-m state в 2019 году

0

1

В каких случаях он актуален? Может потребляет меньше ресурсов или с hw offload лучше совместим или на самом деле на данный момент алиас для conntrack оставленный в режиме совместимости?

Ссылка

← Android - PAC proxy - dd wrt - подружить.

Как проверить сеть на разрывы? →

Изучите исходники и узнаете всё :)

mky ★★★★★
(16.04.19 23:59:34 MSK)

Ссылка

В man заглянуть не судьба?

"-m state" никогда не потреблял ресурсов. Там 5 строк кода :) Да и "-m conntrack" тоже прост как грабли.

А вот сама подсистема conntack - как жрала ресуры, так и жрет. А куда же она денется с таким функционалом.

Ты бы уточнил с каким «hw offload» интересует совместимость. С nat он точно не совместим.

vel ★★★★★
(17.04.19 00:29:31 MSK)

Ответ на: комментарий от vel 17.04.19 00:29:31 MSK

Ты бы уточнил с каким «hw offload» интересует совместимость. С nat он точно не совместим.

С современными ядрами и реализациями — совместим.

https://www.kernel.org/doc/Documentation/networking/nf_flowtable.txt

ValdikSS ★★★★★
(17.04.19 00:34:37 MSK)

Ответ на: комментарий от vel 17.04.19 00:29:31 MSK

В man написано мутное:

The «state» extension is a subset of the «conntrack» module. «state» allows access to the connection tracking state for this packet.
Where state is a comma separated list of the connection states to match. Only a subset of the states unterstood by «conntrack» are recognized

Я потому и спросил не алиас ли он к conntrack

~~NobleWolf~~
(17.04.19 00:40:57 MSK) автор топика

Ответ на: комментарий от NobleWolf 17.04.19 00:40:57 MSK

Алиас, на уровне команды iptables, оба этих правла в одном файле исходного кода. В ядре один код выполняет правила и модуля conntrack и модуля state. Оставлен для совместимости, чтобы не ломать старые скрипты.

mky ★★★★★
(17.04.19 09:56:40 MSK)

Ссылка

Ответ на: комментарий от ValdikSS 17.04.19 00:34:37 MSK

the visible effect is that you do not see these packets from any of the netfilter hooks coming after the ingress

Все таки запилили в официальные ядра. И 10 лет не прошло.

Но с iptables оно несовместимо.

Интересно, а кроме intel DPDK эту фичу еще кто-то может использовать ?

vel ★★★★★
(17.04.19 10:01:40 MSK)

Ссылка

Ответ на: комментарий от NobleWolf 17.04.19 00:40:57 MSK

дык "-m state" только состояние умеет проверять, а "-m conntrack" еще полезные вещи умеет.

Но пока в реалтности он не совсем алиас. Это отдельный код и в iptables и в ядре.

vel ★★★★★
(17.04.19 10:04:21 MSK)
Последнее исправление: vel 17.04.19 10:05:23 MSK (всего исправлений: 1)

Ответ на: комментарий от vel 17.04.19 10:04:21 MSK

дык "-m state" только состояние умеет проверять, а "-m conntrack" еще полезные вещи умеет.

но функционал conntrack полностью перекрывает функционал state, тут выше пишут что его для совместимости составили, наверное так оно и есть

~~NobleWolf~~
(17.04.19 10:21:07 MSK) автор топика

Ссылка

Ответ на: комментарий от NobleWolf 17.04.19 00:40:57 MSK

В man написано мутное:

Совсем не мутное, там в мане дальше

              Where  state  is a comma separated list of the connection states
              to match. Only a subset of the states unterstood by  "conntrack"
              are recognized: INVALID, ESTABLISHED, NEW, RELATED or UNTRACKED.
              For their description, see the "conntrack" heading in this  man-
              page.

anc ★★★★★
(17.04.19 17:05:12 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← Android - PAC proxy - dd wrt - подружить.

Admin

Как проверить сеть на разрывы? →