Optimalizace iptables pravidel
Petr Horacek
horacek na azsoft.cz
Úterý Červen 27 08:15:04 CEST 2006
Peter Surda napsal(a):
>> a vic pravidel (markovani podle source IP pro pouziti CBQ)?
> delenie v tc mozes robit priamo cez hashing (link som uz parkrat posielal). Ak
> to z nejakeho dovodu nejde, a tych tried je vela (t.j. nema zmysel pouzit
> ipset), mozes pouzit prave tu skor spominanu vynimku pre optimalizaciu
> pouzitim uzivatelskych cejnov. Konkretne sprav strom, napriklad takto (format
> iptables-restore):
> *mangle
> :marking
> :c-192.168.0.0/28
> :c-192.168.0.16/28
> :c-192.168.0.32/28
> :c-192.168.0.48/28
> # atd
> -A OUTPUT -o eth0 -s 192.168.0.0/24 -j marking
> -A marking -s 192.168.0.0/28 -j c-192.168.0.0/28
> -A marking -s 192.168.0.16/28 -j c-192.168.0.16/28
> -A marking -s 192.168.0.32/28 -j c-192.168.0.32/28
> -A marking -s 192.168.0.48/28 -j c-192.168.0.48/28
> # atd
> -A c-192.168.0.0/28 -s 192.168.0.0 -j MARK --set-mark 0x0
> -A c-192.168.0.0/28 -s 192.168.0.1 -j MARK --set-mark 0x1
> -A c-192.168.0.0/28 -s 192.168.0.2 -j MARK --set-mark 0x2
> -A c-192.168.0.0/28 -s 192.168.0.3 -j MARK --set-mark 0x3
> # atd
>
> V tomto pripade zo statistickeho hladiska znizis priemerny pocet testov z 128
> na 17 (a maximalny z 256 na 33).
Na to kouknu, je to velice zajimave, kouknu i na hashing a ipset.
Diky
--
S pranim pekneho dne
Petr
Další informace o konferenci Linux