G
хотя можно просто реплицировать виртуалки
Я виимом всю вм снапшотю
Size: a a a
2020 June 23
G
хотя можно просто реплицировать виртуалки
Ну если только больше одного хоста есть иначе смысла нет
Е
Я виимом всю вм снапшотю
Да я при миграциях им пользовался
Е
Надо только харды на второй вмке обновить
s
Nat и filter... Я смотрю кто-то особо с nft не разобрался и продолжает плодить таблицы, только уже в одной утилите)))
С нетерпением жду примера всего в одной таблицы с единым bade chain type
s
https://developers.redhat.com/blog/2017/04/11/benchmarking-nftables/
Результаты говорят сами за себя - производительность идентичная, если правильно строить правила iptables. И единственный момент где действительно нет альтернативы - vmap
Результаты говорят сами за себя - производительность идентичная, если правильно строить правила iptables. И единственный момент где действительно нет альтернативы - vmap
Глянул по диагонали. У человека tc в ingress дропает хуже всех. Причём значительно. Отчего у меня есть смутные сомнения в адекватности, ибо tc, мягко говоря, разве что от xdp отставать будет.
s
Ага, кто-то начитался жёлтой прессы. Посмотри код - операции все равно выполняются в модулях. xt_nat, nf_log, xt_CT
А это и есть интерфейсы к тем самым ручкам ядра, о которых я написал чуть выше. Естессно что из байткода в коннтрак не сгонять напрямую, сделаны ручки в xt_nat. Но вот матчинг по содержимому пакета расширяется юзерспейсовой утилитой.
MM
Я думаю нужно выпиливать его для pppoe вообще
+
MM
Я думаю нужно выпиливать его для pppoe вообще
и при l2tp тоже поставил disable т. к. клиеты могут быть с разных IP.
VG
Я думаю нужно выпиливать его для pppoe вообще
выпилим
IG
С нетерпением жду примера всего в одной таблицы с единым bade chain type
Ждите. Тип цепочки как-то зависит от таблицы? Или только в случаях когда конфиги бездумно скопированы из интернета.
IG
Глянул по диагонали. У человека tc в ingress дропает хуже всех. Причём значительно. Отчего у меня есть смутные сомнения в адекватности, ибо tc, мягко говоря, разве что от xdp отставать будет.
Ну стоит всмотреться почему так. Результаты более чем адекватны. В тс добавили просто длинный список u32
IG
А это и есть интерфейсы к тем самым ручкам ядра, о которых я написал чуть выше. Естессно что из байткода в коннтрак не сгонять напрямую, сделаны ручки в xt_nat. Но вот матчинг по содержимому пакета расширяется юзерспейсовой утилитой.
Так и какая разница в итоге? Матчинг и в iptables не страдал. Или замена ради замены?
MF
Единственное что не нравится - списки к таблице привязаны. Бывают места, где один список адресов нужен и в nat и в filter, но приходится два параллельных держать.
+
MF
Ребята, есть движение в сторону nft в accel?
MF
С нетерпением жду примера всего в одной таблицы с единым bade chain type
+
s
Ждите. Тип цепочки как-то зависит от таблицы? Или только в случаях когда конфиги бездумно скопированы из интернета.
Понятненько
IG
Используйте одну таблицу
D
Ребята, есть движение в сторону nft в accel?
В плане nfset?
MF
В плане nfset?
Да, разрешать/запрещать через set nft