Наверно пока крупные проекты не пересядут на nftables.

И что же мешает?

Наоборот - производительность поднимется. Данная область как раз та, где лучше понапихать гибких механизмов создания правил. А поскольку выполнение будет идти на уровне ядра, то ускорение будет приличное, если не напортачат быдлокодом. Могу привести в пример accel-pptp. Значительное повышение производительности (на порядки) за счёт реализации на стороне ядра.

Наверняка для совместимости оставят враппер с реализацией iptables.

С точки зрения администратора это приведёт к унификации. В новости же написано.

Вот пусть этот дебил Поцеринг сваливает с линукса и делает своё kerneld.

Это не Поцеринг - документация будет.

Хз. Я его в продакшне 5 лет использовал, и всеравно в конечном итоге пришлось перейти на iptables + tc + htb. Потому что десятки и сотни раз приходилось ломать голову что опять не так настроено, и почему нужная очередь недобирает бендвиса. Но с точки зрения десятка примитивных правил(типа запретить/разрешить пару портов туда сюда) pf и правда очень прост и нагляден(собственно поэтому первичное решение и было построено на нём). Но, повторюсь, когда сложность фаервола(ну и трафик шейпера) растут - pf тупо неюзабелен.

Ну и да, каждый порядочный BSDшник мне всегда доказывал что pf реально мега крут, и что это я не разобрался. Однако на практике каждый из них ни разу не строил ни одного решения больше пару офисных роутеров, с десятком правил.

Я о том, что мне удобно, когда я правила для NAT/фаервола могу бахнуть прямо в скрипте, ну или вызвать один скрипт из другого.

использования байт-кода ... в ядре

Приплыли... Впрочем, я сижу на 2.6.32 и мне пофиг.

синтаксис значительно хуже стандартного iptables

Синтаксис значительно хуже стандартного iptables.

Уже справедливо заметили, что:

1 - стандартные для Linux и POSIX тучи библиотек а ля getopt к этому уже не прикрутишь;

2 - визуально всё сливается;

3 - появляется куча служебных слов (add, protocol, daddr, ...), которые более нельзя использовать для названий дочерних цепочек, матчей и таргетов, и про это надо постоянно помнить.

Надеемся, что в плане гибкости настроек ничего не испортят.

А что там будет с производительностью - ещё посмотрим.

Хз. Я его в продакшне 5 лет использовал

И что, считаешь это весомым аргументом против pf?

Но, повторюсь, когда сложность фаервола(ну и трафик шейпера) растут - pf тупо неюзабелен.

Жуткое 4.2...а еще регистрат.

Однако на практике каждый из них ни разу не строил ни одного решения больше пару офисных роутеров

А Карсноярский Алюминеваый считается для тебя «решением с больше чем пара роутеров»?

Ради объективности, стоит заметить что в комплекте с nf_tables идут юзерспейсные библиотеки разной степени низкоуровневости. Утилита nftables построена на их основе.

Ну и сырой netlink для настоящих джедаев.

Так что стабильный, красивый и разнообразный ГУЙ для новой технологии обеспечен. Скриптописатели же могут разработать примитивы любого рода сложности.

Кроме того, множество плюшек поимеют разработчики веб-интерфейсов, автоматических конфигураторов, и эмбедщики.

Боюсь что красноярский алюминевый это и есть «офисный роутер». Сомневаюсь что там что-то более сложное. Ну разве что больше кабелей и свитчей...

вся суть GPL, или им втулят блоб, или надо идею побыстрому брать в BSD

я так понимаю, что это не первая идея, которую стырили у бсдешников
а сколько те сами стырили ...

. А что там будет с производительностью - ещё посмотрим.

а что будет - вынесут основное в юзер-спэйс, и никто ничего не заметит

лол. Все с тобой ясно, даже к ванге не ходи.

ни одного решения больше пару офисных роутеров

Бздуны работают с железными маршрутизаторами и прекрасно понимают, что фильтровать трафик на писюках - удел пионерии.

Модуль для пптп? А есть для л2тп? :3

Хорошая задумка.

После использования ipfw, iptables выглядел совсем не admin-friendly.

синтаксисом от iptables

Для таких в аду отдельное место будет.

гы. цискарям это расскажи.

Если мне не изменяет память, то где-то в районе версии 2.0 или чуть раньше java была в ядре. Потом удалили.

А есть для л2тп? :3

ВНЕЗАПНО

# zgrep -i l2tp /proc/config.gz
CONFIG_L2TP=y
# CONFIG_L2TP_DEBUGFS is not set
CONFIG_L2TP_V3=y
CONFIG_L2TP_IP=m
CONFIG_L2TP_ETH=m
CONFIG_PPPOL2TP=m

И уже давно, с 2.6.24 вроде бы.

Начнем с протоколов с адовой кучей дублирующего кода в ядре

Анонимус, акстись. Iptables то тут при чем?

У меня при попытке сделать достаточно развесистый скрипт настраивающий iptables в зависимости от обстоятельств и настроек извне - было очень много жопоболи. К сожалению на bsd такое делать не пытался, ибо встройка.

Так в нетбсд вместо «стандартных библиотек» просто встроили lua script в ядро, да и не парятся. У них, судя по всему, скоро вообще один единственный синтаксис конфигурирования ядра останется, на все подсистемы...да еще обширные возможности пилить прототипы будущих реализаций появятся прямо в скриптах ядра. Вот, думаю, куда надо стремится, а не очередной синтаксис изобретать. Все же готовое есть, что велосипедить то. lua очень производительна, генерит байткод и в ядро как показывает нетбсд ее встроить реально...да и придумывалась lua как встраиваемый высокопроизводительный скрипт.

было очень много жопоболи.

так и думал, глядя на твою аватарку xD

У меня при попытке сделать достаточно развесистый скрипт настраивающий iptables в зависимости от обстоятельств и настроек извне - было очень много жопоболи.

Пользуйся netlink. Будь мужчиной!

Сабж проблему должен порешать, ибо юзерспейс-библиотеки.

Бздуны сами себе цискари, они опытные, сцуко.

Потому что не надо делать это скриптом :-) Ни в БСД, ни в Линукс. Для этого есть таблицы, а дальше iptables(впрочем как и ipfw) просто класифицирует трафик и отправляет в соответствующую таблицу... Но нет же, скрипт пишут :)

не осознал яваскриптоподобности честно говоря. почему не c-подобный, если ты о скобках?

честно говоря iptables мягко говоря нудноваты. может это будет лучше.

а в новой штуке что можно будет одной строкой?

Если ты про это: https://www.kernel.org/doc/Documentation/java.txt

то сегодня нужно сделать шаг вперед: поместить саму JVM в ядро %)

Но он же всё равно требует всяких xl2tpd, который любит иногда дико жрать процессор.

Да, и pppd требует. А про процессор - процессор он жрёт только когда сам, без ядерного модуля работает.

Было бы тормозное г.

А, разобрался уже. Оказывается, у xl2tpd есть юз kernel, который сообственно и работает с ядром, но не находит модуль и работает сам, отчего и жрет ЦПУ.

Спасибо! ^^

Есть файлик с настройками, на их основе надо при каждом запуске выставлять правила для фаерволла. Правила раскиданы по цепочкам, всё вроде нормально. Но - появляется такая незадача, внешний интерфейс может меняться с одного на другой и при этом надо делать много дополнительной работы - типа вычистки правил по цепочкам и очередного их пересоздания с изменившимися параметрами. Ибо не сервер, где можно выставить один раз, глобально и надёжно.

Главная жопоболь была даже не в iptables, а в том, как правильно раскидать его настройку по разным скриптам, которые срабатывают в разных ситуациях, вычистить старые правила, не задев те, которые нужны, добавить новые правила и молиться, что ты нигде не накосячил.

Вот видишь, все от нежелания думать - создаешь бридж для «внешнего» интерфейса и роутишь трафик в него. Интерфейс-члены добавляются туда динамически... Просто, правда?

нет. ppp интерфейсы не бриджуются.

нет. ppp интерфейсы не бриджуются.

Осиль уже опции ip-up/ip-down, unit, а еще лучше /etc/network/interfaces (или схожие) ;)

Через это и сделано.

ppp? на роутере? Вот шутники, чесслово... нормальный апаратный модем покупаешь, и получаешь эзер.

Чо только не придумаете, лишь бы пользоваться iptables...

Кстати описанная выше проблема точно так же характерна как для Linux+iptables так и для FreeBSD+pf/ipfw. Так что ваш коментарий как минимум не корректен.

Я тебе страшную тайну открою, далеко не все 3g модули умеют представлять себя в каестве ethernet интерфейса.