Re: Ограничение максимальной скорости по IP
В Чтв, 17/01/2008 в 16:10 +0300, Stanislav Kruchinin пишет:
> Покотиленко Костик wrote:
> >
> > Про разницу массового фильтрования в iptables и посредством tc filter
> > попробую объяснить на пальцах.
> >
> > - tc filter использует линейный список фильтров, в iptables можно
> > построить в виде дерева;
>
> Наоборот. Деревья фильтров можно (с трудом) строить в u32. IPCLASSIFY
> просто вычисляет номер класса из IP-адреса, т.е. фактически строит хэш
> вида IP <=> class. IPMARK таким же образом маркирует пакеты.
> > - tc filter имеет ограниченное число критериев сравнения по сравнению
> > с iptables;
> >
> > То есть, если сегодня Вам нужно фильтровать только по IP, tc filter
> > подойдёт. А завтра понадобится фильтровать в зависимости от фазы луны и
> > придётся слезать на iptables :)
> >
>
> Фильтр u32 работает с любыми полям пакета, в отличие от
> IPMARK/IPCLASSIFY, которые читают только IP источника или назначения.
Вы про какие IPMARK/IPCLASSIFY говорите? Если про те, что в iptables "-j
CLASSIFY --set-class MAJOR:MINOR" и "-j MARK --set-mark value", то что
значит "которые читают только..."? Они ничего не читают, "читает"
iptables посредством разных модулей, у которых есть возможность
фильтровать не только "IP источника или назначения", а так же по MAC
адресам, оригинальным адресам (до/после работы SNAT/DNAT), протоколам,
портам, портам моста, PID'у локальной программы, состоянию conntrack и
многим другим критериям.
--
Покотиленко Костик <casper@meteor.dp.ua>
Reply to: