https://www.opennet.ru/openforum/vsluhforumID3/117738.html После года разработки представлен (https://marc.info/?l=netfilter&m=156139496810281) релиз пакетного фильтра nftables 0.9.1 (https://netfilter.org/projects/nftables/), развивающегося в качестве замены iptables, ip6table, arptables и ebtables за счёт унификации интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. <br><br><br>На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. <br>Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающ https://www.opennet.ru/openforum/vsluhforumID3/117738.html#118 Thu, 04 Jul 2019 19:48:42 GMT &gt;&gt; Только вот какая у "windows share" скорость по сравнению с ftp? ;) <br>&gt; Скорость у нее упирается, обычно, в 10Ge, которым эта шара смотрит в <br>&gt; сторону FEX, если удается обойти другие бутылочные горлышки<br>&gt; Сюююрпрайз, да?<br><br>А _по_сравнению_с_ ftp? На той же машине? А конкретно, на роутере. И внезапно оказывается, что ftp в два раза быстрее, и на порядок проще в настройке. Сюююрпрайз, да?<br><br>&gt; Причем это щастье наступило еще в 12й (у 2008R2 были определенные сложности,но <br>&gt; ей простительно - 10 лет назад ...<br><br>Это да, в winxp ещё в далёком 2014м всё было плохо. 2-3МБ/сек на гигабитной сети &#8212; было очень грустно.<br><br>&gt;&gt; Вообще-то у них баги были примерно одинаковые, и даже в одинаковые годы.<br>&gt; что как бы и говорит нам о качестве его кода.<br><br>О качестве кода их обоих. При том, что к одному из них приковано куда больше внимания.<br><br>&gt;&gt; Но плевать на секурность &#8212; мне надо всего лишь файлы с роутера в локалке расшарить, чтобы <br>&gt; а если роутер поломают?<br><br>А мне надо файлы В ЛОКАЛКЕ расшарить. Обычно в https://www.opennet.ru/openforum/vsluhforumID3/117738.html#117 Wed, 03 Jul 2019 12:22:30 GMT &gt; Только вот какая у "windows share" скорость по сравнению с ftp? ;)<br><br>видите как плохо вариться в маня-мирке?<br>Скорость у нее упирается, обычно, в 10Ge, которым эта шара смотрит в сторону FEX, если удается обойти другие бутылочные горлышки - подставить правильный san с правильным multipath, или разместить хранилку непосредственно в файловом сервере, обеспечить ему достаточно памяти под метаданные и процессора для их перемалывания.<br>Сюююрпрайз, да?<br><br>Причем это щастье наступило еще в 12й (у 2008R2 были определенные сложности,но ей простительно - 10 лет назад даже 10G _raw_ диска было не так просто получить, мы пробовали, священным беспл..простите, шва6одными линуксом, вышло очень дорого и как-то совсем уж ненадежно)<br><br>В принципе, на самом деле и у сосамбы не так все плохо - народ получал ~800 мегабайт/s в специфических тестах, мне просто негде такое развернуть (поскольку, опять же, мало стырить десяточную сетевуху, надо еще чтоб оно банально в диск не уперлось), но ссыкотно, ибо CVE-2017-7494 ничем не лучше https://www.opennet.ru/openforum/vsluhforumID3/117738.html#116 Mon, 01 Jul 2019 21:24:54 GMT &gt; ну зачем же мучаться, когда есть windows share? ;-) <br><br>Только вот какая у "windows share" скорость по сравнению с ftp? ;)<br><br>&gt; (и да, последний cve был давным-давно, причем, как обычно, для конфигураций, весьма далеких от реальных)<br><br>Это у windows share-то он был давно? ;) Я помню эти пачки CVE-2017-0143...0148, CVE-2017-0161, CVE-2017-0174... Помню и победоносное шествие petya/notpetya/идр. Ну просто нереальная конфигурация, вообще никто не заразился, да? А есть и поновее, например Remote Code Execution CVE-2019-0630.<br><br>&gt;&gt; vsftpd же!<br>&gt; ну это вообще насмешка над здравым смыслом - поищите по mitre это <br>&gt; "very secure", вместе поплачем.<br><br>Вообще-то у них баги были примерно одинаковые, и даже в одинаковые годы. Причём все баги мелкие, типа DoS-а. И при этом vsftpd, вероятно, самый популярный и самый анализируемый ftp-сервер.<br><br>Но плевать на секурность &#8212; мне надо всего лишь файлы с роутера в локалке расшарить, чтобы максимальная скорость и минимальная нагрузка. Чем pureftpd для этого лучше?<br><br>&gt; Из н https://www.opennet.ru/openforum/vsluhforumID3/117738.html#115 Mon, 01 Jul 2019 04:09:22 GMT &gt; У автора была идея написать модуль, независимый от iptables и nftables <br><br>но не было пороха, как обычно.<br>&gt; https://github.com/aabc/ipt-netflow/issues/34 <br><br> This is good in itself, and also may be useful for nftables, because nftables (as of yet) does not support extensions.<br>лолшта?<br><br>Но новым стандартом этот недоделок уже объявлен, и все посасывающие у redbm уже заменили врапперами старые бинарники, а скоро "по данным нашей телеметрии никто этими мамонтовыми iptables не пользуется, авторы их не поддерживают, выпиливаем из ведра!"<br><br> https://www.opennet.ru/openforum/vsluhforumID3/117738.html#114 Mon, 01 Jul 2019 04:04:27 GMT &gt; Умеет что? FTP? <br><br>ну зачем же мучаться, когда есть windows share? ;-) <br>(и да, последний cve был давным-давно, причем, как обычно, для конфигураций, весьма далеких от реальных - в отличи от сосамбы, в которой каждый день новость)<br><br>&gt; vsftpd же!<br><br>ну это вообще насмешка над здравым смыслом - поищите по mitre это "very secure", вместе поплачем.<br><br>сравнительно руками написаны djb ftpd (но несовместим ни с чем, включая и большинство ftp клиентов, типикал djb-style - где-то у solar diz'а, по-моему, был патч, он тривиальный) - readonly by design.<br>А если хочется нормальный upload и per user access - то pure единственный выбор. Из необходимого приличному клиенту прошлого века не умеет разьве что get ...tar.gz , но это не для файлопомоек, это для shared hosting было актуально.<br>Из этого века - "ньюансы" с ftps, но их ни один нормальный виндовый клиент тоже толком не умеет.<br>(правильный ftps шифрует auth, а не целиком control, поэтому не застревает в файрволах чуть поумнее pf и не грузит процессор хоста почем зря https://www.opennet.ru/openforum/vsluhforumID3/117738.html#113 Mon, 01 Jul 2019 00:41:57 GMT У автора была идея написать модуль, независимый от iptables и nftables<br>https://github.com/aabc/ipt-netflow/issues/34<br> https://www.opennet.ru/openforum/vsluhforumID3/117738.html#112 Sun, 30 Jun 2019 23:21:13 GMT &gt; тут из зала подсказывают, что винда давно уже это умеет ;-) <br><br>Умеет что? FTP? Более-менее умеет. Потому я и говорю, что это единственный быстрый кросс-платформенный способ расшарить кучу файлов в локалке. И даже в 2019м нет ничего лучше.<br><br>&gt; Ну, ее, конечно, иногда ломали, но если вспомнить историю proftpd, то она <br>&gt; покажется шедевром надежности (а pure почему-то совершенно непопулярен).<br><br>vsftpd же!<br> https://www.opennet.ru/openforum/vsluhforumID3/117738.html#111 Sun, 30 Jun 2019 20:13:09 GMT Может так и сделаем, когда руки снова дойдут. Но всё таки хотелось полностью на nft переехать и опробовать на боевых машинах его.<br> https://www.opennet.ru/openforum/vsluhforumID3/117738.html#110 Sun, 30 Jun 2019 19:14:30 GMT вы таки ничего не понимаете, там же виртуальная машина(!) , она же не может тормозить! ;-)<br><br>btw, на самом деле меряли, или как всегда? И что такое "больше количество"?<br>Вот 800 штук линейным списком - это достаточно большое?<br><br>