Есть ли какая-то реальная разница между
iptables -P FORWARD DROP
и
net.ipv4.ip_forward = 0
?
Я знаю, что одна из них — команда брандмауэра, а другая — опция ядра. Но:
- Я не знаю,
net.ipv4.ip_forward = 0обеспечивается ли это сетевым фильтром или напрямую ядром. - Я не знаю, есть ли какие-либо накладные расходы по
iptables -P FORWARD DROPсравнению сnet.ipv4.ip_forward = 0. - Я не смог найти ни одной ссылки, в которой четко говорилось бы, что эти два варианта фактически идентичны по своему эффекту.
Короче говоря, есть ли какая-то реальная разница между этими двумя командами?
решение1
При отключении пересылки пакетов между интерфейсами цепочка FORWARD вообще игнорируется. Так что в отношении производительности, на которую нацелен ваш вопрос, это не имеет никакого значения.
Вы можете проверить это выполнив:
iptables -L -vnx
НТН