ltcp/bericht/nftables/nftables-conc.tex
Jörg Thalheim 8bc7bee7ff Auf Belegsvorlage gewechselt.
Dadurch gibt es für die Abschlussaufgaben eine Überschriftengliederung mehr.
Ich habe im nftables-Teil ein paar pagebreaks rausgenommen, welche sich
verschoben haben (evtl. an anderer Stelle neueinfügen)
2014-03-29 21:18:20 +01:00

8 lines
1.0 KiB
TeX

\subsection{Schlussfolgerung / Fazit}
\texttt{nftables} schneidet bezüglich Datendurchsatz bei einer mittleren Regelanzahl bis maximal 25 000 Regeln noch deutlich schlechter als \texttt{iptables} ab. Mehr als diese 25 000 Regeln werden in der Praxis eher selten benötigt. Um z.B. mehrere IP-Adressen gleichzeitig zu blockieren könnte man diese in ein \texttt{ipset} (\texttt{iptables}) oder in eine »(un)named set« (\texttt{nftables}) speichern und bräuchte dann nur noch eine Regel, um alle Pakete von diesen Adressen zu verwerfen.
Zwar schneidet \texttt{iptables} bezüglich der Antwortzeit bei einer sehr großen Regelanzahl schlechter ab als \texttt{nftables}, dies hält sich mit ca. 12 ms bei 100 000 Regeln aber dennoch in Grenzen.
Dieser Performance-Aspekt und die Tatsache, dass es bisher keine vollständige Dokumentation zu \texttt{nftables} gibt, führt zur Schlussfolgerung, dass \texttt{nftables} bisher \textbf{noch nicht} für den Produktiveinsatz bereit ist und es noch einige Zeit dauern wird, bis es \texttt{iptables} komplett ersetzen kann.