connection refused?

Интересно такой же тестик для сравнения с OpenBSD, например. И для ipv6.

Мне не совсем понятна практическая ценность такого сорта тестов, где

приводятся некоторые абсолютные цифры.

Другое дело, если бы автор показал, например, что netfilter на х%

быстрее того же pf или ipf?

у вас всё показывается? у меня connection failed. если есть возможность можете куда-нить выложить это дело?

> Мне не совсем понятна практическая ценность такого сорта тестов, где

Такие тестики какраз помогают понять какие машинки ставить в какие углы сети и до каких пределов их можно будет нагружать.

> Мне не совсем понятна практическая ценность такого сорта тестов, где приводятся некоторые абсолютные цифры.

Ценоость (некоторая) для того, кто пользовать соберётся. Если у меня уже linux то подобные оценки могут сказать, что скорость работы приемлимая (или же нет). В этом случае, сравнение с другими fw - не обязательно. Хотя и не было бы лишним...

Фигня это все.

В реальной жизни, обычно обрабатываются пакеты, устанавливающие

соединение а дальше только отслеживается состояние (keep-state)

> Фигня это все.

> В реальной жизни, обычно обрабатываются пакеты, устанавливающие соединение а дальше только отслеживается состояние (keep-state)

По флажкам tcp пакета смотреть можно, а вот по udp не судьба :-( Но даже по tcp это не спасает от левого трафика.

Спасает конечно conntrack, а теперь появилась даже надежда, что он и для ipv6 будет.

>По флажкам tcp пакета смотреть можно, а вот по udp не судьба

у pf есть keep state для udp пакетов: считает промежутки времени между пакетам что-ли, но мне всегда внушала недоверие такая особенность; хотя вроде работает...

> быстрее того же pf или ipf?

Нет, он не быстрее, он просто работает на нескольких десятках тысяч
правил... в отличие от того же pf ;)

имхо неправильный и ничего не показывающий тест.

вот если попробовать матчить надо на основе src/dst ip, да на роутере/бридже, вот тогда видно насколько iptables тормоз и насколько нуждается в кардинальном изменении(всякие bsd pf/ipf кстати ненамного отличаются)

пример того КАК надо это делать и как надо матчить правила - nf-hipac (http://hipac.org/), но к сожалению проект можно считать мертвым, так как для 2.6 рабочих версий нет, а для 2.4 последняя версия под 2.4.25, и та иногда валится.

4k

> у pf есть keep state для udp пакетов
у iptables тоже есть нечто подобное, иначе NAT для UDP был бы просто невозможен

4k

> идно насколько iptables тормоз
бред - hipac сделан на основе iptables
"which traverses the rules in a chain linearly per packet until a matching rule is found "
- ну так сделай ветвление! сразу получишь сущственный выигрыш
я так скажу - в наше время PIV и PCI-X - это уже небольшая проблема
даже с шифрованием трафика 10мбит эзер не может выйти за пределы 0.00 0.00 0.00 :-)