Длинные правила эффективности iptables & amp; представление
Если ваш awk разрешает разделители полей regexp, используйте единую команду:
awk -F'[()]' '/\.net/{print $2}'
Это разделяет входные слова на слова, разделенные символами ( или ), поэтому второе слово - это ip-адрес .
2 ответа
В вашем втором примере вы определяете новую цепочку с именем table1 и маршрутизируете входящие пакеты в новую цепочку для выполнения сопоставления по цепочке.
Это может быть хорошей стратегией, если, например, , обработка, которую вы делаете в этой цепочке, несколько тяжелая, и вы не хотите подвергать ей все входящие пакеты.
Но в вашем примере
ВСЕ входящий трафик на wlan0 интерфейс отправляется в новую цепочку (это даже включает пакеты, которые являются частью установленных подключений!) Обработка в этой цепочке тривиальна - просто сопоставление по источнику и порту назначения.Итак, в этом простом примере лишняя сложность определения новой цепочки и маршрутизации всего к ней не нужна и избыточна, и если бы вы могли измерить разницу в производительности, вероятно, это привело бы к более низкой производительности.
Производительность на самом деле не повлияет на вас, если у вас нет намного больше правил или намного более тяжелая обработка.
В вашем втором примере вы определяете новую цепочку с именем table1 и маршрутизируете входящие пакеты в новую цепочку для выполнения сопоставления по цепочке.
Это может быть хорошей стратегией, если, например, , обработка, которую вы делаете в этой цепочке, несколько тяжелая, и вы не хотите подвергать ей все входящие пакеты.
Но в вашем примере
ВСЕ входящий трафик на wlan0 интерфейс отправляется в новую цепочку (это даже включает пакеты, которые являются частью установленных подключений!) Обработка в этой цепочке тривиальна - просто сопоставление по источнику и порту назначения.Итак, в этом простом примере лишняя сложность определения новой цепочки и маршрутизации всего к ней не нужна и избыточна, и если бы вы могли измерить разницу в производительности, вероятно, это привело бы к более низкой производительности.
Производительность на самом деле не повлияет на вас, если у вас нет намного больше правил или намного более тяжелая обработка.
-
1Это правда, по моему опыту (просто протестированному) больше цепей сделает его более тяжелым. Я использую измеренное соединение данных. Он потребляет больше полосы пропускания, когда я использую больше цепей и использую больше REJECT. Он также потребляет больше полосы пропускания, если я использую DROP, установленный REJECT. Но я думаю, что больше цепей более безопасно, чем просто писать много правил на одном с меньшим количеством цепей. Мне просто интересно, как это делают окна, он потребляет меньше загрузок с помощью программного обеспечения IDM (проверенных много лет назад) из Интернета, чем любой Linux. – smnlss689 10 April 2018 в 05:54
-
2Если эффективность является приоритетом, вы должны принять любые связанные или установленные пакеты как можно раньше. Возможно, вы уже делаете это в правилах, которые не были частью вашего примера, но я упоминаю это на всякий случай. – thomasrutter 10 April 2018 в 06:37