¿Existe alguna diferencia real entre
iptables -P FORWARD DROP
y
net.ipv4.ip_forward = 0
?
Sé que uno es un comando de firewall mientras que el otro es una opción del kernel. Pero:
- No sé si
net.ipv4.ip_forward = 0lo aplica netfilter o directamente el kernel. - No sé si hay alguna sobrecarga asociada en
iptables -P FORWARD DROPcomparación connet.ipv4.ip_forward = 0. - No pude encontrar ninguna referencia que indique claramente que estas dos opciones sean en realidad idénticas en su efecto.
En resumen, ¿existe alguna diferencia real entre estos dos comandos?
Respuesta1
Cuando deshabilita el reenvío de paquetes entre interfaces, la cadena FORWARD se ignora en absoluto. Entonces, en relación con el rendimiento, a donde se dirige su pregunta, no hay ninguna diferencia.
Puedes comprobarlo haciendo:
iptables -L -vnx
HT