Gibt es einen tatsächlichen Unterschied zwischen
iptables -P FORWARD DROP
Und
net.ipv4.ip_forward = 0
?
Ich weiß, dass das eine ein Firewall-Befehl und das andere eine Kernel-Option ist. Aber:
- Ich weiß nicht, ob
net.ipv4.ip_forward = 0
es durch Netfilter oder direkt durch den Kernel erzwungen wird. iptables -P FORWARD DROP
Ich weiß nicht, ob im Vergleich zu ein Mehraufwand entstehtnet.ipv4.ip_forward = 0
.- Ich konnte keinen Hinweis darauf finden, dass diese beiden Optionen in ihrer Wirkung tatsächlich identisch sind.
Kurz gesagt, gibt es einen tatsächlichen Unterschied zwischen diesen beiden Befehlen?
Antwort1
Wenn Sie die Paketweiterleitung zwischen Schnittstellen deaktivieren, wird die FORWARD-Kette vollständig ignoriert. In Bezug auf die Leistung, auf die sich Ihre Frage bezieht, macht es also keinen Unterschied.
Sie können es folgendermaßen überprüfen:
iptables -L -vnx
HTH