guеst Posted July 17, 2019 Posted July 17, 2019 (edited) Уважаемые! в свете того, что в последних новых релизах и RedHat 8, и Debian 10 в качестве основного framework пакетного фильтра теперь не старый добрый :) iptables, а "новый" - nftables.... то поделитесь кто что как планирует жить дальше мигрировать на новый или оставаться на iptables? Может кто уже перешёл, поделитесь впечатлениями. В принципе обратная поддержка (iptables-legacy) она остаётся, но с трансляцией уже в модули nftables, что немного медленнее конечно же... + есть iptables-translate для конвертации старого синтаксиса в nftables Edited July 17, 2019 by guеst Вставить ник Quote
jffulcrum Posted July 17, 2019 Posted July 17, 2019 Хороший вопрос в 2019 году. Во-первых, пакетным фильтром работает все тот же Netfilter, изменился лишь пакетный классификатор. Во-вторых, больше работы теперь делается в userspace, так что ценители микросекунд будут разочарованы независимо от того, перейдут или не перейдут. Так что вопрос "переходить/не переходить" - не вопрос. А ветераны FreeBDSM вообще счастливы, т.к. синтаксис теперь с ipfw прям как разлученные в детстве индийские братья. Вставить ник Quote
guеst Posted July 17, 2019 Author Posted July 17, 2019 согласен, что немного спешу, но судя по сообщениям вроде прям вот вот... Вставить ник Quote
NewUse Posted July 17, 2019 Posted July 17, 2019 3 минуты назад, guеst сказал: согласен, что немного спешу, но судя по сообщениям вроде прям вот вот... Это вряд ли: https://wiki.centos.org/About/Building_8 Вставить ник Quote
guеst Posted July 17, 2019 Author Posted July 17, 2019 ладно, к чёрту CentOS убираю. Давайте по теме... Вставить ник Quote
rm_ Posted July 17, 2019 Posted July 17, 2019 1 hour ago, guеst said: В принципе обратная поддержка (iptables-legacy) она остаётся, но с трансляцией уже в модули nftables, что немного медленнее конечно же... Нет, по крайней мере в Debian, с трансляцией -- это iptables-nft. А если перенастроить чтобы использовался iptables-legacy, тогда всё останется полностью как раньше. Что я и сделал у себя везде. Новый вариант применял мой скрипт файрволла 12 секунд, тогда как старый справляется за 3 секунды. Производительность собственно самой фильтрации не сравнивал. Но все результаты которые смог найти, указывают, что nftables тормозное. Выигрывает только там, где для iptables подсовывают заведомо дурацкий вариант (например фильтр набора IP-адресов без использования ipset, отдельными правилами). https://developers.redhat.com/blog/2017/04/11/benchmarking-nftables/ http://www.diva-portal.org/smash/get/diva2:1212650/FULLTEXT01.pdf Вставить ник Quote
h3ll1 Posted July 17, 2019 Posted July 17, 2019 13 hours ago, rm_ said: А если перенастроить чтобы использовался iptables-legacy А если в очереди ipset? Вставить ник Quote
rm_ Posted July 17, 2019 Posted July 17, 2019 39 minutes ago, h3ll1 said: А если в очереди ipset? В каком смысле? То что и его тоже уберут? По-моему не должны. Вставить ник Quote
guеst Posted July 18, 2019 Author Posted July 18, 2019 (edited) 3 часа назад, rm_ сказал: В каком смысле? То что и его тоже уберут? По-моему не должны. https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_ipset_to_nftables вроде как да, но при этом пишут, что в большинстве случаев стоит оценить собственные функции nftables, где можно найти прямую эквивалентность функций ipset... :( могут.... Edited July 18, 2019 by guеst Вставить ник Quote
nickD Posted July 24, 2019 Posted July 24, 2019 так вроде развитие iptables ни кто не приостанавливал. А его замена это частная инициатива некоторых дистрибутивов. Или я ошибаюсь? Вставить ник Quote
h3ll1 Posted July 24, 2019 Posted July 24, 2019 Может, что некотоие из нас перешили скрипти на ipset? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.