alex_001 Posted March 12, 2014 · Report post Решил попробовать nft. Хотелось бы узнать впечатления тех ко уже тестил. Больше всего интересует производительность на большом количестве линейных правил и совместимость с текущими iptables actions. Share this post Link to post Share on other sites
Alex/AT Posted March 17, 2014 · Report post На правах саморекламы: вот здесь есть ядрышко для CentOS 6.5 с бэкпортом nftables, если хочется потестировать, не ломая существующую систему. На страх и риск, конечно. По ощущениям: красиво. Компиляция любых правил в юзерспейсе, универсальный фильтр в ядре. Пока еще хреново допилена совместимость с xt модулями, не очень все хорошо с собственной модульностью, синтаксис ужасен, ну и всё такое прочее. Сырое оно, короче. Слишком сырое. При приличном объеме цепочек работает шустрее iptables. Однако от необходимости оптимизировать сами цепочки не избавляет. Встроенное подобие ipset умеет не всё, что умеет сам ipset. Но в целом будущее есть. Share this post Link to post Share on other sites
alex_001 Posted March 17, 2014 · Report post Насчет замены ipset (maps) смотрел - очень порадовало , но мне непонятно могу ли я например там в качестве verdict делать не тупо accept/reject/drop а например MARK или CLASSIFY (ну или аналоги для nftables если невозможно использовать iptables actions). Ну и использование iptables actions (хотя если можно параллельно nft,ipt использовать - тоже вариант , по крайней мере можно будет заюзать недостающую функциональность , хоть это и костыль) вообще возможно ли.. Еще смущает отсутствие документации , кроме как у них на wiki и 1 обзорной статьи. Непонятно как устроен код (bpf-like) загружаемый в ядро и.т.д. Пока разбираюсь по исходникам , но долгое это дело.. :( Share this post Link to post Share on other sites
