forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Ubuntu 20.10 планируют перейти с iptables на nftables"
Отправлено Аноним, 30-Авг-20 00:39

Добавлю сравнения и ощущения от перехода от себя.
Документация nftables на момент перехода была нормальной, но толковых статей с рецептами не было вообще.
Я предпочитаю RHEL/CentOS, там уже давно всё переведено на nftables. Удивляет, что убунта, еще не...
И вот. В CentOS есть firewalld. Весьма и весьма спорный продукт, на самом деле, но он делает много работы за тебя для простых задач, поэтому он нужен.
Лично для меня, nftables оказался сильно-сильно лучше, потому что там можно навесить несколько параллельных действий на один и тот же пакет, а не как в iptables.
Когда построите сложный файрвол на nftables, возвращаться обратно на iptables не захочется никогда. nftables даёт возможность конфигурировать цепочки более тонко, имеет много синтаксического сахара типа maps.
Я там конфигурировал ipv4 и только, но так-то оно все xtables поддерживает, что упрощает и унифицирует. В общем, рекомендую всем.
И еще, когда пакет попадает в одну цепочку iptables, пакет оттуда не выкурить без исправления правил этой цепочки. Из-за наличия преднастроенных словарных цепочек в iptables легко можно создать конфликты. Например, когда источников правил несколько, то все должны быть подровнены под единую структуру цепочек с пониманием, что там куда переходит. Ведь когда приложение создаёт стороннее динамическое правило и не знает о кастомных цепочках iptables, результат будет непонятно какой. nftables - это в решение проблемы, потому что его цепочки не такие топорные.
Фронтенды типа firewalld создают правила в своих цепочках и если стороннее приложение создало другие правила, не подозревая наличие цепочек firewalld, то имеющиеся цепочки не сломаются. И дело даже не в firewalld, любой преднастроенный вариант от меинтенера вашего любимого дистра может сгенерировать набор правил, которые будут просто работать по-умолчанию. Получается, что в случае с nftables у вас не меняется набор правил созданных другим фронтендом, если вы только явно не полезли его менять руками. Это сильно повышает управляемость, несколько сложнее прострелить себе колено что ли... не знаю как это объяснить, если вы не видели nftables. Он сильно отличается от iptables причем в лучшую сторону. Попробуйте и поймёте.

Исходное сообщение
"В Ubuntu 20.10 планируют перейти с iptables на nftables" Отправлено Аноним, 30-Авг-20 00:39
Добавлю сравнения и ощущения от перехода от себя. Документация nftables на момент перехода была нормальной, но толковых статей с рецептами не было вообще. Я предпочитаю RHEL/CentOS, там уже давно всё переведено на nftables. Удивляет, что убунта, еще не... И вот. В CentOS есть firewalld. Весьма и весьма спорный продукт, на самом деле, но он делает много работы за тебя для простых задач, поэтому он нужен. Лично для меня, nftables оказался сильно-сильно лучше, потому что там можно навесить несколько параллельных действий на один и тот же пакет, а не как в iptables. Когда построите сложный файрвол на nftables, возвращаться обратно на iptables не захочется никогда. nftables даёт возможность конфигурировать цепочки более тонко, имеет много синтаксического сахара типа maps. Я там конфигурировал ipv4 и только, но так-то оно все xtables поддерживает, что упрощает и унифицирует. В общем, рекомендую всем. И еще, когда пакет попадает в одну цепочку iptables, пакет оттуда не выкурить без исправления правил этой цепочки. Из-за наличия преднастроенных словарных цепочек в iptables легко можно создать конфликты. Например, когда источников правил несколько, то все должны быть подровнены под единую структуру цепочек с пониманием, что там куда переходит. Ведь когда приложение создаёт стороннее динамическое правило и не знает о кастомных цепочках iptables, результат будет непонятно какой. nftables - это в решение проблемы, потому что его цепочки не такие топорные. Фронтенды типа firewalld создают правила в своих цепочках и если стороннее приложение создало другие правила, не подозревая наличие цепочек firewalld, то имеющиеся цепочки не сломаются. И дело даже не в firewalld, любой преднастроенный вариант от меинтенера вашего любимого дистра может сгенерировать набор правил, которые будут просто работать по-умолчанию. Получается, что в случае с nftables у вас не меняется набор правил созданных другим фронтендом, если вы только явно не полезли его менять руками. Это сильно повышает управляемость, несколько сложнее прострелить себе колено что ли... не знаю как это объяснить, если вы не видели nftables. Он сильно отличается от iptables причем в лучшую сторону. Попробуйте и поймёте.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Добавлю сравнения и ощущения от перехода от себя.

> Документация nftables на момент перехода была нормальной, но толковых статей с рецептами 
> не было вообще.
> Я предпочитаю RHEL/CentOS, там уже давно всё переведено на nftables. Удивляет, что 
> убунта, еще не...
> И вот. В CentOS есть firewalld. Весьма и весьма спорный продукт, на 
> самом деле, но он делает много работы за тебя для простых 
> задач, поэтому он нужен.

> Лично для меня, nftables оказался сильно-сильно лучше, потому что там можно навесить 
> несколько параллельных действий на один и тот же пакет, а не 
> как в iptables.
> Когда построите сложный файрвол на nftables, возвращаться обратно на iptables не захочется 
> никогда. nftables даёт возможность конфигурировать цепочки более тонко, имеет много синтаксического 
> сахара типа maps.

> Я там конфигурировал ipv4 и только, но так-то оно все xtables поддерживает, 
> что упрощает и унифицирует. В общем, рекомендую всем.

> И еще, когда пакет попадает в одну цепочку iptables, пакет оттуда не 
> выкурить без исправления правил этой цепочки. Из-за наличия преднастроенных словарных 
> цепочек в iptables легко можно создать конфликты. Например, когда источников правил 
> несколько, то все должны быть подровнены под единую структуру цепочек с 
> пониманием, что там куда переходит. Ведь когда приложение создаёт стороннее динамическое 
> правило и не знает о кастомных цепочках iptables, результат будет непонятно 
> какой. nftables - это в решение проблемы, потому что его цепочки 
> не такие топорные.

> Фронтенды типа firewalld создают правила в своих цепочках и если стороннее приложение 
> создало другие правила, не подозревая наличие цепочек firewalld, то имеющиеся цепочки 
> не сломаются. И дело даже не в firewalld, любой преднастроенный вариант 
> от меинтенера вашего любимого дистра может сгенерировать набор правил, которые будут 
> просто работать по-умолчанию. Получается, что в случае с nftables у вас 
> не меняется набор правил созданных другим фронтендом, если вы только явно 
> не полезли его менять руками. Это сильно повышает управляемость, несколько сложнее 
> прострелить себе колено что ли... не знаю как это объяснить, если 
> вы не видели nftables. Он сильно отличается от iptables причем в 
> лучшую сторону. Попробуйте и поймёте.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру