Bonjour, Merci d'avoir lancé le sujet qui trottait dans mon esprit.
Actuellement on gère iptables grâce à Shorewall qui fait très bien le travail et permet de retrouver une lecture similaire à une configuration de firewall appliance. C'est pratique pour que tout le monde soit au diapason sur la lecture. Y a Ferm qui fait pareil aussi. Shorewall a déjà annoncé qu'il ne partirait pas dans ce chantier de refonte étant trop lié à iptables. Personnellement je n'ai rien à reprocher à iptables et j'envisage donc de continuer de l'utiliser. Mais si l'on est bloqué par une suppression de iptables et obligation de passer sur nftables alors il va falloir anticiper. Il y a du coup deux questions : - y a t il eu une annonce quand on retrait du kernel ou le End Of Life de iptables? - nftables est il forcément lié à firewalld? ou est-ce que l'on peut parler directement au kernel comme avant? Le 10/01/2019 à 14:33, Olivier a écrit : > Bonjour, > > Je maintiens depuis des années un script qui configure le firewalling > sur des serveurs. > Ce script est installé dans /etc/network/if-pre-up.d > Il comprend une bonne trentaine de règles iptables dont des règles > pour le NAT. > > J'ai lu que Linux remplaçait iptables par nftables. > Par ailleurs, la technologie eBPF semble aussi très prometteuse. > > J'ai toute confiance sur l'existence dans Buster et ses successeurs de > moyens pour conserver le bon fonctionnement de scripts iptables. > Néanmoins, je me demande si le moment n'est pas le bienvenu pour > justement pour sauter le pas en réécrivant mes scripts iptables avec > autre chose. > > On annonce ici ou là: > - une plus grande pérennité > - de meilleurs performances > - une syntaxe plus simple. > > Je serai très heureux d'échanger ici des réflexions sur le sujet. > Voici en vrac quelques questions et réflexions: > > 1. Avez-vous un retour d'expérience positif ou non sur un passage > d'iptables à firewalld, en général (ie sur Stretch, Jessie, ...) ? > > 2. Trouvez-vous facilement de l'aide (mailing lists, documentation en > ligne, publications, ...) sur la version 0.6.3 de firewalld (celle de > Buster) ? > > 3. Comme le suggère la réponse à une question dans [1], doit-on > vraiment voir eBPF comme une cuisine interne à Linux et se focaliser > sur firewalld ? > > 4. Commentaires et suggestions ? > > [1] > https://developers.redhat.com/blog/2018/08/10/firewalld-the-future-is-nftables/ > > Slts >
signature.asc
Description: OpenPGP digital signature
