[sisyphus] I: l7-filter

[Peter V. Saveliev]

В сообщении от Tuesday 23 October 2007 13:12:39 Eugene Prokopiev написал(а):
<skip />
> > Это userspace-вариант, требующий для работы iptables NFQUEUE или QUEUE.
>
> Т.е. не работающий в OpenVZ VE :(

...

Ядерный вариант а) работает в ядре, т.е. по любому не изолирован, б) его 
поддержка скоро и навсегда кончится, по вполне понятным причинам, коих не 
одна.

Имхо, все и любые упражнения с подобными сервисами если и упаковывать в VE, то 
в xen domU, для которого я, кстати, забыл собрать ipp2p -- исправлюсь, соберу 
на днях.

...

На самом деле, ядерный вариант требует патчить ядро, а это уже вопрос к 
мэйнтейнерам ядер. Но я бы не стал патчить, будучи тем самым мэйнтейнером: 
Warning: Some users have reported kernel crashes when they using SMP with 
l7-filter. (Some have also reported that their SMP systems run fine.) Меня 
пугает даже не слово "crashes", а слово "some", что косвенно указывает на 
некоторые свойства кода.

...

На самом деле, ядерный вариант требует патчить ещё и iptables, так что мы всё 
равно к нему, родимому, возвращаемся.

-- 
Peter V. Saveliev