Existe alguma diferença entre essas duas opções de configuração?

tag-icon tag-icon linux kernel iptables
Existe alguma diferença entre essas duas opções de configuração?

Existe alguma diferença real entre

iptables -P FORWARD DROP

e

net.ipv4.ip_forward = 0

?

Eu sei que um é um comando de firewall enquanto o outro é uma opção do kernel. Mas:

  1. Não sei se net.ipv4.ip_forward = 0é aplicado pelo netfilter ou diretamente pelo kernel.
  2. Não sei se há alguma sobrecarga associada em iptables -P FORWARD DROPcomparação com net.ipv4.ip_forward = 0.
  3. Não consegui encontrar nenhuma referência afirmando claramente que essas duas opções são realmente idênticas em seus efeitos.

Resumindo, existe alguma diferença real entre esses dois comandos?

Responder1

Quando você desativa o encaminhamento de pacotes entre interfaces, a cadeia FORWARD é totalmente ignorada. Então, em relação ao desempenho que é o alvo da sua pergunta, não faz diferença.

Você pode verificar fazendo:

iptables -L -vnx

HTH

informação relacionada