Bonjour je voulais votre avis, quelle methode de filtrage me proposez-vous pour remplacer iptables de manière optimale sachant que j'utilise docker et que je veux laisser docker gérer la création des règles netfilters.
A la première impression j'ai été séduit par nftables
il permet de créer des règles ipv4 et ipv6 sur la même ligne, il est géré nativement, mais j'ai rapidement déchanté quand j'ai vu la gestion des priorites*. les paquets "acceptés" sont traversant et lu pour chaque table avec le même "hook", je suis obligé de sélectionner les paquets a rejeter, par default tous les paquets sont acceptés. Je préfère le fonctionnement inverse : n'autoriser que les paquets souhaités.
avez vous d'autre proposition a part ufw et iptables ?
merci beaucoup !
(*)
NOTE: if a packet gets accepted and there is another base chain in the same hook which is ordered with a later priority, the packet will be evaluated again. That is, packets will traverse chains in a given hook, until it is dropped or no more base chains exist. Drops take instant effect, no further rules or chains are evaluated.
pourquoi les développeurs ont adopté cette stratégies !? il faut écrire 2 fois les règles pour qu'elle soit acceptées...