Vlákno názorů k článku Debian 9 Stretch je tu: firewall nftables a konec MySQL od klokan - Je Stretch první distro, co používá nftables?
-
Palo M. (neregistrovaný)
Stretch nie je "distro, co pouziva nftables", nftables je len jednym z vyse 50 tisic balikov.
Okrem toho:
- Pri instalacii Debianu sa tradicne neinstaluje ziaden firewall (a samozrejme ani ziaden NAT, co je druha vec, na ktoru sa nftables da pouzit). A odjakziva to bolo aj logicky zdovodnene (kazda sietova sluzba ma byt v prvom rade dobre nastavena a zabezpecena, firewall je len dalsia vrstva ochrany navyse, atd).
- Vo wiki "povzbudzuju" (encourage) uzivatelov, nech pouzivaju nftables. Osobne by som v preklade nepouzil vyraz "odporucaju" (to by v anglictine bolo recommend a to som nikde zatial nevidel).
- Nie kazdy pouziva priamo iptables. Velakrat sa pouziva dalsi tool ktory dalej abstrahuje (napriklad ufw) a neviem, ktory z nich uz nftables podporuje. A ufw, shorewall ci firehol stale zavisia na iptables. Ja pouzivam fwbuilder, ktory generuje iptables/ip6tables skript a ten tiez nftables zatial nepodporuje (nielen verzia v Debiane, ktora je tradicne pozadu, ale ani upstream). Takze pre vela ludi zatial nema vyznam "nasilu" nasadzovat nftables uz teraz. Oplati sa to len tym, ktorym iptables sposobuju vykonnostne problemy.Verim tomu, ze casom sa podpora nftables v inych nastrojoch objavi a postupne sa zacnu pouzivat viac, takze prebublanie z unstable/backports je urcite krok vpred. Ale zatial to na siroke nasadzovanie velmi nevidim.
-
Co se abstrakce týče, konfigurační jazyk nftables je oproti iptables mnohem komfortnější, snadno se kombinuje víc kritérií dohromady a třeba rate limiting ssh spojení per zdrojová IP adresa obnáší jeden řádek. Aspoň pro jednodušší instalace podle mě dává smysl se na výše uvedené nástroje vykašlat a napsat ta pravidla přímo pro nftables.
Na svém domácím desktoposerveru jsem to udělal a nová konfigurace je mnohem přehlednější, navíc v té hromadě chainů, co vypadla ze Shorewallu se zpětně moc vyznat nedalo.
-
j (neregistrovaný)
" Nie kazdy pouziva priamo iptables."
Ne, nepouziva, a pak to taky tak vypada, nejakej script mu vygeneruje hromadu pravidel o kterych netusi proc tam jsou, natoz aby tusil kde nechal tesar diru.Jinak k nft asi toliko, ze na hrani uz to funguje pomerne dobre. Ale i kdyz pominu vsemozny sileny scripty, tak spousta veci o tom nema paru, a tim padem si muze kdokoli nabit hubu s cimkoli. Rek bych ze je treba to jeste nechat peknych par patku ulezet, jako spravne plesnivej sejr.
Kazdopadne to ma potencial razantne redukovat mnoztvi pravidel predevsim na dualstacku.
-
Palo M. (neregistrovaný)
No tak samozrejme si vzdy skontrolujem, co mi fwbuilder vygeneroval, plus niekde doplnam svoj prolog/epilog, takze iptables musim aj tak ovladat. Ale lepsie sa mi s tym spravuje skupina masin s podobnou konfiguraciou, lahko sa robia male updaty, mam lepsi prehlad, co je kde ako nastavene a pod.
A zase napriklad ten ufw generuje celkom pouzitelne pravidla pre tych, co to chcu zjednodusene.
Samozrejme ked je niekto ignorant a opisuje z webu veci bez toho, aby im porozumel, tak mu nepomoze ani svatena voda, a uz vobec nie nftables... Ale mozno aj pre tych to dopadne lepsie ked opisu z webu navod pre ufw, nez keby opisali navod pre iptables/ebtables...
ČLÁNKY DO MAILU