Jump to content
Калькуляторы

Решил попробовать nft. Хотелось бы узнать впечатления тех ко уже тестил.

Больше всего интересует производительность на большом количестве линейных правил и совместимость с текущими iptables actions.

Share this post


Link to post
Share on other sites

На правах саморекламы: вот здесь есть ядрышко для CentOS 6.5 с бэкпортом nftables, если хочется потестировать, не ломая существующую систему. На страх и риск, конечно.

 

По ощущениям: красиво. Компиляция любых правил в юзерспейсе, универсальный фильтр в ядре. Пока еще хреново допилена совместимость с xt модулями, не очень все хорошо с собственной модульностью, синтаксис ужасен, ну и всё такое прочее. Сырое оно, короче. Слишком сырое.

 

При приличном объеме цепочек работает шустрее iptables. Однако от необходимости оптимизировать сами цепочки не избавляет. Встроенное подобие ipset умеет не всё, что умеет сам ipset. Но в целом будущее есть.

Share this post


Link to post
Share on other sites

Насчет замены ipset (maps) смотрел - очень порадовало , но мне непонятно могу ли я например там в качестве verdict делать не тупо accept/reject/drop а например MARK или CLASSIFY (ну или аналоги для nftables если невозможно использовать iptables actions).

Ну и использование iptables actions (хотя если можно параллельно nft,ipt использовать - тоже вариант , по крайней мере можно будет заюзать недостающую функциональность , хоть это и костыль) вообще возможно ли..

Еще смущает отсутствие документации , кроме как у них на wiki и 1 обзорной статьи. Непонятно как устроен код (bpf-like) загружаемый в ядро и.т.д. Пока разбираюсь по исходникам , но долгое это дело.. :(

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.