Od początku 2019 r.bpfilter jest nadal w fazie rozwoju i nie nadaje się jeszcze do użytku. Podstawowy szkielet jest tutaj i może być nawet aktywowany w jądrach 4.18+, ale na razie nie robi zbyt wiele, ponieważ nie jest kompletny. Kod wymagany do przetłumaczenia reguł iptables na kod bajtowy BPF, chociaż przesłany wraz z oryginalnym RFC, nie dotarł do jądra w tym momencie.

gdy się przygotuje, nie powinno być wymagane żadne specjalne oprzyrządowanie. Bpfilter prawdopodobnie zostanie włączony z czymś takim jak modprobe bpfilter, a następnie cała idea polega na przeźroczystym zastąpieniu tylnego końca, pozostawiając front end nietknięty: tak więc iptables powinno być jedynym narzędziem wymaganym do obsługi reguł, bez żadnej konkretnej opcji. Dodatkowo, bpftool pozwala na sprawdzenie programów eBPF (w tym reguł iptables przetłumaczonych przez bpfilter) załadowanych do jądra.

możesz to sprawdzić w poniższym filmie (disclaimer: przez moją firmę), co pokazuje, jak użyliśmy bpfilter z klasyczną regułą iptables (poprawiliśmy jądro kodem z RFC; i wykonaliśmy bpfilter.ko w konsoli nie będzie konieczne w ostatecznej wersji).

nadal możesz dołączać programy BPF do Hooka XDP (na poziomie sterownika), nawet bez użycia bpfilter, aby uzyskać znacznie lepszą wydajność niż to, co oferuje netfilter. Trzeba by jednak całkowicie przepisać reguły jako programy w języku C, skompilować je do eBPF z clang i załadować np. narzędziemip (od iproute2). Nie wiem, czy pasowałoby to do twojego „zestawu funkcji”. W zależności od tego, jak silne są Twoje potrzeby, inną drastyczną opcją może być przeniesienie przetwarzania pakietów do przestrzeni użytkownika i ponowne wdrożenie konfiguracji za pomocą frameworka DPDK.