gratifiant > linux.debian.user.french

Olivier (10/01/2019, 15h40)
Bonjour,

Je maintiens depuis des années un script qui configure le firewalling sur
des serveurs.
Ce script est installé dans /etc/network/if-pre-up.d
Il comprend une bonne trentaine de règles iptables dont des règles pour le
NAT.

J'ai lu que Linux remplaçait iptables par nftables.
Par ailleurs, la technologie eBPF semble aussi très prometteuse.

J'ai toute confiance sur l'existence dans Buster et ses successeurs de
moyens pour conserver le bon fonctionnement de scripts iptables.
Néanmoins, je me demande si le moment n'est pas le bienvenu pour justement
pour sauter le pas en réécrivant mes scripts iptables avec autre chose.

On annonce ici ou là:
- une plus grande pérennité
- de meilleurs performances
- une syntaxe plus simple.

Je serai très heureux d'échanger ici des réflexions sur le sujet.
Voici en vrac quelques questions et réflexions:

1. Avez-vous un retour d'expérience positif ou non sur un passage
d'iptables à firewalld, en général (ie sur Stretch, Jessie, ....) ?

2. Trouvez-vous facilement de l'aide (mailing lists, documentation en
ligne, publications, ...) sur la version 0.6.3 de firewalld (celle de
Buster) ?

3. Comme le suggère la réponse à une question dans [1], doit-on vraiment
voir eBPF comme une cuisine interne à Linux et se focaliser sur firewalld ?

4. Commentaires et suggestions ?

[1]


Slts
Wallace (11/01/2019, 16h50)
Bonjour,

Merci d'avoir lancé le sujet qui trottait dans mon esprit.

Actuellement on gère iptables grâce à Shorewall qui fait très bien le
travail et permet de retrouver une lecture similaire à une configuration
de firewall appliance. C'est pratique pour que tout le monde soit au
diapason sur la lecture. Y a Ferm qui fait pareil aussi.

Shorewall a déjà annoncé qu'il ne partirait pas dans ce chantier de
refonte étant trop lié à iptables.

Personnellement je n'ai rien à reprocher à iptables et j'envisage donc
de continuer de l'utiliser. Mais si l'on est bloqué par une suppression
de iptables et obligation de passer sur nftables alors il va falloir
anticiper.

Il y a du coup deux questions :

- y a t il eu une annonce quand on retrait du kernel ou le End Of Life
de iptables?

- nftables est il forcément lié à firewalld? ou est-ce quel'on peut
parler directement au kernel comme avant?

Le 10/01/2019 à 14:33, Olivier a écrit :
[..]
didier gaumet (11/01/2019, 17h10)
Le 11/01/2019 à 15:44, Wallace a écrit :
[..]
> de iptables?
> - nftables est il forcément lié à firewalld? ou est-ce que l'on peut
> parler directement au kernel comme avant?


Alors je suis une truffe pour tout ce qui est réseaux mais j'ai quand
même l'impression qu'il y a un quiproquo sur nftables/firewalld, non?

Firewalld n'est qu'une surcouche à, auparavant iptables, désormais
nftables? Un peu comme Shorewall

D'après ce que j'ai compris, le paquet iptables sera dans la prochaine
version Debian et ne sera pas un pseudo-paquet pointant vers nftables,
mais utilisera le backend nftables dans le noyau mais en conservant la
syntaxe iptables? Et si on souhaite utiliser véritablement nftables, il
est possible (au moins pour le moment) d'utiliser l'ancienne syntaxe
iptables ou la nouvelle syntaxe dédiée nftables?

Didier, truffe réseau en mal de culture ad-hoc ;-)
Wallace (11/01/2019, 17h30)
Le 11/01/2019 à 16:05, didier gaumet a écrit :
> Alors je suis une truffe pour tout ce qui est réseaux mais j'ai quand
> même l'impression qu'il y a un quiproquo sur nftables/firewalld, non?
> Firewalld n'est qu'une surcouche à, auparavant iptables, désormais
> nftables? Un peu comme Shorewall Aucune idée je n'ai pas encore creusé le sujet.
> D'après ce que j'ai compris, le paquet iptables sera dans la prochaine
> version Debian et ne sera pas un pseudo-paquet pointant vers nftables,
> mais utilisera le backend nftables dans le noyau mais en conservant la
> syntaxe iptables? Et si on souhaite utiliser véritablement nftables, il
> est possible (au moins pour le moment) d'utiliser l'ancienne syntaxe
> iptables ou la nouvelle syntaxe dédiée nftables?


Ca voudrait donc dire que iptables ne fait plus parti du kernel?

J'ai rien trouvé en news à ce sujet.

Néanmoins quand on voit un article comme celui là :



On peut se dire que nftables est un remplaçant à peine plus performant.
BPF semble bien plus prometteur pour les réseaux à plus de 10Gbs.

> Didier, truffe réseau en mal de culture ad-hoc ;-)

On ne peut pas tout maitriser et j'avoue avoir un peu lâcher ce sujet vu
qu'iptables fait le boulot et qu'on a pas encore été confronté à des
interfaces à plus de 10Gbs...
Olivier (11/01/2019, 18h30)
Le ven. 11 janv. 2019 à 16:24, Wallace <wallace> a écrit :

> Ca voudrait donc dire que iptables ne fait plus parti du kernel?
> Je pense que des scripts iptables fonctionneront sans modification pendant

encore de longues années.
Pour une machine "ancienne", on devrait pouvoir la passer à Buster sans
modification.

Par contre, pour une nouvelle machine, je pense qu'on peut avoir intérêt à
se poser la question d'une autre syntaxe ou d'un autre niveau d'abstraction..
Olivier (11/01/2019, 18h30)
Le ven. 11 janv. 2019 à 16:05, didier gaumet <didier.gaumet>a
écrit :

> Firewalld n'est qu'une surcouche à, auparavant iptables, désormais
> nftables? Un peu comme Shorewall
> J'ai compris la même chose que toi. Je recommande le lien [1] qui l'explique.


[1]


En toute logique, quand on choisit firewalld, on ne configure plus
iptables, nftables ou autre (c'est firewalld qui s'appuie sur ces techno).

Le ven. 11 janv. 2019 à 16:05, didier gaumet <didier.gaumet>a
écrit :
[..]
Wallace (11/01/2019, 19h00)
Le 11/01/2019 à 17:28, Olivier a écrit :
> Le ven. 11 janv. 2019 à 16:24, Wallace <wallace
> <mailto:wallace>> a écrit :
> Ca voudrait donc dire que iptables ne fait plus parti du kernel?
> Je pense que des scripts iptables fonctionneront sans modification
> pendant encore de longues années.
> Pour une machine "ancienne", on devrait pouvoir la passer à Buster
> sans modification.
> Par contre, pour une nouvelle machine, je pense qu'on peut avoir
> intérêt à se poser la question d'une autre syntaxe ou d'un autre
> niveau d'abstraction.


Quand tu as des automatismes (Ansible, Chef, Puppet, scripts maison,
...) la nouveauté n'est pas forcément utile toute de suite. Pour avoir
connu la fin de ipchains, la transition avec iptables a été longue pour
mes ainés qui disaient qu'on ne s'amuse pas à changer quelque chose qui
marche et qui ne pose pas de problème. J'ai entendu la même pour IPv6 et
on voit que l'adoption est plus lent du coup.

Clairement vu ce que je ressort de la conversation, quitte à faire un
saut autant sauter directement à BPF.
Olivier (11/01/2019, 19h20)
Le ven. 11 janv. 2019 à 17:55, Wallace <wallace> a écrit :

> Clairement vu ce que je ressort de la conversation, quitte à faire un saut
> autant sauter directement à BPF.

Justement, j'ai compris que BPF, c'était la cuisine interne de Linux: on
configure avec nftables ou firewalld ou autre et c'est nftables qui
s'appuie sur BPF à l'insu de l'administrateur.
Bien entendu, je peux avoir compris de travers et je serai ravi qu'une
personne plus qualifiée que moi me corrige ;-)))
didier gaumet (11/01/2019, 20h50)
Le 11/01/2019 à 18:13, Olivier a écrit :
> Justement, j'ai compris que BPF, c'était la cuisine interne de Linux: on
> configure avec nftables ou firewalld ou autre et c'est nftables qui
> s'appuie sur BPF à l'insu de l'administrateur.
> Bien entendu, je peux avoir compris de travers  et je serai ravi qu'une
> personne plus qualifiée que moi me corrige ;-)))


Je connaissais l'existence des différentes versions de (Berkeley) Packet
Filter ((B)PF) dans les différentes versions de BSD en tant que pare-feu.

De ce que je crois comprendre, Linux utilise déjà certaines briques de
l'infrastructure BPF (qui serait une interface aux couches réseau plus
qu'un simple pare-feu) et dont la pure partie pare-feu n'aurait jamais
été intégrée à Linux ni à ses distributions. eBPF est la prochaine
itération de BPF qui semble offrir des possibilités tellement
avantageuses par rapport à l'existant que Linux cherche à en profiter,
l'une des possibilités étant de la faire fonctionner en coordination
avec nftables.

Tout ça au conditionnel parce que signé La Truffe Réseau ;-)
Thierry Despeyroux (12/01/2019, 08h20)
non pas de date fixée

Le Fri, 11 Jan 2019 16:23:44 +0100,
Wallace <wallace> a écrit :
[..]
Discussions similaires