The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"В состав ядра 4.18 одобрено включение нового пакетного фильт..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от opennews on 31-Май-18, 13:27 
В ветку linux-next, на основе которой формируется начинка будущего ядра Linux 4.18, приняты (https://git.kernel.org/pub/scm/linux/kernel/git/davem/net-ne...) патчи c реализацией нового пакетного фильтра bpfilter (https://lkml.org/lkml/2018/5/21/1178), который развивается командой проекта NetFilter  и в отдалённой перспективе может вытеснить ныне предлагаемые инструменты фильтрации пакетов nftables и iptables.

В рамках проекта bpfilter  предпринята попытка создания компромиссного решения, использующего средства фильтрации на основе предоставляемой ядром подсистемы eBPF, предлагая при этом привычный синтаксис iptables. Bpfilter обрабатывает запросы API iptables и транслирует их в программы BPF, привязываемые к различным подсистемам. Например, при помощи XDP (https://www.iovisor.org/technology/xdp) (eXpress Data Path) можно запустить BPF-программу на уровне сетевого драйвера, с возможностью прямого доступа к DMA-буферу пакетов для высокопроизводительной обработки.


Так как bpfilter предоставляет на уровне ядра API iptables,  штатные утилиты iptables можно пересобрать для работы поверх bpfilter и обеспечить полную совместимость с наборами правил iptables, т.е. bpfilter сможет выступить в роли прозрачной замены iptables, полностью совместимой со всеми существующими конфигурациями (администраторам не придётся изучать новый синтаксис правил). Трансляция правил выполняется целиком в пространстве пользователя, что упрощает отладку и повышает безопасность. Для повышения производительности  применяется  JIT-компиляция BPF в машинные инструкции и задействование аппаратных механизмов выполнения BPF на уровне сетевого адаптера (например, Netronome NFP SmartNIC).


Основным мотивом создания  bpfilter стала недооценённость проекта
nftables и появление в ядре подсистемы eBPF, которая может заменить специальную виртуальную машину, применяемую в nftables для выполнения скомпилированных в байткод обработчиков. Чтобы не поддерживать две разные виртуальные машины, выполняющие сходные задачи, и для достижения более высокой производительности и защищённости у разработчиков возникла идея построения пакетного фильтра на основе штатного BPF-движка ядра Linux. Синтаксис правил
nftables кардинально отличается от iptables и это привело к трудностям при продвижении и низкой востребованности среди администраторов, которые продолжают использовать iptables, несмотря на все достоинства (https://www.opennet.ru/opennews/art.shtml?num=38901)
nftables.


Кроме набора примитивов для фильтрации сетевых пакетов bpfilter также предлагает новый тип модулей ядра umh (https://lwn.net/Articles/749108/) (usermode helper), которые выполняются в пространстве пользователя и привязываются в базовым модулям (модули содержат вспомогательные функции, например в модуле bpfilter.ko через них выполняется разбор и трансляция в BPF правил фильтрации). Модули umh функционируют под управлением ядра, оформляются в виде модулей ядра  и загружаются через modprobe, но выполняются в пространстве пользователя с привилегиями пользовательских приложений.


Взаимодействие umh-обработчиков с обычными модулями ядра производится с использование неименованных каналов (unix pipe), что позволяет абстрагироваться от протокола взаимодействия. Вынос операций разбора правил в пространство пользователя позволяет исключить из ядра потенциально опасный код, повысив общую безопасность системы. В перспективе рассматривается возможность применения umh-модулей за пределами bpfilter, например, для создания драйверов для устройств с интерфейсом USB.

Дополнительно, можно отметить публикацию (https://code.facebook.com/posts/1906146702752923/open-sourci.../) компанией Facebook под лицензией GPLv2  кода балансировщика нагрузки Katran (https://github.com/facebookincubator/katran), работающего на транспортном уровне (L4 (https://ru.wikipedia.org/wiki/%D0%A2%D1%...)) и используемого на серверах первичного распределения нагрузки, образующих общую  сеть распределения нагрузки по датацентрам. Замена традиционного IPVS (http://www.linuxvirtualserver.org/software/ipvs.html) в балансировщике нагрузки Facebook на решение на базе BPF и XDP позволило (https://www.netdevconf.org/2.1/slides/apr6/zhou-netdev-xdp-2...) поднять производительность в 10 раз.


Правила для распределения трафика компилируются в программы BPF, которые выполняются во встроенном в ядро Linux интерпретаторе байткода eBPF, позволяющем создавать обработчики сетевых операций, контролировать доступ и отслеживать работу систем, в том числе BPF-программы могут применяться для низкоуровневой обработки входящих/исходящих пакетов и принятия решений о перенаправлении пакетов. Для дополнительной оптимизации задействована инфраструктура XDP (https://www.iovisor.org/technology/xdp) (eXpress Data Path), которая предоставляет средства для запуска BPF-программ на уровне сетевого драйвера, что позволяет создавать высокопроизводительные обработчики для работы в условиях большой сетевой нагрузки.


URL: https://lkml.org/lkml/2018/5/21/1178
Новость: https://www.opennet.ru/opennews/art.shtml?num=48690

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +26 +/
Сообщение от гном спецназ on 31-Май-18, 13:27 
давайте больше ,что бы штук 10 фильтров в ядре и разный не читаемый синтаксис, под любое настроение
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –6 +/
Сообщение от Аноним (??) on 31-Май-18, 13:48 
Ну вон, у бздунов есть pf, ipfw и ipfilter - и ничего, живут.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +13 +/
Сообщение от ssh (ok) on 31-Май-18, 13:58 
> и ничего, живут.

Справедливости ради стоит добавить, что такой набор средств фильтрации далеко не у всех BSD-систем.
Да и вообще следует более уважительно относиться к сообществам, о которых вам мало что известно.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

20. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 31-Май-18, 15:41 
>такой набор средств фильтрации далеко не у всех BSD-систем

А где нету? У Тео, чтoле? Так он известный неадекват. Хотя с какой стороны посмотреть - лучше один инструмент нормальный, чем три перманентно недопиленных.

>мало что известно.

Да я кaкбэ и сам наряду с линyпсом стрекозу кое-где пользую и с фряхой знаком был когда-то.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

30. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –2 +/
Сообщение от ssh (ok) on 31-Май-18, 16:59 
> Да я кaкбэ и сам наряду с линyпсом стрекозу кое-где пользую и с фряхой знаком был когда-то.

Термин "пользовать" означает лечить. Правда-правда! Лечишь стрекоз? ветеринар-энтомолог? :)


Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

68. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +5 +/
Сообщение от Очередной аноним on 01-Июн-18, 08:39 
> Да и вообще следует более уважительно относиться к сообществам, о которых вам мало что известно.

Например, сатанисты чрезмерно демонизированы традиционными сообществами, верно?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

96. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 02-Июн-18, 22:38 
Излишне демонизированы при помощи шестьсот шестидесяти шестикратного форка процесса. Зачем форкать процесс 666 раз? Во имя Сатаны, конечно же!
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

17. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от нах on 31-Май-18, 15:24 
> Ну вон, у бздунов есть pf, ipfw и ipfilter - и ничего,
> живут.

дерьмово живут. один неспособен банальный ftp без user-mode helper переварить (что, какой еще h323, вы о чем?), второй совершенно неуправляем и нечитаем в конфигурациях чуть сложнее локалхостовой, третий вообще труп двадцатилетней давности (когда-то и под линукс собирался, но недолго).

Но вы не волнуйтесь, в линуксе так не будет, у нас такого не бывает. Через пол-годика netfilter объявят deprecated, через год сломают необратимо, через два проведут в рассылке блиц-опрос "кто из авторов bpfilter использует netfilter?" и по результатам удалят "неработающий и неподдерживаемый код".

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

18. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +2 +/
Сообщение от Аноним (??) on 31-Май-18, 15:30 
>и по результатам удалят "неработающий и неподдерживаемый код".

После чего сделают большие пальцетыкательные иконки, вкорячат в ядро вейланд, перепишут его на gtk4, которое задумано как постоянно ломающееся, после чего leenoops накроется гномощелью.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –1 +/
Сообщение от нах on 31-Май-18, 16:07 
> После чего сделают большие пальцетыкательные иконки

что значит - после? Уже же ж... Буквально месяц назад тут читал анонс очередного чудо-фиреволла "как в виндовс, только там он работал" (а у нас "как в виндовс" означало что оно тоже умеет высунуть окошко под руку)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

22. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 31-Май-18, 15:47 
>дерьмово живут.

Тем не менее, когда мне однажды понадобилась хитровые.анная конфигурация на софтороутере, только с pfsense удалось ее поднять, а он сам знаешь на чем.

>объявят deprecated, через год сломают необратимо

Несмешная шутка, именно потому, что имеет все шансы сбыться.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

47. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +1 +/
Сообщение от 34o2i3j2g054jt on 31-Май-18, 19:33 
> дерьмово живут. один неспособен банальный ftp без user-mode helper переварить (что, какой еще h323, вы о чем?),

Вы путаете функционал пакетного фильтра и NAT ALG. Одно не подразумевает другого.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

64. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –4 +/
Сообщение от Аноним (??) on 01-Июн-18, 02:17 
Типа как шейпер в фаервол пихать - так нормально, а как nat, так сразу - "не функционал пакетного фильтра", угу. Двойные стандарты 6здунов as is.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

99. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Netmapguy on 03-Июн-18, 01:54 
> Вы путаете функционал пакетного фильтра и NAT ALG. Одно не подразумевает другого.

а причем тут nat? чтобы был нормальный stateful firewall надо уметь смотреть в payload и контрольку всяких sip/ftp/pptp.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

109. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +1 +/
Сообщение от ugygi76865e54 on 04-Июн-18, 08:05 
Тут либо NAT ALG, либо DPI.
Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

110. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от 34o2i3j2g054jt on 04-Июн-18, 11:48 
Он имеет ввиду динамическое создание разрешающих правил для пропуска связанного трафика - FTP - data, SIP - rpt и т.п. без какого-либо NAT.
Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

19. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 31-Май-18, 15:31 
> Ну вон, у бздунов есть pf, ipfw и ipfilter - и ничего, живут.
> ipfilter

У которого полтора пользователя, причем чуть ли не в буквальном смысле.

> бздунов

Ну да, зачем интересоваться, как расшифровывается BPF, когда можно гордо задрать гузку?

https://github.com/torvalds/linux/blob/80cee03bf1d626db02782...
> * Based on the design of the Berkeley Packet Filter. The new

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

21. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –1 +/
Сообщение от Аноним (??) on 31-Май-18, 15:43 
>У которого полтора пользователя, причем чуть ли не в буквальном смысле.

Ах да, я забыл, он теперь не модный и не молодежный.

>зачем интересоваться, как расшифровывается BPF, когда кэп на дежурстве?

Починил.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

25. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 31-Май-18, 16:12 
>>У которого полтора пользователя, причем чуть ли не в буквальном смысле.
> Ах да, я забыл, он теперь не модный и не молодежный.

Шуберт, ты?
В стрекозе его выкинуле еще лет 7 назад, последнее минорное обновление было в 2012, обновления до этой минорщины - в 2010 и 2004(!).
Были попытки дропа из базы, но есть один упертый немодник-немолодежник, готовый доказывать нужность и незаменимость и даже вызвавшийся кое-как мейнтенить (иначе выкинули бы, несмотря на все протесты).

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

38. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –2 +/
Сообщение от Аноним (??) on 31-Май-18, 18:42 
>Berkeley Packet Filter

Ну придумали в универе Беркли и что теперь? Благодарить за это FreeBSD?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

62. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от XoRe (ok) on 31-Май-18, 23:33 
> Ну придумали в универе Беркли и что теперь? Благодарить за это FreeBSD?

Благодарить за это _разработчиков_ FreeBSD.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

87. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Moomintroll (ok) on 01-Июн-18, 12:05 
>> Ну придумали в универе Беркли и что теперь? Благодарить за это FreeBSD?
> Благодарить за это _разработчиков_ FreeBSD.

https://en.wikipedia.org/wiki/Berkeley_Packet_Filter

«The original paper was written by Steven McCanne and Van Jacobson in 1992 while at Lawrence Berkeley Laboratory»

В оригинальном документе BPF расшифровывается как «BSD Packet Filter» (не Berkley!), но и FreeBSD нигде не упоминается. При этом там сказано (в декабре 1992!), что «BPF is now about two years old …» из чего можно сделать вывод, что BPF родился ещё в оригинальной BSD. Напомню - FreeBSD начинает свою историю только в 1993.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

103. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –1 +/
Сообщение от t (??) on 03-Июн-18, 06:08 
> из чего можно сделать вывод, что BPF родился ещё в оригинальной
> BSD. Напомню - FreeBSD начинает свою историю только в 1993.

Если ты думаешь, что в современное ядро линукса впихнут код BSD 1992 года, то с выводами у тебя проблемы. А современный код создаётся в том числе и на фришке. Так что будь благодарен и не занимайся больше аналитикой.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

104. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Netmapguy on 03-Июн-18, 12:56 

> Если ты думаешь, что в современное ядро линукса впихнут код BSD 1992
> года, то с выводами у тебя проблемы. А современный код создаётся
> в том числе и на фришке.

код ядра linux писать на freebsd? мсье знает толк в извращениях.

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

106. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –1 +/
Сообщение от t (??) on 03-Июн-18, 20:41 
Ты не в теме. Читай заголовок новости и товарища, которому я ответил. Может что поймёшь.
Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

107. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –1 +/
Сообщение от анон on 04-Июн-18, 02:57 
>В оригинальном документе BPF расшифровывается как «BSD Packet Filter» (не Berkley!)

Пойди чуть дальше и поинтересуйся,как расшифровывается BSD.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

73. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от alex (??) on 01-Июн-18, 09:14 
Есть то они есть, но ядро тут причем?
Они подключаются модулями, по необходимости.
И также, по необходимости, компилируются в ядро.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

36. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 31-Май-18, 17:59 
https://imgs.xkcd.com/comics/standards.png
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

50. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +1 +/
Сообщение от Аноним (??) on 31-Май-18, 21:02 
Не надо 10, нужен хотя бы один рабочий. Вот, ребята пытались nftables сделать — не вышло. Будем надеяться, что эта попытка будет более удачной.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

111. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от nur (??) on 05-Июн-18, 15:16 
>> это привело к трудностям при продвижении и низкой востребованности среди администраторов, которые продолжают использовать iptables, несмотря на все достоинства nftables

админы юзают, потому что более ничего вменяемого не существует
тот же ipfw обладает наиболее человеческим языком, но нет блин, линух же делали студенты, поэтому нужно выдумать такой эмо-синтаксис чтобы все офигевали от этих ПрИфФеТиКоВВВВВ

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +2 +/
Сообщение от Старый одмин on 31-Май-18, 13:38 
Что-то не помню я достоинств у nftables, кроме дурацкого синтаксиса, багов, и тормозов.
А вот eBPF уже давно обзавелся JIT компилятором.
Проект Cilium продвинулся ещё на шаг к успеху.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +3 +/
Сообщение от Аноним (??) on 31-Май-18, 14:17 
А чего это у nftables синтаксис дурацкий? Непривычный после iptables, зато структурированный. И чем-то напоминает синтаксис iproute2.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

79. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Старый одмин on 01-Июн-18, 10:52 
Если бы он был как у iproute2, и выводился бы нормальный диагноз при ошибке и описание всех опций в форме Бэкуса-Наура, то цены ему не было.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от нах on 31-Май-18, 15:18 
вы просто ничего не понимаете в новых-модных технологиях. Авторам докера, шмокера, system-ненужноd очень сложно и неудобно лезть в обход админа автомагически редактировать iptables, тем более что апи у него - гуано (а гуано ровно потому, что авторы редактировали правила руками, читали - глазами, а думали - головой, и вообще не видели смысла в бинарном api для замены этого всего)

привыкайте, скоро "придет на замену". Все автомагически, с непредсказуемыми глюками и багами, исправлять которые некому, для чтения и отладки руками не предназначено в принципе. А файрволлы мы будем настраивать на чем-нибудь другом, отличном от линуксов :-(

При этом банального валидатора правил (который был в ipchains, и который обещали еще в 2000м "как только так сразу") по сей день ниасилили.

> А вот eBPF уже давно обзавелся JIT компилятором.

ненужное ненужно обзавелось ненужно. Поправил, не благодарите.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

33. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 31-Май-18, 17:22 
>[оверквотинг удален]
> - головой, и вообще не видели смысла в бинарном api для
> замены этого всего)
> привыкайте, скоро "придет на замену". Все автомагически, с непредсказуемыми глюками и багами,
> исправлять которые некому, для чтения и отладки руками не предназначено в
> принципе. А файрволлы мы будем настраивать на чем-нибудь другом, отличном от
> линуксов :-(
> При этом банального валидатора правил (который был в ipchains, и который обещали
> еще в 2000м "как только так сразу") по сей день ниасилили.
>> А вот eBPF уже давно обзавелся JIT компилятором.
> ненужное ненужно обзавелось ненужно. Поправил, не благодарите.

И куда только смотрит Светоч Ядростроения? Видимо, продался давно.


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

44. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –1 +/
Сообщение от Иосиф Виссарионович Сталин email on 31-Май-18, 19:19 
Я как то запяматовал, а как редактировать баги в компилированных программах?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

80. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Онанимус on 01-Июн-18, 10:58 
> Я как то запяматовал, а как редактировать баги в компилированных программах?

"запяматовал" - ничего удивительного для персонажа, чей мозг лежит в банке с формалином.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

51. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –2 +/
Сообщение от Аноним (??) on 31-Май-18, 21:05 
> авторы редактировали правила руками, читали - глазами, а думали - головой

Но дедали это всё исключительно в рамках своего локалхоста. Потому что редактировать руками и читать глазами скрипты настройки фаерволла на каждом сервере нет ни возможности, ни желания когда их становится больше двух. А автоматизировать нетранзакционный iptables — то ещё приключение.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

59. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +2 +/
Сообщение от нах on 31-Май-18, 23:17 
> Но дедали это всё исключительно в рамках своего локалхоста.

делали в рамках хостов, смотрящих в интернет. Далеко не локал.
Если у вас таких заметно "больше двух", вы либо гугль, либо лох.

"Бегун" на пике популярности на свои ~700 нод обходился, помнится, четырьмя фронтендами. С хорошим запасом (то есть вполне выживал при отвале двух вместе с датацентром где те находились)

> А автоматизировать нетранзакционный iptables — то ещё приключение.

то есть вы ни автоматизировать не умеете, ни iptables толком не знаете. (псевдо"транзакционность" там беда, а не достижение. Впрочем, у bsd pf такая же)
Но рассуждаете о тысячах хостов. Как обычно :-(

А по факту имеем прекрасный модуль гома, выводящий окошко "разрешить ли страшному-опасному ftp-клиенту внешние подключения" - "как в винде". Хотя как раз это нахрен не надо и в винде тоже.

packet tracer вы не напишете никогда. А вот он как раз нужен.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

92. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +1 +/
Сообщение от Аноним (??) on 01-Июн-18, 15:22 
Я вообще не понял этого финта с nftables, более того, ни разу так и не увидел его в продакшне.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

93. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Andrey Mitrofanov on 01-Июн-18, 18:56 
> Я вообще не понял этого финта с nftables, более того, ни разу
> так и не увидел его в продакшне.

И не увидишь.  Оно не достаточно контейнерное, модное, мододёжное оркестровое и каа-банное.  Сейчас ребята смузи допьют и приведут приговор в исполнение.

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

97. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 02-Июн-18, 22:51 
> Я вообще не понял этого финта с nftables, более того, ни разу
> так и не увидел его в продакшне.

Я видел в продакшене, в своём. Часть хостов перевели на него посмотреть. Если не обращать внимания на отсутствующую функциональность (notrack и ipsec, например), то впечатления только приятные. Удобный синтаксис, транзакционность, атомарность операций, удобно автоматизировать. Год-два активной работы и он бы имел все преимущества, чтобы вытеснить iptables за счёт удобства. Но в том виде, что он имеет сейчас это, конечно, не production ready. Теперь надежды на преемника.

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

100. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –2 +/
Сообщение от Netmapguy on 03-Июн-18, 02:04 
> Что-то не помню я достоинств у nftables

пффф... допустим, у нас 2к юзеров с серыми адресами и каждого надо натить в уникальный внешний адрес.

на iptables у вас будет 2к правил, а в nftables - одно из-за verdict maps.
да, в мапе будет 2к записей, но лукап по ней будет O(1), а не O(n) как в случае iptables(потому что все 2к правил nat придется пробегать на каждый пакет, для котого нет записи в conntrack).


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +2 +/
Сообщение от tonys email(??) on 31-Май-18, 13:57 
А есть такой же, но от Поттеринга?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Anonimus (??) on 31-Май-18, 14:19 
Фу, нидай бог поделия поттеринга этож ужас какой-то будет.:)
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +6 +/
Сообщение от Аноним (??) on 31-Май-18, 14:22 
Будет, systemd-bpfilterd :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +1 +/
Сообщение от Andrey Mitrofanov on 31-Май-18, 14:43 
> Фу, нидай бог поделия поттеринга этож ужас какой-то будет.:)

Не бойтесь, камарады, лёня в шел скрипты не смог, про сетевые пакетики можно не беспокоиться,

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

29. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +3 +/
Сообщение от ssh (ok) on 31-Май-18, 16:53 
> Не бойтесь, камарады, лёня в шел скрипты не смог, про сетевые пакетики
> можно не беспокоиться,

Именно это и пугает. :D

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

81. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –3 +/
Сообщение от Старый одмин on 01-Июн-18, 10:58 
>> Фу, нидай бог поделия поттеринга этож ужас какой-то будет.:)
> Не бойтесь, камарады, лёня в шел скрипты не смог, про сетевые пакетики
> можно не беспокоиться,

Да ты что? А Avahi?
Вообще зря вы на systemd так напераете. Хоть он не без проблем, но жить помогает.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

9. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 31-Май-18, 14:24 
Самое ценное в этой штуке то, что она работает в том числе с привычными хуками iptables. То есть для старых конфигураций общая логика работы, несмотря на новую механику, не изменяется.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от нах on 31-Май-18, 15:20 
> Самое ценное в этой штуке то, что она работает в том числе
> с привычными хуками iptables. То есть для старых конфигураций общая логика
> работы, несмотря на новую механику, не изменяется.

только в десяти местах криво воспроизведут, еще в пяти окажется несовместимо.

Не надейтесь, забывайте уже свои iptables, это только затычка на время переходного периода, причем для тех, у кого эти самые tables были абсолютно примитивные - у других работать не будет.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

45. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –1 +/
Сообщение от Иосиф Виссарионович Сталин email on 31-Май-18, 19:20 
>> Самое ценное в этой штуке то, что она работает в том числе
>> с привычными хуками iptables. То есть для старых конфигураций общая логика
>> работы, несмотря на новую механику, не изменяется.
> только в десяти местах криво воспроизведут, еще в пяти окажется несовместимо.
> Не надейтесь, забывайте уже свои iptables, это только затычка на время переходного
> периода, причем для тех, у кого эти самые tables были абсолютно
> примитивные - у других работать не будет.

Ну когдато мы пользовались мсдосом и сейчас его нет.
Все бежит, все меняется.
так зачем хейтить, что идет прогресс?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

52. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от пох on 31-Май-18, 21:15 
> Ну когдато мы пользовались мсдосом и сейчас его нет.
> Все бежит, все меняется.

вот и бегите дальше, без меня.

Я "пользовался мсдосом" _после_ (и между) тем, как пользовался юникс-системами. Мир вычислительной техники не начался с 1ВМ-РЭСЭ, если вы не в курсе. (к тому же на ней у нас был venix)
И благополучно пережил тот день, когда его окончательно закoпали.

Шансов пережить ту мерзость, в которую превратили линукс, у меня уже немного, но у тех кто сейчас только осваивает азы, вполне себе есть.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

69. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –1 +/
Сообщение от Аноним (??) on 01-Июн-18, 09:02 
Кто тебе сказал, что его нет? Я до сих пор ретрогамаю. Можно кассовые аппараты на нём встретить, причём не только в этой стране. Он есть, для специфичных применений.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

74. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +1 +/
Сообщение от Andrey Mitrofanov on 01-Июн-18, 09:23 
> Ну когдато мы пользовались мсдосом и сейчас его нет.
> Все бежит, все меняется.
> так зачем хейтить, что идет прогресс?

Вы MBA не "заканчивали"? Или, там, в Харли-Дэвидсоне не работали? А то как-то евро-цененостным менеджементом пахнуло.

""  Сегодня организационные изменения стали реальностью и синонимом
слов «выживание» и «развитие» для любой организации.  Управление
ими приобрело статус одной из самых важных задач и, одновременно,
компетенций современного менеджера.  В разные моменты времени
менеджеры становятся как организаторами преобразований, так и их
«реализаторами», на плечи которых ложится, пожалуй, самая сложная
задача — запустить и довести до успешного завершения процесс
перемен.  ""

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

83. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –3 +/
Сообщение от Онанимус on 01-Июн-18, 11:08 
Бунт против часовой стрелки?
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

11. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 31-Май-18, 14:30 
>Модули umh функционируют под управлением ядра, оформляются в виде модулей ядра и загружаются через modprobe, но выполняются в пространстве пользователя с привилегиями пользовательских приложений.

Так это, наверное, следовало бы сделать отдельной универсальной подсистемой, которую возможно использовать не только для нужд фильтрации пакетов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 31-Май-18, 14:40 
Например, невидиевские блобы в umh засунуть.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

42. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –2 +/
Сообщение от КО on 31-Май-18, 19:01 
Этак они до микроядра доиграются. Всего то делов все модули ядра грузить как umh. :)
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

58. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +1 +/
Сообщение от Аноним (??) on 31-Май-18, 23:04 
Не мытьём, так катанием. :)
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

75. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +1 +/
Сообщение от Andrey Mitrofanov on 01-Июн-18, 09:26 
> Этак они до микроядра доиграются. Всего то делов все модули ядра грузить
> как umh. :)

Чего только не делают, лишь бы в GNU и Hurd не коммитить.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

16. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 31-Май-18, 15:24 
iptables это же не только фильтрация, это ещё conntrack, nat, ipset, recent, log, и т.п., не совсем ясно как это будет работать с bpfilter
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 31-Май-18, 17:26 
это все не нужно гуглам, фейсбукам, твиттерам и прочим хипстерам. а значит выкинут на помойку.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

43. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 31-Май-18, 19:11 
Оно просто в другом виде для облаков через всякие микросервисы и дисковеры управляет
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

53. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –1 +/
Сообщение от пох on 31-Май-18, 21:16 
> это все не нужно гуглам, фейсбукам, твиттерам и прочим хипстерам. а значит

сперва сломают, потом удивленно спросят "ка-а-а-ак? В ядре неподдерживаемый код?!" - а потом да:
> выкинут на помойку.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

70. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –1 +/
Сообщение от Аноним (??) on 01-Июн-18, 09:04 
> iptables это же не только фильтрация, это ещё conntrack, nat, ipset, recent,
> log, и т.п., не совсем ясно как это будет работать с
> bpfilter

Ничто в общем не мешает вызывать API модулей из bpf.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

101. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –1 +/
Сообщение от Netmapguy on 03-Июн-18, 02:09 
> iptables это же не только фильтрация, это ещё conntrack, nat, ipset, recent,
> log, и т.п., не совсем ясно как это будет работать с
> bpfilter

думать примерно в эту сторону:

https://www.mail-archive.com/netdev@vger.kernel.org/msg...

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

46. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +3 +/
Сообщение от Аноним (??) on 31-Май-18, 19:28 
Я-то думал, что nft не используют из-за отсутсвия доброй половины достаточно важных модулей (recent, u32 из того, что конкретно мне надо было) в тех кейсах, в которых он был бы интересен продвинутым синтаксисом (ведь в обычном кейсе -o eth0 -s 192.168.0.0/24 -j MASQUERADE вообще наплевать, будет там nft, ipt, или "ip nad outside"), и отсутствием базового оперейшн функционала вроде "очистить счетчики", "заэкспортить в виде комманд, а не своего недо-жсона" и прочих мелких, но необходимых плюшек, а оно вона как, оказывается, сложный синтаксис всему виной.

Но ничего, сейчас мы завезем немного виртуальных машин в ядро (а то и прямо в железо), которые будут мало того, что тьюринг-полными, так еще и с доступом "куда надо", десяток-другой entrypoint-ов в это API из самых труднодоступных мест, и начнем весело вылавливать руткиты из пакетных фильтров, которые будет делать незнамо что, и отображаться в системе неизвестно как.

P.S. тот самый bpf уже научили в итерацию, которая необходима для нормального парсинга IPv6 экстеншенс?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

71. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –3 +/
Сообщение от Аноним (??) on 01-Июн-18, 09:04 
> P.S. тот самый bpf уже научили в итерацию, которая необходима для нормального
> парсинга IPv6 экстеншенс?

IPv6 не нужен, IPv6 экстеншны не нужны вдвойне.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

48. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +4 +/
Сообщение от Аноним (??) on 31-Май-18, 19:48 
>Bpfilter обрабатывает запросы API iptables и транслирует их в программы BPF

Пшаудио от фаерволов?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –1 +/
Сообщение от Аноним (??) on 31-Май-18, 21:22 
Он будет работать с инструментами типа shorewall?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –1 +/
Сообщение от Аноним (??) on 31-Май-18, 21:55 
А как быть с ebtables arptables?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

60. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –1 +/
Сообщение от нах on 31-Май-18, 23:19 
> А как быть с ebtables arptables?

судя по воплям нового модного ядра еще-не-совсем-почти-готового-для-десктопа - уже успешно доламывают и доломают еще даже раньше чем остальное.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

102. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –1 +/
Сообщение от Netmapguy on 03-Июн-18, 02:12 
> А как быть с ebtables arptables?

они существовали только по той причине что iptables не умел что-то отличное от ipv4.
даже ipv6 не умеет.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

56. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +1 +/
Сообщение от Аноним (??) on 31-Май-18, 22:26 
Ох! Пару месяцев назад свой localhost на nft перевел, а тут опять.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 31-Май-18, 23:23 
Его ещё не скоро выкинут. А мне думается, что объединят код nftables и bpfilter.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

72. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 01-Июн-18, 09:05 
> Ох! Пару месяцев назад свой localhost на nft перевел, а тут опять.

А я поигрался и выкинул. Оверинженереная хрень.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

77. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 01-Июн-18, 09:34 
Аналогично. Остановитесь!
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

78. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –1 +/
Сообщение от Пряникё on 01-Июн-18, 10:34 
Лучше бы они firewalld выкинули. Вот убожество - так убожество
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

84. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +2 +/
Сообщение от Аноним (??) on 01-Июн-18, 11:22 
Причём тут ядро, болезный? firewalld это системдос, который фридесктоп, а не ядро.
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

85. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  –1 +/
Сообщение от Аноним (??) on 01-Июн-18, 11:37 
Таки на мой вкус низкая популярность nftables не от того, что синтаксис другой, а от того, что поддержка нулевая. Тот же докер, всеми горячо любимый, кроме iptables нихрена не умеет, а без этого очень уж много прыгать с бубном приходится чтобы элементарные вещи в этом самом докере сделать. А nftables с iptables местами несовместим, в частности nat не работает ни один если оба в ядро загружены. История неуловимо напоминает ipv6, который вроде бы и есть, и внедряется, но на самом деле как-то очень вяло.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

98. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 02-Июн-18, 23:03 
> История
> неуловимо напоминает ipv6, который вроде бы и есть, и внедряется, но
> на самом деле как-то очень вяло.

~¼ всех хостов интернета доступны по IPv6 и их число растёт. Все крупнейшие домашние провайдерв в США выкатили IPv6 для своих клиентов буквально за полгода. А вот в диких всяких местах, там да, там IPv6 никому не нужен, там слои NAT наворачивают. Да и внедрять IPv6 тоже некому — специалистов нет.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

86. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от J.L. on 01-Июн-18, 11:54 
//оффтоп
на BPF можно написать (маленький) вебсервер? типо "модифицируем" пакет в ответ и перенаправляем его тому, от кого пришёл
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

88. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от КО on 01-Июн-18, 12:20 
Говорят, на BPF с JIT даже Спектра можно сделать, а там ужо не далеко останется... :)
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

89. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от vanoc email(ok) on 01-Июн-18, 12:47 
Мне кажется или я уже этот пост уже читал? Вроде один в один было уже здесь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

105. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +/
Сообщение от Аноним (??) on 03-Июн-18, 14:05 
В списке ссылок к новости посмотрите, был разбор дебатов, связанных с bpfilter.
Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

108. "В состав ядра 4.18 одобрено включение нового пакетного фильт..."  +1 +/
Сообщение от анон on 04-Июн-18, 03:05 
Новый велосипед в линуксе?
-Значит ничего нового.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor