パスワードを忘れた? アカウント作成
14231056 journal
日記

teltelの日記: centos 8 4

日記 by teltel

ここにきて使ってるんだけど、いろいろ変わりすぎて新しいOSを学んでいる感じ。
systemctl とか、機能多い!
Firewall も勉強しなきゃだし。
とりあえず、ネット情報をコピッてる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2020年07月05日 19時15分 (#3846098)

    バックエンドがiptablesってだけでもクソなのに、そのiptablesの実体がiptables-nft
    なにがしたいのかわからない

    そもそもiptables-translate自体あまり賢くないのでiptables特有の無意味なチェーンや無意味なマークがそのまま使われる
    firewalld→iptalbes変換の時点でかなり気持ち悪いルールになってるので相乗効果で吐きそう

    たとえば特定のMACアドレスからの入力に対してだけ特定のアドレスにSNATしたいとする
    するとiptablesの場合、いきなりPOSTROUTINGで判定することができないので、まずPREROUTING(mangle)で該当パケットをマークし、その後POSTROUTING(nat)でSNATする
    ところがnftablesの場合、iptablesで云うところのテーブルは優先度に過ぎないので、ぶっちゃけ最後の最後に通過するPOSTROUTING(nat)に該当する場所ですら、いきなりMACアドレス判定できる

    この場合、理想としてはiptalbes-translateは全てわかった上で、必要のないPREROUTING(mangle)の方を削除しPOSTROUTING(nat)に一元化して欲しいが、そんな賢い変換は期待できない
    そして実はiptables直で書く場合であってもpreroutingでマークしpostroutingでSNATするような無駄なことをしなくとも、もっと効率よく書くことは可能であり、普通はそう書くが
    そんなクソバカコードを吐いてくるのがfirewalld

    firewalldというクソの吐き出したゴミコードを、これまた頭の悪いiptables-translateに翻訳させるので、結果として聳え立つクソとなる
    CentOSは一体いつまでFirewalldというクソを採用し続けるのか

    利用者全員に素のnftablesスクリプトの習得を徹底させろよ
    むしろnftスクリプトも書けないようなのはネットに繋がせるな
    あんなもん最低レベルの教養だ

    • by Anonymous Coward

      CentOS 8ではバックエンドはnftablesじゃないの?

    • by Anonymous Coward

      そもそもバックエンドは nftables
      firewalld が嫌なら firewalld 消して /etc/nftables を直接編集すれば良い

      教養とか関係ない

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...