fra begynnelsen av 2019 er bpfilter fortsatt under utvikling og ikke brukbart ennå. Det grunnleggende skjelettet er her og kan til og med aktiveres i 4.18 + kjerner, men gjør ikke mye for nå, da det ikke er fullført. Koden som kreves for å oversette iptables-regler TIL BPF bytecode, selv om den er sendt langs den opprinnelige RFC, har ikke gjort det til kjernen på dette tidspunktet.

når det blir klart, bør det ikke være noe spesifikt verktøy som kreves. Bpfilter vil trolig bli aktivert med noe som modprobe bpfilter, og så hele ideen er å transparent erstatte bakenden, mens du lar frontenden urørt: såiptables bør være det eneste verktøyet som kreves for å håndtere reglene, uten noe spesielt valg som kreves. I tilleggbpftool gjør det mulig å inspisere eBPF programmer (inkludert iptables regler oversatt av bpfilter) lastet i kjernen.

du kan sjekke dette hvis du vil i følgende video (ansvarsfraskrivelse: av firmaet mitt), som viser hvordan vi brukte bpfilter med en klassisk iptables-regel (vi hadde lappet kjernen med koden fra RFC; og utført bpfilter.ko i konsollen vil ikke være nødvendig på den endelige versjonen).

DU kan fortsatt feste bpf-programmer TIL xdp-kroken (på førernivå), selv uten å bruke bpfilter, for å få mye bedre ytelse enn hva netfilter tilbyr. Du må imidlertid fullstendig omskrive reglene dine som C-programmer, kompilere dem til eBPF med clang, og laste dem med f. eks.ip – verktøyet (fra iproute2). Jeg vet ikke om dette ville matche ditt «funksjonssett». Avhengig av hvor sterk er ditt behov, kan et annet drastisk alternativ være å flytte pakkebehandlingen til brukerplass og å reimplement oppsettet ditt MED DPDK framework.