alex_001 Posted March 12, 2014 Решил попробовать nft. Хотелось бы узнать впечатления тех ко уже тестил. Больше всего интересует производительность на большом количестве линейных правил и совместимость с текущими iptables actions. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Alex/AT Posted March 17, 2014 На правах саморекламы: вот здесь есть ядрышко для CentOS 6.5 с бэкпортом nftables, если хочется потестировать, не ломая существующую систему. На страх и риск, конечно. По ощущениям: красиво. Компиляция любых правил в юзерспейсе, универсальный фильтр в ядре. Пока еще хреново допилена совместимость с xt модулями, не очень все хорошо с собственной модульностью, синтаксис ужасен, ну и всё такое прочее. Сырое оно, короче. Слишком сырое. При приличном объеме цепочек работает шустрее iptables. Однако от необходимости оптимизировать сами цепочки не избавляет. Встроенное подобие ipset умеет не всё, что умеет сам ipset. Но в целом будущее есть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex_001 Posted March 17, 2014 Насчет замены ipset (maps) смотрел - очень порадовало , но мне непонятно могу ли я например там в качестве verdict делать не тупо accept/reject/drop а например MARK или CLASSIFY (ну или аналоги для nftables если невозможно использовать iptables actions). Ну и использование iptables actions (хотя если можно параллельно nft,ipt использовать - тоже вариант , по крайней мере можно будет заюзать недостающую функциональность , хоть это и костыль) вообще возможно ли.. Еще смущает отсутствие документации , кроме как у них на wiki и 1 обзорной статьи. Непонятно как устроен код (bpf-like) загружаемый в ядро и.т.д. Пока разбираюсь по исходникам , но долгое это дело.. :( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...