IG
Т.к. одна таблица может быть привязана только к 8ми интерфейсам
Size: a a a
2020 June 22
IG
@hogstaberg ещё аргументы в пользу nft?
s
И не работает на динамических интерфейсах
Полагаю что этот вопрос более-менее решаем, просто оно сейчас так сделано. В nft ещё есть над чем работать, но в целом он хорош и весьма.
s
@hogstaberg ещё аргументы в пользу nft?
Ну ок. Как насчёт докидывания функционала на ходу, путём обновления юзерспейсовой утилиты, а не сборки модулей ядра, иногда с его обновлением?
IG
Ну ок. Как насчёт докидывания функционала на ходу, путём обновления юзерспейсовой утилиты, а не сборки модулей ядра, иногда с его обновлением?
Вот как раз докидывание функционала это точно не про nft.
Функционал либо там есть, либо его не добавить, в отличии от iptables, который расширяется модулями.
Кто вам сказал эту глупость про "обновление юзерспейсной утилиты"? С BPF не путаете?
Пересборка userspace модулей в ядро не добавит
Функционал либо там есть, либо его не добавить, в отличии от iptables, который расширяется модулями.
Кто вам сказал эту глупость про "обновление юзерспейсной утилиты"? С BPF не путаете?
Пересборка userspace модулей в ядро не добавит
s
Вот как раз докидывание функционала это точно не про nft.
Функционал либо там есть, либо его не добавить, в отличии от iptables, который расширяется модулями.
Кто вам сказал эту глупость про "обновление юзерспейсной утилиты"? С BPF не путаете?
Пересборка userspace модулей в ядро не добавит
Функционал либо там есть, либо его не добавить, в отличии от iptables, который расширяется модулями.
Кто вам сказал эту глупость про "обновление юзерспейсной утилиты"? С BPF не путаете?
Пересборка userspace модулей в ядро не добавит
Мсье явно не читал как устроен nftables, но осуждает?
s
Да, окей, прикрутиться к какой-либо новой ручке ядра скорее всего потребует обновления модуля. Но появление в системе новой ручки и так означает появление нового ядра, а значит и nftables модуль тоже в комплекте будет.
А вот всякие протоколы и операции обновляются и добавляются буквально с утилитой.
А вот всякие протоколы и операции обновляются и добавляются буквально с утилитой.
IG
Мсье явно не читал как устроен nftables, но осуждает?
Ага, кто-то начитался жёлтой прессы. Посмотри код - операции все равно выполняются в модулях. xt_nat, nf_log, xt_CT
IG
Да, селекторы в байткоде, но не в одних селекторах дело.
IG
Так что не нужно про обновление утилиты.
IG
Netflow обновлением утилита уже завезли?
IG
Или хранения всего в одной утилите, а не зоопарк из iptables, ebtables, arptables и прочих foobartables
Ну тут не спорю наплодили утилит. Но вот интересный момент:
IG
Единственное что не нравится - списки к таблице привязаны. Бывают места, где один список адресов нужен и в nat и в filter, но приходится два параллельных держать.
Nat и filter... Я смотрю кто-то особо с nft не разобрался и продолжает плодить таблицы, только уже в одной утилите)))
IG
https://developers.redhat.com/blog/2017/04/11/benchmarking-nftables/
Результаты говорят сами за себя - производительность идентичная, если правильно строить правила iptables. И единственный момент где действительно нет альтернативы - vmap
Результаты говорят сами за себя - производительность идентичная, если правильно строить правила iptables. И единственный момент где действительно нет альтернативы - vmap
Е
боль