Re: быстродействие iptables
On Mon, Dec 11, 2006 at 04:07:56PM +0300, Alexander GQ Gerasiov wrote:
> На Mon, 11 Dec 2006 14:26:23 +0200
> Alexander Vlasov <zulu@gala.net> записано:
>
> > У меня до недавнего времени PII-300 с 200-300 правил справлялся с
> > 12мбит потоком. Что у вас за машина?
> Судя по симптомам, проблема там не в iptables.
> ЗЫ. Оверквотить-то зачем?
Позволю себе предположить, что iptables тут могут быть неким образом
виноваты. Точнее их настройка. Например при попытке обратиться к
висящему на localhost DNS (что должен делать при коннекте по крайней
мере postfix) на правилах ниже могут возникать тормоза (встречается
пакет, которому вообще не нужен mac-address и netfilter встает колом).
> > В Вск, 10/12/2006 в 15:35 +0200, Vladimir N. Shilov пишет:
> > > пробшема в следующем -- после добавлениея в INPUT 150-200 правил
> > > вида iptables -I INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
> > > машина практически перестала реагировать на входящие коннекты
> > > причем это произошло только с почтовыми службами --
> > > postfix, courier-imap/pop3, amavis, gld
> > > те же apache и ssh отвечают мгновенно
> > >
> > > модифицировал правила на
> > > iptables -I INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j
> > > REJECT --reject-with icmp-host-unreachable
> > > время коннекта сократилось примерно до 7-ти секунд.
Что если эти правила поместить в отдельную цепочку, в которую переходить
по
iptables -I INPUT -i eth0 -j our_chain
???
И то у меня нет уверенности, что этого достаточно. Может быть нужна
более сложная схема с использованием цепочки PREROUTING.
Как Вам такое предположение? И какие мысли по
достаточности/недостаточности решения выше?
WBR
Dmitri Ivanov
Reply to: