OpenForum RSS: Первый пригодный для пользователей релиз пакетного фильтра N... https://mobile.opennet.me/openforum/vsluhforumID3/93653.html Проект Netfilter представил (http://marc.info/?l=netfilter&m=139022350623824&w=2) первый ориентированный на конечных пользователей выпуск пакетного фильтра Nftables 0.099 (http://netfilter.org/projects/nftables/index.html), а также релиз (http://netfilter.org/news.html#2014-01-20a) сопутствующей библиотеки libnftnl 1.0.0 (http://netfilter.org/projects/libnftnl/), предоставляющей низкоуровневый API для взаимодействия с подсистемой nf_tables. Напомним, что подсистема nf_tables включена в состав ядра Linux 3.13 (http://www.opennet.ru/opennews/art.shtml?num=38845), а в рамках пакета Nftables поставляются компоненты, работающие в пространстве пользователя. Одновременно опубликован (http://marc.info/?l=netfilter-devel&m=139026112504105&w=2) пакет nftables-plus 0.099, который включает в себя дополнительные патчи (http://xtables.de/) для улучшения удобства использования утилиты nftables. <br><br><br>В рамках проекта Nftables развивается новая реализация пакетного фильтра, унифицирующая интерфейсы фильтрации пакетов для I Первый пригодный для пользователей релиз пакетного фильтра N... (rico) https://mobile.opennet.me/openforum/vsluhforumID3/93653.html#138 Mon, 27 Jan 2014 14:28:23 GMT судя по отсутствию активности вы открыли ему новый мир :)<br> Первый пригодный для пользователей релиз пакетного фильтра N... (AlexAT) https://mobile.opennet.me/openforum/vsluhforumID3/93653.html#137 Sat, 25 Jan 2014 06:40:38 GMT &gt; Да нормально, если гигабит до семи-десяти в сторону аплинков.<br>&gt; netflow пишется, BGP стоит, клиенты довольны.<br>&gt; Правда, не на BSD, а на линуксе, и не MPLS, а IPv4/ethernet,и <br>&gt; не core, а border © армянское радио.<br><br>Кстате да, две 4-6-ядерные машинки на ксеонах за 120-150 тыров каждая (две только ради надежности) с линухами, BIRD'ом и VRRP в качестве бордера спокойно протянут до 10-15 гиг в чистом роутинге, да еще и с фулвьюхой, возможно, не одной, и с PBR, и даже с несложным шейпером при необходимости. Аналог по стоимости найти сложновато.<br> Первый пригодный для пользователей релиз пакетного фильтра N... (Аноним) https://mobile.opennet.me/openforum/vsluhforumID3/93653.html#136 Sat, 25 Jan 2014 05:27:35 GMT Да нормально, если гигабит до семи-десяти в сторону аплинков.<br>netflow пишется, BGP стоит, клиенты довольны.<br>Правда, не на BSD, а на линуксе, и не MPLS, а IPv4/ethernet,и не core, а border © армянское радио.<br> Первый пригодный для пользователей релиз пакетного фильтра N... (pavel_simple) https://mobile.opennet.me/openforum/vsluhforumID3/93653.html#135 Fri, 24 Jan 2014 08:47:26 GMT &gt; Ну почитай же ты документацию. Они там библиотеку для этого сделали.<br><br>где документация, я вот не нашел. мой гугол меня подводит?<br><br>где написано как расширять ?<br>где расаписан flow пакета<br>где описание взаимодействия с route'ингом<br> Первый пригодный для пользователей релиз пакетного фильтра N... (Кот_Говноглот) https://mobile.opennet.me/openforum/vsluhforumID3/93653.html#134 Fri, 24 Jan 2014 08:03:32 GMT Ну почитай же ты документацию. Они там библиотеку для этого сделали.<br> Первый пригодный для пользователей релиз пакетного фильтра N... (pavel_simple) https://mobile.opennet.me/openforum/vsluhforumID3/93653.html#133 Fri, 24 Jan 2014 04:34:44 GMT &gt; В принципе, определенная оптимизация имеет место быть. Операции "на каждый пакет" заменяются <br>&gt; разовыми при генерации псевдокода.<br><br>вот именно что по сути это state machine "компилируемая" для ядра в юзерспейсе. и конечно сдесь есть здравое звено. чего только стоит отсутствие парсинга аргументов в ядре...<br><br>НО минус то тоже огромный -- КАК это расширять? <br> Первый пригодный для пользователей релиз пакетного фильтра N... (pavel_simple) https://mobile.opennet.me/openforum/vsluhforumID3/93653.html#132 Fri, 24 Jan 2014 04:31:32 GMT &gt;&gt; Честно говоря, прибываю в ужасе от нового синтаксиса правил.. Сделали более громоздкий <br>&gt;&gt; и длинный синтаксис, променяв годами проверенный стандартный.<br>&gt; Годами проверены только громоздкость, неудобство и запутанность "стандартного" синтаксиса. <br>&gt; Так что новый - вполне в тему.<br><br>ставь подпись неасилятор<br> Первый пригодный для пользователей релиз пакетного фильтра N... (pavel_simple) https://mobile.opennet.me/openforum/vsluhforumID3/93653.html#131 Fri, 24 Jan 2014 04:30:48 GMT &gt;&gt; Хорошо, "не менее половины старых модулей". А что со второй половиной?<br>&gt;&gt; Допустим, надо сделать проверку значения realm (есть такой же модуль в iptables).<br>&gt;&gt; Как это "без необходимости лезть в ядро" реализовать?<br>&gt; Метаданные пакета (входящий интерфейс, исходящий интерфейс, realm, mark, connmark и т.д.) <br>&gt; тоже доступны для BPF.<br><br>vlan тэг? QinQ ? тожа нет?<br> Первый пригодный для пользователей релиз пакетного фильтра N... (pavel_simple) https://mobile.opennet.me/openforum/vsluhforumID3/93653.html#130 Fri, 24 Jan 2014 04:28:50 GMT &gt;&gt; rule ip saddr 1.2.3.4 set add myrecent saddr timeout 60 <br>&gt;&gt; rule ip daddr 2.3.4.5 set del myrecent saddr timeout 60 <br>&gt;&gt; rule set myrecent saddr drop <br>&gt; Насколько я понял, таймауты там не поддерживаются как класс.<br><br>понял не правильно<br><br><br><br>