Повышение производительности netfilter, использование ipset

[bondbig]

Шикарно, топик на главной, 12 добавили в избранное и ни одного коммента!
Это говорит о качестве статьи, ни добавить, ни убавить. Профессионально.

[kljaver]

Круто! Спасибо! Очень понравилась статья.

[slimlv]

почему ipset не в ванили до сих пор?

[slimlv]

ах, да — статья ни о чём.

[Urevic]

Группировка правил — это, конечно, хорошо. Но в первую очередь надо не забывать первыми правилами в списке делать:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT

[peter23]

Ну это скорее относится не к оптимизации, а к базовой настройке файрволла.

[mihmig]

Ув. автор, благодарствую, а вот не напишете ли статью о tc и шейпинге?.. (opennet.ru и google читал, но полного понимания сути работы пока не пришло...)

[peter23]

У меня это было в планах, пока фейри не попробовал не нашел на хабре вот эти статьи:
habrahabr.ru/blogs/sysadm/88624/
habrahabr.ru/blogs/sysadm/89002/

[smartly]

Собственно «module-assistant a-i ipset» — работает. Это радует.

[peter23]

upload.wikimedia.org/wikipedia/ru/a/ad/Netfilter-diagram-rus.png

[loginex]

при большой нагрузке эффективнее использовать freebsd с ipfw и pf для ната(если надо)
— мои 20 центов

[kruft]

Раскройте великую тайну, как при использовании natd с ipfw для ната добиться высокой производительности, если оно каждый пакет дважды в юзерспейс и обратно в ядро копирует?

[loginex]

я про natd ничего не писал. NAT выполняет pf

[kruft]

упс, сорри за невнимательность :)

[AFC]

В системе с множеством интерфейсов, его указание очень полезно.

[Linear82]

Простите мою безграмотность, но в статье мы видим как вместо 3 тысяч записей, сделать 3 записи (грубо говоря).

Но сама фильтрация/сортировка пакетов в конечном итоге как произойдет? будут поочередно проверены все IP? или адреса будут расположены в списке по алгоритму, который за 12 итераций гарантирует проверку любого ip адреса на соответствие списку?