Но это такое себе решение

Логично, понял принял. Благодарю за просвещение :)

Не за что)

Заходи ещё

пакет флоу курильщика )

О да, после этой диаграммы RouterOS Packet Flow выглядит по детски простым

Убрать из неё, что нет в рос или косвенно бессмысленно, думаю будет тоже что и в рос

В ROS есть всё это, это явно не первой свежести диаграмма. В ROS она очень поверхностная, что хорошо, в целом для понимания.

95% вообще не интересно какие функции робят в ядре, им достаточно понимания базового пакет флоу от микротика. Боня задал правильный вопрос: какой смысл во всех этих знаниях ? больше ipsecа можно будет оффлоадить после раскуривания ?

Наличие знаний ещё никогда не приводило к ухудшению результатов. Но, наверное всем это не обязательно знать, с другой стороны выполнение успешного TSHOOT без наличия достаточно глубоких знаний не возможно.

А из-за чего вообще был спор вчера?

Зависит от того, какую подсистему ROS использует для этого. Но представим, что использует стандартный метод, который используют все libpcap совместимые синферы:

- It first opens a PF_PACKET/SOCK_RAW socket (activate_new() function)
- then binds the socket using a "struct sockaddr_ll" - a link-layer socket address containing family AF_PACKET, ifindex, and protocol (iface_bind())
- In the kernel this bind action results in a call to dev_add_pack() which adds the packet socket protocol handler to networking stack. this is the key step as with the handler in place the generic send and receive routines will deliver skbs to our packet socket for processing.
- switches on promiscuous mode if requested, pushes a filter if specified
- Once the socket is open, attempt to activate mmap access to packets (activate_mmap())
– PACKET_MMAP uses a shared kernel/userspace ring buffer eliminating the need for system calls to read each packet. Previously libpcap required two system calls per-packet - one to read, another to get the capture time. Now a poll() can be used and multiple packets can be gathered at a time.
- Now we can start reading packets; see pcap_read_linux_mmap_*().
- Data is passed to the tap socket at device-agnostic layer on send, receive
– see net/core/dev.c

вопрос был в каком месте pf а не как именно это работает ?

Так там же написано, открывается сокет, выполняется его биндинг на требуемый интерфейс, далее выполняется создание кольцевого буфера и копирование пакетов нужных, всякие аппаратные механизмы GSO и прочее выполняются до и не видны.

Или что имеется ввиду под в каком месте?

просто ткни в пакет флоу )