>> С чисто теоретической точки зрения можно предположить, что компиляция в этом случае открывает
>> широкие просторы для оптимизации
> угу, а так же для очень нетривиального траблшутинга, когда компилятор что-то тебе
> такое наоптимизирует, совсем тобой неожидаемое.Компилируй для траблшутинга без оптимизаций, проблем-то? Я всегда в сложных случаях отладки с C врубаю -O0.
> А отладчик bpf - это нечто,
> безусловно очень простое, понятное и доступное (его уже вообще хотя бы
> - пишутъ?)
Зачем он тебе? Ты в байткоде bpf планируешь писать фильры?
> А теперь вопрос знатокам - а нахрена оно все, с перекладыванием оптимизации
> на компилятор, сдалось в такой несложной, в общем-то, задаче, как набор
> правил примитивного пакетного фильтра? И нельзя ли вместо этого девляпса просто
> выпороть?
Ну, во-первых, файрволл станет примитивным, если из него выкинуть все фильтры и оставить интерпретатор простенького байткода. А до того, как такая чистка проведена, он вовсе не примитивный, достаточно глянуть на список опций в menuconfig, перечисляющий всякие разные опциональные фильтры. Во-вторых, оптимизации, о которых я говорю, будет выполнять либо компилятор, либо никто. Либо компилятор посмотрит на твои правила, и подумает как бы таких их посчитать максимально эффективно, либо он не будет смотреть и ничего не будет делать, и в рантайме будет выполняться куча вещей, которые можно было бы выполнить один раз компиляцией. Как собрать цепочки и состыковать ты в любом случае будешь думать самостоятельно, но в случае если эти цепочки реализуются на табличках itables, то при передаче каждого пакета с одного фильтра на другой, заглядывает в табличку, достаёт оттуда указатель на фильтр, из него достаёт указатель на функцию, вызывает её... во всём этом очень много ненужных телодвижений процессора, и много ненужных телодвижений кешу. Ты можешь быть хоть семи пядей во лбу оптимизатором, но всё равно используя iptables ты не избавишь систему от них, потому что iptables не для этого.
>> То есть тут ситуация, в которой вообще сложно удивляться
> да нет, удивляться "как так, да не может же ж быть" -
> вполне несложно, но, примерно оценивая и осмысленность поставленной эффективными менеджерами
> редхата задачи, и подход к ее решению, и общий уровень нынешнего
> софта - я заранее вношу поправку на ветер. И вот тогда
> - получается 50/50.
Да, я знаю, что когда ты оцениваешь софт, ты делаешь это не по его техническим характеристикам, не по результатам тестов, а исключительно на основании своего субъективного отношения к менеджменту и к современным программистам. Ты мог бы не рассказывать об этом ещё раз, мне кажется все и так уже знают.
Ты ж админ, и всякие высоконагруженные случаи админишь? У тебя есть куча знаний и возможностей потестить? Ну дык потесть, выложи результаты тестов, раскрути свой аккаунт на хабре, или где там ты излагаешь результаты своих изысканий? Вот я ничего не админю, даже локалхост последнее время я не админю, потому что уже лет десять как он просто работает. Я иногда переустанавливаю систему, но тоже в "ленивом" режиме, чтобы оно само в фоне там собиралось и ставилось, не мешая при этом мне в интернетиках комментить. Но это даже не админство локалхоста, это, немного льстя себе, можно назвать "паверюзер". И это значит, что я не могу сравнить legacy iptables и интерпретатор байткода по производительности и прочему потреблению ресурсов на задачах хоть сколько-нибудь приближенных к реальности, потому что я не знаю, что это за задачи. Но меня гложет профессиональное любопытство, я бы с огромным интересом почитал бы про исследование нацеленное на сравнение, или даже нашёл бы скрипт который бы сравнивал, чтобы его можно было бы палочкой потыкать и своими глазами посмотреть, куда и зачем в разных случаях тратятся ресурсы.
Ты, казалось бы, обладаешь всеми квалификациями, для того чтобы провести такое исследование, но вместо этого ты рассуждаешь об эффективности менеджеров, и в прочую гуманитарщину лезешь, что мне совершенно неинтересно, потому что уж в гуманитарщине-то я точно больше твоего понимаю.
