Исходное сообщение
"Для ядра Linux предложен новый пакетный фильтр bpfilter" Отправлено пох, 22-Фев-18 09:16
> Самое приятное в этой ситуации, что на основе этого можно сделать порт > pf. Чтобы чтобы ради ftp держать user-space демон, а протоколы посложнее вообще не работали. Мечта, мечта современных "разработчиков". > наконец-то можно было просто написать человекочитаемый pf.conf вместо этого "человекочитаемый pf.conf" килобайт этак на триста. Ага, читайте. Еще и без скриптов, то есть таблицы (которые хоть как-то выпрямляют его полную нечитаемость) вы ниасилили. Причем никакой разумной структуры в этой простыне быть не может by design, а всякие anchors и tables придуманы не для удобочитаемости, ни Б-же мой, а чтобы обойти фатальное неумение утилиты поменять одно правило (вот эти, да, не умеют - только полностью перезагружать весь набор. Хотя как раз "api есть". Даже счетчики не сохраняет) и авторов - сделать эффективно (поэтому tables - в линуксе ими пользуются единицы, потому что даже если все чейны горе-админ развернет в плоскую простыню, скорее всего, никаких фатальных проблем с производительностью не возникнет, жил я как-то с десятком тысяч строк в таблице, пользователи ничего не замечали (оно было после "ESTABLISHED", конечно). Причем я-то мог бы при надобности ее оптимизировать, пожертвовав удобочитаемостью и простотой изменений. > ада с правилами iptables через шеллскрипты. покажите мне ваш iptables, и расскажите, зачем вам там какие-то дурацкие shell-скрипты, почему мне они отродясь не были нужны? Я всю жизнь мечтаю увидеть такой, который невозможно понять и исправить вручную.