Перейти к содержимому
Калькуляторы

nftables

Уважаемые!

в свете того, что в последних новых релизах и RedHat 8, и  Debian 10 

в качестве основного framework пакетного фильтра теперь не старый добрый :) iptables, а "новый" - nftables....

то поделитесь кто что как планирует жить дальше мигрировать на новый или оставаться на iptables? Может кто уже перешёл, поделитесь впечатлениями.

 

В принципе обратная поддержка (iptables-legacy) она остаётся, но с трансляцией уже в модули nftables, что немного медленнее конечно же...

+ есть iptables-translate для конвертации старого синтаксиса в nftables

Изменено пользователем guеst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хороший вопрос в 2019 году. Во-первых, пакетным фильтром работает все тот же Netfilter, изменился лишь пакетный классификатор. Во-вторых, больше работы теперь делается в userspace, так что ценители микросекунд будут разочарованы независимо от того, перейдут или не перейдут. Так что вопрос "переходить/не переходить" - не вопрос. А ветераны FreeBDSM вообще счастливы, т.к. синтаксис теперь с ipfw прям как разлученные в детстве индийские братья.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

согласен, что немного спешу, но судя по сообщениям вроде прям вот вот...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, guеst сказал:

согласен, что немного спешу, но судя по сообщениям вроде прям вот вот...

Это вряд ли:

https://wiki.centos.org/About/Building_8

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 hour ago, guеst said:

В принципе обратная поддержка (iptables-legacy) она остаётся, но с трансляцией уже в модули nftables, что немного медленнее конечно же...

Нет, по крайней мере в Debian, с трансляцией -- это iptables-nft. А если перенастроить чтобы использовался iptables-legacy, тогда всё останется полностью как раньше.

Что я и сделал у себя везде. Новый вариант применял мой скрипт файрволла 12 секунд, тогда как старый справляется за 3 секунды. Производительность собственно самой фильтрации не сравнивал. Но все результаты которые смог найти, указывают, что nftables тормозное. Выигрывает только там, где для iptables подсовывают заведомо дурацкий вариант (например фильтр набора IP-адресов без использования ipset, отдельными правилами).

https://developers.redhat.com/blog/2017/04/11/benchmarking-nftables/

http://www.diva-portal.org/smash/get/diva2:1212650/FULLTEXT01.pdf

2019-07-17T082314Z-nft.thumb.png.8351b1e889bf9ed2641a18bdf2b5c66f.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 hours ago, rm_ said:

А если перенастроить чтобы использовался iptables-legacy

А если в очереди ipset?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

39 minutes ago, h3ll1 said:

А если в очереди ipset?

В каком смысле? То что и его тоже уберут? По-моему не должны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, rm_ сказал:

В каком смысле? То что и его тоже уберут? По-моему не должны.

https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_ipset_to_nftables

вроде как да, но при этом пишут, что в большинстве случаев стоит оценить собственные функции nftables, где можно найти прямую эквивалентность функций ipset... 

:( могут....

Изменено пользователем guеst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так вроде развитие iptables ни кто не приостанавливал.

А его замена это частная инициатива некоторых дистрибутивов.

Или я ошибаюсь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может, что некотоие из нас перешили скрипти на ipset?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.