Miért cseréli le a Linux kernelfejlesztői közösség az iptables-t?

 ( trey | 2018. április 22., vasárnap - 9:01 )

Thomas Graf, veterán Linux kernel networking stack fejlesztő blogbejegyzésében arról ír, hogy a Linux kernelfejlesztői közösség miért akarja lecserélni a jó, öreg iptables-t a BPF-alapú bpfilter megoldásra. A blogbejegyzés itt olvasható.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nahát, az iptables-t már elkezdték lecserélni nftables-re, most meg megint? Legalább úgy néz ki, hogy megmarad az nftables API.

Nem ez lesz az első csomagszűrő, amit leszerelnek, az ipchains is már olyan régen ment a levesbe, hogy már nem is emlékszem, pedig még azt is használtam.
De épp ezaz, hogy az iptables olyan régóta velünk van, kíváncsi leszek ennek a kihatásaira.

"...kíváncsi leszek ennek a kihatásaira."
Én is. Pl. a pfSense is ipTables-t használ a front end mögött (ha jól tévedek) :)

Szerintem meg pf-et.
Lehet, hogy ezért pfSense a neve...?

Köszönöm a javítást, tévedtem :)

Még csak linux sincs benne, freebsd. Ennek megfelelően -- suprise suprise -- pf-et használ :)

sub

Szerk: a hivatkozott blogposztban nem teng túl egy kicsit a google, a facebook és a netflix? Jó, tudom, paranoia.

Mert szerinted hol érdekesebb az, hogy mekkora egy tűzfal teljesítménye? Pistuka hosting bt.-nél vagy ott, ahol egy százaléknyi teljesítménykülönbség is annyit tesz, mint a teljes magyar internetes forgalom?

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

...

Erik egy ujabb HUP interju Jozsef Kadlecsik REJECT target doktor urral

-------------------------
Roses are red
Violets are blue
Unexpected '}' on line 32

Ezt kifejtenéd? Némi poetteringes felhangot vélek kihallani a szavaidból. :)

Szerintem nem volt benne felhang... lásd man iptables

Idézet:
Authors
...
Jozsef Kadlecsik wrote the REJECT target.
...
The Netfilter Core Team is: ..., Jozsef Kadlecsik, ...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ja, csak ennyi? Azt hittem, volt valami komolyabb flame körülötte.

Az elvárás jogos (*), de visszakerestem az interjút, két hozzászólás van alatta, mindkettő treytől, semmi flame :)

(*): időnként én is szoktam vitatkozni a magyar posta-stílusú csomagszűrés kedvelőivel csak nem mindig kapok rá választ :P

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Szó sincs róla, csak annyi hogy ő elég közel van az “iptables tűzhöz” és érdekelne a véleménye erről a lépésről.
Ráadásul volt már vele interjú itt a HUP-on, igy adja is magát a dolog h trey újra megkeresse. Szerintem legalábbis.

-------------------------
Roses are red
Violets are blue
Unexpected '}' on line 32

lesz egy eloadasa hamarosan az FSF konfon pont errol.

Merre tovább, Linux tűzfalak? 1. terem 11:00-11:21
http://konf.fsf.hu/cgis/ossc/2018/speakers#kadlecsik

Azt addig értem, hogy az ipset nem megoldás mindenre, de akkor végül is hogyan lehet lecserélni majd az ipset-tel megvalósított iptables csomagszűrőt BPF-re?
Sajnos a JIT-es cuccokkal szemben vannak biztonsági szempontból fenntartásaim. Már kapott is kritikát a BPF, már voltak biztonsággal kapcsolatos BPF commit-ok is és attól tartok egy aranybánya nyílhat majd meg...

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

A hogyan engem is erdekelne. Gyors kereses utan nem lett tisztabb a kep.

Ha jól értem lesz olyan user space tool, ami úgy tesz, minta ő iptables lenne, de valójában az iptables szabályokból BPF programokat gyárt és azt küldi be a kernelnek.

Tehát, továbbra is IPTables sorokat pötyögünk, csak valójában nem iptables fogja ezt értelmezni, hanem a BPF? Hee?

Sokkal inkabb a korabbi iptables szabalyokat lesz ami leforditja automatan, de ha ujonnan osszerakod vagy olyan eszkozt hasznalsz ami mar tudja bpf szintaxist akkor bpf szabalyokkal ir(hat)od.

És ez jobb lesz nekem?

igen.

Eddig sem az iptables értelmezte, hanem a netfilter. Ha jól tudom, a BPF is és a NetFilter is a kernel része. Az iptables a felhasználói felülete, ami user space-ben fut.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

És is így tudom.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Köszi a javítást, így már érthetőbb.