Re: iptables vs iptables-legacy

[didier gaumet <didier.gaumet@gmail.com>]

Le 28/06/2023 à 08:32, Michel Verdier a écrit :

> Plutôt qu'une doc redhat (un comble sur cette liste) il faut utiliser la
> source :
> https://wiki.nftables.org/wiki-nftables/index.php/What_is_nftables%3F

La plupart du temps, tu as raison, c'est mieux de directement se 
renseigner sur le site de l'éditeur du logiciel concerné

Ceci dit, sans polémique aucune, parfois les docs ou les wiki d'autres 
distros sont plus détaillées, précises, à jour, etc... que ceux de 
Debian :-)

> Donc dans xtables le x c'est pour ip/ip6/... nftables c'est ça qu'il faut
> utiliser de nos jours. Et les xtables et nftables ce sont les outils pour
> utiliser netfilter. Les paquets ne passent que par netfilter. 
[...]

Je suis une vraie truffe en réseaux et en sécurité (donc, à la croisée 
des chemins, en pare-feux),
 mais de ce que j'avais cru comprendre, il y a des frontends (tables 
xtables ou tables nft) à des backends (netfilter ou nft).
 Le backend nft serait une version révisée du backend netfilter, par la 
même équipe, en s'appuyant sur certaines parties de l'ancien backend 
netfilter. Si on cherche dans /boot/config*, on trouve des chaînes 
CONFIG_NETFILTER* et CONFIG_NFT.
 Et si tout passait par netfilter, il n'y aurait pas de distingo entre 
iptables-legacy et iptables-nft vu que ce serait la même chose (des 
tables iptables attaquant un backend netfilter)

Enfin, j'ai peut-être rien pigé, hein :-)