forum.opennet.ru

Составление сообщения

Исходное сообщение

"Для ядра Linux предложен новый пакетный фильтр bpfilter"
Отправлено КО, 26-Фев-18 10:17

>Неужели при этом все правила сбрасываются и перезагружаются заново, с новым добавленным?
Тут проблема в чем? В том, что многие забывают, что система слегка не однозадачная. :)
Пока ты добавляешь/удаляешь/заменяешь правила она разбирает пакеты. И поэтому система с copy on write list имеет серьезное преимущество. С какой таблицей начат разбор пакета - с такой и закончится. На ходу никто подковы менять не будет. При этом новый пакет не будет ждать, окгда закончится обработка предыдущего и начнет работать с новой таблицей.
Но это пол беды. Вторая - система слегка не однопользовательская. Пока Вы хотите заменить правило №5 (с разрешить входящие на 127.0.0.1 порт 80, на запретить это безобразие), Вася из соседнего ssh решил удалить правило №3. Внимание вопрос - как не получить состояние, когда в новой таблице правилом №4 будет старое №5 (разрешить), новым №5 станет новое №5 (запретить), а старое №6 канет втуне. Простой способ - через глобальную блокировку. Но сетевики их не любят всеми фибрами своей души. Поэтому используется простая схема - атомарная замена указателя на правильную таблицу с проверкой. Но процедура замены правила №5 не сможет сама понять, что делать если таблица поменялась. Единственный вариант попросить Вас заново сформулировать задачу. А нафиг тогда эта процедура? Вот и нет ее. Просят всегда согласованную таблицу правил.

Исходное сообщение
"Для ядра Linux предложен новый пакетный фильтр bpfilter" Отправлено КО, 26-Фев-18 10:17
>Неужели при этом все правила сбрасываются и перезагружаются заново, с новым добавленным? Тут проблема в чем? В том, что многие забывают, что система слегка не однозадачная. :) Пока ты добавляешь/удаляешь/заменяешь правила она разбирает пакеты. И поэтому система с copy on write list имеет серьезное преимущество. С какой таблицей начат разбор пакета - с такой и закончится. На ходу никто подковы менять не будет. При этом новый пакет не будет ждать, окгда закончится обработка предыдущего и начнет работать с новой таблицей. Но это пол беды. Вторая - система слегка не однопользовательская. Пока Вы хотите заменить правило №5 (с разрешить входящие на 127.0.0.1 порт 80, на запретить это безобразие), Вася из соседнего ssh решил удалить правило №3. Внимание вопрос - как не получить состояние, когда в новой таблице правилом №4 будет старое №5 (разрешить), новым №5 станет новое №5 (запретить), а старое №6 канет втуне. Простой способ - через глобальную блокировку. Но сетевики их не любят всеми фибрами своей души. Поэтому используется простая схема - атомарная замена указателя на правильную таблицу с проверкой. Но процедура замены правила №5 не сможет сама понять, что делать если таблица поменялась. Единственный вариант попросить Вас заново сформулировать задачу. А нафиг тогда эта процедура? Вот и нет ее. Просят всегда согласованную таблицу правил.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру