iptables match顺序问题

ok_lin

添加这样一条规则
iptables -A   -m  m1  ...   -m  m2 ...   -m  m3     ....-j ACCEPT

数据包匹配的顺序是 m1     m2    m3   吗？

请高手指点。

wendaozhe

应该无所谓吧？！

ok_lin

对于整条规则的效果是无所谓的，但当有的-m很影响效率的，我想把它放后面匹配。但我试了一下，好像不是按顺序匹配的。

ok_lin

各位帮帮忙！

ubuntuer

一条规则的话,应该无所谓吧

ok_lin

有所谓啊，比如进行m1时需要花费大量cpu、内存等资源，而且m2可以将大部分包过滤掉。那很有必要优化一下啊。

yumanifold

那就是策略优化的问题了哦。。。

ok_lin

这么说也可以，但这些-m不能拆成多条规则。

我觉得看netfilter代码应该可以知道，但现在一下看不了，看哪位大虾知道的就告诉小弟吧。

[ 本帖最后由 ok_lin 于 2010-1-18 20:00 编辑 ]

zhoutao0712

最先匹配的是接口，优化iptables的时候有条军归:指明网卡。其它不敢乱说。

zhoutao0712

希望大家把自己的iptables优化心得拿点出来

多多交流