p
какой?
nat 1:1 для большого количества адресов
Size: a a a
2020 July 27
SP
Когда условные 1к серых адресов надо смапить на 1к публичных адресов и наоборот, при этом нельзя это решить через трансляцию подсетей
это делается за 21 переход для любого пакета
p
это делается за 21 переход для любого пакета
Деревья правил рисовать?
SP
Деревья правил рисовать?
конечно.
SP
я понимаю как оно устроено :)
SP
фундаментально оно скорее всего будет чуть быстрее, но не драматически.
p
фундаментально оно скорее всего будет чуть быстрее, но не драматически.
С чего бы? Тем более, тебе это дерево ещё и руками поддерживать
SP
С чего бы? Тем более, тебе это дерево ещё и руками поддерживать
с помощью деревьев правил мы эмулируем поиск в дереве поиска. nftables dictionary будут работать либо на другом дереве поиска, либо на хештаблице. если внутри nft дерево - результат немного поедсказуем. если мы берём хештаблицу, то получим обычно чуть лучшую производительность в теории, но не всегда на практике, зависеть сильно будет от множества факторов.
SP
С чего бы? Тем более, тебе это дерево ещё и руками поддерживать
один раз пишешь преобразователь из оригинального маппинга из биллинга или айпама в iptables или в nftables и дальше тебе уже неважно, что именно двигает байтики в датаплейне
SP
и туда и туда придется писать. для nftables преобразователь выродится в шаблонизатор
SP
поддерживать дерево руками может только очень трудолюбивый человек. такой до идеи дерева не додумается
p
с помощью деревьев правил мы эмулируем поиск в дереве поиска. nftables dictionary будут работать либо на другом дереве поиска, либо на хештаблице. если внутри nft дерево - результат немного поедсказуем. если мы берём хештаблицу, то получим обычно чуть лучшую производительность в теории, но не всегда на практике, зависеть сильно будет от множества факторов.
Даже с деревьями оно будет быстрее, просто потому что реализация дерева на Си будет быстрее реализации в интерпретаторе.
SP
Даже с деревьями оно будет быстрее, просто потому что реализация дерева на Си будет быстрее реализации в интерпретаторе.
ipt не интерпретатор
SP
ipt это машина состояний
SP
скорее всего выигрыш в прямой реализации дерева будет, но это связано не с природой обработки правил, а с тем, что попутных действий будет меньше и будет больше процессорный кешхит
SP
я не хейтю nftables, если что
SP
хотя и считаю что он вышел на 15 лет позже чем было нужно
SP
а после появления ebpf его нужность стала еще менее очевидной