В ветку linux-next, на основе которой формируется начинка будущего ядра Linux 4.18, приняты (https://git.kernel.org/pub/scm/linux/kernel/git/davem/net-ne... патчи c реализацией нового пакетного фильтра bpfilter (https://lkml.org/lkml/2018/5/21/1178), который развивается командой проекта NetFilter и в отдалённой перспективе может вытеснить ныне предлагаемые инструменты фильтрации пакетов nftables и iptables.В рамках проекта bpfilter предпринята попытка создания компромиссного решения, использующего средства фильтрации на основе предоставляемой ядром подсистемы eBPF, предлагая при этом привычный синтаксис iptables. Bpfilter обрабатывает запросы API iptables и транслирует их в программы BPF, привязываемые к различным подсистемам. Например, при помощи XDP (https://www.iovisor.org/technology/xdp) (eXpress Data Path) можно запустить BPF-программу на уровне сетевого драйвера, с возможностью прямого доступа к DMA-буферу пакетов для высокопроизводительной обработки.
Так как bpfilter предоставляет на уровне ядра API iptables, штатные утилиты iptables можно пересобрать для работы поверх bpfilter и обеспечить полную совместимость с наборами правил iptables, т.е. bpfilter сможет выступить в роли прозрачной замены iptables, полностью совместимой со всеми существующими конфигурациями (администраторам не придётся изучать новый синтаксис правил). Трансляция правил выполняется целиком в пространстве пользователя, что упрощает отладку и повышает безопасность. Для повышения производительности применяется JIT-компиляция BPF в машинные инструкции и задействование аппаратных механизмов выполнения BPF на уровне сетевого адаптера (например, Netronome NFP SmartNIC).
Основным мотивом создания bpfilter стала недооценённость проекта
nftables и появление в ядре подсистемы eBPF, которая может заменить специальную виртуальную машину, применяемую в nftables для выполнения скомпилированных в байткод обработчиков. Чтобы не поддерживать две разные виртуальные машины, выполняющие сходные задачи, и для достижения более высокой производительности и защищённости у разработчиков возникла идея построения пакетного фильтра на основе штатного BPF-движка ядра Linux. Синтаксис правил
nftables кардинально отличается от iptables и это привело к трудностям при продвижении и низкой востребованности среди администраторов, которые продолжают использовать iptables, несмотря на все достоинства (https://www.opennet.me/opennews/art.shtml?num=38901)
nftables.
Кроме набора примитивов для фильтрации сетевых пакетов bpfilter также предлагает новый тип модулей ядра umh (https://lwn.net/Articles/749108/) (usermode helper), которые выполняются в пространстве пользователя и привязываются в базовым модулям (модули содержат вспомогательные функции, например в модуле bpfilter.ko через них выполняется разбор и трансляция в BPF правил фильтрации). Модули umh функционируют под управлением ядра, оформляются в виде модулей ядра и загружаются через modprobe, но выполняются в пространстве пользователя с привилегиями пользовательских приложений.
Взаимодействие umh-обработчиков с обычными модулями ядра производится с использование неименованных каналов (unix pipe), что позволяет абстрагироваться от протокола взаимодействия. Вынос операций разбора правил в пространство пользователя позволяет исключить из ядра потенциально опасный код, повысив общую безопасность системы. В перспективе рассматривается возможность применения umh-модулей за пределами bpfilter, например, для создания драйверов для устройств с интерфейсом USB.Дополнительно, можно отметить публикацию (https://code.facebook.com/posts/1906146702752923/open-sourci... компанией Facebook под лицензией GPLv2 кода балансировщика нагрузки Katran (https://github.com/facebookincubator/katran), работающего на транспортном уровне (L4 (https://ru.wikipedia.org/wiki/%D0%A2%D1%... и используемого на серверах первичного распределения нагрузки, образующих общую сеть распределения нагрузки по датацентрам. Замена традиционного IPVS (http://www.linuxvirtualserver.org/software/ipvs.html) в балансировщике нагрузки Facebook на решение на базе BPF и XDP позволило (https://www.netdevconf.org/2.1/slides/apr6/zhou-netdev-xdp-2... поднять производительность в 10 раз.
Правила для распределения трафика компилируются в программы BPF, которые выполняются во встроенном в ядро Linux интерпретаторе байткода eBPF, позволяющем создавать обработчики сетевых операций, контролировать доступ и отслеживать работу систем, в том числе BPF-программы могут применяться для низкоуровневой обработки входящих/исходящих пакетов и принятия решений о перенаправлении пакетов. Для дополнительной оптимизации задействована инфраструктура XDP (https://www.iovisor.org/technology/xdp) (eXpress Data Path), которая предоставляет средства для запуска BPF-программ на уровне сетевого драйвера, что позволяет создавать высокопроизводительные обработчики для работы в условиях большой сетевой нагрузки.
URL: https://lkml.org/lkml/2018/5/21/1178
Новость: https://www.opennet.me/opennews/art.shtml?num=48690
давайте больше ,что бы штук 10 фильтров в ядре и разный не читаемый синтаксис, под любое настроение
Ну вон, у бздунов есть pf, ipfw и ipfilter - и ничего, живут.
> и ничего, живут.Справедливости ради стоит добавить, что такой набор средств фильтрации далеко не у всех BSD-систем.
Да и вообще следует более уважительно относиться к сообществам, о которых вам мало что известно.
>такой набор средств фильтрации далеко не у всех BSD-системА где нету? У Тео, чтoле? Так он известный неадекват. Хотя с какой стороны посмотреть - лучше один инструмент нормальный, чем три перманентно недопиленных.
>мало что известно.
Да я кaкбэ и сам наряду с линyпсом стрекозу кое-где пользую и с фряхой знаком был когда-то.
> Да я кaкбэ и сам наряду с линyпсом стрекозу кое-где пользую и с фряхой знаком был когда-то.Термин "пользовать" означает лечить. Правда-правда! Лечишь стрекоз? ветеринар-энтомолог? :)
> Да и вообще следует более уважительно относиться к сообществам, о которых вам мало что известно.Например, сатанисты чрезмерно демонизированы традиционными сообществами, верно?
Излишне демонизированы при помощи шестьсот шестидесяти шестикратного форка процесса. Зачем форкать процесс 666 раз? Во имя Сатаны, конечно же!
> Ну вон, у бздунов есть pf, ipfw и ipfilter - и ничего,
> живут.дерьмово живут. один неспособен банальный ftp без user-mode helper переварить (что, какой еще h323, вы о чем?), второй совершенно неуправляем и нечитаем в конфигурациях чуть сложнее локалхостовой, третий вообще труп двадцатилетней давности (когда-то и под линукс собирался, но недолго).
Но вы не волнуйтесь, в линуксе так не будет, у нас такого не бывает. Через пол-годика netfilter объявят deprecated, через год сломают необратимо, через два проведут в рассылке блиц-опрос "кто из авторов bpfilter использует netfilter?" и по результатам удалят "неработающий и неподдерживаемый код".
>и по результатам удалят "неработающий и неподдерживаемый код".После чего сделают большие пальцетыкательные иконки, вкорячат в ядро вейланд, перепишут его на gtk4, которое задумано как постоянно ломающееся, после чего leenoops накроется гномощелью.
> После чего сделают большие пальцетыкательные иконкичто значит - после? Уже же ж... Буквально месяц назад тут читал анонс очередного чудо-фиреволла "как в виндовс, только там он работал" (а у нас "как в виндовс" означало что оно тоже умеет высунуть окошко под руку)
>дерьмово живут.Тем не менее, когда мне однажды понадобилась хитровые.анная конфигурация на софтороутере, только с pfsense удалось ее поднять, а он сам знаешь на чем.
>объявят deprecated, через год сломают необратимо
Несмешная шутка, именно потому, что имеет все шансы сбыться.
> дерьмово живут. один неспособен банальный ftp без user-mode helper переварить (что, какой еще h323, вы о чем?),Вы путаете функционал пакетного фильтра и NAT ALG. Одно не подразумевает другого.
Типа как шейпер в фаервол пихать - так нормально, а как nat, так сразу - "не функционал пакетного фильтра", угу. Двойные стандарты 6здунов as is.
> Вы путаете функционал пакетного фильтра и NAT ALG. Одно не подразумевает другого.а причем тут nat? чтобы был нормальный stateful firewall надо уметь смотреть в payload и контрольку всяких sip/ftp/pptp.
Тут либо NAT ALG, либо DPI.
Он имеет ввиду динамическое создание разрешающих правил для пропуска связанного трафика - FTP - data, SIP - rpt и т.п. без какого-либо NAT.
> Ну вон, у бздунов есть pf, ipfw и ipfilter - и ничего, живут.
> ipfilterУ которого полтора пользователя, причем чуть ли не в буквальном смысле.
> бздунов
Ну да, зачем интересоваться, как расшифровывается BPF, когда можно гордо задрать гузку?
https://github.com/torvalds/linux/blob/80cee03bf1d626db02782...
> * Based on the design of the Berkeley Packet Filter. The new
>У которого полтора пользователя, причем чуть ли не в буквальном смысле.Ах да, я забыл, он теперь не модный и не молодежный.
>зачем интересоваться, как расшифровывается BPF, когда кэп на дежурстве?
Починил.
>>У которого полтора пользователя, причем чуть ли не в буквальном смысле.
> Ах да, я забыл, он теперь не модный и не молодежный.Шуберт, ты?
В стрекозе его выкинуле еще лет 7 назад, последнее минорное обновление было в 2012, обновления до этой минорщины - в 2010 и 2004(!).
Были попытки дропа из базы, но есть один упертый немодник-немолодежник, готовый доказывать нужность и незаменимость и даже вызвавшийся кое-как мейнтенить (иначе выкинули бы, несмотря на все протесты).
>Berkeley Packet FilterНу придумали в универе Беркли и что теперь? Благодарить за это FreeBSD?
> Ну придумали в универе Беркли и что теперь? Благодарить за это FreeBSD?Благодарить за это _разработчиков_ FreeBSD.
>> Ну придумали в универе Беркли и что теперь? Благодарить за это FreeBSD?
> Благодарить за это _разработчиков_ FreeBSD.https://en.wikipedia.org/wiki/Berkeley_Packet_Filter
«The original paper was written by Steven McCanne and Van Jacobson in 1992 while at Lawrence Berkeley Laboratory»
В оригинальном документе BPF расшифровывается как «BSD Packet Filter» (не Berkley!), но и FreeBSD нигде не упоминается. При этом там сказано (в декабре 1992!), что «BPF is now about two years old …» из чего можно сделать вывод, что BPF родился ещё в оригинальной BSD. Напомню - FreeBSD начинает свою историю только в 1993.
> из чего можно сделать вывод, что BPF родился ещё в оригинальной
> BSD. Напомню - FreeBSD начинает свою историю только в 1993.Если ты думаешь, что в современное ядро линукса впихнут код BSD 1992 года, то с выводами у тебя проблемы. А современный код создаётся в том числе и на фришке. Так что будь благодарен и не занимайся больше аналитикой.
> Если ты думаешь, что в современное ядро линукса впихнут код BSD 1992
> года, то с выводами у тебя проблемы. А современный код создаётся
> в том числе и на фришке.код ядра linux писать на freebsd? мсье знает толк в извращениях.
Ты не в теме. Читай заголовок новости и товарища, которому я ответил. Может что поймёшь.
>В оригинальном документе BPF расшифровывается как «BSD Packet Filter» (не Berkley!)Пойди чуть дальше и поинтересуйся,как расшифровывается BSD.
Есть то они есть, но ядро тут причем?
Они подключаются модулями, по необходимости.
И также, по необходимости, компилируются в ядро.
https://imgs.xkcd.com/comics/standards.png
Не надо 10, нужен хотя бы один рабочий. Вот, ребята пытались nftables сделать — не вышло. Будем надеяться, что эта попытка будет более удачной.
>> это привело к трудностям при продвижении и низкой востребованности среди администраторов, которые продолжают использовать iptables, несмотря на все достоинства nftablesадмины юзают, потому что более ничего вменяемого не существует
тот же ipfw обладает наиболее человеческим языком, но нет блин, линух же делали студенты, поэтому нужно выдумать такой эмо-синтаксис чтобы все офигевали от этих ПрИфФеТиКоВВВВВ
Что-то не помню я достоинств у nftables, кроме дурацкого синтаксиса, багов, и тормозов.
А вот eBPF уже давно обзавелся JIT компилятором.
Проект Cilium продвинулся ещё на шаг к успеху.
А чего это у nftables синтаксис дурацкий? Непривычный после iptables, зато структурированный. И чем-то напоминает синтаксис iproute2.
Если бы он был как у iproute2, и выводился бы нормальный диагноз при ошибке и описание всех опций в форме Бэкуса-Наура, то цены ему не было.
вы просто ничего не понимаете в новых-модных технологиях. Авторам докера, шмокера, system-ненужноd очень сложно и неудобно лезть в обход админа автомагически редактировать iptables, тем более что апи у него - гуано (а гуано ровно потому, что авторы редактировали правила руками, читали - глазами, а думали - головой, и вообще не видели смысла в бинарном api для замены этого всего)привыкайте, скоро "придет на замену". Все автомагически, с непредсказуемыми глюками и багами, исправлять которые некому, для чтения и отладки руками не предназначено в принципе. А файрволлы мы будем настраивать на чем-нибудь другом, отличном от линуксов :-(
При этом банального валидатора правил (который был в ipchains, и который обещали еще в 2000м "как только так сразу") по сей день ниасилили.
> А вот eBPF уже давно обзавелся JIT компилятором.
ненужное ненужно обзавелось ненужно. Поправил, не благодарите.
>[оверквотинг удален]
> - головой, и вообще не видели смысла в бинарном api для
> замены этого всего)
> привыкайте, скоро "придет на замену". Все автомагически, с непредсказуемыми глюками и багами,
> исправлять которые некому, для чтения и отладки руками не предназначено в
> принципе. А файрволлы мы будем настраивать на чем-нибудь другом, отличном от
> линуксов :-(
> При этом банального валидатора правил (который был в ipchains, и который обещали
> еще в 2000м "как только так сразу") по сей день ниасилили.
>> А вот eBPF уже давно обзавелся JIT компилятором.
> ненужное ненужно обзавелось ненужно. Поправил, не благодарите.И куда только смотрит Светоч Ядростроения? Видимо, продался давно.
Я как то запяматовал, а как редактировать баги в компилированных программах?
> Я как то запяматовал, а как редактировать баги в компилированных программах?"запяматовал" - ничего удивительного для персонажа, чей мозг лежит в банке с формалином.
> авторы редактировали правила руками, читали - глазами, а думали - головойНо дедали это всё исключительно в рамках своего локалхоста. Потому что редактировать руками и читать глазами скрипты настройки фаерволла на каждом сервере нет ни возможности, ни желания когда их становится больше двух. А автоматизировать нетранзакционный iptables — то ещё приключение.
> Но дедали это всё исключительно в рамках своего локалхоста.делали в рамках хостов, смотрящих в интернет. Далеко не локал.
Если у вас таких заметно "больше двух", вы либо гугль, либо лох."Бегун" на пике популярности на свои ~700 нод обходился, помнится, четырьмя фронтендами. С хорошим запасом (то есть вполне выживал при отвале двух вместе с датацентром где те находились)
> А автоматизировать нетранзакционный iptables — то ещё приключение.
то есть вы ни автоматизировать не умеете, ни iptables толком не знаете. (псевдо"транзакционность" там беда, а не достижение. Впрочем, у bsd pf такая же)
Но рассуждаете о тысячах хостов. Как обычно :-(А по факту имеем прекрасный модуль гома, выводящий окошко "разрешить ли страшному-опасному ftp-клиенту внешние подключения" - "как в винде". Хотя как раз это нахрен не надо и в винде тоже.
packet tracer вы не напишете никогда. А вот он как раз нужен.
Я вообще не понял этого финта с nftables, более того, ни разу так и не увидел его в продакшне.
> Я вообще не понял этого финта с nftables, более того, ни разу
> так и не увидел его в продакшне.И не увидишь. Оно не достаточно контейнерное, модное, мододёжное оркестровое и каа-банное. Сейчас ребята смузи допьют и приведут приговор в исполнение.
> Я вообще не понял этого финта с nftables, более того, ни разу
> так и не увидел его в продакшне.Я видел в продакшене, в своём. Часть хостов перевели на него посмотреть. Если не обращать внимания на отсутствующую функциональность (notrack и ipsec, например), то впечатления только приятные. Удобный синтаксис, транзакционность, атомарность операций, удобно автоматизировать. Год-два активной работы и он бы имел все преимущества, чтобы вытеснить iptables за счёт удобства. Но в том виде, что он имеет сейчас это, конечно, не production ready. Теперь надежды на преемника.
> Что-то не помню я достоинств у nftablesпффф... допустим, у нас 2к юзеров с серыми адресами и каждого надо натить в уникальный внешний адрес.
на iptables у вас будет 2к правил, а в nftables - одно из-за verdict maps.
да, в мапе будет 2к записей, но лукап по ней будет O(1), а не O(n) как в случае iptables(потому что все 2к правил nat придется пробегать на каждый пакет, для котого нет записи в conntrack).
А есть такой же, но от Поттеринга?
Фу, нидай бог поделия поттеринга этож ужас какой-то будет.:)
Будет, systemd-bpfilterd :)
> Фу, нидай бог поделия поттеринга этож ужас какой-то будет.:)Не бойтесь, камарады, лёня в шел скрипты не смог, про сетевые пакетики можно не беспокоиться,
> Не бойтесь, камарады, лёня в шел скрипты не смог, про сетевые пакетики
> можно не беспокоиться,Именно это и пугает. :D
>> Фу, нидай бог поделия поттеринга этож ужас какой-то будет.:)
> Не бойтесь, камарады, лёня в шел скрипты не смог, про сетевые пакетики
> можно не беспокоиться,Да ты что? А Avahi?
Вообще зря вы на systemd так напераете. Хоть он не без проблем, но жить помогает.
Самое ценное в этой штуке то, что она работает в том числе с привычными хуками iptables. То есть для старых конфигураций общая логика работы, несмотря на новую механику, не изменяется.
> Самое ценное в этой штуке то, что она работает в том числе
> с привычными хуками iptables. То есть для старых конфигураций общая логика
> работы, несмотря на новую механику, не изменяется.только в десяти местах криво воспроизведут, еще в пяти окажется несовместимо.
Не надейтесь, забывайте уже свои iptables, это только затычка на время переходного периода, причем для тех, у кого эти самые tables были абсолютно примитивные - у других работать не будет.
>> Самое ценное в этой штуке то, что она работает в том числе
>> с привычными хуками iptables. То есть для старых конфигураций общая логика
>> работы, несмотря на новую механику, не изменяется.
> только в десяти местах криво воспроизведут, еще в пяти окажется несовместимо.
> Не надейтесь, забывайте уже свои iptables, это только затычка на время переходного
> периода, причем для тех, у кого эти самые tables были абсолютно
> примитивные - у других работать не будет.Ну когдато мы пользовались мсдосом и сейчас его нет.
Все бежит, все меняется.
так зачем хейтить, что идет прогресс?
> Ну когдато мы пользовались мсдосом и сейчас его нет.
> Все бежит, все меняется.вот и бегите дальше, без меня.
Я "пользовался мсдосом" _после_ (и между) тем, как пользовался юникс-системами. Мир вычислительной техники не начался с 1ВМ-РЭСЭ, если вы не в курсе. (к тому же на ней у нас был venix)
И благополучно пережил тот день, когда его окончательно закoпали.Шансов пережить ту мерзость, в которую превратили линукс, у меня уже немного, но у тех кто сейчас только осваивает азы, вполне себе есть.
Кто тебе сказал, что его нет? Я до сих пор ретрогамаю. Можно кассовые аппараты на нём встретить, причём не только в этой стране. Он есть, для специфичных применений.
> Ну когдато мы пользовались мсдосом и сейчас его нет.
> Все бежит, все меняется.
> так зачем хейтить, что идет прогресс?Вы MBA не "заканчивали"? Или, там, в Харли-Дэвидсоне не работали? А то как-то евро-цененостным менеджементом пахнуло.
"" Сегодня организационные изменения стали реальностью и синонимом
слов «выживание» и «развитие» для любой организации. Управление
ими приобрело статус одной из самых важных задач и, одновременно,
компетенций современного менеджера. В разные моменты времени
менеджеры становятся как организаторами преобразований, так и их
«реализаторами», на плечи которых ложится, пожалуй, самая сложная
задача — запустить и довести до успешного завершения процесс
перемен. ""
Бунт против часовой стрелки?
>Модули umh функционируют под управлением ядра, оформляются в виде модулей ядра и загружаются через modprobe, но выполняются в пространстве пользователя с привилегиями пользовательских приложений.Так это, наверное, следовало бы сделать отдельной универсальной подсистемой, которую возможно использовать не только для нужд фильтрации пакетов.
Например, невидиевские блобы в umh засунуть.
Этак они до микроядра доиграются. Всего то делов все модули ядра грузить как umh. :)
Не мытьём, так катанием. :)
> Этак они до микроядра доиграются. Всего то делов все модули ядра грузить
> как umh. :)Чего только не делают, лишь бы в GNU и Hurd не коммитить.
iptables это же не только фильтрация, это ещё conntrack, nat, ipset, recent, log, и т.п., не совсем ясно как это будет работать с bpfilter
это все не нужно гуглам, фейсбукам, твиттерам и прочим хипстерам. а значит выкинут на помойку.
Оно просто в другом виде для облаков через всякие микросервисы и дисковеры управляет
> это все не нужно гуглам, фейсбукам, твиттерам и прочим хипстерам. а значитсперва сломают, потом удивленно спросят "ка-а-а-ак? В ядре неподдерживаемый код?!" - а потом да:
> выкинут на помойку.
> iptables это же не только фильтрация, это ещё conntrack, nat, ipset, recent,
> log, и т.п., не совсем ясно как это будет работать с
> bpfilterНичто в общем не мешает вызывать API модулей из bpf.
> iptables это же не только фильтрация, это ещё conntrack, nat, ipset, recent,
> log, и т.п., не совсем ясно как это будет работать с
> bpfilterдумать примерно в эту сторону:
Я-то думал, что nft не используют из-за отсутсвия доброй половины достаточно важных модулей (recent, u32 из того, что конкретно мне надо было) в тех кейсах, в которых он был бы интересен продвинутым синтаксисом (ведь в обычном кейсе -o eth0 -s 192.168.0.0/24 -j MASQUERADE вообще наплевать, будет там nft, ipt, или "ip nad outside"), и отсутствием базового оперейшн функционала вроде "очистить счетчики", "заэкспортить в виде комманд, а не своего недо-жсона" и прочих мелких, но необходимых плюшек, а оно вона как, оказывается, сложный синтаксис всему виной.Но ничего, сейчас мы завезем немного виртуальных машин в ядро (а то и прямо в железо), которые будут мало того, что тьюринг-полными, так еще и с доступом "куда надо", десяток-другой entrypoint-ов в это API из самых труднодоступных мест, и начнем весело вылавливать руткиты из пакетных фильтров, которые будет делать незнамо что, и отображаться в системе неизвестно как.
P.S. тот самый bpf уже научили в итерацию, которая необходима для нормального парсинга IPv6 экстеншенс?
> P.S. тот самый bpf уже научили в итерацию, которая необходима для нормального
> парсинга IPv6 экстеншенс?IPv6 не нужен, IPv6 экстеншны не нужны вдвойне.
>Bpfilter обрабатывает запросы API iptables и транслирует их в программы BPFПшаудио от фаерволов?
Он будет работать с инструментами типа shorewall?
А как быть с ebtables arptables?
> А как быть с ebtables arptables?судя по воплям нового модного ядра еще-не-совсем-почти-готового-для-десктопа - уже успешно доламывают и доломают еще даже раньше чем остальное.
> А как быть с ebtables arptables?они существовали только по той причине что iptables не умел что-то отличное от ipv4.
даже ipv6 не умеет.
Ох! Пару месяцев назад свой localhost на nft перевел, а тут опять.
Его ещё не скоро выкинут. А мне думается, что объединят код nftables и bpfilter.
> Ох! Пару месяцев назад свой localhost на nft перевел, а тут опять.А я поигрался и выкинул. Оверинженереная хрень.
Аналогично. Остановитесь!
Лучше бы они firewalld выкинули. Вот убожество - так убожество
Причём тут ядро, болезный? firewalld это системдос, который фридесктоп, а не ядро.
Таки на мой вкус низкая популярность nftables не от того, что синтаксис другой, а от того, что поддержка нулевая. Тот же докер, всеми горячо любимый, кроме iptables нихрена не умеет, а без этого очень уж много прыгать с бубном приходится чтобы элементарные вещи в этом самом докере сделать. А nftables с iptables местами несовместим, в частности nat не работает ни один если оба в ядро загружены. История неуловимо напоминает ipv6, который вроде бы и есть, и внедряется, но на самом деле как-то очень вяло.
> История
> неуловимо напоминает ipv6, который вроде бы и есть, и внедряется, но
> на самом деле как-то очень вяло.~¼ всех хостов интернета доступны по IPv6 и их число растёт. Все крупнейшие домашние провайдерв в США выкатили IPv6 для своих клиентов буквально за полгода. А вот в диких всяких местах, там да, там IPv6 никому не нужен, там слои NAT наворачивают. Да и внедрять IPv6 тоже некому — специалистов нет.
//оффтоп
на BPF можно написать (маленький) вебсервер? типо "модифицируем" пакет в ответ и перенаправляем его тому, от кого пришёл
Говорят, на BPF с JIT даже Спектра можно сделать, а там ужо не далеко останется... :)
Мне кажется или я уже этот пост уже читал? Вроде один в один было уже здесь.
В списке ссылок к новости посмотрите, был разбор дебатов, связанных с bpfilter.
Новый велосипед в линуксе?
-Значит ничего нового.