Volodymyr
айпитейблес - обертка над нетфильтром )
Serge
фиреволлд вроде просто обертка к иптаблесу
Вроде как обёртка универсальная, но бэкенд сейчас запилен только для {ip,ip6,eb}tables
Volodymyr
блин, поясните
Anonymous
сейчас всё - обёртка над iptables, ибо nftables ещё очень и очень сырой
Volodymyr
почему он сразу не к нетфильтру
Volodymyr
зачем ему айпитейблес?
Denis
iptables это CLI нетфильтра
Serge
На сервере такое себе, конечно, но для ноута збс
Denis
они даже где-то писали в давней статье, что iptables есть рекоммендованый api для общения с nf
Purrr
сейчас к нетфильттру только два интерфейса есть - иптаблес и нфтаблес
Purrr
но вроде уже делают еще один
Volodymyr
ну типа, аля стартап
Volodymyr
чтобы сильно не парится
Purrr
который будет синтаксически совместим с иптаблесом
Volodymyr
навернем поверх
Purrr
только зачем я не уловил
Purrr
сидят там за дошики опенсурсят опенсурс
Purrr
ретхат - это я про фиреволлд
Anonymous
ну как бы это, bpfilter имеет целью заюзать для netfilter такую милую тему как ebpf
Volodymyr
ну как бы это, bpfilter имеет целью заюзать для netfilter такую милую тему как ebpf
мы с этого и начали )
Volodymyr
а nftables - другая реализация похожего
Anonymous
а потом мирно обсудили, почему iptables, почему не nftables, и чо ваще делать
Purrr
зато nftables может атомарно правила заменять
Purrr
короч нада нфтаблес юзать
Purrr
ваще пушка
Denis
чот ebpf так форсят везде что наверное скоро поломают что-нибудь важно в ядре
Purrr
жаль только уши иптаблеса там тоже торчат
Serge
Я не пойму, зачем они новую морду делают синтаксически совместимой с iptables — это же все старые костыли надо будет тащить
Purrr
Я не пойму, зачем они новую морду делают синтаксически совместимой с iptables — это же все старые костыли надо будет тащить
ну они посмотрели на то как нфтаблес медленно внедряется и решили сделать новое, чтобы заменить нфтаблес и чтобы было совместимо с иптаблес и быстрее в массы пошло
Purrr
лол
Serge
Тогда уж проще продолжать тащить сам iptables :D
Anonymous
чот ebpf так форсят везде что наверное скоро поломают что-нибудь важно в ядре
ирония в том, что не так давно ломался сам ebpf, ченджлоги было любо-дорого смотреть, по 10-20 коммитов кряду
Purrr
я забыл как эту новую поделку называют
Volodymyr
так блеять
Anonymous
Тогда уж проще продолжать тащить сам iptables :D
бинго! вы приняты в мейнтейнеры дебиан :D
Volodymyr
а nftables тож нетфильтр юзает, да ?
Denis
ирония в том, что не так давно ломался сам ebpf, ченджлоги было любо-дорого смотреть, по 10-20 коммитов кряду
а еще там пару тройку cve пролетало
Volodymyr
легаси короч
Serge
ну они посмотрели на то как нфтаблес медленно внедряется и решили сделать новое, чтобы заменить нфтаблес и чтобы было совместимо с иптаблес и быстрее в массы пошло
Сусемды всё в массы не могут протащить нормально
Purrr
в линагзе все юзает только нетфильтор
Purrr
типа нетфильтор зе бест
Purrr
вся хурма
Purrr
сидят велосипеды пилят
Anonymous
а есть альтернативы?..
Denis
ну ща будут ebpf юзать
Denis
xdp во все поля
Serge
(ЕЯВПП)
Purrr
ой да ладно
Purrr
напрямую ebpf правила рожать чот не простая техналажи
Serge
Или нет?
Volodymyr
я уверен, что нетфильтр не тыкает ebpf
Purrr
нетфильтор то уж отработан временем
Volodymyr
но если кто пояснит - будет круто
Volodymyr
@Unkledolan
Purrr
bpf = berkley packet filter
Purrr
все рано или поздно скатывается в бпф
Purrr
АЛО
Serge
Может я и наврал, тогда тоже хотет узнат
Purrr
точна
Purrr
bpfilter это заменя nftables
Purrr
а nftables замена iptables
Purrr
норм
Denis
а он вообще уже выпущен?
Purrr
нфтаблес?
Purrr
у меня есть 1 хост с настроенным нфтаблесом
Purrr
🙂