لینک کوتاه مطلب : https://hsgar.com/?p=6104

من الان از nftable برای قانون‌های فایروال استفاده می‌کنم و آن عالی است

برای مدت طولانی، لینوکس شاید در حال گذار از iptables های با ارزش به nftables است. من در گذشته خیلی مشتاق nftable ها نبودم (آخرین باری که فکر کردم متقاعد شدم مسیر دیگری را انتخاب کنم) به دلایل مختلف. استفاده اخیر من از nftable ها به این دلیل نبود که نقاطم را تغییر داده ام. در عوض، به این دلیل است که اوبونتو 22.04 انتخاب کرده است که nftable ها را به رابط اصلی تبدیل کند. اگر سرور استوک 22.04 را نصب کنید، سیستمی خواهید داشت که در آن “iptablesباینری در واقع یک شیم سازگاری است که قوانین nftables را تنظیم می کند. وقتی اخیراً مجبور شدم چیزهای فایروال جدیدی را روی یک دستگاه اوبونتو 22.04 انجام دهم، تصمیم گرفتم که nftables را از طریق رابط اصلی آن امتحان کنم.

تجربه دریانوردی کاملاً روان نبود. Nftables چندین کار را متفاوت از iptables انجام می دهد، بنابراین شما باید اصطلاحات و قالب قوانین آن را یاد بگیرید و رویکرد آن را به چیزها درک کنید. از آنجایی که من فقط به nftable‌ها توجه کرده‌ام، در بهترین حالت، درک درستی از روش مناسب nftables دارم، اساساً به اندازه‌ای است که برخی از قوانین ساده فایروال را بنویسم که هنگام آزمایش آنها کار می‌کردند. بسته به دیدگاه شما، خوب یا بد است که می‌توانم این کار را بدون نیاز به یادگیری واقعی nftable انجام دهم.

(از یک طرف، من کارها را بدون تلاش زیاد انجام دادم. از طرف دیگر، عدم درک واقعی می تواند به راحتی منجر به قوانین فایروال شود که دارای حفره ها و مسائلی هستند که انتظارش را ندارید.)

اگرچه nftable ها را می توان به صورت تعاملی به روشی مانند iptables استفاده کرد، من ترجیح دادم از آن به روشی بیشتر شبیه pf OpenBSD استفاده کنم، جایی که قوانینم را در /etc/nftables.conf نوشتم و تغییر دادم و سپس کل مجموعه همه چیز را با ‘ بارگذاری مجدد کردم. nft -f’. این تجربه بسیار بهتر از رویکرد سنتی iptables است، که در آن عملیات «بارگیری از فایل» و «ذخیره در فایل» به جای یک قالب طراحی‌شده، حس یک هک را دارند و می‌توان تنظیم خودکار قوانین خود را با یک اسکریپت آسان‌تر کرد.

برخی از دیگر سیستم‌های اوبونتو 22.04 ما دارای قوانین مبتنی بر iptables هستند (که از نسخه‌های 18.04 آنها منتقل شده‌اند). تا کنون به نظر می رسد همه اینها به درستی کار می کنند، از جمله برخی از قوانین iptables که از ipsets استفاده می کنند. ما به احتمال زیاد به استفاده از آنها ادامه خواهیم داد iptables دستور به جای تلاش برای تبدیل آنها به nftables. ما آشنا هستیم
iptables، قوانین (هنوز) کار می کنند و اگر تغییر می دادیم چیز زیادی نمی گرفتیم.

(ما شرایطی داریم که به جای استفاده از مجموعه ایستا از آنها، قوانین فایروال را به سرعت اضافه و حذف می کنیم. این به خوبی با رویکرد nftables.conf مطابقت ندارد، بنابراین اگر یک تبدیل بومی انجام می دادیم، باید این کار را انجام دهیم. سعی کنید نحوه ادغام قوانین ایستا را بیابید که به طور ایده آل از طریق nftables.conf تنظیم می شوند و قوانین پویا در بالای آنها اضافه می شوند.)

لینک منبع

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.