Маленькая скорость и ошибки на интерфейсе если в iptables много правил

debian, ip6tables, iptables, ipv4, linux

2

4

Если в iptables добавить много правил, то на интерфейсе наблюдаются ошибки и падает скорость соединения. С чем это связано?

Ссылка

←	Файлы зон в bind (особенности)

Linux 4.x баги

→

Очевидно же что с «большим кол-вом правил». На каждый чих (пакет в общем случае) оно должно пробежаться, в худшем случае, по всей цепочке.

Оптимезируй: уменьшь кол-во, частые случаи в перёд, редкие — назад.

PS/offtopic: но ещё лучше — забыть iptables, как страшный сон.

beastie ★★★★★
(28.06.15 03:40:36 MSK)

Ответ на: комментарий от beastie 28.06.15 03:40:36 MSK

а что использовать вместо iptables

ne-vlezay ★★★★★
(28.06.15 03:48:49 MSK) автор топика

Ответ на: комментарий от ne-vlezay 28.06.15 03:48:49 MSK

очевидно, нечто из bsd

anonymous
(28.06.15 04:07:30 MSK)

Ссылка

Много - это сколько ?

Ipset не поможет ?

ovax ★★★
(28.06.15 06:55:11 MSK)

Ссылка

Ответ на: комментарий от beastie 28.06.15 03:40:36 MSK

На каждый чих (пакет в общем случае) оно должно пробежаться, в худшем случае, по всей цепочке.

А что при этом является ограничивающим фактором со стороны железа?

Deleted
(28.06.15 14:58:55 MSK)

Ссылка

много правил

Много - это сколько? У меня на одном серваке примерно 6 тысяч правил - ничего не дропается. Но думаю вынести в ipset, т.к. правила динамические, а иногда надо бывает обновить конфиг файрвола и тогда ой...

Pinkbyte ★★★★★
(28.06.15 18:14:29 MSK)

Ссылка

Используй более производительный ipset.

http://daemonkeeper.net/781/mass-blocking-ip-addresses-with-ipset/

Deleted
(28.06.15 21:58:21 MSK)

Ссылка

Ответ на: комментарий от beastie 28.06.15 03:40:36 MSK

Забыть про медленный iptables и приветствовать ничего не умеющий pf, ага.

anonymous
(28.06.15 23:35:41 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Файлы зон в bind (особенности)

Linux 4.x баги

→