Iptables 的效率问题

fuleru

性能并不是由遍历规则的数量决定的，而是由比较的次数决定的。

platinum

原帖由 fuleru 于 2007-11-19 14:13 发表
性能并不是由遍历规则的数量决定的，而是由比较的次数决定的。

比较的次数和遍历的数量有什么不同吗？
你否定“遍历规则的数量”的依据又是什么？

人面兽心

想不到引发了这么热烈的讨论，哈哈
实践证明：
本人去掉了上千条规则和只放一两条规则，服务器速度，网速等，适乎没有很大的区别

[ 本帖最后由 人面兽心 于 2007-11-19 14:34 编辑 ]

fuleru

呵呵，没有读过kernel firewall的源代码。所以具休的情况也不太了解。

Linux Firewalls, Third Edition

第五章讲的就是优化的问题。

What is perhaps least obvious, unless you've read the kernel firewall code, is that the real performance issue isn't the number of rules traversed, per se, but the number of comparison tests performed.

所以使用用户自定义规则链还是有一定道理的。。。

platinum

原帖由 人面兽心 于 2007-11-19 14:31 发表
想不到引发了这么热烈的讨论，哈哈
实践证明：
本人去掉了上千条规则和只放一两条规则，服务器速度，网速等，适乎没有很大的区别

做技术要严谨……

platinum

原帖由 fuleru 于 2007-11-19 14:39 发表
呵呵，没有读过kernel firewall的源代码。所以具休的情况也不太了解。

Linux Firewalls, Third Edition

第五章讲的就是优化的问题。

What is perhaps least obvious, unless you've read the kernel f ...

对啊，这不就是“遍历”吗？

ssffzz1

条目少一些总是好事情。谁知道是不是总和最后一条匹配。

depthblue_xsc

有影响是必然的，感觉没什么影响，那是因为压力不够或者是因为established的原因
而实际中，因为基于状态检测而且由于并发的数量不多，所以感觉不出影响
用压力测试才能看出规则的影响到底多大

kevin.tan

原帖由 springwind426 于 2007-11-18 09:44 发表
iptables-save -c

看看计数，应该大致能够估算那上千条规则是如何遍历的。

我觉得，用一个效率更高的检测IP的模块会比一条条罗列规则会更有效率

就象同时要禁止多个端口的时候，更多的人是选择用multi ...

赞同，“精心构造规则的排列顺序”提高命中率

除了这些之外，我还认为自定义链是有必要的，比喻说，tcp的就放到tcp的链，udp的放到udp,ICMP的放到ICMP，如下图

                               | tcp chain---tcp rule     |

input packet ------>  | udp chain-- udp rule   | --------> decide ACCEPT or DROP

                               | icmp chain --icmp rule |

这样比：
input packet -------> tcp rule -----> udp rule-----> icmp rule ----> decide ACCEPT or DROP好些

比喻说假如一个icmp包进入，上面就不须经过tcp 和udp了

platinum

对，所以还看数据包经过 netfilter 框架需要遍历的规则数量，而不是看实际有多少条规则