Re: Quel firewall pour Buster et au delà ?

[Wallace <wallace@morkitu.org>]

Bonjour,

Merci d'avoir lancé le sujet qui trottait dans mon esprit.

Actuellement on gère iptables grâce à Shorewall qui fait très bien le travail et permet de retrouver une lecture similaire à une configuration de firewall appliance. C'est pratique pour que tout le monde soit au diapason sur la lecture. Y a Ferm qui fait pareil aussi.

Shorewall a déjà annoncé qu'il ne partirait pas dans ce chantier de refonte étant trop lié à iptables.

Personnellement je n'ai rien à reprocher à iptables et j'envisage donc de continuer de l'utiliser. Mais si l'on est bloqué par une suppression de iptables et obligation de passer sur nftables alors il va falloir anticiper.

Il y a du coup deux questions :

- y a t il eu une annonce quand on retrait du kernel ou le End Of Life de iptables?

- nftables est il forcément lié à firewalld? ou est-ce que l'on peut parler directement au kernel comme avant?

Le 10/01/2019 à 14:33, Olivier a écrit :

Bonjour,

Je maintiens depuis des années un script qui configure le firewalling sur des serveurs.

Ce script est installé dans /etc/network/if-pre-up.d

Il comprend une bonne trentaine de règles iptables dont des règles pour le NAT.

J'ai lu que Linux remplaçait iptables par nftables.

Par ailleurs, la technologie eBPF semble aussi très prometteuse.

J'ai toute confiance sur l'existence dans Buster et ses successeurs de moyens pour conserver le bon fonctionnement de scripts iptables.

Néanmoins, je me demande si le moment n'est pas le bienvenu pour justement pour sauter le pas en réécrivant mes scripts iptables avec autre chose.

On annonce ici ou là:

- une plus grande pérennité

- de meilleurs performances

- une syntaxe plus simple.

Je serai très heureux d'échanger ici des réflexions sur le sujet.

Voici en vrac quelques questions et réflexions:

1. Avez-vous un retour d'expérience positif ou non sur un passage d'iptables à firewalld, en général (ie sur Stretch, Jessie, ...) ?

2. Trouvez-vous facilement de l'aide (mailing lists, documentation en ligne, publications, ...) sur la version 0.6.3 de firewalld (celle de Buster) ?

3. Comme le suggère la réponse à une question dans [1], doit-on vraiment voir eBPF comme une cuisine interne à Linux et se focaliser sur firewalld ?

4. Commentaires et suggestions ?

[1] https://developers.redhat.com/blog/2018/08/10/firewalld-the-future-is-nftables/

Slts

Attachment: signature.asc
Description: OpenPGP digital signature