[alex_001]

Решил попробовать nft. Хотелось бы узнать впечатления тех ко уже тестил.

Больше всего интересует производительность на большом количестве линейных правил и совместимость с текущими iptables actions.

[Alex/AT]

На правах саморекламы: вот здесь есть ядрышко для CentOS 6.5 с бэкпортом nftables, если хочется потестировать, не ломая существующую систему. На страх и риск, конечно.

 

По ощущениям: красиво. Компиляция любых правил в юзерспейсе, универсальный фильтр в ядре. Пока еще хреново допилена совместимость с xt модулями, не очень все хорошо с собственной модульностью, синтаксис ужасен, ну и всё такое прочее. Сырое оно, короче. Слишком сырое.

 

При приличном объеме цепочек работает шустрее iptables. Однако от необходимости оптимизировать сами цепочки не избавляет. Встроенное подобие ipset умеет не всё, что умеет сам ipset. Но в целом будущее есть.

[alex_001]

Насчет замены ipset (maps) смотрел - очень порадовало , но мне непонятно могу ли я например там в качестве verdict делать не тупо accept/reject/drop а например MARK или CLASSIFY (ну или аналоги для nftables если невозможно использовать iptables actions).

Ну и использование iptables actions (хотя если можно параллельно nft,ipt использовать - тоже вариант , по крайней мере можно будет заюзать недостающую функциональность , хоть это и костыль) вообще возможно ли..

Еще смущает отсутствие документации , кроме как у них на wiki и 1 обзорной статьи. Непонятно как устроен код (bpf-like) загружаемый в ядро и.т.д. Пока разбираюсь по исходникам , но долгое это дело.. :(