Длинный iptables управляет эффективностью и производительностью
Когда создание длинного iptables управляет, какой более эффективен, чтобы использовать один длинный сценарий на строку или использовать таблицы? Что относительно производительности это имеет эффект к пакетной потере и неотслеженным пакетам?
Пример:
один сценарий на строку
iptables -A INPUT -i wlan0 -p tcp --sport 80 -j ACCEPTиспользование таблиц
iptables -N table1 iptables -A INPUT -i wlan0 -j tbl1 iptables -A table1 -p tcp --sport 80 -j ACCEPT
1 ответ
В Вашем втором примере Вы определяете новую цепочку, названную table1, и направляете входящие пакеты к новой цепочке для выполнения соответствия на цепочке.
Это может быть хорошей стратегией, если, например, обработка, которую Вы делаете на той цепочке, несколько тяжела, и Вы не хотите подвергать все входящие пакеты ей.
, Но в Вашем примере,
- ВЕСЬ входящий трафик в интерфейсе wlan0 отправляется в новую цепочку (это даже включает пакеты, которые являются частью установленных соединений!)
- обработка на той цепочке тривиальна - просто соответствие с разбивкой по источникам и целевой порт.
Так в этом простом примере дополнительная сложность определения новой цепочки и маршрутизации все к нему является ненужным и избыточным, и было Вами способный измерить различие в производительности, вероятно, приведет к более низкой производительности.
Производительность действительно не будет влиять на Вас, если у Вас не будет намного большего количества правил или намного более тяжелой обработки.