Re: iptables vs iptables-legacy
Le 28 juin 2023 BERTRAND Joël a écrit :
> Je suis un peu flemmard sur les bords. Lorsque j'ai un serveur connecté
> à plusieurs réseaux et des VPN avec un firewall de plusieurs centaines
> de lignes qui est éprouvé, je ne m'amuse pas à le changer pour le fun et
> la beauté du geste. Par ailleurs, la syntaxe iptables fonctionne
> toujours pour les nftables (raison pour laquelle on se retrouve avec
> iptables-legacy et iptables). Il n'y a donc aucune raison valable à ce
> que les deux mécanismes cohabitent. À l'extrême limite, ce genre de
> chose est une bidouille interne au noyau et cela devrait être
> transparent du point de vue de l'utilisateur.
Je ne sais pas comment sont gérées les utilisations conjointes de
nf_tables et ip_tables. Mais les 2 sont parcourues, le problème est qu'on
ne sait pas vraiment dans quel ordre. Entre autre je crois qu'il y a des
chaines supplémentaires en nf_tables et les priorités ne doivent sans
doute pas refléter la même chose.
C'est sûr qu'il y a un risque à migrer de iptables à nftables mais c'est
assez rapide à faire : nftables permet de synthétiser pas mal de choses.
Et le gain de nftables en clarté des règles et aussi de rapidité (du
moins en utilisant les nouveautés de nftables) est assez important.
Reply to: