форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"Много правил в iptables - как разгрузить?"		+/–
Сообщение от Rom1 (ok) on 01-Авг-09, 17:34
Debian/Linux В iptables есть несколько "плоских" цепочек с тысячами правил. В основном маркировка пакетов для расширенной маршрутизации, на основании IP-источника. Задача - разгрузить машину, путем уменьшения пути прохождения пакета. Где-то видел пример как в каждой цепочке сделать по 255 дочерних цепочек, а в них направлять уже по последним цифрам IP-адреса, например пакет в цепочке MAIN_CHAIN IP=10.X.Y.123 направлять в цепочку SUB_CHAIN_123, а уже в ней принимать решение о маркировке. Вроде таким образом можно снизить путь прохождения пакета в ~255 раз. Может кому такой механизм знаком, поделитесь пожалуйста решением.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Много правил в iptables - как разгрузить?"		+/–
Сообщение от reader (ok) on 01-Авг-09, 18:54
>[оверквотинг удален] > >Задача - разгрузить машину, путем уменьшения пути прохождения пакета. > >Где-то видел пример как в каждой цепочке сделать по 255 дочерних цепочек, >а в них направлять уже по последним цифрам IP-адреса, например пакет >в цепочке MAIN_CHAIN IP=10.X.Y.123 направлять в цепочку SUB_CHAIN_123, а уже в >ней принимать решение о маркировке. >Вроде таким образом можно снизить путь прохождения пакета в ~255 раз. > >Может кому такой механизм знаком, поделитесь пожалуйста решением. а что мешает проверять из какой подсети пакет и переходить на созданную именно для этой подсети цепочку?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Много правил в iptables - как разгрузить?"		+/–
	Сообщение от Rom1 (ok) on 01-Авг-09, 21:04
	>а что мешает проверять из какой подсети пакет и переходить на созданную >именно для этой подсети цепочку? Да собственно подсетей несколько меньше чем 255, поэтому и ищу решение. Хотя нашел эту опцию - это модуль u32. Но только он у меня чей-то не хочет работать, может path-o-matic накатить надо?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Много правил в iptables - как разгрузить?"		+/–
	Сообщение от reader (ok) on 01-Авг-09, 22:11
	>>а что мешает проверять из какой подсети пакет и переходить на созданную >>именно для этой подсети цепочку? > >Да собственно подсетей несколько меньше чем 255, поэтому и ищу решение. >Хотя нашел эту опцию - это модуль u32. Но только он у >меня чей-то не хочет работать, может path-o-matic накатить надо? не понял каким образом он поможет http://www.protocols.ru/modules.php?name=News&file=print&sid... может имелось ввиду типа http://forum.nag.ru/forum/index.php?showtopic=47487&st=0 но там u32 не к iptables
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Много правил в iptables - как разгрузить?"		+/–
	Сообщение от Rom1 (ok) on 03-Авг-09, 19:11
	>не понял каким образом он поможет >http://www.protocols.ru/modules.php?name=News&file=print&sid... > >может имелось ввиду типа >http://forum.nag.ru/forum/index.php?showtopic=47487&st=0 > >но там u32 не к iptables Спасибо за ссылки, прочитал все еще несколько раз, выводы сделал такие: 1) u32 в iptables будет работать только после накатывания POM (чего я врадли буду делать) 2) u32 в сам по себе не даст ничего нового в iptables для реализации поставленной задачи, уж лучше подсетями регулировать, как предложил reader 3) u32 можно успешно использовать в TC для динамической маршрутизации и шейпинга, но только при условии "хитрого" использования множества встроенных цепочек (как мне и надо сделать в iptables) Кароч попробую обойтись подсетями.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема