Skocz do zawartości
Zaloguj się, aby obserwować  
bryn1u

[Dyskusja] PF vs IPtables i co z NFTables ?

Polecane posty

Witam,

Caly czas gryzie mnie dylemat rozwiazan routerowo/firewallowych. Probuje znalezc na necie jakies informacje, porwnania tych powiedzmy firewall'i. Niestety nic ciekawego nie znalazlem. Na codzien korzystam z PF, dziala wysmienicie, bardzo szybko, lecz brakuje mi tej hmm szczegolowosci co w iptables. Stad moje pytania. Czy skutecznosc w zwalczaniu i mozliwosc konfiguracji w PF jest taka sama jak w IPtables ? Jak wyglada sprawa z radzeniem sobie podczas ddos'ow, spoofingu, roznych innych technik falszowania pakietow i tym podobne. Nie zapytam co jest lepsze bo nigdy nie dojdziemy do konsensusu (co jest oczywiste).

Czy ktos sie interesowal nftables ? Jak wyglada sprawa z przyszloscia, czytalem tu na forum, ze ponoc ma powstac jakis translator z iptables na nftables, cos ktos wie ?

Za kazda dyskusje bede wdzieczny,

Z gory dziekuje,
Pozdrawiam,

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Kompletnie bez znaczenia. Na DDoS-a żaden firewall nic nie pomoże, a cała reszta to kwestia gustu i przyzwyczajeń. Chyba że szukasz jakiejś bardzo konkretnej, specjalnej funkcji, ale nic nie napisałeś.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Według mnie to ipf jest łatwiejszy w porównaniu do iptables.

A już niebawem nftables :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Przede wszystkim jak oczekujesz wydajności od iptables to pamiętaj, aby wykorzystywać ipset'a.

Zależy co też chcesz osiągnąć, przykładowo budując software'owego firewalla, który ma za zadanie wycinanie DoSów i innych flood'ów na b. duże ilości pakietów sensowne będzie wykorzystanie PF, jeżeli jednak potrzebujesz bajerów, które dostarczają rozszerzenia iptables to również znasz odpowiedź.

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Przy małym DDosie, umiejętnym administrowaniu i dużym łączu da rade się uporać samym oprogramowaniem według mnie. A co do tematu to PF jest dużo przyjemniejszy w obsłudze.

Edytowano przez lanceq (zobacz historię edycji)
  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Witam czy już ktoś z Was bawił się nftables bo mam w sumie dwa pytania:
Czy w stosowanych regułach rule idzie stosować invert tak jak to jest w iptables czyli ! bo nie potrafię w helpie tego wyczytać.
A drugie pytanie to chodzi o nftables set
Tworzę nowy zbiór set nft add set filter auth { type \;} i teraz co trzeba podać po type bo tez przekopałem cały net i jedynie na co natrafiłem to ta strona

https://home.regit.org/netfilter-en/nftables-quick-howto/

nft add set filter ipv4_ad { type ipv4_address\;} tylko że to nie działa.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Witam po latach!

Z tego, co widzę w kernelowym repo, Nftables ma się dobrze i co jakiś czas dodawane są usprawnienia w Netfilter pod tym kątem.

Kilka lat temu popełniłem artykuł o Nftables, a wczoraj trochę go przeredagowałem. Opisuje architekturę i sposób integracji z podsystemem Netfilter:

pozdrawiam!

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość
Temat jest zablokowany i nie można w nim pisać.
Zaloguj się, aby obserwować  

×