The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

31.05.2018 11:08  В состав ядра 4.18 одобрено включение нового пакетного фильтра bpfilter

В ветку linux-next, на основе которой формируется начинка будущего ядра Linux 4.18, приняты патчи c реализацией нового пакетного фильтра bpfilter, который развивается командой проекта NetFilter и в отдалённой перспективе может вытеснить ныне предлагаемые инструменты фильтрации пакетов nftables и iptables.

В рамках проекта bpfilter предпринята попытка создания компромиссного решения, использующего средства фильтрации на основе предоставляемой ядром подсистемы eBPF, предлагая при этом привычный синтаксис iptables. Bpfilter обрабатывает запросы API iptables и транслирует их в программы BPF, привязываемые к различным подсистемам. Например, при помощи XDP (eXpress Data Path) можно запустить BPF-программу на уровне сетевого драйвера, с возможностью прямого доступа к DMA-буферу пакетов для высокопроизводительной обработки.

Так как bpfilter предоставляет на уровне ядра API iptables, штатные утилиты iptables можно пересобрать для работы поверх bpfilter и обеспечить полную совместимость с наборами правил iptables, т.е. bpfilter сможет выступить в роли прозрачной замены iptables, полностью совместимой со всеми существующими конфигурациями (администраторам не придётся изучать новый синтаксис правил). Трансляция правил выполняется целиком в пространстве пользователя, что упрощает отладку и повышает безопасность. Для повышения производительности применяется JIT-компиляция BPF в машинные инструкции и задействование аппаратных механизмов выполнения BPF на уровне сетевого адаптера (например, Netronome NFP SmartNIC).

Основным мотивом создания bpfilter стала недооценённость проекта nftables и появление в ядре подсистемы eBPF, которая может заменить специальную виртуальную машину, применяемую в nftables для выполнения скомпилированных в байткод обработчиков. Чтобы не поддерживать две разные виртуальные машины, выполняющие сходные задачи, и для достижения более высокой производительности и защищённости у разработчиков возникла идея построения пакетного фильтра на основе штатного BPF-движка ядра Linux. Синтаксис правил nftables кардинально отличается от iptables и это привело к трудностям при продвижении и низкой востребованности среди администраторов, которые продолжают использовать iptables, несмотря на все достоинства nftables.

Кроме набора примитивов для фильтрации сетевых пакетов bpfilter также предлагает новый тип модулей ядра umh (usermode helper), которые выполняются в пространстве пользователя и привязываются в базовым модулям (umh-модули содержат вспомогательные функции, например в модуле bpfilter.ko через них выполняется разбор и трансляция в BPF правил фильтрации). Модули umh функционируют под управлением ядра, оформляются в виде модулей ядра и загружаются через modprobe, но выполняются в пространстве пользователя с привилегиями пользовательских приложений.

Взаимодействие umh-обработчиков с обычными модулями ядра производится с использованием неименованных каналов (unix pipe), что позволяет абстрагироваться от протокола взаимодействия. Вынос операций разбора правил в пространство пользователя позволяет исключить из ядра потенциально опасный код, повысив общую безопасность системы. В перспективе рассматривается возможность применения umh-модулей за пределами bpfilter, например, для создания драйверов для устройств с интерфейсом USB.

Дополнительно, можно отметить публикацию компанией Facebook под лицензией GPLv2 кода балансировщика нагрузки Katran, работающего на транспортном уровне (L4) и используемого на серверах первичного распределения нагрузки, образующих общую сеть распределения нагрузки по датацентрам. Замена традиционного IPVS в балансировщике нагрузки Facebook на решение на базе BPF и XDP позволила поднять производительность в 10 раз.

Правила для распределения трафика компилируются в программы BPF, которые выполняются во встроенном в ядро Linux интерпретаторе байткода eBPF, позволяющем создавать обработчики сетевых операций, контролировать доступ и отслеживать работу систем, в том числе BPF-программы могут применяться для низкоуровневой обработки входящих/исходящих пакетов и принятия решений о перенаправлении пакетов. Для дополнительной оптимизации задействована инфраструктура XDP (eXpress Data Path), которая предоставляет средства для запуска BPF-программ на уровне сетевого драйвера, что позволяет создавать высокопроизводительные обработчики для работы в условиях большой сетевой нагрузки.

  1. Главная ссылка к новости (https://lkml.org/lkml/2018/5/2...)
  2. OpenNews: Для ядра Linux предложен новый пакетный фильтр bpfilter
  3. OpenNews: В рамках проекта OpenSnitch развивается динамический межсетевой экран для Linux
  4. OpenNews: Выпуск пакетного фильтра nftables 0.4, идущего на смену iptables
  5. OpenNews: Критические уязвимости в подсистеме eBPF ядра Linux
  6. OpenNews: Выпуск Cilium 1.0, сетевой системы для Linux-контейнеров, основанной на BPF
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: bpfilter, firewall, bpf, kernel, linux
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, гном спецназ, 13:27, 31/05/2018 [ответить] [смотреть все]    [к модератору]
  • +26 +/
    давайте больше ,что бы штук 10 фильтров в ядре и разный не читаемый синтаксис, под любое настроение
     
     
  • 2.3, Аноним, 13:48, 31/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • –6 +/
    Ну вон, у бздунов есть pf, ipfw и ipfilter - и ничего, живут.
     
     
  • 3.5, ssh, 13:58, 31/05/2018 [^] [ответить] [смотреть все]    [к модератору]
  • +13 +/
    > и ничего, живут.

    Справедливости ради стоит добавить, что такой набор средств фильтрации далеко не у всех BSD-систем.
    Да и вообще следует более уважительно относиться к сообществам, о которых вам мало что известно.

     
     
  • 4.20, Аноним, 15:41, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]
  • +/
    А где нету У Тео, чтoле Так он известный неадекват Хотя с какой стороны посмо... весь текст скрыт [показать]
     
     
  • 5.30, ssh, 16:59, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Термин пользовать означает лечить Правда-правда Лечишь стрекоз ветеринар-эн... весь текст скрыт [показать]
     
  • 4.68, Очередной аноним, 08:39, 01/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Например, сатанисты чрезмерно демонизированы традиционными сообществами, верно ... весь текст скрыт [показать]
     
     
  • 5.96, Аноним, 22:38, 02/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Излишне демонизированы при помощи шестьсот шестидесяти шестикратного форка проце... весь текст скрыт [показать]
     
  • 3.17, нах, 15:24, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    дерьмово живут один неспособен банальный ftp без user-mode helper переварить ч... весь текст скрыт [показать]
     
     
  • 4.18, Аноним, 15:30, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    После чего сделают большие пальцетыкательные иконки, вкорячат в ядро вейланд, пе... весь текст скрыт [показать]
     
     
  • 5.24, нах, 16:07, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    что значит - после Уже же ж Буквально месяц назад тут читал анонс очередного... весь текст скрыт [показать]
     
  • 4.22, Аноним, 15:47, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Тем не менее, когда мне однажды понадобилась хитровые анная конфигурация на софт... весь текст скрыт [показать]
     
  • 4.47, 34o2i3j2g054jt, 19:33, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вы путаете функционал пакетного фильтра и NAT ALG Одно не подразумевает другого... весь текст скрыт [показать]
     
     
  • 5.64, Аноним, 02:17, 01/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Типа как шейпер в фаервол пихать - так нормально, а как nat, так сразу - не фун... весь текст скрыт [показать]
     
  • 5.99, Netmapguy, 01:54, 03/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    а причем тут nat чтобы был нормальный stateful firewall надо уметь смотреть в p... весь текст скрыт [показать]
     
     
  • 6.109, ugygi76865e54, 08:05, 04/06/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Тут либо NAT ALG, либо DPI.
     
     
  • 7.110, 34o2i3j2g054jt, 11:48, 04/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Он имеет ввиду динамическое создание разрешающих правил для пропуска связанного ... весь текст скрыт [показать]
     
  • 3.19, Аноним, 15:31, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    У которого полтора пользователя, причем чуть ли не в буквальном смысле Ну да, з... весь текст скрыт [показать]
     
     
  • 4.21, Аноним, 15:43, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ах да, я забыл, он теперь не модный и не молодежный Починил ... весь текст скрыт [показать]
     
     
  • 5.25, Аноним, 16:12, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Шуберт, ты В стрекозе его выкинуле еще лет 7 назад, последнее минорное обновлен... весь текст скрыт [показать]
     
  • 4.38, Аноним, 18:42, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Ну придумали в универе Беркли и что теперь Благодарить за это FreeBSD ... весь текст скрыт [показать]
     
     
  • 5.62, XoRe, 23:33, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Благодарить за это _разработчиков_ FreeBSD ... весь текст скрыт [показать]
     
     
  • 6.87, Moomintroll, 12:05, 01/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    https en wikipedia org wiki Berkeley_Packet_Filter 171 The original paper wa... весь текст скрыт [показать]
     
     
  • 7.103, t, 06:08, 03/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Если ты думаешь, что в современное ядро линукса впихнут код BSD 1992 года, то с ... весь текст скрыт [показать]
     
     
  • 8.104, Netmapguy, 12:56, 03/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    код ядра linux писать на freebsd мсье знает толк в извращениях ... весь текст скрыт [показать]
     
     
  • 9.106, t, 20:41, 03/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ты не в теме Читай заголовок новости и товарища, которому я ответил Может что ... весь текст скрыт [показать]
     
  • 7.107, анон, 02:57, 04/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Пойди чуть дальше и поинтересуйся,как расшифровывается BSD ... весь текст скрыт [показать]
     
  • 3.73, alex, 09:14, 01/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Есть то они есть, но ядро тут причем Они подключаются модулями, по необходимос... весь текст скрыт [показать]
     
  • 2.36, Аноним, 17:59, 31/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    https://imgs.xkcd.com/comics/standards.png
     
  • 2.50, Аноним, 21:02, 31/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Не надо 10, нужен хотя бы один рабочий Вот, ребята пытались nftables сделать ... весь текст скрыт [показать] [показать ветку]
     
  • 2.111, nur, 15:16, 05/06/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    >> это привело к трудностям при продвижении и низкой востребованности среди администраторов, которые продолжают использовать iptables, несмотря на все достоинства nftables

    админы юзают, потому что более ничего вменяемого не существует
    тот же ipfw обладает наиболее человеческим языком, но нет блин, линух же делали студенты, поэтому нужно выдумать такой эмо-синтаксис чтобы все офигевали от этих ПрИфФеТиКоВВВВВ

     
  • 1.2, Старый одмин, 13:38, 31/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Что-то не помню я достоинств у nftables, кроме дурацкого синтаксиса, багов, и тормозов.
    А вот eBPF уже давно обзавелся JIT компилятором.
    Проект Cilium продвинулся ещё на шаг к успеху.
     
     
  • 2.6, Аноним, 14:17, 31/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    А чего это у nftables синтаксис дурацкий Непривычный после iptables, зато струк... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.79, Старый одмин, 10:52, 01/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если бы он был как у iproute2, и выводился бы нормальный диагноз при ошибке и оп... весь текст скрыт [показать]
     
  • 2.14, нах, 15:18, 31/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    вы просто ничего не понимаете в новых-модных технологиях Авторам докера, шмокер... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.33, Аноним, 17:22, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    gt оверквотинг удален И куда только смотрит Светоч Ядростроения Видимо, прода... весь текст скрыт [показать]
     
  • 3.44, Иосиф Виссарионович Сталин, 19:19, 31/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Я как то запяматовал, а как редактировать баги в компилированных программах?
     
     
  • 4.80, Онанимус, 10:58, 01/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    запяматовал - ничего удивительного для персонажа, чей мозг лежит в банке с фор... весь текст скрыт [показать]
     
  • 3.51, Аноним, 21:05, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Но дедали это всё исключительно в рамках своего локалхоста Потому что редактиро... весь текст скрыт [показать]
     
     
  • 4.59, нах, 23:17, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    делали в рамках хостов, смотрящих в интернет Далеко не локал Если у вас таких ... весь текст скрыт [показать]
     
  • 2.92, Аноним, 15:22, 01/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Я вообще не понял этого финта с nftables, более того, ни разу так и не увидел ег... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.93, Andrey Mitrofanov, 18:56, 01/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    И не увидишь Оно не достаточно контейнерное, модное, мододёжное оркестровое и ... весь текст скрыт [показать]
     
  • 3.97, Аноним, 22:51, 02/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Я видел в продакшене, в своём Часть хостов перевели на него посмотреть Если не... весь текст скрыт [показать]
     
  • 2.100, Netmapguy, 02:04, 03/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    пффф допустим, у нас 2к юзеров с серыми адресами и каждого надо натить в уник... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, tonys, 13:57, 31/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    А есть такой же, но от Поттеринга?
     
     
  • 2.7, Anonimus, 14:19, 31/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Фу, нидай бог поделия поттеринга этож ужас какой-то будет.:)
     
     
  • 3.8, Аноним, 14:22, 31/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    Будет, systemd-bpfilterd :)

     
  • 3.13, Andrey Mitrofanov, 14:43, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Не бойтесь, камарады, лёня в шел скрипты не смог, про сетевые пакетики можно не ... весь текст скрыт [показать]
     
     
  • 4.29, ssh, 16:53, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Именно это и пугает D ... весь текст скрыт [показать]
     
  • 4.81, Старый одмин, 10:58, 01/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Да ты что А Avahi Вообще зря вы на systemd так напераете Хоть он не без пробл... весь текст скрыт [показать]
     
  • 1.9, Аноним, 14:24, 31/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Самое ценное в этой штуке то, что она работает в том числе с привычными хуками i... весь текст скрыт [показать]
     
     
  • 2.15, нах, 15:20, 31/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    только в десяти местах криво воспроизведут, еще в пяти окажется несовместимо Не... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.45, Иосиф Виссарионович Сталин, 19:20, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ну когдато мы пользовались мсдосом и сейчас его нет Все бежит, все меняется т... весь текст скрыт [показать]
     
     
  • 4.52, пох, 21:15, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    вот и бегите дальше, без меня Я пользовался мсдосом _после_ и между тем, ка... весь текст скрыт [показать]
     
  • 4.69, Аноним, 09:02, 01/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Кто тебе сказал, что его нет Я до сих пор ретрогамаю Можно кассовые аппараты н... весь текст скрыт [показать]
     
  • 4.74, Andrey Mitrofanov, 09:23, 01/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вы MBA не заканчивали Или, там, в Харли-Дэвидсоне не работали А то как-то ев... весь текст скрыт [показать]
     
     
  • 5.83, Онанимус, 11:08, 01/06/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –3 +/
    Бунт против часовой стрелки?
     
  • 1.11, Аноним, 14:30, 31/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Так это, наверное, следовало бы сделать отдельной универсальной подсистемой, кот... весь текст скрыт [показать]
     
     
  • 2.12, Аноним, 14:40, 31/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Например, невидиевские блобы в umh засунуть.
     
  • 2.42, КО, 19:01, 31/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    Этак они до микроядра доиграются Всего то делов все модули ядра грузить как umh... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.58, Аноним, 23:04, 31/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Не мытьём, так катанием. :)
     
  • 3.75, Andrey Mitrofanov, 09:26, 01/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Чего только не делают, лишь бы в GNU и Hurd не коммитить ... весь текст скрыт [показать]
     
  • 1.16, Аноним, 15:24, 31/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    iptables это же не только фильтрация, это ещё conntrack, nat, ipset, recent, log... весь текст скрыт [показать]
     
     
  • 2.34, Аноним, 17:26, 31/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    это все не нужно гуглам, фейсбукам, твиттерам и прочим хипстерам а значит выкин... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.43, Аноним, 19:11, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Оно просто в другом виде для облаков через всякие микросервисы и дисковеры управ... весь текст скрыт [показать]
     
  • 3.53, пох, 21:16, 31/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    сперва сломают, потом удивленно спросят ка-а-а-ак В ядре неподдерживаемый код ... весь текст скрыт [показать]
     
  • 2.70, Аноним, 09:04, 01/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Ничто в общем не мешает вызывать API модулей из bpf ... весь текст скрыт [показать] [показать ветку]
     
  • 2.101, Netmapguy, 02:09, 03/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    думать примерно в эту сторону https www mail-archive com netdev vger kernel o... весь текст скрыт [показать] [показать ветку]
     
  • 1.46, Аноним, 19:28, 31/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Я-то думал, что nft не используют из-за отсутсвия доброй половины достаточно важ... весь текст скрыт [показать]
     
     
  • 2.71, Аноним, 09:04, 01/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –3 +/
    IPv6 не нужен, IPv6 экстеншны не нужны вдвойне ... весь текст скрыт [показать] [показать ветку]
     
  • 1.48, Аноним, 19:48, 31/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Пшаудио от фаерволов ... весь текст скрыт [показать]
     
  • 1.54, Аноним, 21:22, 31/05/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Он будет работать с инструментами типа shorewall?
     
  • 1.55, Аноним, 21:55, 31/05/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    А как быть с ebtables arptables?
     
     
  • 2.60, нах, 23:19, 31/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    судя по воплям нового модного ядра еще-не-совсем-почти-готового-для-десктопа - у... весь текст скрыт [показать] [показать ветку]
     
  • 2.102, Netmapguy, 02:12, 03/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    они существовали только по той причине что iptables не умел что-то отличное от i... весь текст скрыт [показать] [показать ветку]
     
  • 1.56, Аноним, 22:26, 31/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Ох! Пару месяцев назад свой localhost на nft перевел, а тут опять.
     
     
  • 2.61, Аноним, 23:23, 31/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Его ещё не скоро выкинут А мне думается, что объединят код nftables и bpfilter ... весь текст скрыт [показать] [показать ветку]
     
  • 2.72, Аноним, 09:05, 01/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    А я поигрался и выкинул Оверинженереная хрень ... весь текст скрыт [показать] [показать ветку]
     
  • 2.77, Аноним, 09:34, 01/06/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Аналогично. Остановитесь!
     
  • 1.78, Пряникё, 10:34, 01/06/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Лучше бы они firewalld выкинули. Вот убожество - так убожество
     
     
  • 2.84, Аноним, 11:22, 01/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Причём тут ядро, болезный firewalld это системдос, который фридесктоп, а не ядр... весь текст скрыт [показать] [показать ветку]
     
  • 1.85, Аноним, 11:37, 01/06/2018 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Таки на мой вкус низкая популярность nftables не от того, что синтаксис другой, ... весь текст скрыт [показать]
     
     
  • 2.98, Аноним, 23:03, 02/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    188 всех хостов интернета доступны по IPv6 и их число растёт Все крупнейшие... весь текст скрыт [показать] [показать ветку]
     
  • 1.86, J.L., 11:54, 01/06/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    //оффтоп
    на BPF можно написать (маленький) вебсервер? типо "модифицируем" пакет в ответ и перенаправляем его тому, от кого пришёл
     
     
  • 2.88, КО, 12:20, 01/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Говорят, на BPF с JIT даже Спектра можно сделать, а там ужо не далеко останется ... весь текст скрыт [показать] [показать ветку]
     
  • 1.89, vanoc, 12:47, 01/06/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Мне кажется или я уже этот пост уже читал? Вроде один в один было уже здесь.
     
     
  • 2.105, Аноним, 14:05, 03/06/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    В списке ссылок к новости посмотрите, был разбор дебатов, связанных с bpfilter.
     
  • 1.108, анон, 03:05, 04/06/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Новый велосипед в линуксе?
    -Значит ничего нового.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor