iptables v Debianu

[Jan Houstek]

On Thu, 13 Aug 2009, d.petr wrote:
> iptables-save/restore nepoužívám vůbec. Mám všechna pravidla napsaná
> jako příkazy iptables v souboru a ten soubor (skript) nechávám spustit z 
> nějakého startovacího skriptu (k něčemu síťovému jsem jeho spuštění 
> přihodil). Asi to není ideální, ale mně to stačí. PM

iptables-restore oceníte v případě, kdy těch pravidel máte hodně, řekněme 
tisíce. iptables-restore má totiž lineární složitost vzhledem k počtu 
pravidel, prostě celý rule-set vytvoří a najednou uloží do paměti kernelu.

Naproti tomu iptables vždy celý stav netfilteru z paměti vytáhne, upraví a 
vrátí zpět (*), takže skript s tisíci voláními iptables má složitost 
kvadratickou a taky celkem velkou režii.

Původnímu tazateli -- co přesně vám iptables-restore nebere? V začátku s 
iptables-save a restore pár fatálních problémů bylo, ale dnes už je to 
velmi odladěné. Navíc iptables-restore sežere skoro vše co iptables, ne 
pouze striktě to co vytvoří iptables-save, i když je pochopitelně lepší mu 
to v iptables-save formátu dávat.

-- HH


(*) Tedy pokud se mezitím něco zásadně nezměnilo, naposledy jsem to 
zkoumal v jádře 2.4.