[gull] [Vraiment resolu] fail2ban + ipset (ksoftirqd congestionne a ~500Ko/s (Ubuntu 22.04))

[Marc SCHAEFER]

Hello,

On Mon, Sep 30, 2024 at 05:04:24PM +0200, Frederic Dumas via gull wrote:
> On me glisse dans l'oreillette qu'il serait peut-être temps de passer à nftables, plutôt que de bricoler ipset en surcouche d'iptables. :-) Merci à la régie !

Tout à fait. Même si dans les cas simples, il semblerait que nftables
soit un peu moins performant qu'iptables, il a un grand avantage: la
"scalability".

Et typiquement, pour mon setup où des machines virtuelles sont
multi-homed (3 adresses IP publiques différentes, utilisables pour
chacun des gazillons de services proposés, plus aussi du NAT dans tous
les sens), je dois reconnaître que le prototype de nftables que je suis
entrain de construire est d'une complexité largement inférieure à celui
en production en iptables, et surtout j'aime bien les maps où l'on peut
configurer de manière dynamique plein de choses sans devoir modifier de
règles du firewall.

PS: pour déployer un firewall nftables, j'ai décidé de me baser sur
    nftfw qui semble représenter un framework intéressant (règles
    de base, extensibilité, dynamicité) -- et en plus il y a un
    package Debian (pas dans la distrib, cependant).