（转）《如何鉴别硬件防火墙性能的差异》对比netfilter的一些问题！

desert969

每次听到大虾们的精彩讲解，都会让人热血沸腾。总想让自己好好补补基础，但
down了几本书，都是超厚的，总看不进去，书上也很难能像上面JohnBull版主，总结出，
想想linux的数据转发：
NIC收到数据/发出irq----内核响应irq（驱动程序通过PCI总线把NIC的buffer里的frame复制到主存(这步虽然可以DMA，但是要在irq前完成，时间还是省不下来，更何况还要考虑DMA对SMP性能的影响)----内核的协议栈分析frame(协议分拣／处理报头...)查路由表）----修改报头／组装L2报文／报文进入网卡驱动的队列----网卡驱动通过PCI把数据交给NIC。
这样的话。

在此我顺便问一句，听人说，作nat应用层的设备最好。为什么会这样说？iptables应该是在网络层把数据包进行封装吧，怎么能说是应用层的？
又或者是别人说错了，应该是作nat，软件比硬件好？

[ 本帖最后由 desert969 于 2006-2-22 18:51 编辑 ]