Jump to content
Калькуляторы

Уважаемые!

в свете того, что в последних новых релизах и RedHat 8, и  Debian 10 

в качестве основного framework пакетного фильтра теперь не старый добрый :) iptables, а "новый" - nftables....

то поделитесь кто что как планирует жить дальше мигрировать на новый или оставаться на iptables? Может кто уже перешёл, поделитесь впечатлениями.

 

В принципе обратная поддержка (iptables-legacy) она остаётся, но с трансляцией уже в модули nftables, что немного медленнее конечно же...

+ есть iptables-translate для конвертации старого синтаксиса в nftables

Edited by guеst

Share this post


Link to post
Share on other sites

Хороший вопрос в 2019 году. Во-первых, пакетным фильтром работает все тот же Netfilter, изменился лишь пакетный классификатор. Во-вторых, больше работы теперь делается в userspace, так что ценители микросекунд будут разочарованы независимо от того, перейдут или не перейдут. Так что вопрос "переходить/не переходить" - не вопрос. А ветераны FreeBDSM вообще счастливы, т.к. синтаксис теперь с ipfw прям как разлученные в детстве индийские братья.

Share this post


Link to post
Share on other sites

3 минуты назад, guеst сказал:

согласен, что немного спешу, но судя по сообщениям вроде прям вот вот...

Это вряд ли:

https://wiki.centos.org/About/Building_8

Share this post


Link to post
Share on other sites

1 hour ago, guеst said:

В принципе обратная поддержка (iptables-legacy) она остаётся, но с трансляцией уже в модули nftables, что немного медленнее конечно же...

Нет, по крайней мере в Debian, с трансляцией -- это iptables-nft. А если перенастроить чтобы использовался iptables-legacy, тогда всё останется полностью как раньше.

Что я и сделал у себя везде. Новый вариант применял мой скрипт файрволла 12 секунд, тогда как старый справляется за 3 секунды. Производительность собственно самой фильтрации не сравнивал. Но все результаты которые смог найти, указывают, что nftables тормозное. Выигрывает только там, где для iptables подсовывают заведомо дурацкий вариант (например фильтр набора IP-адресов без использования ipset, отдельными правилами).

https://developers.redhat.com/blog/2017/04/11/benchmarking-nftables/

http://www.diva-portal.org/smash/get/diva2:1212650/FULLTEXT01.pdf

2019-07-17T082314Z-nft.thumb.png.8351b1e889bf9ed2641a18bdf2b5c66f.png

Share this post


Link to post
Share on other sites

39 minutes ago, h3ll1 said:

А если в очереди ipset?

В каком смысле? То что и его тоже уберут? По-моему не должны.

Share this post


Link to post
Share on other sites

3 часа назад, rm_ сказал:

В каком смысле? То что и его тоже уберут? По-моему не должны.

https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_ipset_to_nftables

вроде как да, но при этом пишут, что в большинстве случаев стоит оценить собственные функции nftables, где можно найти прямую эквивалентность функций ipset... 

:( могут....

Edited by guеst

Share this post


Link to post
Share on other sites

так вроде развитие iptables ни кто не приостанавливал.

А его замена это частная инициатива некоторых дистрибутивов.

Или я ошибаюсь?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.