The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В состав ядра 4.18 одобрено включение нового пакетного фильтра bpfilter

31.05.2018 11:08

В ветку linux-next, на основе которой формируется начинка будущего ядра Linux 4.18, приняты патчи c реализацией нового пакетного фильтра bpfilter, который развивается командой проекта NetFilter и в отдалённой перспективе может вытеснить ныне предлагаемые инструменты фильтрации пакетов nftables и iptables.

В рамках проекта bpfilter предпринята попытка создания компромиссного решения, использующего средства фильтрации на основе предоставляемой ядром подсистемы eBPF, предлагая при этом привычный синтаксис iptables. Bpfilter обрабатывает запросы API iptables и транслирует их в программы BPF, привязываемые к различным подсистемам. Например, при помощи XDP (eXpress Data Path) можно запустить BPF-программу на уровне сетевого драйвера, с возможностью прямого доступа к DMA-буферу пакетов для высокопроизводительной обработки.

Так как bpfilter предоставляет на уровне ядра API iptables, штатные утилиты iptables можно пересобрать для работы поверх bpfilter и обеспечить полную совместимость с наборами правил iptables, т.е. bpfilter сможет выступить в роли прозрачной замены iptables, полностью совместимой со всеми существующими конфигурациями (администраторам не придётся изучать новый синтаксис правил). Трансляция правил выполняется целиком в пространстве пользователя, что упрощает отладку и повышает безопасность. Для повышения производительности применяется JIT-компиляция BPF в машинные инструкции и задействование аппаратных механизмов выполнения BPF на уровне сетевого адаптера (например, Netronome NFP SmartNIC).

Основным мотивом создания bpfilter стала недооценённость проекта nftables и появление в ядре подсистемы eBPF, которая может заменить специальную виртуальную машину, применяемую в nftables для выполнения скомпилированных в байткод обработчиков. Чтобы не поддерживать две разные виртуальные машины, выполняющие сходные задачи, и для достижения более высокой производительности и защищённости у разработчиков возникла идея построения пакетного фильтра на основе штатного BPF-движка ядра Linux. Синтаксис правил nftables кардинально отличается от iptables и это привело к трудностям при продвижении и низкой востребованности среди администраторов, которые продолжают использовать iptables, несмотря на все достоинства nftables.

Кроме набора примитивов для фильтрации сетевых пакетов bpfilter также предлагает новый тип модулей ядра umh (usermode helper), которые выполняются в пространстве пользователя и привязываются в базовым модулям (umh-модули содержат вспомогательные функции, например в модуле bpfilter.ko через них выполняется разбор и трансляция в BPF правил фильтрации). Модули umh функционируют под управлением ядра, оформляются в виде модулей ядра и загружаются через modprobe, но выполняются в пространстве пользователя с привилегиями пользовательских приложений.

Взаимодействие umh-обработчиков с обычными модулями ядра производится с использованием неименованных каналов (unix pipe), что позволяет абстрагироваться от протокола взаимодействия. Вынос операций разбора правил в пространство пользователя позволяет исключить из ядра потенциально опасный код, повысив общую безопасность системы. В перспективе рассматривается возможность применения umh-модулей за пределами bpfilter, например, для создания драйверов для устройств с интерфейсом USB.

Дополнительно, можно отметить публикацию компанией Facebook под лицензией GPLv2 кода балансировщика нагрузки Katran, работающего на транспортном уровне (L4) и используемого на серверах первичного распределения нагрузки, образующих общую сеть распределения нагрузки по датацентрам. Замена традиционного IPVS в балансировщике нагрузки Facebook на решение на базе BPF и XDP позволила поднять производительность в 10 раз.

Правила для распределения трафика компилируются в программы BPF, которые выполняются во встроенном в ядро Linux интерпретаторе байткода eBPF, позволяющем создавать обработчики сетевых операций, контролировать доступ и отслеживать работу систем, в том числе BPF-программы могут применяться для низкоуровневой обработки входящих/исходящих пакетов и принятия решений о перенаправлении пакетов. Для дополнительной оптимизации задействована инфраструктура XDP (eXpress Data Path), которая предоставляет средства для запуска BPF-программ на уровне сетевого драйвера, что позволяет создавать высокопроизводительные обработчики для работы в условиях большой сетевой нагрузки.

  1. Главная ссылка к новости (https://lkml.org/lkml/2018/5/2...)
  2. OpenNews: Для ядра Linux предложен новый пакетный фильтр bpfilter
  3. OpenNews: В рамках проекта OpenSnitch развивается динамический межсетевой экран для Linux
  4. OpenNews: Выпуск пакетного фильтра nftables 0.4, идущего на смену iptables
  5. OpenNews: Критические уязвимости в подсистеме eBPF ядра Linux
  6. OpenNews: Выпуск Cilium 1.0, сетевой системы для Linux-контейнеров, основанной на BPF
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: bpfilter, firewall, bpf, kernel, linux
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (88) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, гном спецназ (?), 13:27, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +26 +/
    давайте больше ,что бы штук 10 фильтров в ядре и разный не читаемый синтаксис, под любое настроение
     
     
  • 2.3, Аноним (-), 13:48, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Ну вон, у бздунов есть pf, ipfw и ipfilter - и ничего, живут.
     
     
  • 3.5, ssh (ok), 13:58, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +13 +/
    > и ничего, живут.

    Справедливости ради стоит добавить, что такой набор средств фильтрации далеко не у всех BSD-систем.
    Да и вообще следует более уважительно относиться к сообществам, о которых вам мало что известно.

     
     
  • 4.20, Аноним (-), 15:41, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >такой набор средств фильтрации далеко не у всех BSD-систем

    А где нету? У Тео, чтoле? Так он известный неадекват. Хотя с какой стороны посмотреть - лучше один инструмент нормальный, чем три перманентно недопиленных.

    >мало что известно.

    Да я кaкбэ и сам наряду с линyпсом стрекозу кое-где пользую и с фряхой знаком был когда-то.

     
     
  • 5.30, ssh (ok), 16:59, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Да я кaкбэ и сам наряду с линyпсом стрекозу кое-где пользую и с фряхой знаком был когда-то.

    Термин "пользовать" означает лечить. Правда-правда! Лечишь стрекоз? ветеринар-энтомолог? :)


     
  • 4.68, Очередной аноним (?), 08:39, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Да и вообще следует более уважительно относиться к сообществам, о которых вам мало что известно.

    Например, сатанисты чрезмерно демонизированы традиционными сообществами, верно?

     
     
  • 5.96, Аноним (-), 22:38, 02/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Излишне демонизированы при помощи шестьсот шестидесяти шестикратного форка процесса. Зачем форкать процесс 666 раз? Во имя Сатаны, конечно же!
     
  • 3.17, нах (?), 15:24, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну вон, у бздунов есть pf, ipfw и ipfilter - и ничего,
    > живут.

    дерьмово живут. один неспособен банальный ftp без user-mode helper переварить (что, какой еще h323, вы о чем?), второй совершенно неуправляем и нечитаем в конфигурациях чуть сложнее локалхостовой, третий вообще труп двадцатилетней давности (когда-то и под линукс собирался, но недолго).

    Но вы не волнуйтесь, в линуксе так не будет, у нас такого не бывает. Через пол-годика netfilter объявят deprecated, через год сломают необратимо, через два проведут в рассылке блиц-опрос "кто из авторов bpfilter использует netfilter?" и по результатам удалят "неработающий и неподдерживаемый код".

     
     
  • 4.18, Аноним (-), 15:30, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >и по результатам удалят "неработающий и неподдерживаемый код".

    После чего сделают большие пальцетыкательные иконки, вкорячат в ядро вейланд, перепишут его на gtk4, которое задумано как постоянно ломающееся, после чего leenoops накроется гномощелью.

     
     
  • 5.24, нах (?), 16:07, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > После чего сделают большие пальцетыкательные иконки

    что значит - после? Уже же ж... Буквально месяц назад тут читал анонс очередного чудо-фиреволла "как в виндовс, только там он работал" (а у нас "как в виндовс" означало что оно тоже умеет высунуть окошко под руку)

     
  • 4.22, Аноним (-), 15:47, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >дерьмово живут.

    Тем не менее, когда мне однажды понадобилась хитровые.анная конфигурация на софтороутере, только с pfsense удалось ее поднять, а он сам знаешь на чем.

    >объявят deprecated, через год сломают необратимо

    Несмешная шутка, именно потому, что имеет все шансы сбыться.

     
  • 4.47, 34o2i3j2g054jt (?), 19:33, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > дерьмово живут. один неспособен банальный ftp без user-mode helper переварить (что, какой еще h323, вы о чем?),

    Вы путаете функционал пакетного фильтра и NAT ALG. Одно не подразумевает другого.

     
     
  • 5.64, Аноним (-), 02:17, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Типа как шейпер в фаервол пихать - так нормально, а как nat, так сразу - "не функционал пакетного фильтра", угу. Двойные стандарты 6здунов as is.
     
  • 5.99, Netmapguy (?), 01:54, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы путаете функционал пакетного фильтра и NAT ALG. Одно не подразумевает другого.

    а причем тут nat? чтобы был нормальный stateful firewall надо уметь смотреть в payload и контрольку всяких sip/ftp/pptp.

     
     
  • 6.109, ugygi76865e54 (?), 08:05, 04/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тут либо NAT ALG, либо DPI.
     
     
  • 7.110, 34o2i3j2g054jt (?), 11:48, 04/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Он имеет ввиду динамическое создание разрешающих правил для пропуска связанного трафика - FTP - data, SIP - rpt и т.п. без какого-либо NAT.
     
  • 3.19, Аноним (-), 15:31, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну вон, у бздунов есть pf, ipfw и ipfilter - и ничего, живут.
    > ipfilter

    У которого полтора пользователя, причем чуть ли не в буквальном смысле.

    > бздунов

    Ну да, зачем интересоваться, как расшифровывается BPF, когда можно гордо задрать гузку?

    https://github.com/torvalds/linux/blob/80cee03bf1d626db0278271b505d7f5febb37bb
    > * Based on the design of the Berkeley Packet Filter. The new

     
     
  • 4.21, Аноним (-), 15:43, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >У которого полтора пользователя, причем чуть ли не в буквальном смысле.

    Ах да, я забыл, он теперь не модный и не молодежный.

    >зачем интересоваться, как расшифровывается BPF, когда кэп на дежурстве?

    Починил.

     
     
  • 5.25, Аноним (-), 16:12, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>У которого полтора пользователя, причем чуть ли не в буквальном смысле.
    > Ах да, я забыл, он теперь не модный и не молодежный.

    Шуберт, ты?
    В стрекозе его выкинуле еще лет 7 назад, последнее минорное обновление было в 2012, обновления до этой минорщины - в 2010 и 2004(!).
    Были попытки дропа из базы, но есть один упертый немодник-немолодежник, готовый доказывать нужность и незаменимость и даже вызвавшийся кое-как мейнтенить (иначе выкинули бы, несмотря на все протесты).

     
  • 4.38, Аноним (-), 18:42, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Berkeley Packet Filter

    Ну придумали в универе Беркли и что теперь? Благодарить за это FreeBSD?

     
     
  • 5.62, XoRe (ok), 23:33, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну придумали в универе Беркли и что теперь? Благодарить за это FreeBSD?

    Благодарить за это _разработчиков_ FreeBSD.

     
     
  • 6.87, Moomintroll (ok), 12:05, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну придумали в универе Беркли и что теперь? Благодарить за это FreeBSD?
    > Благодарить за это _разработчиков_ FreeBSD.

    https://en.wikipedia.org/wiki/Berkeley_Packet_Filter

    «The original paper was written by Steven McCanne and Van Jacobson in 1992 while at Lawrence Berkeley Laboratory»

    В оригинальном документе BPF расшифровывается как «BSD Packet Filter» (не Berkley!), но и FreeBSD нигде не упоминается. При этом там сказано (в декабре 1992!), что «BPF is now about two years old …» из чего можно сделать вывод, что BPF родился ещё в оригинальной BSD. Напомню - FreeBSD начинает свою историю только в 1993.

     
     
  • 7.103, t (??), 06:08, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > из чего можно сделать вывод, что BPF родился ещё в оригинальной
    > BSD. Напомню - FreeBSD начинает свою историю только в 1993.

    Если ты думаешь, что в современное ядро линукса впихнут код BSD 1992 года, то с выводами у тебя проблемы. А современный код создаётся в том числе и на фришке. Так что будь благодарен и не занимайся больше аналитикой.

     
     
  • 8.104, Netmapguy (?), 12:56, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    код ядра linux писать на freebsd мсье знает толк в извращениях ... текст свёрнут, показать
     
     
  • 9.106, t (??), 20:41, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты не в теме Читай заголовок новости и товарища, которому я ответил Может что ... текст свёрнут, показать
     
  • 7.107, анон (?), 02:57, 04/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >В оригинальном документе BPF расшифровывается как «BSD Packet Filter» (не Berkley!)

    Пойди чуть дальше и поинтересуйся,как расшифровывается BSD.

     
  • 3.73, alex (??), 09:14, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Есть то они есть, но ядро тут причем?
    Они подключаются модулями, по необходимости.
    И также, по необходимости, компилируются в ядро.
     
  • 2.36, Аноним (-), 17:59, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://imgs.xkcd.com/comics/standards.png
     
  • 2.50, Аноним (-), 21:02, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не надо 10, нужен хотя бы один рабочий. Вот, ребята пытались nftables сделать — не вышло. Будем надеяться, что эта попытка будет более удачной.
     
  • 2.111, nur (??), 15:16, 05/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> это привело к трудностям при продвижении и низкой востребованности среди администраторов, которые продолжают использовать iptables, несмотря на все достоинства nftables

    админы юзают, потому что более ничего вменяемого не существует
    тот же ipfw обладает наиболее человеческим языком, но нет блин, линух же делали студенты, поэтому нужно выдумать такой эмо-синтаксис чтобы все офигевали от этих ПрИфФеТиКоВВВВВ

     

  • 1.2, Старый одмин (?), 13:38, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Что-то не помню я достоинств у nftables, кроме дурацкого синтаксиса, багов, и тормозов.
    А вот eBPF уже давно обзавелся JIT компилятором.
    Проект Cilium продвинулся ещё на шаг к успеху.
     
     
  • 2.6, Аноним (-), 14:17, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А чего это у nftables синтаксис дурацкий? Непривычный после iptables, зато структурированный. И чем-то напоминает синтаксис iproute2.
     
     
  • 3.79, Старый одмин (?), 10:52, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы он был как у iproute2, и выводился бы нормальный диагноз при ошибке и описание всех опций в форме Бэкуса-Наура, то цены ему не было.
     
  • 2.14, нах (?), 15:18, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    вы просто ничего не понимаете в новых-модных технологиях Авторам докера, шмокер... текст свёрнут, показать
     
     
  • 3.33, Аноним (-), 17:22, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > - головой, и вообще не видели смысла в бинарном api для
    > замены этого всего)
    > привыкайте, скоро "придет на замену". Все автомагически, с непредсказуемыми глюками и багами,
    > исправлять которые некому, для чтения и отладки руками не предназначено в
    > принципе. А файрволлы мы будем настраивать на чем-нибудь другом, отличном от
    > линуксов :-(
    > При этом банального валидатора правил (который был в ipchains, и который обещали
    > еще в 2000м "как только так сразу") по сей день ниасилили.
    >> А вот eBPF уже давно обзавелся JIT компилятором.
    > ненужное ненужно обзавелось ненужно. Поправил, не благодарите.

    И куда только смотрит Светоч Ядростроения? Видимо, продался давно.


     
  • 3.44, Иосиф Виссарионович Сталин (?), 19:19, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я как то запяматовал, а как редактировать баги в компилированных программах?
     
     
  • 4.80, Онанимус (?), 10:58, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Я как то запяматовал, а как редактировать баги в компилированных программах?

    "запяматовал" - ничего удивительного для персонажа, чей мозг лежит в банке с формалином.

     
  • 3.51, Аноним (-), 21:05, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > авторы редактировали правила руками, читали - глазами, а думали - головой

    Но дедали это всё исключительно в рамках своего локалхоста. Потому что редактировать руками и читать глазами скрипты настройки фаерволла на каждом сервере нет ни возможности, ни желания когда их становится больше двух. А автоматизировать нетранзакционный iptables — то ещё приключение.

     
     
  • 4.59, нах (?), 23:17, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    делали в рамках хостов, смотрящих в интернет Далеко не локал Если у вас таких ... текст свёрнут, показать
     
  • 2.92, Аноним (-), 15:22, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я вообще не понял этого финта с nftables, более того, ни разу так и не увидел его в продакшне.
     
     
  • 3.93, Andrey Mitrofanov (?), 18:56, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Я вообще не понял этого финта с nftables, более того, ни разу
    > так и не увидел его в продакшне.

    И не увидишь.  Оно не достаточно контейнерное, модное, мододёжное оркестровое и каа-банное.  Сейчас ребята смузи допьют и приведут приговор в исполнение.

     
  • 3.97, Аноним (-), 22:51, 02/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Я вообще не понял этого финта с nftables, более того, ни разу
    > так и не увидел его в продакшне.

    Я видел в продакшене, в своём. Часть хостов перевели на него посмотреть. Если не обращать внимания на отсутствующую функциональность (notrack и ipsec, например), то впечатления только приятные. Удобный синтаксис, транзакционность, атомарность операций, удобно автоматизировать. Год-два активной работы и он бы имел все преимущества, чтобы вытеснить iptables за счёт удобства. Но в том виде, что он имеет сейчас это, конечно, не production ready. Теперь надежды на преемника.

     
  • 2.100, Netmapguy (?), 02:04, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Что-то не помню я достоинств у nftables

    пффф... допустим, у нас 2к юзеров с серыми адресами и каждого надо натить в уникальный внешний адрес.

    на iptables у вас будет 2к правил, а в nftables - одно из-за verdict maps.
    да, в мапе будет 2к записей, но лукап по ней будет O(1), а не O(n) как в случае iptables(потому что все 2к правил nat придется пробегать на каждый пакет, для котого нет записи в conntrack).


     

  • 1.4, tonys (??), 13:57, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А есть такой же, но от Поттеринга?
     
     
  • 2.7, Anonimus (??), 14:19, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Фу, нидай бог поделия поттеринга этож ужас какой-то будет.:)
     
     
  • 3.8, Аноним (-), 14:22, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Будет, systemd-bpfilterd :)

     
  • 3.13, Andrey Mitrofanov (?), 14:43, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Фу, нидай бог поделия поттеринга этож ужас какой-то будет.:)

    Не бойтесь, камарады, лёня в шел скрипты не смог, про сетевые пакетики можно не беспокоиться,

     
     
  • 4.29, ssh (ok), 16:53, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Не бойтесь, камарады, лёня в шел скрипты не смог, про сетевые пакетики
    > можно не беспокоиться,

    Именно это и пугает. :D

     
  • 4.81, Старый одмин (?), 10:58, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >> Фу, нидай бог поделия поттеринга этож ужас какой-то будет.:)
    > Не бойтесь, камарады, лёня в шел скрипты не смог, про сетевые пакетики
    > можно не беспокоиться,

    Да ты что? А Avahi?
    Вообще зря вы на systemd так напераете. Хоть он не без проблем, но жить помогает.

     

  • 1.9, Аноним (-), 14:24, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Самое ценное в этой штуке то, что она работает в том числе с привычными хуками iptables. То есть для старых конфигураций общая логика работы, несмотря на новую механику, не изменяется.
     
     
  • 2.15, нах (?), 15:20, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Самое ценное в этой штуке то, что она работает в том числе
    > с привычными хуками iptables. То есть для старых конфигураций общая логика
    > работы, несмотря на новую механику, не изменяется.

    только в десяти местах криво воспроизведут, еще в пяти окажется несовместимо.

    Не надейтесь, забывайте уже свои iptables, это только затычка на время переходного периода, причем для тех, у кого эти самые tables были абсолютно примитивные - у других работать не будет.

     
     
  • 3.45, Иосиф Виссарионович Сталин (?), 19:20, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Самое ценное в этой штуке то, что она работает в том числе
    >> с привычными хуками iptables. То есть для старых конфигураций общая логика
    >> работы, несмотря на новую механику, не изменяется.
    > только в десяти местах криво воспроизведут, еще в пяти окажется несовместимо.
    > Не надейтесь, забывайте уже свои iptables, это только затычка на время переходного
    > периода, причем для тех, у кого эти самые tables были абсолютно
    > примитивные - у других работать не будет.

    Ну когдато мы пользовались мсдосом и сейчас его нет.
    Все бежит, все меняется.
    так зачем хейтить, что идет прогресс?

     
     
  • 4.52, пох (?), 21:15, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну когдато мы пользовались мсдосом и сейчас его нет.
    > Все бежит, все меняется.

    вот и бегите дальше, без меня.

    Я "пользовался мсдосом" _после_ (и между) тем, как пользовался юникс-системами. Мир вычислительной техники не начался с 1ВМ-РЭСЭ, если вы не в курсе. (к тому же на ней у нас был venix)
    И благополучно пережил тот день, когда его окончательно закoпали.

    Шансов пережить ту мерзость, в которую превратили линукс, у меня уже немного, но у тех кто сейчас только осваивает азы, вполне себе есть.

     
  • 4.69, Аноним (-), 09:02, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кто тебе сказал, что его нет? Я до сих пор ретрогамаю. Можно кассовые аппараты на нём встретить, причём не только в этой стране. Он есть, для специфичных применений.
     
  • 4.74, Andrey Mitrofanov (?), 09:23, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну когдато мы пользовались мсдосом и сейчас его нет.
    > Все бежит, все меняется.
    > так зачем хейтить, что идет прогресс?

    Вы MBA не "заканчивали"? Или, там, в Харли-Дэвидсоне не работали? А то как-то евро-цененостным менеджементом пахнуло.

    [I]""  Сегодня организационные изменения стали реальностью и синонимом
    слов «выживание» и «развитие» для любой организации.  Управление
    ими приобрело статус одной из самых важных задач и, одновременно,
    компетенций современного менеджера.  В разные моменты времени
    менеджеры становятся как организаторами преобразований, так и их
    «реализаторами», на плечи которых ложится, пожалуй, самая сложная
    задача — запустить и довести до успешного завершения процесс
    перемен.  ""[/I]

     
     
  • 5.83, Онанимус (?), 11:08, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Бунт против часовой стрелки?
     

  • 1.11, Аноним (-), 14:30, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Модули umh функционируют под управлением ядра, оформляются в виде модулей ядра и загружаются через modprobe, но выполняются в пространстве пользователя с привилегиями пользовательских приложений.

    Так это, наверное, следовало бы сделать отдельной универсальной подсистемой, которую возможно использовать не только для нужд фильтрации пакетов.

     
     
  • 2.12, Аноним (-), 14:40, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Например, невидиевские блобы в umh засунуть.
     
  • 2.42, КО (?), 19:01, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Этак они до микроядра доиграются. Всего то делов все модули ядра грузить как umh. :)
     
     
  • 3.58, Аноним (-), 23:04, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не мытьём, так катанием. :)
     
  • 3.75, Andrey Mitrofanov (?), 09:26, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Этак они до микроядра доиграются. Всего то делов все модули ядра грузить
    > как umh. :)

    Чего только не делают, лишь бы в GNU и Hurd не коммитить.

     

  • 1.16, Аноним (-), 15:24, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    iptables это же не только фильтрация, это ещё conntrack, nat, ipset, recent, log, и т.п., не совсем ясно как это будет работать с bpfilter
     
     
  • 2.34, Аноним (-), 17:26, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    это все не нужно гуглам, фейсбукам, твиттерам и прочим хипстерам. а значит выкинут на помойку.
     
     
  • 3.43, Аноним (-), 19:11, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Оно просто в другом виде для облаков через всякие микросервисы и дисковеры управляет
     
  • 3.53, пох (?), 21:16, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > это все не нужно гуглам, фейсбукам, твиттерам и прочим хипстерам. а значит

    сперва сломают, потом удивленно спросят "ка-а-а-ак? В ядре неподдерживаемый код?!" - а потом да:
    > выкинут на помойку.

     
  • 2.70, Аноним (-), 09:04, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > iptables это же не только фильтрация, это ещё conntrack, nat, ipset, recent,
    > log, и т.п., не совсем ясно как это будет работать с
    > bpfilter

    Ничто в общем не мешает вызывать API модулей из bpf.

     
  • 2.101, Netmapguy (?), 02:09, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > iptables это же не только фильтрация, это ещё conntrack, nat, ipset, recent,
    > log, и т.п., не совсем ясно как это будет работать с
    > bpfilter

    думать примерно в эту сторону:

    https://www.mail-archive.com/netdev@vger.kernel.org/msg231395.html

     

  • 1.46, Аноним (-), 19:28, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Я-то думал, что nft не используют из-за отсутсвия доброй половины достаточно важ... текст свёрнут, показать
     
     
  • 2.71, Аноним (-), 09:04, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > P.S. тот самый bpf уже научили в итерацию, которая необходима для нормального
    > парсинга IPv6 экстеншенс?

    IPv6 не нужен, IPv6 экстеншны не нужны вдвойне.

     

  • 1.48, Аноним (-), 19:48, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >Bpfilter обрабатывает запросы API iptables и транслирует их в программы BPF

    Пшаудио от фаерволов?

     
  • 1.54, Аноним (-), 21:22, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Он будет работать с инструментами типа shorewall?
     
  • 1.55, Аноним (-), 21:55, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А как быть с ebtables arptables?
     
     
  • 2.60, нах (?), 23:19, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А как быть с ebtables arptables?

    судя по воплям нового модного ядра еще-не-совсем-почти-готового-для-десктопа - уже успешно доламывают и доломают еще даже раньше чем остальное.

     
  • 2.102, Netmapguy (?), 02:12, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А как быть с ebtables arptables?

    они существовали только по той причине что iptables не умел что-то отличное от ipv4.
    даже ipv6 не умеет.

     

  • 1.56, Аноним (-), 22:26, 31/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ох! Пару месяцев назад свой localhost на nft перевел, а тут опять.
     
     
  • 2.61, Аноним (-), 23:23, 31/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Его ещё не скоро выкинут. А мне думается, что объединят код nftables и bpfilter.
     
  • 2.72, Аноним (-), 09:05, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ох! Пару месяцев назад свой localhost на nft перевел, а тут опять.

    А я поигрался и выкинул. Оверинженереная хрень.

     
  • 2.77, Аноним (-), 09:34, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Аналогично. Остановитесь!
     

  • 1.78, Пряникё (?), 10:34, 01/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Лучше бы они firewalld выкинули. Вот убожество - так убожество
     
     
  • 2.84, Аноним (-), 11:22, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Причём тут ядро, болезный? firewalld это системдос, который фридесктоп, а не ядро.
     

  • 1.85, Аноним (-), 11:37, 01/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Таки на мой вкус низкая популярность nftables не от того, что синтаксис другой, а от того, что поддержка нулевая. Тот же докер, всеми горячо любимый, кроме iptables нихрена не умеет, а без этого очень уж много прыгать с бубном приходится чтобы элементарные вещи в этом самом докере сделать. А nftables с iptables местами несовместим, в частности nat не работает ни один если оба в ядро загружены. История неуловимо напоминает ipv6, который вроде бы и есть, и внедряется, но на самом деле как-то очень вяло.
     
     
  • 2.98, Аноним (-), 23:03, 02/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > История
    > неуловимо напоминает ipv6, который вроде бы и есть, и внедряется, но
    > на самом деле как-то очень вяло.

    ~¼ всех хостов интернета доступны по IPv6 и их число растёт. Все крупнейшие домашние провайдерв в США выкатили IPv6 для своих клиентов буквально за полгода. А вот в диких всяких местах, там да, там IPv6 никому не нужен, там слои NAT наворачивают. Да и внедрять IPv6 тоже некому — специалистов нет.

     

  • 1.86, J.L. (?), 11:54, 01/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    //оффтоп
    на BPF можно написать (маленький) вебсервер? типо "модифицируем" пакет в ответ и перенаправляем его тому, от кого пришёл
     
     
  • 2.88, КО (?), 12:20, 01/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Говорят, на BPF с JIT даже Спектра можно сделать, а там ужо не далеко останется... :)
     

  • 1.89, vanoc (ok), 12:47, 01/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне кажется или я уже этот пост уже читал? Вроде один в один было уже здесь.
     
     
  • 2.105, Аноним (-), 14:05, 03/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В списке ссылок к новости посмотрите, был разбор дебатов, связанных с bpfilter.
     

  • 1.108, анон (?), 03:05, 04/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Новый велосипед в линуксе?
    -Значит ничего нового.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру