История изменений

чота я решила почитать про архитектуру этого nft и некоторые вещи прямо-таки пугают:

Move most rule handling to userspace. ... Instead, the nft tool would ask the kernel to load a number of bytes starting at a particular offset.

https://developers.redhat.com/blog/2016/10/28/what-comes-after-iptables-its-s...

и это они на каждый пакет дёргают передачу из кернела в юзерспейс? нет, есть варианты, когда весь стек обрабатывается в юзерспейсе. но когда на каждый пакет (который нужно пропускать или отбрасывать) идут запросы данных в кернел - это как-то кхм.

или я что-то не понимаю? в общем, надо смотреть код. что там наворотили.

чота я решила почитать про архитектуру этого nft и некоторые вещи прямо-таки пугают:

Move most rule handling to userspace. ... Instead, the nft tool would ask the kernel to load a number of bytes starting at a particular offset.

https://developers.redhat.com/blog/2016/10/28/what-comes-after-iptables-its-s...

и это они на каждый пакет дёргают передачу из кернела в юзерспейс? нет, есть варианты, когда весь стек обрабатывается в юзерспейсе. но когда на каждый пакет (который нужно пропускать или отбрасывать) идут запросы данных в кернел - это как-то кхм.