Nucleul Linux are capacitatea de a direcționa traficul folosind nftables, iptables și ipvs. Am adunat aici 3 întrebări conexe, pentru a pune în general întrebarea generală mai amplă a modului în care este determinată precedența în ceea ce privește rutarea nucleului și regulile de firewall:
- În general, există o ordine de prioritate pentru când sunt ordonate aceste construcții de echilibrare a încărcăturii / filtrare a pachetelor?
- NFT și iptables, dacă nu sunt gestionate corespunzător din perspectiva instalării, pot duce la „coliziune” (rezultate imprevizibile). Soluția pare să fie asigurarea instalării iptables-legacy. Este posibil să rulați atât NFT, cât și iptables împreună și, dacă da, în ce ordine ar fi aplicate iptables âtablesâ (Mangle, Filter, NAT), în ceea ce privește regulile tabelelor NFT?
- IPVS este capabil să implementeze echilibrarea sarcinii. În general, este menit să apară înainte sau după ce regulile iptables sunt aplicate unui pachet de intrare?
- Cum joacă firewalld în toate acestea?
- Cum funcționează prioritatea în ceea ce privește SELinux și aceste diverse reguli?
Pentru context, am observat recent că unele reguli iptables pe un sistem în care a fost instalat NFT nu funcționau așa cum era de așteptat și, deși aici sunt diagrame grozave online despre cum sunt ordonate lanțurile iptables implicite în funcție de tabelele rezidente, am devenit curios despre cum s-ar gândi despre aceste lanțuri și traversarea lor dacă ar fi prezente alte reguli de la NFT, IPVS, eBPF și așa mai departe.