Nhân Linux có khả năng định tuyến lưu lượng sử dụng nftables, iptables và ipvs. Tôi đã thu thập 3 câu hỏi liên quan ở đây, để hỏi chung câu hỏi tổng thể rộng hơn về mức độ ưu tiên được xác định như thế nào đối với các quy tắc định tuyến và tường lửa của nhân:
- Nói chung, có thứ tự ưu tiên khi các cấu trúc lọc gói/cân bằng tải này được sắp xếp không?
- NFT và iptables, nếu không được quản lý đúng cách từ góc độ cài đặt, có thể dẫn đến âva chạmâ (kết quả không thể đoán trước). Giải pháp cho vấn đề này dường như đảm bảo rằng iptables-legacy đã được cài đặt. Có thể chạy cả NFT và iptables cùng nhau không và nếu vậy, thứ tự nào sẽ áp dụng cho các iptables âtablesâ (Mangle, Filter, NAT) đối với các quy tắc của bảng NFT?
- IPVS có khả năng thực hiện cân bằng tải. Nói chung, nó có nghĩa là xảy ra trước hay sau khi các quy tắc iptables được áp dụng cho một gói tin đến?
- Làm thế nào để tường lửa chơi vào tất cả những điều này?
- Thứ tự ưu tiên hoạt động như thế nào đối với SELinux và các quy tắc khác nhau này?
Đối với bối cảnh, gần đây tôi nhận thấy rằng một số quy tắc iptables trên hệ thống nơi NFT được cài đặt không hoạt động như mong đợi và mặc dù đây là sơ đồ trực tuyến tuyệt vời về cách sắp xếp chuỗi iptables mặc định liên quan đến bảng thường trú của chúng, tôi đã trở thành tò mò về cách một người sẽ lập luận về các chuỗi này và quá trình truyền tải của chúng nếu có các quy tắc khác từ NFT, IPVS, eBPF, v.v.