The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

31.05.2018 11:08  В состав ядра 4.18 одобрено включение нового пакетного фильтра bpfilter

В ветку linux-next, на основе которой формируется начинка будущего ядра Linux 4.18, приняты патчи c реализацией нового пакетного фильтра bpfilter, который развивается командой проекта NetFilter и в отдалённой перспективе может вытеснить ныне предлагаемые инструменты фильтрации пакетов nftables и iptables.

В рамках проекта bpfilter предпринята попытка создания компромиссного решения, использующего средства фильтрации на основе предоставляемой ядром подсистемы eBPF, предлагая при этом привычный синтаксис iptables. Bpfilter обрабатывает запросы API iptables и транслирует их в программы BPF, привязываемые к различным подсистемам. Например, при помощи XDP (eXpress Data Path) можно запустить BPF-программу на уровне сетевого драйвера, с возможностью прямого доступа к DMA-буферу пакетов для высокопроизводительной обработки.

Так как bpfilter предоставляет на уровне ядра API iptables, штатные утилиты iptables можно пересобрать для работы поверх bpfilter и обеспечить полную совместимость с наборами правил iptables, т.е. bpfilter сможет выступить в роли прозрачной замены iptables, полностью совместимой со всеми существующими конфигурациями (администраторам не придётся изучать новый синтаксис правил). Трансляция правил выполняется целиком в пространстве пользователя, что упрощает отладку и повышает безопасность. Для повышения производительности применяется JIT-компиляция BPF в машинные инструкции и задействование аппаратных механизмов выполнения BPF на уровне сетевого адаптера (например, Netronome NFP SmartNIC).

Основным мотивом создания bpfilter стала недооценённость проекта nftables и появление в ядре подсистемы eBPF, которая может заменить специальную виртуальную машину, применяемую в nftables для выполнения скомпилированных в байткод обработчиков. Чтобы не поддерживать две разные виртуальные машины, выполняющие сходные задачи, и для достижения более высокой производительности и защищённости у разработчиков возникла идея построения пакетного фильтра на основе штатного BPF-движка ядра Linux. Синтаксис правил nftables кардинально отличается от iptables и это привело к трудностям при продвижении и низкой востребованности среди администраторов, которые продолжают использовать iptables, несмотря на все достоинства nftables.

Кроме набора примитивов для фильтрации сетевых пакетов bpfilter также предлагает новый тип модулей ядра umh (usermode helper), которые выполняются в пространстве пользователя и привязываются в базовым модулям (umh-модули содержат вспомогательные функции, например в модуле bpfilter.ko через них выполняется разбор и трансляция в BPF правил фильтрации). Модули umh функционируют под управлением ядра, оформляются в виде модулей ядра и загружаются через modprobe, но выполняются в пространстве пользователя с привилегиями пользовательских приложений.

Взаимодействие umh-обработчиков с обычными модулями ядра производится с использованием неименованных каналов (unix pipe), что позволяет абстрагироваться от протокола взаимодействия. Вынос операций разбора правил в пространство пользователя позволяет исключить из ядра потенциально опасный код, повысив общую безопасность системы. В перспективе рассматривается возможность применения umh-модулей за пределами bpfilter, например, для создания драйверов для устройств с интерфейсом USB.

Дополнительно, можно отметить публикацию компанией Facebook под лицензией GPLv2 кода балансировщика нагрузки Katran, работающего на транспортном уровне (L4) и используемого на серверах первичного распределения нагрузки, образующих общую сеть распределения нагрузки по датацентрам. Замена традиционного IPVS в балансировщике нагрузки Facebook на решение на базе BPF и XDP позволила поднять производительность в 10 раз.

Правила для распределения трафика компилируются в программы BPF, которые выполняются во встроенном в ядро Linux интерпретаторе байткода eBPF, позволяющем создавать обработчики сетевых операций, контролировать доступ и отслеживать работу систем, в том числе BPF-программы могут применяться для низкоуровневой обработки входящих/исходящих пакетов и принятия решений о перенаправлении пакетов. Для дополнительной оптимизации задействована инфраструктура XDP (eXpress Data Path), которая предоставляет средства для запуска BPF-программ на уровне сетевого драйвера, что позволяет создавать высокопроизводительные обработчики для работы в условиях большой сетевой нагрузки.

  1. Главная ссылка к новости (https://lkml.org/lkml/2018/5/2...)
  2. OpenNews: Для ядра Linux предложен новый пакетный фильтр bpfilter
  3. OpenNews: В рамках проекта OpenSnitch развивается динамический межсетевой экран для Linux
  4. OpenNews: Выпуск пакетного фильтра nftables 0.4, идущего на смену iptables
  5. OpenNews: Критические уязвимости в подсистеме eBPF ядра Linux
  6. OpenNews: Выпуск Cilium 1.0, сетевой системы для Linux-контейнеров, основанной на BPF
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: bpfilter, firewall, bpf, kernel, linux
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, гном спецназ (?), 13:27, 31/05/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +26 +/
    давайте больше ,что бы штук 10 фильтров в ядре и разный не читаемый синтаксис, под любое настроение
     
     
  • 2.3, Аноним (-), 13:48, 31/05/2018 [^] [ответить]    [к модератору]
  • –6 +/
    Ну вон, у бздунов есть pf, ipfw и ipfilter - и ничего, живут.
     
     
  • 3.5, ssh (ok), 13:58, 31/05/2018 [^] [ответить]    [к модератору]
  • +13 +/
    > и ничего, живут.

    Справедливости ради стоит добавить, что такой набор средств фильтрации далеко не у всех BSD-систем.
    Да и вообще следует более уважительно относиться к сообществам, о которых вам мало что известно.

     
     
  • 4.20, Аноним (-), 15:41, 31/05/2018 [^] [ответить]     [к модератору]
  • +/
    А где нету У Тео, чтoле Так он известный неадекват Хотя с какой стороны посмо... весь текст скрыт [показать]
     
     
  • 5.30, ssh (ok), 16:59, 31/05/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    > Да я кaкбэ и сам наряду с линyпсом стрекозу кое-где пользую и с фряхой знаком был когда-то.

    Термин "пользовать" означает лечить. Правда-правда! Лечишь стрекоз? ветеринар-энтомолог? :)


     
  • 4.68, Очередной аноним (?), 08:39, 01/06/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    > Да и вообще следует более уважительно относиться к сообществам, о которых вам мало что известно.

    Например, сатанисты чрезмерно демонизированы традиционными сообществами, верно?

     
     
  • 5.96, Аноним (-), 22:38, 02/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Излишне демонизированы при помощи шестьсот шестидесяти шестикратного форка процесса. Зачем форкать процесс 666 раз? Во имя Сатаны, конечно же!
     
  • 3.17, нах (?), 15:24, 31/05/2018 [^] [ответить]     [к модератору]  
  • +/
    дерьмово живут один неспособен банальный ftp без user-mode helper переварить ч... весь текст скрыт [показать]
     
     
  • 4.18, Аноним (-), 15:30, 31/05/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    После чего сделают большие пальцетыкательные иконки, вкорячат в ядро вейланд, пе... весь текст скрыт [показать]
     
     
  • 5.24, нах (?), 16:07, 31/05/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    что значит - после Уже же ж Буквально месяц назад тут читал анонс очередного... весь текст скрыт [показать]
     
  • 4.22, Аноним (-), 15:47, 31/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Тем не менее, когда мне однажды понадобилась хитровые анная конфигурация на софт... весь текст скрыт [показать]
     
  • 4.47, 34o2i3j2g054jt (?), 19:33, 31/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > дерьмово живут. один неспособен банальный ftp без user-mode helper переварить (что, какой еще h323, вы о чем?),

    Вы путаете функционал пакетного фильтра и NAT ALG. Одно не подразумевает другого.

     
     
  • 5.64, Аноним (-), 02:17, 01/06/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    Типа как шейпер в фаервол пихать - так нормально, а как nat, так сразу - "не функционал пакетного фильтра", угу. Двойные стандарты 6здунов as is.
     
  • 5.99, Netmapguy (?), 01:54, 03/06/2018 [^] [ответить]     [к модератору]  
  • +/
    а причем тут nat чтобы был нормальный stateful firewall надо уметь смотреть в p... весь текст скрыт [показать]
     
     
  • 6.109, ugygi76865e54 (?), 08:05, 04/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Тут либо NAT ALG, либо DPI.
     
     
  • 7.110, 34o2i3j2g054jt (?), 11:48, 04/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Он имеет ввиду динамическое создание разрешающих правил для пропуска связанного трафика - FTP - data, SIP - rpt и т.п. без какого-либо NAT.
     
  • 3.19, Аноним (-), 15:31, 31/05/2018 [^] [ответить]     [к модератору]  
  • +/
    У которого полтора пользователя, причем чуть ли не в буквальном смысле Ну да, з... весь текст скрыт [показать]
     
     
  • 4.21, Аноним (-), 15:43, 31/05/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Ах да, я забыл, он теперь не модный и не молодежный Починил ... весь текст скрыт [показать]
     
     
  • 5.25, Аноним (-), 16:12, 31/05/2018 [^] [ответить]     [к модератору]  
  • +/
    Шуберт, ты В стрекозе его выкинуле еще лет 7 назад, последнее минорное обновлен... весь текст скрыт [показать]
     
  • 4.38, Аноним (-), 18:42, 31/05/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    >Berkeley Packet Filter

    Ну придумали в универе Беркли и что теперь? Благодарить за это FreeBSD?

     
     
  • 5.62, XoRe (ok), 23:33, 31/05/2018 [^] [ответить]    [к модератору]  
  • +/
    > Ну придумали в универе Беркли и что теперь? Благодарить за это FreeBSD?

    Благодарить за это _разработчиков_ FreeBSD.

     
     
  • 6.87, Moomintroll (ok), 12:05, 01/06/2018 [^] [ответить]     [к модератору]  
  • +/
    https en wikipedia org wiki Berkeley_Packet_Filter 171 The original paper wa... весь текст скрыт [показать]
     
     
  • 7.103, t (??), 06:08, 03/06/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Если ты думаешь, что в современное ядро линукса впихнут код BSD 1992 года, то с ... весь текст скрыт [показать]
     
     
  • 8.104, Netmapguy (?), 12:56, 03/06/2018 [^] [ответить]     [к модератору]  
  • +/
    код ядра linux писать на freebsd мсье знает толк в извращениях ... весь текст скрыт [показать]
     
     
  • 9.106, t (??), 20:41, 03/06/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Ты не в теме. Читай заголовок новости и товарища, которому я ответил. Может что поймёшь.
     
  • 7.107, анон (?), 02:57, 04/06/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    >В оригинальном документе BPF расшифровывается как «BSD Packet Filter» (не Berkley!)

    Пойди чуть дальше и поинтересуйся,как расшифровывается BSD.

     
  • 3.73, alex (??), 09:14, 01/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Есть то они есть, но ядро тут причем?
    Они подключаются модулями, по необходимости.
    И также, по необходимости, компилируются в ядро.
     
  • 2.36, Аноним (-), 17:59, 31/05/2018 [^] [ответить]    [к модератору]  
  • +/
    https://imgs.xkcd.com/comics/standards.png
     
  • 2.50, Аноним (-), 21:02, 31/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Не надо 10, нужен хотя бы один рабочий. Вот, ребята пытались nftables сделать — не вышло. Будем надеяться, что эта попытка будет более удачной.
     
  • 2.111, nur (??), 15:16, 05/06/2018 [^] [ответить]     [к модератору]  
  • +/
    админы юзают, потому что более ничего вменяемого не существует тот же ipfw облад... весь текст скрыт [показать]
     
     ....нить скрыта, показать (29)

  • 1.2, Старый одмин (?), 13:38, 31/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Что-то не помню я достоинств у nftables, кроме дурацкого синтаксиса, багов, и тормозов.
    А вот eBPF уже давно обзавелся JIT компилятором.
    Проект Cilium продвинулся ещё на шаг к успеху.
     
     
  • 2.6, Аноним (-), 14:17, 31/05/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    А чего это у nftables синтаксис дурацкий? Непривычный после iptables, зато структурированный. И чем-то напоминает синтаксис iproute2.
     
     
  • 3.79, Старый одмин (?), 10:52, 01/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Если бы он был как у iproute2, и выводился бы нормальный диагноз при ошибке и описание всех опций в форме Бэкуса-Наура, то цены ему не было.
     
  • 2.14, нах (?), 15:18, 31/05/2018 [^] [ответить]     [к модератору]  
  • +/
    вы просто ничего не понимаете в новых-модных технологиях Авторам докера, шмокер... весь текст скрыт [показать]
     
     
  • 3.33, Аноним (-), 17:22, 31/05/2018 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален И куда только смотрит Светоч Ядростроения Видимо, прода... весь текст скрыт [показать]
     
  • 3.44, Иосиф Виссарионович Сталин (?), 19:19, 31/05/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Я как то запяматовал, а как редактировать баги в компилированных программах?
     
     
  • 4.80, Онанимус (?), 10:58, 01/06/2018 [^] [ответить]    [к модератору]  
  • +/
    > Я как то запяматовал, а как редактировать баги в компилированных программах?

    "запяматовал" - ничего удивительного для персонажа, чей мозг лежит в банке с формалином.

     
  • 3.51, Аноним (-), 21:05, 31/05/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Но дедали это всё исключительно в рамках своего локалхоста Потому что редактиро... весь текст скрыт [показать]
     
     
  • 4.59, нах (?), 23:17, 31/05/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    делали в рамках хостов, смотрящих в интернет Далеко не локал Если у вас таких ... весь текст скрыт [показать]
     
  • 2.92, Аноним (-), 15:22, 01/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Я вообще не понял этого финта с nftables, более того, ни разу так и не увидел его в продакшне.
     
     
  • 3.93, Andrey Mitrofanov (?), 18:56, 01/06/2018 [^] [ответить]     [к модератору]  
  • +/
    И не увидишь Оно не достаточно контейнерное, модное, мододёжное оркестровое и ... весь текст скрыт [показать]
     
  • 3.97, Аноним (-), 22:51, 02/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Я видел в продакшене, в своём Часть хостов перевели на него посмотреть Если не... весь текст скрыт [показать]
     
  • 2.100, Netmapguy (?), 02:04, 03/06/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    пффф допустим, у нас 2к юзеров с серыми адресами и каждого надо натить в уник... весь текст скрыт [показать]
     
     ....нить скрыта, показать (12)

  • 1.4, tonys (??), 13:57, 31/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    А есть такой же, но от Поттеринга?
     
     
  • 2.7, Anonimus (??), 14:19, 31/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Фу, нидай бог поделия поттеринга этож ужас какой-то будет.:)
     
     
  • 3.8, Аноним (-), 14:22, 31/05/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    Будет, systemd-bpfilterd :)

     
  • 3.13, Andrey Mitrofanov (?), 14:43, 31/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Фу, нидай бог поделия поттеринга этож ужас какой-то будет.:)

    Не бойтесь, камарады, лёня в шел скрипты не смог, про сетевые пакетики можно не беспокоиться,

     
     
  • 4.29, ssh (ok), 16:53, 31/05/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    > Не бойтесь, камарады, лёня в шел скрипты не смог, про сетевые пакетики
    > можно не беспокоиться,

    Именно это и пугает. :D

     
  • 4.81, Старый одмин (?), 10:58, 01/06/2018 [^] [ответить]     [к модератору]  
  • –3 +/
    Да ты что А Avahi Вообще зря вы на systemd так напераете Хоть он не без пробл... весь текст скрыт [показать]
     
  • 1.9, Аноним (-), 14:24, 31/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Самое ценное в этой штуке то, что она работает в том числе с привычными хуками iptables. То есть для старых конфигураций общая логика работы, несмотря на новую механику, не изменяется.
     
     
  • 2.15, нах (?), 15:20, 31/05/2018 [^] [ответить]     [к модератору]  
  • +/
    только в десяти местах криво воспроизведут, еще в пяти окажется несовместимо Не... весь текст скрыт [показать]
     
     
  • 3.45, Иосиф Виссарионович Сталин (?), 19:20, 31/05/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Ну когдато мы пользовались мсдосом и сейчас его нет Все бежит, все меняется т... весь текст скрыт [показать]
     
     
  • 4.52, пох (?), 21:15, 31/05/2018 [^] [ответить]     [к модератору]  
  • +/
    вот и бегите дальше, без меня Я пользовался мсдосом _после_ и между тем, ка... весь текст скрыт [показать]
     
  • 4.69, Аноним (-), 09:02, 01/06/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Кто тебе сказал, что его нет? Я до сих пор ретрогамаю. Можно кассовые аппараты на нём встретить, причём не только в этой стране. Он есть, для специфичных применений.
     
  • 4.74, Andrey Mitrofanov (?), 09:23, 01/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Вы MBA не заканчивали Или, там, в Харли-Дэвидсоне не работали А то как-то ев... весь текст скрыт [показать]
     
     
  • 5.83, Онанимус (?), 11:08, 01/06/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    Бунт против часовой стрелки?
     
  • 1.11, Аноним (-), 14:30, 31/05/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Так это, наверное, следовало бы сделать отдельной универсальной подсистемой, кот... весь текст скрыт [показать]
     
     
  • 2.12, Аноним (-), 14:40, 31/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Например, невидиевские блобы в umh засунуть.
     
  • 2.42, КО (?), 19:01, 31/05/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Этак они до микроядра доиграются. Всего то делов все модули ядра грузить как umh. :)
     
     
  • 3.58, Аноним (-), 23:04, 31/05/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Не мытьём, так катанием. :)
     
  • 3.75, Andrey Mitrofanov (?), 09:26, 01/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Этак они до микроядра доиграются. Всего то делов все модули ядра грузить
    > как umh. :)

    Чего только не делают, лишь бы в GNU и Hurd не коммитить.

     
  • 1.16, Аноним (-), 15:24, 31/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    iptables это же не только фильтрация, это ещё conntrack, nat, ipset, recent, log, и т.п., не совсем ясно как это будет работать с bpfilter
     
     
  • 2.34, Аноним (-), 17:26, 31/05/2018 [^] [ответить]    [к модератору]  
  • +/
    это все не нужно гуглам, фейсбукам, твиттерам и прочим хипстерам. а значит выкинут на помойку.
     
     
  • 3.43, Аноним (-), 19:11, 31/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Оно просто в другом виде для облаков через всякие микросервисы и дисковеры управляет
     
  • 3.53, пох (?), 21:16, 31/05/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > это все не нужно гуглам, фейсбукам, твиттерам и прочим хипстерам. а значит

    сперва сломают, потом удивленно спросят "ка-а-а-ак? В ядре неподдерживаемый код?!" - а потом да:
    > выкинут на помойку.

     
  • 2.70, Аноним (-), 09:04, 01/06/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Ничто в общем не мешает вызывать API модулей из bpf ... весь текст скрыт [показать]
     
  • 2.101, Netmapguy (?), 02:09, 03/06/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    думать примерно в эту сторону https www mail-archive com netdev vger kernel o... весь текст скрыт [показать]
     
  • 1.46, Аноним (-), 19:28, 31/05/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +3 +/
    Я-то думал, что nft не используют из-за отсутсвия доброй половины достаточно важ... весь текст скрыт [показать]
     
     
  • 2.71, Аноним (-), 09:04, 01/06/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    > P.S. тот самый bpf уже научили в итерацию, которая необходима для нормального
    > парсинга IPv6 экстеншенс?

    IPv6 не нужен, IPv6 экстеншны не нужны вдвойне.

     
  • 1.48, Аноним (-), 19:48, 31/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    >Bpfilter обрабатывает запросы API iptables и транслирует их в программы BPF

    Пшаудио от фаерволов?

     
  • 1.54, Аноним (-), 21:22, 31/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Он будет работать с инструментами типа shorewall?
     
  • 1.55, Аноним (-), 21:55, 31/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А как быть с ebtables arptables?
     
     
  • 2.60, нах (?), 23:19, 31/05/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > А как быть с ebtables arptables?

    судя по воплям нового модного ядра еще-не-совсем-почти-готового-для-десктопа - уже успешно доламывают и доломают еще даже раньше чем остальное.

     
  • 2.102, Netmapguy (?), 02:12, 03/06/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > А как быть с ebtables arptables?

    они существовали только по той причине что iptables не умел что-то отличное от ipv4.
    даже ipv6 не умеет.

     
  • 1.56, Аноним (-), 22:26, 31/05/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Ох! Пару месяцев назад свой localhost на nft перевел, а тут опять.
     
     
  • 2.61, Аноним (-), 23:23, 31/05/2018 [^] [ответить]    [к модератору]  
  • +/
    Его ещё не скоро выкинут. А мне думается, что объединят код nftables и bpfilter.
     
  • 2.72, Аноним (-), 09:05, 01/06/2018 [^] [ответить]    [к модератору]  
  • +/
    > Ох! Пару месяцев назад свой localhost на nft перевел, а тут опять.

    А я поигрался и выкинул. Оверинженереная хрень.

     
  • 2.77, Аноним (-), 09:34, 01/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Аналогично. Остановитесь!
     
  • 1.78, Пряникё (?), 10:34, 01/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Лучше бы они firewalld выкинули. Вот убожество - так убожество
     
     
  • 2.84, Аноним (-), 11:22, 01/06/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Причём тут ядро, болезный? firewalld это системдос, который фридесктоп, а не ядро.
     
  • 1.85, Аноним (-), 11:37, 01/06/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Таки на мой вкус низкая популярность nftables не от того, что синтаксис другой, ... весь текст скрыт [показать]
     
     
  • 2.98, Аноним (-), 23:03, 02/06/2018 [^] [ответить]     [к модератору]  
  • +/
    188 всех хостов интернета доступны по IPv6 и их число растёт Все крупнейшие... весь текст скрыт [показать]
     
  • 1.86, J.L. (?), 11:54, 01/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    //оффтоп
    на BPF можно написать (маленький) вебсервер? типо "модифицируем" пакет в ответ и перенаправляем его тому, от кого пришёл
     
     
  • 2.88, КО (?), 12:20, 01/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Говорят, на BPF с JIT даже Спектра можно сделать, а там ужо не далеко останется... :)
     
  • 1.89, vanoc (ok), 12:47, 01/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Мне кажется или я уже этот пост уже читал? Вроде один в один было уже здесь.
     
     
  • 2.105, Аноним (-), 14:05, 03/06/2018 [^] [ответить]    [к модератору]  
  • +/
    В списке ссылок к новости посмотрите, был разбор дебатов, связанных с bpfilter.
     
  • 1.108, анон (?), 03:05, 04/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Новый велосипед в линуксе?
    -Значит ничего нового.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor