nftables czy iptables

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

Awatar użytkownika
ondreyos
Użytkownik
Posty: 331
Rejestracja: 2007-11-01, 17:31
Lokalizacja: Poznań

nftables czy iptables

Post autor: ondreyos »

Witam.

Po kilkuletniej przerwie zacząłem sobie odświeżać tematy związane z routingiem, nat, maskaradą i ogólnie tematyką sieciowo-linuksową. Jedną z ciekawszych rzeczy, które widzę, że się pojawiły jest taki wynalazek jak nftables. Z tego co wycztałem, to ma on zastąpić używane dotychczas iptables, przy czym całkowita zamiana będzie dopiero kiedyś-tam w przyszłości, obecnie oba rozwiązania są obsługiwane równolegle/równoprawnie.

Zastanawiam się (i proszę o Waszą poradę) czy na chwilę obecną jest sens wchodzić w "nowe". Serwer, nad którym pracuję ma być dość prostym routerem (działającym także jako serwer DHCP i DNS), posiadającym 2 WAN, dwa niezależne LAN oraz VPN/IPsec, obsługa jedynie IPv4 (wsparcie dla wersji 6 odgórnie wycięte w jądrze). Czy w moim przypadku odczuję jakąś różnicę między "nowymi" nftables a "starym" iptables? Są może one bardziej wydajne albo w inny (odczuwalny przy podanych wcześniej założeniach) sposób lepsze?

Pytam, ponieważ w wypadku iptables wystarczy lekkie przypomnienie zagadnienia - będzie to o wiele prostsze i szybsze, niż rozgryzanie czegoś od nowa (dysponuję ograniczonym czasem... właśnie do mnie dotarło, jak czas leci... ostatnio jak pisałem na forum byłem szczęśliwym i wolnym człowiekiem... a teraz mam 3 dzieciaków i co dobę 10 godzin za mało na zrobienie wszystkiego, co powinienem...).
Awatar użytkownika
webster
Użytkownik
Posty: 1269
Rejestracja: 2009-10-06, 11:58
Lokalizacja: Gdańsk
Kontakt:

Re: nftables czy iptables

Post autor: webster »

Sprawdziłem szybko u siebie na ofc Slackware, CentOS, Redhat, Debian, Ubuntu i nigdzie nie ma z systemem zainstalowanego domyślnie 'nftables'...

Innymi słowy, nie zawracałbym sobie tym głowy.
††† Chaos Of The Mirror - Valheru †††
††† I ♥ SlackWare RuLeZ †††

Slackware Poland FaceBook
Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: nftables czy iptables

Post autor: Pajaczek »

Jak wspomniał przedmówca, póki nie jest głośno o jakiś rewelacyjnych zmianach / czy fascynujących ficherach, to nie zawracał bym sobie głowy.
Btw. nie sprawdzałem osobiście, bo wolę sam panować nad iptables, ale tak mi się ostatnio obiło istnienie czegoś takiego jak ufw (frontend do iptables), jeżeli chodzi Ci po prostu o jak najprostszy interface to może jest to coś dla Ciebie.
Awatar użytkownika
ondreyos
Użytkownik
Posty: 331
Rejestracja: 2007-11-01, 17:31
Lokalizacja: Poznań

Re: nftables czy iptables

Post autor: ondreyos »

Webster - jak zwykle na posterunku :)
Dzięki za odpowiedź. W sumie to uważam podobnie do Ciebie, tylko wolałem się upewnić (po kilku latach przerwy wiele mogło się pozmieniać).

Pajączek - nie chodzi mi wcale o maksymalną prostotę, nie miałem nigdy kłopotów z obsługą iptables, wynalazkami w stylu HTB czy CBQ. Po prostu się zastanawiałem, na ile nftables jest obecnie "na topie" - czy już powinienem zapominać o iptables, czy (jak oba twierdzicie) na razie nie ma sensu się przejmować tą sprawą.
Poza tym to, co napisałeś (czyli jakieś "opakowanie" na iptables) może robić dokładnie to samo, co spotkałem przy PfSense (i od czego uciekam) - czyli robić jakieś rzeczy o których nie mam pojęcia "za plecami". A ja właśnie chcę mieć pełną kontrolę nad tym, co będzie się działo.
agresor
Użytkownik
Posty: 620
Rejestracja: 2005-07-03, 21:20

Post autor: agresor »

-
Ostatnio zmieniony 2020-05-29, 10:29 przez agresor, łącznie zmieniany 2 razy.
siefca
Użytkownik
Posty: 1
Rejestracja: 2019-06-21, 11:05

Re: nftables czy iptables

Post autor: siefca »

Cześć,

Napisałem jakiś czas temu artykuł o Nftables, a ostatnio go nieco przeredagowałem. Z tego co widzę, to w repo Netfiltera aktywnie wprowadzane są zmiany związane z nftables, więc projekt na pewno nie został zapomniany.

Nftables jest blisko iptables, tzn. oba te mechanizmy korzystają intensywnie z podsystemu Netfilter, który od lat jest obecny w kernelu. Różnica jest taka, że nftables jest bardziej wydajne, gdy mamy do czynienia z większą liczbą reguł. Ponieważ to są de facto programy realizowane przez VM, a nie sztywne struktury drzewiaste, więc jest po prostu mniej skoków wykonywanych (lookups), żeby sprawdzić, czy pakiet pasuje do jakiegoś łańcucha reguł. W nftables jest jakby na wstępie czysta karta, a dopiero korzystając z odpowiednich podpięć (ang. hooks) przepuszczamy pakiety lub ramki z odpowiednich punktów śledzenia Netfiltera do tabel z regułami nftables.

Więcej info w artykule:

https://randomseed.pl/pub/analizy/nftab ... l-linuksa/

Pozdrawiam,
Paweł
ODPOWIEDZ