Conversation

Notices

1. Embed this notice
   albi insincerely yours (albi@f.cz)'s status on Monday, 19-May-2025 19:06:03 JST albi insincerely yours

   konec #IPTables je v dohlednu, částecně už i na dosah
   za poslední rok jsem investoval čas a z předchozích #UFW a mrtvého #Shorewall přeskočil #FirewallD rovnou do nahatých #NFTables

   - UFW využívá na pozadí iptables automaticky překládané do nftables, což je paskvil, který může vyhovovat závislákům na prehistorických iptables souborech "na které se nešahá", ale progresivnějšímu uživateli dost svazuje ruce
   - navíc je nutné mít namemorovanou jejich speciální syntaxi a hlavně skladbu argumentů, takže většinou zadám validní příkaz na asi 4. pokus

   - FirewallD si samozřejmě taky vymyslel vlastní příkazovou syntaxi, ale zároveň zapleveluje nftables nepoužívanými chainy, přijít k cizímu stroji a udělat nějakou drobnou úpravu v pravidlech je skoro na nobelovku

   - NFtables jsou za mě nejpřehlednější a nejspolehlivější (největší kontrola), navíc umožňujou mít totální kontrolu nad firewallem a poslat k šípku snahy Dockeru o nadvládu
   - navíc jsou velmi jednoduché a snadno pochopitelné

   • Embed this notice
     Chao-c' (xchaos@f.cz)'s status on Monday, 19-May-2025 20:28:03 JST Chao-c'

     in reply to

     @albi tohle je zajímavé téma, já používám xtables na velmi vytíženém stroji (centrální brána) a jsem pod tlakem přejít na nftables, takže každou zkušenost uvítám.

     V zásadě máme dva hlavní firewally: komplexní 1:1 NAT (a 1:n SNAT) a klasifikace packetů pro traffic shaping (tc qdisc htb). Počítadla dat bych rád zachoval, naopak limitování počtu packetů za sekundu jsem v iptables používat přestal.

     A pak nás zajímá hashlimit - ochrana před DDoSy...

   • Embed this notice
     albi insincerely yours (albi@f.cz)'s status on Monday, 19-May-2025 22:39:14 JST albi insincerely yours

     in reply to

     • Chao-c'

     @xChaos hashlimit jsem zatim neresil, ale NATy a traffic shaping jsou imho i o trochu transparentnejsi, nez v iptables
     proc jsi prestal pouzivat limitovani poctu packetu?

   • Embed this notice
     albi insincerely yours (albi@f.cz)'s status on Monday, 19-May-2025 22:41:49 JST albi insincerely yours

     in reply to

     • Jiří Pavlík :gentoo:

     @jfpavlik hele ja je vpodstate vubec nepouzivam stavove, jenom na nejake jednoduche pokusy, ale jinak je to
     > nft -f /etc/nftables.conf

   • Embed this notice
     Jiří Pavlík :gentoo: (jfpavlik@c.im)'s status on Monday, 19-May-2025 22:41:50 JST Jiří Pavlík :gentoo:

     in reply to

     @albi Taky jsem zaznamenal tlak na opuštění IPtables. Trochu se toho bojím. Používám nahaté IPtables, mám na ně skript pro základní výchozí funkční konfiguraci. U NFtables podpobný manuál zatím nenašel.