1.1, гном спецназ (?), 13:27, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +26 +/– |
давайте больше ,что бы штук 10 фильтров в ядре и разный не читаемый синтаксис, под любое настроение
| |
|
2.3, Аноним (-), 13:48, 31/05/2018 [^] [^^] [^^^] [ответить]
| –6 +/– |
Ну вон, у бздунов есть pf, ipfw и ipfilter - и ничего, живут.
| |
|
3.5, ssh (ok), 13:58, 31/05/2018 [^] [^^] [^^^] [ответить]
| +13 +/– |
> и ничего, живут.
Справедливости ради стоит добавить, что такой набор средств фильтрации далеко не у всех BSD-систем.
Да и вообще следует более уважительно относиться к сообществам, о которых вам мало что известно.
| |
|
4.20, Аноним (-), 15:41, 31/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
>такой набор средств фильтрации далеко не у всех BSD-систем
А где нету? У Тео, чтoле? Так он известный неадекват. Хотя с какой стороны посмотреть - лучше один инструмент нормальный, чем три перманентно недопиленных.
>мало что известно.
Да я кaкбэ и сам наряду с линyпсом стрекозу кое-где пользую и с фряхой знаком был когда-то.
| |
|
5.30, ssh (ok), 16:59, 31/05/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Да я кaкбэ и сам наряду с линyпсом стрекозу кое-где пользую и с фряхой знаком был когда-то.
Термин "пользовать" означает лечить. Правда-правда! Лечишь стрекоз? ветеринар-энтомолог? :)
| |
|
4.68, Очередной аноним (?), 08:39, 01/06/2018 [^] [^^] [^^^] [ответить]
| +5 +/– |
> Да и вообще следует более уважительно относиться к сообществам, о которых вам мало что известно.
Например, сатанисты чрезмерно демонизированы традиционными сообществами, верно?
| |
|
5.96, Аноним (-), 22:38, 02/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
Излишне демонизированы при помощи шестьсот шестидесяти шестикратного форка процесса. Зачем форкать процесс 666 раз? Во имя Сатаны, конечно же!
| |
|
|
3.17, нах (?), 15:24, 31/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Ну вон, у бздунов есть pf, ipfw и ipfilter - и ничего,
> живут.
дерьмово живут. один неспособен банальный ftp без user-mode helper переварить (что, какой еще h323, вы о чем?), второй совершенно неуправляем и нечитаем в конфигурациях чуть сложнее локалхостовой, третий вообще труп двадцатилетней давности (когда-то и под линукс собирался, но недолго).
Но вы не волнуйтесь, в линуксе так не будет, у нас такого не бывает. Через пол-годика netfilter объявят deprecated, через год сломают необратимо, через два проведут в рассылке блиц-опрос "кто из авторов bpfilter использует netfilter?" и по результатам удалят "неработающий и неподдерживаемый код".
| |
|
4.18, Аноним (-), 15:30, 31/05/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
>и по результатам удалят "неработающий и неподдерживаемый код".
После чего сделают большие пальцетыкательные иконки, вкорячат в ядро вейланд, перепишут его на gtk4, которое задумано как постоянно ломающееся, после чего leenoops накроется гномощелью.
| |
|
5.24, нах (?), 16:07, 31/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> После чего сделают большие пальцетыкательные иконки
что значит - после? Уже же ж... Буквально месяц назад тут читал анонс очередного чудо-фиреволла "как в виндовс, только там он работал" (а у нас "как в виндовс" означало что оно тоже умеет высунуть окошко под руку)
| |
|
4.22, Аноним (-), 15:47, 31/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
>дерьмово живут.
Тем не менее, когда мне однажды понадобилась хитровые.анная конфигурация на софтороутере, только с pfsense удалось ее поднять, а он сам знаешь на чем.
>объявят deprecated, через год сломают необратимо
Несмешная шутка, именно потому, что имеет все шансы сбыться.
| |
4.47, 34o2i3j2g054jt (?), 19:33, 31/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> дерьмово живут. один неспособен банальный ftp без user-mode helper переварить (что, какой еще h323, вы о чем?),
Вы путаете функционал пакетного фильтра и NAT ALG. Одно не подразумевает другого.
| |
|
5.64, Аноним (-), 02:17, 01/06/2018 [^] [^^] [^^^] [ответить]
| –4 +/– |
Типа как шейпер в фаервол пихать - так нормально, а как nat, так сразу - "не функционал пакетного фильтра", угу. Двойные стандарты 6здунов as is.
| |
5.99, Netmapguy (?), 01:54, 03/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Вы путаете функционал пакетного фильтра и NAT ALG. Одно не подразумевает другого.
а причем тут nat? чтобы был нормальный stateful firewall надо уметь смотреть в payload и контрольку всяких sip/ftp/pptp.
| |
|
|
7.110, 34o2i3j2g054jt (?), 11:48, 04/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
Он имеет ввиду динамическое создание разрешающих правил для пропуска связанного трафика - FTP - data, SIP - rpt и т.п. без какого-либо NAT.
| |
|
|
|
|
3.19, Аноним (-), 15:31, 31/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Ну вон, у бздунов есть pf, ipfw и ipfilter - и ничего, живут.
> ipfilter
У которого полтора пользователя, причем чуть ли не в буквальном смысле.
> бздунов
Ну да, зачем интересоваться, как расшифровывается BPF, когда можно гордо задрать гузку?
https://github.com/torvalds/linux/blob/80cee03bf1d626db0278271b505d7f5febb37bb
> * Based on the design of the Berkeley Packet Filter. The new | |
|
4.21, Аноним (-), 15:43, 31/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
>У которого полтора пользователя, причем чуть ли не в буквальном смысле.
Ах да, я забыл, он теперь не модный и не молодежный.
>зачем интересоваться, как расшифровывается BPF, когда кэп на дежурстве?
Починил.
| |
|
5.25, Аноним (-), 16:12, 31/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
>>У которого полтора пользователя, причем чуть ли не в буквальном смысле.
> Ах да, я забыл, он теперь не модный и не молодежный.
Шуберт, ты?
В стрекозе его выкинуле еще лет 7 назад, последнее минорное обновление было в 2012, обновления до этой минорщины - в 2010 и 2004(!).
Были попытки дропа из базы, но есть один упертый немодник-немолодежник, готовый доказывать нужность и незаменимость и даже вызвавшийся кое-как мейнтенить (иначе выкинули бы, несмотря на все протесты).
| |
|
4.38, Аноним (-), 18:42, 31/05/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
>Berkeley Packet Filter
Ну придумали в универе Беркли и что теперь? Благодарить за это FreeBSD?
| |
|
5.62, XoRe (ok), 23:33, 31/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Ну придумали в универе Беркли и что теперь? Благодарить за это FreeBSD?
Благодарить за это _разработчиков_ FreeBSD.
| |
|
6.87, Moomintroll (ok), 12:05, 01/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> Ну придумали в универе Беркли и что теперь? Благодарить за это FreeBSD?
> Благодарить за это _разработчиков_ FreeBSD.
https://en.wikipedia.org/wiki/Berkeley_Packet_Filter
«The original paper was written by Steven McCanne and Van Jacobson in 1992 while at Lawrence Berkeley Laboratory»
В оригинальном документе BPF расшифровывается как «BSD Packet Filter» (не Berkley!), но и FreeBSD нигде не упоминается. При этом там сказано (в декабре 1992!), что «BPF is now about two years old …» из чего можно сделать вывод, что BPF родился ещё в оригинальной BSD. Напомню - FreeBSD начинает свою историю только в 1993.
| |
|
7.103, t (??), 06:08, 03/06/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> из чего можно сделать вывод, что BPF родился ещё в оригинальной
> BSD. Напомню - FreeBSD начинает свою историю только в 1993.
Если ты думаешь, что в современное ядро линукса впихнут код BSD 1992 года, то с выводами у тебя проблемы. А современный код создаётся в том числе и на фришке. Так что будь благодарен и не занимайся больше аналитикой.
| |
|
|
9.106, t (??), 20:41, 03/06/2018 [^] [^^] [^^^] [ответить] | –1 +/– | Ты не в теме Читай заголовок новости и товарища, которому я ответил Может что ... текст свёрнут, показать | |
|
|
7.107, анон (?), 02:57, 04/06/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
>В оригинальном документе BPF расшифровывается как «BSD Packet Filter» (не Berkley!)
Пойди чуть дальше и поинтересуйся,как расшифровывается BSD.
| |
|
|
|
|
3.73, alex (??), 09:14, 01/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
Есть то они есть, но ядро тут причем?
Они подключаются модулями, по необходимости.
И также, по необходимости, компилируются в ядро.
| |
|
2.50, Аноним (-), 21:02, 31/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не надо 10, нужен хотя бы один рабочий. Вот, ребята пытались nftables сделать — не вышло. Будем надеяться, что эта попытка будет более удачной.
| |
2.111, nur (??), 15:16, 05/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> это привело к трудностям при продвижении и низкой востребованности среди администраторов, которые продолжают использовать iptables, несмотря на все достоинства nftables
админы юзают, потому что более ничего вменяемого не существует
тот же ipfw обладает наиболее человеческим языком, но нет блин, линух же делали студенты, поэтому нужно выдумать такой эмо-синтаксис чтобы все офигевали от этих ПрИфФеТиКоВВВВВ
| |
|
1.2, Старый одмин (?), 13:38, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Что-то не помню я достоинств у nftables, кроме дурацкого синтаксиса, багов, и тормозов.
А вот eBPF уже давно обзавелся JIT компилятором.
Проект Cilium продвинулся ещё на шаг к успеху.
| |
|
2.6, Аноним (-), 14:17, 31/05/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
А чего это у nftables синтаксис дурацкий? Непривычный после iptables, зато структурированный. И чем-то напоминает синтаксис iproute2.
| |
|
3.79, Старый одмин (?), 10:52, 01/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
Если бы он был как у iproute2, и выводился бы нормальный диагноз при ошибке и описание всех опций в форме Бэкуса-Наура, то цены ему не было.
| |
|
2.14, нах (?), 15:18, 31/05/2018 [^] [^^] [^^^] [ответить] | +/– | вы просто ничего не понимаете в новых-модных технологиях Авторам докера, шмокер... большой текст свёрнут, показать | |
|
3.33, Аноним (-), 17:22, 31/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
> - головой, и вообще не видели смысла в бинарном api для
> замены этого всего)
> привыкайте, скоро "придет на замену". Все автомагически, с непредсказуемыми глюками и багами,
> исправлять которые некому, для чтения и отладки руками не предназначено в
> принципе. А файрволлы мы будем настраивать на чем-нибудь другом, отличном от
> линуксов :-(
> При этом банального валидатора правил (который был в ipchains, и который обещали
> еще в 2000м "как только так сразу") по сей день ниасилили.
>> А вот eBPF уже давно обзавелся JIT компилятором.
> ненужное ненужно обзавелось ненужно. Поправил, не благодарите.
И куда только смотрит Светоч Ядростроения? Видимо, продался давно.
| |
|
4.80, Онанимус (?), 10:58, 01/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Я как то запяматовал, а как редактировать баги в компилированных программах?
"запяматовал" - ничего удивительного для персонажа, чей мозг лежит в банке с формалином.
| |
|
3.51, Аноним (-), 21:05, 31/05/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
> авторы редактировали правила руками, читали - глазами, а думали - головой
Но дедали это всё исключительно в рамках своего локалхоста. Потому что редактировать руками и читать глазами скрипты настройки фаерволла на каждом сервере нет ни возможности, ни желания когда их становится больше двух. А автоматизировать нетранзакционный iptables — то ещё приключение.
| |
|
4.59, нах (?), 23:17, 31/05/2018 [^] [^^] [^^^] [ответить] | +2 +/– | делали в рамках хостов, смотрящих в интернет Далеко не локал Если у вас таких ... большой текст свёрнут, показать | |
|
|
2.92, Аноним (-), 15:22, 01/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я вообще не понял этого финта с nftables, более того, ни разу так и не увидел его в продакшне.
| |
|
3.93, Andrey Mitrofanov (?), 18:56, 01/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Я вообще не понял этого финта с nftables, более того, ни разу
> так и не увидел его в продакшне.
И не увидишь. Оно не достаточно контейнерное, модное, мододёжное оркестровое и каа-банное. Сейчас ребята смузи допьют и приведут приговор в исполнение.
| |
3.97, Аноним (-), 22:51, 02/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Я вообще не понял этого финта с nftables, более того, ни разу
> так и не увидел его в продакшне.
Я видел в продакшене, в своём. Часть хостов перевели на него посмотреть. Если не обращать внимания на отсутствующую функциональность (notrack и ipsec, например), то впечатления только приятные. Удобный синтаксис, транзакционность, атомарность операций, удобно автоматизировать. Год-два активной работы и он бы имел все преимущества, чтобы вытеснить iptables за счёт удобства. Но в том виде, что он имеет сейчас это, конечно, не production ready. Теперь надежды на преемника.
| |
|
2.100, Netmapguy (?), 02:04, 03/06/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Что-то не помню я достоинств у nftables
пффф... допустим, у нас 2к юзеров с серыми адресами и каждого надо натить в уникальный внешний адрес.
на iptables у вас будет 2к правил, а в nftables - одно из-за verdict maps.
да, в мапе будет 2к записей, но лукап по ней будет O(1), а не O(n) как в случае iptables(потому что все 2к правил nat придется пробегать на каждый пакет, для котого нет записи в conntrack).
| |
|
|
|
3.13, Andrey Mitrofanov (?), 14:43, 31/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Фу, нидай бог поделия поттеринга этож ужас какой-то будет.:)
Не бойтесь, камарады, лёня в шел скрипты не смог, про сетевые пакетики можно не беспокоиться,
| |
|
4.29, ssh (ok), 16:53, 31/05/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Не бойтесь, камарады, лёня в шел скрипты не смог, про сетевые пакетики
> можно не беспокоиться,
Именно это и пугает. :D
| |
4.81, Старый одмин (?), 10:58, 01/06/2018 [^] [^^] [^^^] [ответить]
| –3 +/– |
>> Фу, нидай бог поделия поттеринга этож ужас какой-то будет.:)
> Не бойтесь, камарады, лёня в шел скрипты не смог, про сетевые пакетики
> можно не беспокоиться,
Да ты что? А Avahi?
Вообще зря вы на systemd так напераете. Хоть он не без проблем, но жить помогает.
| |
|
|
|
1.9, Аноним (-), 14:24, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Самое ценное в этой штуке то, что она работает в том числе с привычными хуками iptables. То есть для старых конфигураций общая логика работы, несмотря на новую механику, не изменяется.
| |
|
2.15, нах (?), 15:20, 31/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Самое ценное в этой штуке то, что она работает в том числе
> с привычными хуками iptables. То есть для старых конфигураций общая логика
> работы, несмотря на новую механику, не изменяется.
только в десяти местах криво воспроизведут, еще в пяти окажется несовместимо.
Не надейтесь, забывайте уже свои iptables, это только затычка на время переходного периода, причем для тех, у кого эти самые tables были абсолютно примитивные - у других работать не будет.
| |
|
3.45, Иосиф Виссарионович Сталин (?), 19:20, 31/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Самое ценное в этой штуке то, что она работает в том числе
>> с привычными хуками iptables. То есть для старых конфигураций общая логика
>> работы, несмотря на новую механику, не изменяется.
> только в десяти местах криво воспроизведут, еще в пяти окажется несовместимо.
> Не надейтесь, забывайте уже свои iptables, это только затычка на время переходного
> периода, причем для тех, у кого эти самые tables были абсолютно
> примитивные - у других работать не будет.
Ну когдато мы пользовались мсдосом и сейчас его нет.
Все бежит, все меняется.
так зачем хейтить, что идет прогресс?
| |
|
4.52, пох (?), 21:15, 31/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Ну когдато мы пользовались мсдосом и сейчас его нет.
> Все бежит, все меняется.
вот и бегите дальше, без меня.
Я "пользовался мсдосом" _после_ (и между) тем, как пользовался юникс-системами. Мир вычислительной техники не начался с 1ВМ-РЭСЭ, если вы не в курсе. (к тому же на ней у нас был venix)
И благополучно пережил тот день, когда его окончательно закoпали.
Шансов пережить ту мерзость, в которую превратили линукс, у меня уже немного, но у тех кто сейчас только осваивает азы, вполне себе есть.
| |
4.69, Аноним (-), 09:02, 01/06/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Кто тебе сказал, что его нет? Я до сих пор ретрогамаю. Можно кассовые аппараты на нём встретить, причём не только в этой стране. Он есть, для специфичных применений.
| |
4.74, Andrey Mitrofanov (?), 09:23, 01/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ну когдато мы пользовались мсдосом и сейчас его нет.
> Все бежит, все меняется.
> так зачем хейтить, что идет прогресс?
Вы MBA не "заканчивали"? Или, там, в Харли-Дэвидсоне не работали? А то как-то евро-цененостным менеджементом пахнуло.
"" Сегодня организационные изменения стали реальностью и синонимом
слов «выживание» и «развитие» для любой организации. Управление
ими приобрело статус одной из самых важных задач и, одновременно,
компетенций современного менеджера. В разные моменты времени
менеджеры становятся как организаторами преобразований, так и их
«реализаторами», на плечи которых ложится, пожалуй, самая сложная
задача — запустить и довести до успешного завершения процесс
перемен. ""
| |
|
|
|
1.11, Аноним (-), 14:30, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>Модули umh функционируют под управлением ядра, оформляются в виде модулей ядра и загружаются через modprobe, но выполняются в пространстве пользователя с привилегиями пользовательских приложений.
Так это, наверное, следовало бы сделать отдельной универсальной подсистемой, которую возможно использовать не только для нужд фильтрации пакетов.
| |
|
2.42, КО (?), 19:01, 31/05/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Этак они до микроядра доиграются. Всего то делов все модули ядра грузить как umh. :)
| |
|
3.75, Andrey Mitrofanov (?), 09:26, 01/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Этак они до микроядра доиграются. Всего то делов все модули ядра грузить
> как umh. :)
Чего только не делают, лишь бы в GNU и Hurd не коммитить.
| |
|
|
1.16, Аноним (-), 15:24, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
iptables это же не только фильтрация, это ещё conntrack, nat, ipset, recent, log, и т.п., не совсем ясно как это будет работать с bpfilter
| |
|
2.34, Аноним (-), 17:26, 31/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
это все не нужно гуглам, фейсбукам, твиттерам и прочим хипстерам. а значит выкинут на помойку.
| |
|
3.43, Аноним (-), 19:11, 31/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Оно просто в другом виде для облаков через всякие микросервисы и дисковеры управляет
| |
3.53, пох (?), 21:16, 31/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> это все не нужно гуглам, фейсбукам, твиттерам и прочим хипстерам. а значит
сперва сломают, потом удивленно спросят "ка-а-а-ак? В ядре неподдерживаемый код?!" - а потом да:
> выкинут на помойку. | |
|
2.70, Аноним (-), 09:04, 01/06/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> iptables это же не только фильтрация, это ещё conntrack, nat, ipset, recent,
> log, и т.п., не совсем ясно как это будет работать с
> bpfilter
Ничто в общем не мешает вызывать API модулей из bpf.
| |
2.101, Netmapguy (?), 02:09, 03/06/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> iptables это же не только фильтрация, это ещё conntrack, nat, ipset, recent,
> log, и т.п., не совсем ясно как это будет работать с
> bpfilter
думать примерно в эту сторону:
https://www.mail-archive.com/netdev@vger.kernel.org/msg231395.html
| |
|
1.46, Аноним (-), 19:28, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ] | +3 +/– | Я-то думал, что nft не используют из-за отсутсвия доброй половины достаточно важ... большой текст свёрнут, показать | |
|
2.71, Аноним (-), 09:04, 01/06/2018 [^] [^^] [^^^] [ответить]
| –3 +/– |
> P.S. тот самый bpf уже научили в итерацию, которая необходима для нормального
> парсинга IPv6 экстеншенс?
IPv6 не нужен, IPv6 экстеншны не нужны вдвойне.
| |
|
1.48, Аноним (-), 19:48, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
>Bpfilter обрабатывает запросы API iptables и транслирует их в программы BPF
Пшаудио от фаерволов?
| |
|
2.60, нах (?), 23:19, 31/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> А как быть с ebtables arptables?
судя по воплям нового модного ядра еще-не-совсем-почти-готового-для-десктопа - уже успешно доламывают и доломают еще даже раньше чем остальное.
| |
2.102, Netmapguy (?), 02:12, 03/06/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> А как быть с ebtables arptables?
они существовали только по той причине что iptables не умел что-то отличное от ipv4.
даже ipv6 не умеет.
| |
|
|
2.61, Аноним (-), 23:23, 31/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Его ещё не скоро выкинут. А мне думается, что объединят код nftables и bpfilter.
| |
2.72, Аноним (-), 09:05, 01/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Ох! Пару месяцев назад свой localhost на nft перевел, а тут опять.
А я поигрался и выкинул. Оверинженереная хрень.
| |
|
|
2.84, Аноним (-), 11:22, 01/06/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Причём тут ядро, болезный? firewalld это системдос, который фридесктоп, а не ядро.
| |
|
1.85, Аноним (-), 11:37, 01/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Таки на мой вкус низкая популярность nftables не от того, что синтаксис другой, а от того, что поддержка нулевая. Тот же докер, всеми горячо любимый, кроме iptables нихрена не умеет, а без этого очень уж много прыгать с бубном приходится чтобы элементарные вещи в этом самом докере сделать. А nftables с iptables местами несовместим, в частности nat не работает ни один если оба в ядро загружены. История неуловимо напоминает ipv6, который вроде бы и есть, и внедряется, но на самом деле как-то очень вяло.
| |
|
2.98, Аноним (-), 23:03, 02/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
> История
> неуловимо напоминает ipv6, который вроде бы и есть, и внедряется, но
> на самом деле как-то очень вяло.
~¼ всех хостов интернета доступны по IPv6 и их число растёт. Все крупнейшие домашние провайдерв в США выкатили IPv6 для своих клиентов буквально за полгода. А вот в диких всяких местах, там да, там IPv6 никому не нужен, там слои NAT наворачивают. Да и внедрять IPv6 тоже некому — специалистов нет.
| |
|
1.86, J.L. (?), 11:54, 01/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
//оффтоп
на BPF можно написать (маленький) вебсервер? типо "модифицируем" пакет в ответ и перенаправляем его тому, от кого пришёл
| |
|
2.88, КО (?), 12:20, 01/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
Говорят, на BPF с JIT даже Спектра можно сделать, а там ужо не далеко останется... :)
| |
|
1.89, vanoc (ok), 12:47, 01/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Мне кажется или я уже этот пост уже читал? Вроде один в один было уже здесь.
| |
|
2.105, Аноним (-), 14:05, 03/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
В списке ссылок к новости посмотрите, был разбор дебатов, связанных с bpfilter.
| |
|
|