Gibt es einen Unterschied zwischen diesen beiden Konfigurationsoptionen?

tag-icon tag-icon linux kernel iptables
Gibt es einen Unterschied zwischen diesen beiden Konfigurationsoptionen?

Gibt es einen tatsächlichen Unterschied zwischen

iptables -P FORWARD DROP

Und

net.ipv4.ip_forward = 0

?

Ich weiß, dass das eine ein Firewall-Befehl und das andere eine Kernel-Option ist. Aber:

  1. Ich weiß nicht, ob net.ipv4.ip_forward = 0es durch Netfilter oder direkt durch den Kernel erzwungen wird.
  2. iptables -P FORWARD DROPIch weiß nicht, ob im Vergleich zu ein Mehraufwand entsteht net.ipv4.ip_forward = 0.
  3. Ich konnte keinen Hinweis darauf finden, dass diese beiden Optionen in ihrer Wirkung tatsächlich identisch sind.

Kurz gesagt, gibt es einen tatsächlichen Unterschied zwischen diesen beiden Befehlen?

Antwort1

Wenn Sie die Paketweiterleitung zwischen Schnittstellen deaktivieren, wird die FORWARD-Kette vollständig ignoriert. In Bezug auf die Leistung, auf die sich Ihre Frage bezieht, macht es also keinen Unterschied.

Sie können es folgendermaßen überprüfen:

iptables -L -vnx

HTH

verwandte Informationen