Re: iptables vs iptables-legacy
Le 28/06/2023 à 08:32, Michel Verdier a écrit :
Plutôt qu'une doc redhat (un comble sur cette liste) il faut utiliser la
source :
https://wiki.nftables.org/wiki-nftables/index.php/What_is_nftables%3F
La plupart du temps, tu as raison, c'est mieux de directement se
renseigner sur le site de l'éditeur du logiciel concerné
Ceci dit, sans polémique aucune, parfois les docs ou les wiki d'autres
distros sont plus détaillées, précises, à jour, etc... que ceux de
Debian :-)
Donc dans xtables le x c'est pour ip/ip6/... nftables c'est ça qu'il faut
utiliser de nos jours. Et les xtables et nftables ce sont les outils pour
utiliser netfilter. Les paquets ne passent que par netfilter.
[...]
Je suis une vraie truffe en réseaux et en sécurité (donc, à la croisée
des chemins, en pare-feux),
mais de ce que j'avais cru comprendre, il y a des frontends (tables
xtables ou tables nft) à des backends (netfilter ou nft).
Le backend nft serait une version révisée du backend netfilter, par la
même équipe, en s'appuyant sur certaines parties de l'ancien backend
netfilter. Si on cherche dans /boot/config*, on trouve des chaînes
CONFIG_NETFILTER* et CONFIG_NFT.
Et si tout passait par netfilter, il n'y aurait pas de distingo entre
iptables-legacy et iptables-nft vu que ce serait la même chose (des
tables iptables attaquant un backend netfilter)
Enfin, j'ai peut-être rien pigé, hein :-)
Reply to: