В Яндексе фаерволлинг трафика занимает ключевое место в цепочке обработки пакетов - это обезопашивает наши проекты от внешних угроз.
Но бывает и обратная сторона - система дает сбой, который приводит к катастрофическим последствиям - мало кто захочет увидеть, как его компания начинает отбрасывать весь входящий трафик.

Расскажем детективную историю о том, как мы в ужасе и страхе в прошлом катили фаервольные правила, и как мы их катим не глядя теперь. О том, как собрать трафик с 100500 (не шутка) машин без импакта для них, используя eBPF, а также о том, как создать распределенную высоконагруженную систему, валидирующую десятки миллиардов правил и единицы миллиардов пакетов за 2-3 минуты.