IG
В nftables просто некоторые хуки можно не задействовать
Size: a a a
2020 June 22
s
Сколько сколько? Хуки там абсолютно те же самые.
Я вот так и знал, что к термину вопросы будут, хотя все поняли. 1 правило в цепочке iptables - один отдельный match и один action. Можно это нахвать как угодно, сути дела не меняет.
IG
Я вот так и знал, что к термину вопросы будут, хотя все поняли. 1 правило в цепочке iptables - один отдельный match и один action. Можно это нахвать как угодно, сути дела не меняет.
Ну так называть своими именами нужно. Хуки в netfilter - место передачи пакета в фильтрующий код.
s
Ну так называть своими именами нужно. Хуки в netfilter - место передачи пакета в фильтрующий код.
А какое имя у правила в chain'e?
IG
Rule
IG
nft add RULE
IG
А хук указывается при создании chain
IG
В общем пришли к тому что и там и там rule. Дальше, где преимущество по вашему?
IG
Там где был десяток правил в iptables вдруг резко станет одно в nft?
IG
Вот только не нужно сейчас про то что в iptables каждый ip нужно указывать отдельным правилом
s
Там где был десяток правил в iptables вдруг резко станет одно в nft?
Я привел как банальный пример nat.
В iptables в упор нет хотя бы такой вещи как verdict map, за счёт чего nft уже может легко уйти вперёд на любой развесистой конфигурации.
В iptables в упор нет хотя бы такой вещи как verdict map, за счёт чего nft уже может легко уйти вперёд на любой развесистой конфигурации.
s
Сравните с начинкой сервера отсюда вот https://m.habr.com/ru/post/501234/
IG
Vmap отличная штука, но не нужно про "легко уйти вперед" потому что глубокие и развесистые цепочки вызовов встречаются редко. И к тому же достаточно хорошо оптимизируются.
IG
И по ссылке не bullshit, я такие же цифры легко без бубна на +- аналогичном железе получал
Выше отчёт
IG
Flowtable ломает роутинг
IG
И не работает на динамических интерфейсах