Jump to content
Калькуляторы

nftables

Решил попробовать nft. Хотелось бы узнать впечатления тех ко уже тестил.

Больше всего интересует производительность на большом количестве линейных правил и совместимость с текущими iptables actions.

Share this post


Link to post
Share on other sites

На правах саморекламы: вот здесь есть ядрышко для CentOS 6.5 с бэкпортом nftables, если хочется потестировать, не ломая существующую систему. На страх и риск, конечно.

 

По ощущениям: красиво. Компиляция любых правил в юзерспейсе, универсальный фильтр в ядре. Пока еще хреново допилена совместимость с xt модулями, не очень все хорошо с собственной модульностью, синтаксис ужасен, ну и всё такое прочее. Сырое оно, короче. Слишком сырое.

 

При приличном объеме цепочек работает шустрее iptables. Однако от необходимости оптимизировать сами цепочки не избавляет. Встроенное подобие ipset умеет не всё, что умеет сам ipset. Но в целом будущее есть.

Share this post


Link to post
Share on other sites

Насчет замены ipset (maps) смотрел - очень порадовало , но мне непонятно могу ли я например там в качестве verdict делать не тупо accept/reject/drop а например MARK или CLASSIFY (ну или аналоги для nftables если невозможно использовать iptables actions).

Ну и использование iptables actions (хотя если можно параллельно nft,ipt использовать - тоже вариант , по крайней мере можно будет заюзать недостающую функциональность , хоть это и костыль) вообще возможно ли..

Еще смущает отсутствие документации , кроме как у них на wiki и 1 обзорной статьи. Непонятно как устроен код (bpf-like) загружаемый в ядро и.т.д. Пока разбираюсь по исходникам , но долгое это дело.. :(

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this