Contenu | Rechercher | Menus

Annonce

La nouvelle clé USB Ubuntu-fr est en prévente
Rendez-vous sur la boutique En Vente Libre

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 23/02/2019, à 09:57

grandtoubab

nftables: nouveau pare-feu

Salut
Maintenant que nftables va devenir la norme, j'ai migré de iptables à nftables:
https://bidouilledebian.wordpress.com/2 … -nftables/

nft list ruleset; date; who -b
table inet filter {
	chain input {
		type filter hook input priority 0; policy accept;
		iif "lo" accept
		ct state established,related accept
		tcp dport { ssh, http, https, 8200 } ct state new accept
		counter packets 6889 bytes 3006321 drop
	}
}
samedi 23 février 2019, 09:07:38 (UTC+0100)
         démarrage système 2019-02-23 07:05

En 2h, 6889 paquets rejetés et  inutiles dans mon utilisation classique ( surf sur Internet, Molotov,etc) , ça me convient cool

Dernière modification par grandtoubab (Le 23/02/2019, à 10:23)


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 10 Buster Gnome/Xorg, Gnome/Wayland, Weston/Wayland
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#2 Le 23/02/2019, à 15:08

bruno

Re : nftables: nouveau pare-feu

Salut,

nftables c'est intéressant et le truc a été ressuscité il y a quelques années mais je ne suis pas sûr que cela vaille le coût d'investir du temps dans son apprentissage. Les développeurs du noyau pourraient privilégier un autre système de filtrage des paquets : bpfilter. Voir aussi : https://cilium.io/blog/2018/04/17/why-i … -iptables/

Dernière modification par bruno (Le 23/02/2019, à 15:10)

Hors ligne

#3 Le 23/02/2019, à 15:14

grandtoubab

Re : nftables: nouveau pare-feu

bruno a écrit :

Salut,

nftables c'est intéressant et le truc a été ressuscité il y a quelques années mais je ne suis pas sûr que cela vaille le coût d'investir du temps dans son apprentissage. Les développeurs du noyau pourraient privilégier un autre système de filtrage des paquets : bpfilter. Voir aussi : https://cilium.io/blog/2018/04/17/why-i … -iptables/

The end result is that we'll probably not see bpfilter in the mainline kernel in the immediate future.

https://wiki.debian.org/nftables a écrit :

NOTE: Debian Buster will use the nftables framework by default.

Debian 10 Buster sera la version stable d'ici 3/4 mois


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 10 Buster Gnome/Xorg, Gnome/Wayland, Weston/Wayland
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#4 Le 23/02/2019, à 15:29

bruno

Re : nftables: nouveau pare-feu

Oui j'ai vu, mais nftables est très peu utilisé, et surtout nécessite une réécriture complète des règles de pare-feu. Les adminsys continueront, pour la plupart, à utiliser ipatbles qui sera toujours présent sur les différentes distributions.
nftables corrige pas mal de défaut de iptables et les distributions, Debian, RedHat, etc. ont raison de le proposer par défaut. Mais bpfilter me semble encore plus prometteur et est compatibles avec iptables.
Comme toujours avec les technologies, on peut expérimenter, mais il est urgent d'attendre avant de les déployer en production wink

Hors ligne

#5 Le 23/02/2019, à 15:48

grandtoubab

Re : nftables: nouveau pare-feu

J'utilise le firewall donc nftables d'une façon basique, règles  par défaut de Debian , donc pas de problèmes pour repartir avec des règles toutes neuves dans mon cas. smile
Et parce que d'après tout ce que j'ai lu ça va plus vite donc gain de performances
Exemple

https://blogs.gnome.org/dcbw/2018/07/27/the-ascendance-of-nftables/ a écrit :

What’s Wrong With iptables?

iptables is slow.

https://linux-audit.com/differences-between-iptables-and-nftables-explained/ a écrit :

One of the important changes is that nftables is optimized for speed

Mais c'est plus pour l'amusement qu'autres choses

Dernière modification par grandtoubab (Le 23/02/2019, à 15:54)


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 10 Buster Gnome/Xorg, Gnome/Wayland, Weston/Wayland
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne