Gleb
у фраерволд с овс интеграция
Gleb
нативнненько всё
Sergey
Удиви
Gleb
так вроде так весь опенсорс писать принято?
Gleb
😳
Sergey
Ну что конкретно в этих хуях не так
Sergey
И?
Gleb
если 0 то всё равно пиздец
Gleb
:D
Sergey
Если у тебя 100500 правил то у меня плохие новости для тебя, и это не про латентную гомосексуальность
Sergey
Он рядом
Sergey
Да зачем, я и так могу дать за щеку
Sergey
)
Pavel
Так так таааак
Pavel
Про иптаблес интересно
Pavel
Эт значитса к8 соснет в больших инсталляциях если вдруг чо реконфигуришь
Sergey
Я помню изврат, научить tc юзать хеш тейбл сделанный ipset
Sergey
Яж говорю изврат
Sergey
Слава Богу к тому моменту подоспел зуй который ядерную реализацию рейтлимита сделал
Sergey
Вроде ещё был модуль ip-mark в икстэйблс-аддонс
Sergey
Тоже годный
Sergey
Чёт я занастальгировал
Sergey
Да это не шейпинг
Sergey
Но часто достаточно и этого
Roman
ну да, ебанина :(
Roman
но есть жи xt_bpf
Roman
ну netfilter относительно медленный
Sergey
Ну пилят же нытэйбл
Pavel
що за
Sergey
Ты посмотри кто там писал сетевую часть особенно на заре ведра
Sergey
Вопросы отпадут
Roman
ну да, все плохо
Roman
сейчас хоть xdp есть
Roman
ты говоришь так, словно другие пакетные фильтры лучше
Roman
шта?? какой именно фильтр?
Roman
rump штоле?
Pavel
ipfw?
Pavel
он по меньшей мере читаемей
Roman
уж лучше pflua
Михаил
Эт значитса к8 соснет в больших инсталляциях если вдруг чо реконфигуришь
в больших это каких?
Sergey
Ага ФРя, с десяток видов ната и ни один нормально не работает
Sergey
Roman
и надо понимать, что ipfw - это без nat. и оно вроде stateless
Gleb
где хрыч? ща он тебе расскажет что зря ты чебурнет делаешь
Roman
dummynet? так оно однопоточное
Gleb
ну он вроде по чатам ходит и рассказывает что ты делаешь великий российский файрвол, не?
Sergey
Дамминет однопоточное, если куча клиентов и динамические Таблицы - вообще беда, зачастую тупо генерят статически весь бамминет конфиг
Pavel
в больших это каких?
ну хде 10 тыщ контейнеров там, с кучей зон и т.п. Я не волшебник, я только учусь)
Михаил
ну хде 10 тыщ контейнеров там, с кучей зон и т.п. Я не волшебник, я только учусь)
10к контейнеров в одной инсталяции это будет больно)
Roman
и?
Михаил
однако навскидку там не всё так страшно и при грамотном подходе можно генерить меньше правил
Pavel
я ipfw на винде гонял давно, т.к. не смог в гуй ваервола венды )))
Roman
и трахаемся с шардингом? :)
Roman
вот Паша Одинцов годную идею с netmap придумал, когда у карточки только одну очередь тырим для netmap и программируем nic так, чтобы в эту очередь падал только определенный тип трафика
Pavel
я ipfw на винде гонял давно, т.к. не смог в гуй ваервола венды )))
ну там не он был, а можн было правила как в нем писать, а оно уже както в венду там загоняло
Roman
лучше бы dpdk
Roman
он одепт dpdk :)
Pavel
блэ, вы тут слов наговорили, заебусь гуглить )))))
Uncel
зависит от упоротости
Roman
https://github.com/libmoon/libmoon ?
Pavel
dpdk
Uncel
https://github.com/intel-go/yanff
Uncel
Roman
Roman
Sergey
Марк, куча же проектов есть, которые выносят сетевой стек в юзверспейс
Sergey
Опенлоад тот же
Pavel
пошел читать про этот ваш дыпыдыка
Sergey
Одно, если память не подводит, там надо карточки покупать одного вендор а
Pavel
Uncel
Одно, если память не подводит, там надо карточки покупать одного вендор а
неа, даже сраный броадком есть