パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

centos 8」記事へのコメント

  • by Anonymous Coward on 2020年07月05日 19時15分 (#3846098)

    バックエンドがiptablesってだけでもクソなのに、そのiptablesの実体がiptables-nft
    なにがしたいのかわからない

    そもそもiptables-translate自体あまり賢くないのでiptables特有の無意味なチェーンや無意味なマークがそのまま使われる
    firewalld→iptalbes変換の時点でかなり気持ち悪いルールになってるので相乗効果で吐きそう

    たとえば特定のMACアドレスからの入力に対してだけ特定のアドレスにSNATしたいとする
    するとiptablesの場合、いきなりPOSTROUTINGで判定することができないので、まずPREROUTING(mangle)で該当パケットをマークし、その後POSTROUTING(nat)でSNATする
    ところがnftablesの場合、iptablesで云うところのテーブルは優先度に過ぎないので、ぶっちゃけ最後の最後に通過するPOSTROUTING(nat)に該当する場所ですら、いきなりMACアドレス判定できる

    この場合、理想としてはiptalbes-translateは全てわかった上で、必要のないPREROUTING(mangle)の方を削除しPOSTROUTING(nat)に一元化して欲しいが、そんな賢い変換は期待できない
    そして実はiptables直で書く場合であってもpreroutingでマークしpostroutingでSNATするような無駄なことをしなくとも、もっと効率よく書くことは可能であり、普通はそう書くが
    そんなクソバカコードを吐いてくるのがfirewalld

    firewalldというクソの吐き出したゴミコードを、これまた頭の悪いiptables-translateに翻訳させるので、結果として聳え立つクソとなる
    CentOSは一体いつまでFirewalldというクソを採用し続けるのか

    利用者全員に素のnftablesスクリプトの習得を徹底させろよ
    むしろnftスクリプトも書けないようなのはネットに繋がせるな
    あんなもん最低レベルの教養だ

    • by Anonymous Coward

      CentOS 8ではバックエンドはnftablesじゃないの?

    • by Anonymous Coward

      そもそもバックエンドは nftables
      firewalld が嫌なら firewalld 消して /etc/nftables を直接編集すれば良い

      教養とか関係ない

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...