実際の違いはあるのでしょうか?
iptables -P FORWARD DROP
そして
net.ipv4.ip_forward = 0
?
1 つはファイアウォール コマンドであり、もう 1 つはカーネル オプションであることはわかっています。しかし、
net.ipv4.ip_forward = 0それがnetfilter によって強制されるのか、カーネルによって直接強制されるのかはわかりません。iptables -P FORWARD DROPと比較してに関連するオーバーヘッドがあるかどうかはわかりませんnet.ipv4.ip_forward = 0。- これら 2 つのオプションの効果が実際に同一であることを明確に示す参考資料は見つかりませんでした。
つまり、これら 2 つのコマンドには実際の違いがあるのでしょうか?
答え1
インターフェイス間のパケット転送を無効にすると、FORWARD チェーンはまったく無視されます。したがって、ご質問の対象であるパフォーマンスに関しては、何の違いもありません。
以下の方法で確認できます:
iptables -L -vnx
HTH