Покотиленко Костик wrote:
Про разницу массового фильтрования в iptables и посредством tc filter попробую объяснить на пальцах. - tc filter использует линейный список фильтров, в iptables можно построить в виде дерева;
Наоборот. Деревья фильтров можно (с трудом) строить в u32. IPCLASSIFY просто вычисляет номер класса из IP-адреса, т.е. фактически строит хэш вида IP <=> class. IPMARK таким же образом маркирует пакеты.
- tc filter имеет ограниченное число критериев сравнения по сравнению с iptables; То есть, если сегодня Вам нужно фильтровать только по IP, tc filter подойдёт. А завтра понадобится фильтровать в зависимости от фазы луны и придётся слезать на iptables :)
Фильтр u32 работает с любыми полям пакета, в отличие от IPMARK/IPCLASSIFY, которые читают только IP источника или назначения.