Pages : 1
#1 Le 23/02/2019, à 08:57
- grandtoubab
nftables: nouveau pare-feu
Salut
Maintenant que nftables va devenir la norme, j'ai migré de iptables à nftables:
https://bidouilledebian.wordpress.com/2 … -nftables/
nft list ruleset; date; who -b
table inet filter {
chain input {
type filter hook input priority 0; policy accept;
iif "lo" accept
ct state established,related accept
tcp dport { ssh, http, https, 8200 } ct state new accept
counter packets 6889 bytes 3006321 drop
}
}
samedi 23 février 2019, 09:07:38 (UTC+0100)
démarrage système 2019-02-23 07:05
En 2h, 6889 paquets rejetés et inutiles dans mon utilisation classique ( surf sur Internet, Molotov,etc) , ça me convient
Dernière modification par grandtoubab (Le 23/02/2019, à 09:23)
Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....
Hors ligne
#2 Le 23/02/2019, à 14:08
- bruno
Re : nftables: nouveau pare-feu
Salut,
nftables c'est intéressant et le truc a été ressuscité il y a quelques années mais je ne suis pas sûr que cela vaille le coût d'investir du temps dans son apprentissage. Les développeurs du noyau pourraient privilégier un autre système de filtrage des paquets : bpfilter. Voir aussi : https://cilium.io/blog/2018/04/17/why-i … -iptables/
Dernière modification par bruno (Le 23/02/2019, à 14:10)
#3 Le 23/02/2019, à 14:14
- grandtoubab
Re : nftables: nouveau pare-feu
Salut,
nftables c'est intéressant et le truc a été ressuscité il y a quelques années mais je ne suis pas sûr que cela vaille le coût d'investir du temps dans son apprentissage. Les développeurs du noyau pourraient privilégier un autre système de filtrage des paquets : bpfilter. Voir aussi : https://cilium.io/blog/2018/04/17/why-i … -iptables/
The end result is that we'll probably not see bpfilter in the mainline kernel in the immediate future.
NOTE: Debian Buster will use the nftables framework by default.
Debian 10 Buster sera la version stable d'ici 3/4 mois
Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....
Hors ligne
#4 Le 23/02/2019, à 14:29
- bruno
Re : nftables: nouveau pare-feu
Oui j'ai vu, mais nftables est très peu utilisé, et surtout nécessite une réécriture complète des règles de pare-feu. Les adminsys continueront, pour la plupart, à utiliser ipatbles qui sera toujours présent sur les différentes distributions.
nftables corrige pas mal de défaut de iptables et les distributions, Debian, RedHat, etc. ont raison de le proposer par défaut. Mais bpfilter me semble encore plus prometteur et est compatibles avec iptables.
Comme toujours avec les technologies, on peut expérimenter, mais il est urgent d'attendre avant de les déployer en production
#5 Le 23/02/2019, à 14:48
- grandtoubab
Re : nftables: nouveau pare-feu
J'utilise le firewall donc nftables d'une façon basique, règles par défaut de Debian , donc pas de problèmes pour repartir avec des règles toutes neuves dans mon cas.
Et parce que d'après tout ce que j'ai lu ça va plus vite donc gain de performances
Exemple
What’s Wrong With iptables?
iptables is slow.
One of the important changes is that nftables is optimized for speed
Mais c'est plus pour l'amusement qu'autres choses
Dernière modification par grandtoubab (Le 23/02/2019, à 14:54)
Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....
Hors ligne
Pages : 1