Исходное сообщение
"Второй выпуск пакетного фильтра nftables" Отправлено pavel_simple, 22-Апр-14 09:54
>> посмотрел man -- и действительно в мане подобное понятие вводиться -- хотя лично для меня это искуственное деление. > Деление чего и на что? > По-моему, это в ip(6)tables весьма глупый ход - выполнять логгирование в виде > target. деление на watch и target >> мы точно говорим о arptables? потому-что напрмую отталкиваясь от названия это таблицы протокола ARP -- появились же они т.к. это и не l2 и не l3 -- а именно то, что объеденяет эти два слоя в рамках ethernet. никакая расширяемая архитекрура тут ни при чём. > ARP - это придаток IPv4 и, по здравому размышлению, заниматься им нужно > в iptables. сам ты придаток, напомни себе определение и перестань фантазировать, ARP никоим образом к ipv4 отношения не имеет, потому как ipv4 это l3 а arp это l2+ > В IPv6 с этим проще - четко прописано, что обслуживание сетевого протокола > выполняется при помощи его внутренней подсистемы (ICMPv6). >> да -- ebtables во много отход от традиции, и шаг назад. > По удобству - шаг вперед, это однозначно. удобство крайне относительная вещь, сугубо индивидуальная. >> нет никакой (окромя политики партии) написать match extension для ip(6)tables которое будет производить действия по модификации пакета/meta, я считаю что чёткое определение ролей match/target в iptables существует совершенно оправданно. > По факту, на него уже забили. См. тот же пример recent, или > -m connlabel --set (если насчет метаданности recent можно поспорить, то с > connlabel никаких вопросов нет). connlabel меняет пакет? жду от вас новых увлекательных историй!