LINUX.ORG.RU
ФорумAdmin

Что быстрее - кучка правил с 1 портом или multiport

 ,


1

2

По-идее, чем меньше правил в цепочке, тем лучше. Но что будет быстрее - несколько правил по одному порту на правило или одно правило с мультипортом?

★★★★★

Последнее исправление: targitaj (всего исправлений: 2)
Архитектура разделения сетей/хостов и ipset
percona server FUTEX_WAKE_PRIVATE use 100% cpu

с multiport быстрее.

Но multiport это только 16 портов. Если список больше, то придется использовать ipset

vel ★★★★★
()
Ответ на: комментарий от vel

Так, отлично. Мне 16 портов на правило пока хватит. Буду усовершенствовать набор правил постепенно.
Так, народился вопрос. Какой вариант multiport работает быстрее? Который встроенный или который с применением ipset?

targitaj ★★★★★
() автор топика
Ответ на: комментарий от targitaj

Из древнего - http://people.netfilter.org/kadlec/nftest.pdf

Понятное дело, сейчас стало получше, но ipset всё равно очень часто оказывается впереди. Возможность нагуглить новые исследования предоставляю тебе.

Pinkbyte ★★★★★
()
Ответ на: комментарий от targitaj

У меня нет тысячи правил.

Тогда тебе бессмыссленно беспокоиться о быстродействии IPTables. Внесённую им latency ты никак не почувствуешь и не измеришь (разве что у тебя там блок управления ядерным реактором. Но я, отчего-то, в этом сомневаюсь).

nbw ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Архитектура разделения сетей/хостов и ipset
Admin
percona server FUTEX_WAKE_PRIVATE use 100% cpu