Д
Size: a a a
2020 June 22
s
Всем привет, сегодня попробовал на deb10 4.19 nftables flow offload - не заработал. Пакеты ходят как обычно без всякого offload.
Из остальных "улучшений":
Verdict map - с виду неплохо, копнешь глубже, где оно реально пригодилось бы - облом
Единая таблица для всего, где можно определить только нужные тебе цепочки - вроде бы и не плохо, но не вижу особо выигрыша - все равно ввиду накладываемых ограничений получается подобие iptables
Из остальных "улучшений":
Verdict map - с виду неплохо, копнешь глубже, где оно реально пригодилось бы - облом
Единая таблица для всего, где можно определить только нужные тебе цепочки - вроде бы и не плохо, но не вижу особо выигрыша - все равно ввиду накладываемых ограничений получается подобие iptables
Любой фаервол так или иначе является подобием iptables в смысле того, что сводится к последовательности правил.
В реальности nftables сильно выразительнее и значительно более производителен. На iptables фиг сделаешь nat гигабит на 40 без бубна и на обычном тазике. На nft - без проблем.
В реальности nftables сильно выразительнее и значительно более производителен. На iptables фиг сделаешь nat гигабит на 40 без бубна и на обычном тазике. На nft - без проблем.
s
Любой фаервол так или иначе является подобием iptables в смысле того, что сводится к последовательности правил.
В реальности nftables сильно выразительнее и значительно более производителен. На iptables фиг сделаешь nat гигабит на 40 без бубна и на обычном тазике. На nft - без проблем.
В реальности nftables сильно выразительнее и значительно более производителен. На iptables фиг сделаешь nat гигабит на 40 без бубна и на обычном тазике. На nft - без проблем.
ну на xt_nat разработчик прокачивал 40Gbps
IG
Любой фаервол так или иначе является подобием iptables в смысле того, что сводится к последовательности правил.
В реальности nftables сильно выразительнее и значительно более производителен. На iptables фиг сделаешь nat гигабит на 40 без бубна и на обычном тазике. На nft - без проблем.
В реальности nftables сильно выразительнее и значительно более производителен. На iptables фиг сделаешь nat гигабит на 40 без бубна и на обычном тазике. На nft - без проблем.
Кто там "значительно более производителен" ну-ка ну-ка, поподробнее
IG
а если на сервере шейпер?
Его не цепляет
IG
Вызовы те же, цепочки те же. Если вы про хвалёный flowtable то у него больше ограничений чем полезных свойств
IG
В виде ломающегося роутинга
s
Вызовы те же, цепочки те же. Если вы про хвалёный flowtable то у него больше ограничений чем полезных свойств
Вызовов меньше тупо
IG
Сами вызовы пустых цепочек iptables погоды не сделают
IG
Вызвать пару тысяч хуков отдельных правил из iptables и вызвать один с байткодом nft, пусть и длинным - две большие разницы
Сколько сколько? Хуки там абсолютно те же самые.
IG
Кто вам сказал про пару тысяч?