r
Size: a a a
2019 February 28
r
более того, уже делают прозрачный переход на него http://www.opennet.ru/opennews/art.shtml?num=48814
A
как показать, чем кошерный ND лучше бродкастового ARP, не видя SNMA-групп? никак
Yeah baby, yeah. Do it!
AD
»» не в блобы ip_tables, а в байткод nf_tables
а вот эту разницу я осилить не смог ((
а вот эту разницу я осилить не смог ((
правила в iptables представляют собой большую последовательность байт, концептуально состоящую из одного или нескольких match-ей (проверок, сопоставлений) и target-а (действия, которое нужно выполнить, если пакет подходит под правило). При проверки того, что пакет подходит под правило, происходит что-то вроде этого: берём определённые байты, по ним определяем, что это за сопоставление (match), вызываем функцию из соответствующего модуля, передавая туда текущий пакет и элементы текущего правила. Если эта функция вернула положительный результат, то переходим к следующему match-у текущего правила или если их не осталось, то к действию (target), и выполняем его (снова вызывая функцию и передавая туда данные). В nftables в ядро заливается байт-код для виртуальной машины. Тут уже не нужно ползать по элементам правил вызывая функции из модулей и передавая в них что-то, а просто ВМ выполняет байт-код, что чуть быстрее будет.
o
в старых iptables явно указывался порядок действий для проверок и реакций. А в новой системе только указываются условия и реакции а как их проверять решает компилятор.
p
правила в iptables представляют собой большую последовательность байт, концептуально состоящую из одного или нескольких match-ей (проверок, сопоставлений) и target-а (действия, которое нужно выполнить, если пакет подходит под правило). При проверки того, что пакет подходит под правило, происходит что-то вроде этого: берём определённые байты, по ним определяем, что это за сопоставление (match), вызываем функцию из соответствующего модуля, передавая туда текущий пакет и элементы текущего правила. Если эта функция вернула положительный результат, то переходим к следующему match-у текущего правила или если их не осталось, то к действию (target), и выполняем его (снова вызывая функцию и передавая туда данные). В nftables в ядро заливается байт-код для виртуальной машины. Тут уже не нужно ползать по элементам правил вызывая функции из модулей и передавая в них что-то, а просто ВМ выполняет байт-код, что чуть быстрее будет.
ebpf!
2019 March 03
В
Есть mikrotik с настроенным ipv6 тунелем. Через ND устройствам в локальной сети раздаётся правильное значение mtu - всё работает.
Для практики я хочу понять и настроить mikrotik и устройства в локальной сети, чтобы корректное значение mtu устанавливалось через mtu discovery.
Например я пробую послать ping c заведомо большим mtu, а в ответ ничего. В Wireshark не вижу
Как в теории должен работать MTU discovery? Я же правильно понимаю что mikrotik должен вернуть
Сейчас firewall настроен на пропуск icmpv6/icmp (v4) протоколов, то есть это не должно быть препятствием.
Для практики я хочу понять и настроить mikrotik и устройства в локальной сети, чтобы корректное значение mtu устанавливалось через mtu discovery.
Например я пробую послать ping c заведомо большим mtu, а в ответ ничего. В Wireshark не вижу
Type 2 - Packet Too Big. Видел только один такой пакет.Как в теории должен работать MTU discovery? Я же правильно понимаю что mikrotik должен вернуть
Type 2 - Packet Too Big на пакет который превышает mtu? Сейчас firewall настроен на пропуск icmpv6/icmp (v4) протоколов, то есть это не должно быть препятствием.