问个问题 IPTABLES到底有什么亮点

守夜人

说实在的，isa再强大，功能再利害也没有，因为它是基于ＷＩＮ的，在一块烂泥上是不可能建成坚固的高楼大厦的，除非将它移植到linux下可能和ＩＰＴＡＢＬＥＳ还有得一拼

speed_fj

ISA有很多花头 匪夷所思

NetDC

原帖由 "JohnBull" 发表：
根本原因是因为iptables（确切地说是netfilter）是内核态防火墙－－这就是它的先天优势－－天网这种用户态防火墙于之相比不过是儿童玩具。

当网络接口收到报文的时候通过IRQ通知驱动程序，操作系统内核通过驱动程..........

想请教版主一下，netfilter中那个ip_conntrack_max最多可以设置到多大？？我已经设置到了655350了，原先设置是65535，结果wc ip_conntrack发现快满了，就把max值调了一下，可是不知道这个上限是多少。。
内核配置文件/boot/config****中没找到这个值的设置。。   

JohnBull

[quote]原帖由 "NetDC" 发表：


想请教版主一下，netfilter中那个ip_conntrack_max最多可以设置到多大？？我已经设置到了655350了，原先设置是65535，结果wc ip_conntrack发现快满了，就把max值调了一下，可是不知道这个上限是多少。。
内核配

NetDC

唔，不知道用wc来计算conntrack数目是否准确，因为需要好几秒的时间，现在算了下，有68970行，超过了65535，而从系统的流量上看，现在还没有到使用的高峰期，最高峰是21M左右，现在是17M。

另外有一点不明白，我只使用了一个共网地址，这样实际上使用的是PAT，记得端口数最多是65535，还有一小部分是保留的，那么每个连接是不是都要使用一个本地的端口呢？如果这些连接都是TCP或UDP的，那样就会超出65535这个限制了，所以，我想，那些conntrack的限制会不会在这里？

提高conntrack_max的值我想对性能不会有太大的影响，至少在我的机子上，CPU使用在5％以下，内存1G只用了300多M，还有100多M是buffers，空余近600M，而上网的速度也没有受到什么影响。

BTW:我用的内核是2.4.18－1－686－smp的（系统有两颗CPU）。

JohnBull

[quote]原帖由 "NetDC"][/quote 发表：


记住，不存在所谓的PAT。理由：没有PAT相关的RFC。

Linux实现的就是完整的NAT和NAPT，可以进行端口替换（参见RFC3022），但是端口并没有bind到本地协议栈上。所以不受本地端口资源的限制。

性能肯定要受影响，只不过这个影响在你的负载量下很小，测不到而已。你想想hash表一样大，内容增加了10倍，性能怎能不下降？

NetDC

[quote]原帖由 "JohnBull" 发表：


记住，不存在所谓的PAT。理由：没有PAT相关的RFC。

Linux实现的就是完整的NAT和NAPT，可以进行端口替换（参见RFC3022），但是端口并没有bind到本地协议栈上。所以不受本地端口资源的限制。

性能肯定要受影

孙轩

其实iptables还有一个亮点就是他支持基于状态的过滤规则

sandsoft

如果说iptables不能移植到windows下，那么bind是怎么回事。apache也应该在unix上，怎么回事。。：》

網中人

分一下 user space 與 kernel space ,
就知到哪些可移哪些不可移了....