Bonjour,
Je maintiens depuis des années un script qui configure le firewalling sur des serveurs.
Ce script est installé dans /etc/network/if-pre-up.d
Il comprend une bonne trentaine de règles iptables dont des règles pour le NAT.
J'ai lu que Linux remplaçait iptables par nftables.
Par ailleurs, la technologie eBPF semble aussi très prometteuse.
J'ai toute confiance sur l'existence dans Buster et ses successeurs de moyens pour conserver le bon fonctionnement de scripts iptables.
Néanmoins, je me demande si le moment n'est pas le bienvenu pour justement pour sauter le pas en réécrivant mes scripts iptables avec autre chose.
On annonce ici ou là:
- une plus grande pérennité
- de meilleurs performances
- une syntaxe plus simple.
Je serai très heureux d'échanger ici des réflexions sur le sujet.
Voici en vrac quelques questions et réflexions:
1. Avez-vous un retour d'expérience positif ou non sur un passage d'iptables à firewalld, en général (ie sur Stretch, Jessie, ...) ?
2. Trouvez-vous facilement de l'aide (mailing lists, documentation en ligne, publications, ...) sur la version 0.6.3 de firewalld (celle de Buster) ?
3. Comme le suggère la réponse à une question dans [1], doit-on vraiment voir eBPF comme une cuisine interne à Linux et se focaliser sur firewalld ?
4. Commentaires et suggestions ?
Slts