Iptables 的效率问题

mzwindy

我有个IPTABLES,里面有上千条
-A PREROUTING -d *.*.*.30 -p udp -m udp --dport 20004 -j DNAT --to-destination 192.168.1.247:20004
-A PREROUTING -d *.*.*.30 -p udp -m udp --dport 20005 -j DNAT --to-destination 192.168.1.247:20005
.
.
.
.
.
-A PREROUTING -d *.*.*.30 -p udp -m udp --dport 21000 -j DNAT --to-destination 192.168.1.247:21000
请问有什么方法可以减少规则行数呢?

xautofzx

太多了吧，影响还是有的。

bbppking

怎么说呢!IPTABLES确实很强大,灵活定制.速度还是有影响的,和PIX之类的硬件防火墙不可比拟的,因为我们不会优化.

platinum

原帖由 mzwindy 于 2007-11-20 09:39 发表
我有个IPTABLES,里面有上千条
-A PREROUTING -d *.*.*.30 -p udp -m udp --dport 20004 -j DNAT --to-destination 192.168.1.247:20004
-A PREROUTING -d *.*.*.30 -p udp -m udp --dport 20005 -j DNAT --to ...

-A PREROUTING -d *.*.*.30 -p udp -m udp --dport 20004:20010 -j DNAT --to-destination 192.168.1.247

Axin

我做过压力测试，会不会变慢，这个很难讲。

但CPU的负载会随着数量加大。

并且你的CPU如果足够强（非应用层的东西，kernel处理的效率还是非常高的），并发又不是足够多，你肯定感觉不出有什么差异，这个是肯定的。

我有个650Mhz的CPU+82559的网卡，带近1000台电脑，两根百M的线，CPU的负载，小的不得了。

[ 本帖最后由 Axin 于 2007-11-20 15:15 编辑 ]

wskyygydx

怎么会用那么多条数目呢？进来的每个包都要检测，那肯定会慢一些的。