.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
guеst Posted July 17, 2019 · Report post согласен, что немного спешу, но судя по сообщениям вроде прям вот вот... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted July 17, 2019 · Report post 3 минуты назад, guеst сказал: согласен, что немного спешу, но судя по сообщениям вроде прям вот вот... Это вряд ли: https://wiki.centos.org/About/Building_8 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
guеst Posted July 17, 2019 · Report post ладно, к чёрту CentOS убираю. Давайте по теме... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rm_ Posted July 17, 2019 · Report post 1 hour ago, guеst said: В принципе обратная поддержка (iptables-legacy) она остаётся, но с трансляцией уже в модули nftables, что немного медленнее конечно же... Нет, по крайней мере в Debian, с трансляцией -- это iptables-nft. А если перенастроить чтобы использовался iptables-legacy, тогда всё останется полностью как раньше. Что я и сделал у себя везде. Новый вариант применял мой скрипт файрволла 12 секунд, тогда как старый справляется за 3 секунды. Производительность собственно самой фильтрации не сравнивал. Но все результаты которые смог найти, указывают, что nftables тормозное. Выигрывает только там, где для iptables подсовывают заведомо дурацкий вариант (например фильтр набора IP-адресов без использования ipset, отдельными правилами). https://developers.redhat.com/blog/2017/04/11/benchmarking-nftables/ http://www.diva-portal.org/smash/get/diva2:1212650/FULLTEXT01.pdf Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vop Posted July 17, 2019 · Report post Пугаете тоже... :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
h3ll1 Posted July 17, 2019 · Report post 13 hours ago, rm_ said: А если перенастроить чтобы использовался iptables-legacy А если в очереди ipset? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rm_ Posted July 17, 2019 · Report post 39 minutes ago, h3ll1 said: А если в очереди ipset? В каком смысле? То что и его тоже уберут? По-моему не должны. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
guеst Posted July 18, 2019 (edited) · Report post 3 часа назад, rm_ сказал: В каком смысле? То что и его тоже уберут? По-моему не должны. https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_ipset_to_nftables вроде как да, но при этом пишут, что в большинстве случаев стоит оценить собственные функции nftables, где можно найти прямую эквивалентность функций ipset... :( могут.... Edited July 18, 2019 by guеst Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nickD Posted July 24, 2019 · Report post так вроде развитие iptables ни кто не приостанавливал. А его замена это частная инициатива некоторых дистрибутивов. Или я ошибаюсь? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
h3ll1 Posted July 24, 2019 · Report post Может, что некотоие из нас перешили скрипти на ipset? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...