Vlákno názorů k článku
ExtFUSE rychlejší FUSE používající eBPF od jaromrax - Dotaz - nema nahodou ten Berkley packet filter...

Dotaz - nema nahodou ten Berkley packet filter neco spolecneho s nejakym agresivnim/efek­tivnim systemem vytezovani linky ? Asi jsem o tom cetl v nejake bakalarce, uz nevim kde. Vynikajici system, ale kazdy jeho konkurent nasazeny vedle nej v zatezi ostrouha.

Nikoli, to je něco úplně jiného. Berkeley packet filter jen jen firewall na linuxu (vlastně náhrada za iptables). To, o čem píšete, je jiný algoritmus řízení okna potvrzování TCP/IP paketů: Řízení toku algoritmem BBR: buldozer nebere ohledy na ostatní spojení.

Berkeley packet filter jen jen firewall na linuxu (vlastně náhrada za iptables).

Obávám se, že si pletete (e)BPF a bpfilter.

(e)BPF je implementace filtrování v jádru (pomocí VM), tedy funkcí přibližně odpovídá Netfilteru, a bpfilter je ovládací program v user space, takže odpovídá iptables, ne? Jasně, ten firewall v kernelu se jmenuje Netfilter, iptables je jen ovládací program, ale spousta lidí tomu říká iptables jako celku.

BPF není žádný firewall, BPF je jazyk. Nebo se na něj můžete dívat jako na instrukční sadu pro virtuální stroj, který má jednu z implementací i v linuxovém jádře.

Původní varianta, velmi jednoduchá a velmi omezená, se primárně opravdu používala k filtraci paketů, ale ne ve smyslu firewallu, ale k filtraci paketů přijímaných určitým socketem. V praxi to využíval především sniffing pomocí libpcap, kde se využívala možnost inteligentně filtrovat sledované pakety už v jádře, aby se libpcap (a potažmo tcpdumpu, wiresharku apod.) předávaly jen ty pakety, které ho zajímají (proto tam takyé je možnost oříznutí paketu na zvolenou délku, která jinde moc smyslu nemá).

Rozšířená varianta označovaná eBPF už je mnohem chytřejší a složitější, takže se používá i jinde, např. v článku zmíněné aplikace jako seccomp nebo tracing (a nebo koneckonců třeba extFUSE, o kterém je zprávička). Jednou z těch aplikací je i XDP umožňující zpracování paketů na nejnižší úrovni, ještě před tím, než vstoupí do síťového stacku (než se vytvoří skb), ideální by bylo mít implementaci ještě v hardware síťové karty, ale na tom se AFAIK teprve pracuje. XDP lze sice využít i k filtraci paketů (a je to i jednou z hlavních motivací), ale za náhradu netfilteru/iptables ho při nejlepší vůli označit nelze.

Tou se snaží být až bpfilter, hodně nový projekt (přelom 2017/18), který implementuje filtraci na podobných místech jako netfilter, ale pomocí eBPF programů místo pravidel (xtables) nebo speciálního bytecode (nftables). Jedním z cílů je i vytvoření vrstvy, která by tradiční rozhraní iptables (přičemž je otázka na jaké úrovni) a/nebo nftables překládala na eBPF programy pro bpfilter, takže by userspace v ideálním případě "nic nepoznal".

V každém případě je věta "Berkeley packet filter jen jen firewall na linuxu (vlastně náhrada za iptables)." chybná v příliš mnoha ohledech. BPF není firewall, už vůbec ne náhrada za iptables a zavádějící je ostatně i to na linuxu. Hint: pozorně si prohlédněte tento článek odkazovaný z LWN článku o eBPF; Konkrétně doporučuji pozornosti první řádek nadpisu ("The BSD Packet Filter"), datum (19.12.1992) a skutečnost, že řetězec "linux" se v celém článku vůbec nevyskytuje.