de la începutul anului 2019, bpfilter este încă în curs de dezvoltare și nu poate fi utilizat încă. Scheletul de bază este aici și poate fi chiar activat în nucleele 4.18+, dar nu face prea mult pentru moment, deoarece nu este complet. Codul necesar pentru traducerea regulilor iptables în BPF bytecode, deși trimis de-a lungul RFC-ului original, nu a ajuns la kernel în acest moment.

odată ce se pregătește, nu ar trebui să fie necesare unelte specifice. Bpfilter va fi probabil activat cu ceva precum modprobe bpfilter, iar apoi întreaga idee este să înlocuiți în mod transparent capătul din spate, lăsând în același timp partea frontală neatinsă: deci iptables ar trebui să fie singurul instrument necesar pentru manipularea regulilor, fără a fi necesară nicio opțiune specială. În plus, bpftool permite inspectarea programelor eBPF (inclusiv regulile iptables traduse de bpfilter) încărcate în kernel.

puteți verifica acest lucru dacă doriți în următorul videoclip (disclaimer: de compania mea), care arată cum am folosit bpfilter cu o regulă clasică iptables (am patch-uri kernel-ul cu codul de la RFC; și executarea bpfilter.ko în consola nu va fi necesară în versiunea finală).

puteți atașa în continuare programe BPF la cârligul XDP (la nivelul șoferului), chiar și fără a utiliza bpfilter, pentru a obține performanțe mult mai bune decât ceea ce oferă netfilter. Cu toate acestea, va trebui să rescrieți complet Regulile ca programe C, să le compilați în eBPF cu zăngănit și să le încărcați cu, de exemplu, instrumentul ip (de la iproute2). Nu știu dacă acest lucru s-ar potrivi cu „setul de caracteristici”. În funcție de cât de puternică este nevoia dvs., o altă opțiune drastică ar putea fi mutarea procesării pachetelor în spațiul utilizatorului și reimplementarea configurației cu cadrul DPDK.