Исходное сообщение
"Для ядра Linux предложен новый пакетный фильтр bpfilter" Отправлено A. Stahl Is Gay, 22-Фев-18 16:59
>> Самое приятное в этой ситуации, что на основе этого можно сделать порт >> pf. Чтобы > чтобы ради ftp держать user-space демон, а протоколы посложнее вообще не работали. А демон для ftp тут причем? o0 > Мечта, мечта современных "разработчиков". >> наконец-то можно было просто написать человекочитаемый pf.conf вместо этого > "человекочитаемый pf.conf" килобайт этак на триста. Ага, читайте. Еще и без скриптов, > то есть таблицы (которые хоть как-то выпрямляют его полную нечитаемость) вы > ниасилили. Ась? >[оверквотинг удален] > как раз "api есть". Даже счетчики не сохраняет) и авторов - > сделать эффективно (поэтому tables - в линуксе ими пользуются единицы, потому > что даже если все чейны горе-админ развернет в плоскую простыню, скорее > всего, никаких фатальных проблем с производительностью не возникнет, жил я как-то > с десятком тысяч строк в таблице, пользователи ничего не замечали (оно > было после "ESTABLISHED", конечно). Причем я-то мог бы при надобности ее > оптимизировать, пожертвовав удобочитаемостью и простотой изменений. >> ада с правилами iptables через шеллскрипты. > покажите мне ваш iptables, и расскажите, зачем вам там какие-то дурацкие shell-скрипты, > почему мне они отродясь не были нужны? У iptables нет конфига. Поэтому нужно писать шелл-скрипт, состоящий из серии вызовов iptables с нужными ключами. Можно, конечно, использовать iptables-save и iptables-restore, но тогда теряются все комментарии.