Ralph Aichinger <
ra...@pi.h5.or.at> wrote:
>Marc Haber <
mh+usene...@zugschl.us> wrote:
>> Der Rat ist grundsätzlich nicht falsch, aber ich finde dass es bei
>> nftables einfach noch keinen Komfortlevel gibt der mit dem Ökosystem,
>> das sich in 20 Jahren iptables entwicktle hat, mithalten kann. Zum
>
>Klar, nftables ist immer noch relativ jung für ein Subsystem, das so
>viele Querverbindungen zu allen möglichen Stellen im System hat, aber
>langsam wird es.
Ja, aber leider haben die Entwickler sehr die Entwicklerbrille auf,
das ist alles ein Tool das die Bedürfnisse derjenigen, die die Regeln
schreiben, ziemlich vernachlässigt. Auch die Diskussionen in der
Mailingliste machen klar, dass es den Entwicklern eher wichtig ist,
dass der Kernel mit großen Regelwerken und unter höchster Last
effiizent mit dem Regelwerk umgehen kann. Das ist auch wichtig, aber
am Ende ist es halt blöd wenn dafür die Menschen mit einer
umständlichen und fehleranfälligen Notation umgehen müssen.
>> Beispiel ferm.
>
>Ich habe früher auch ferm verwendet, aber gerade das geht mir bei
>nftables nicht wirklich ab, weil sich die nftables-Syntax eh sehr stark
>an ferm anlehnt. Mag sein, dass ich nicht viele der advanced features
>von ferm verwendet habe, aber aktuell geht mir bei nftables nix ab.
Mir fehlen subchains und der transparente Umgang mit gemischten
Adressen. In ferm kann ich für einen HOstnamen IPv4 und IPv6 Adressen
nebeneinander schreiben und wenn ich eien Regel für den Hostnamen
schreibe fällt da unten halt eine Regel für IPv4 und eine für IPv6
raus.
>> Mit nftables ist insbesondere das Schreiben von dualstack-Regelwerken
>> echt schmerzhaft.
>
>Jein, das mag sein, leider ist mein Dualstack-Regelwerk im v6-Teil
>komplett unterschiedlich vom v4-Teil, beispielsweise weil v6
>kein NAT braucht, dafür durch die großzügigere Verfügbarkeit von
>Netzen ein sinnvolleres auftrennen in DMZs ermöglicht.
Meine Regelwerke für die einfacheren Netze (und das sind doch ehrlich
gesagt die meisten) sind ziemlich kongruent für beide Protokollsuiten.
Das NAT für IPv4 kann man unabhängig von den Filterregeln schreiben.